Técnicas forenses avanzadas y validación judicial de archivos eliminados para desmantelar la impunidad digital.
Por: Profesor José Ramón Ramírez Sánchez CEO Grupo
Educajuris. Analista Migratorio Experimentado.
INTRO: EL ARTE DE DESHACER LO HECHO
Imagínate en mi laboratorio, con las bajas luces y el
zumbido constante de los ventiladores refrigerando servidores que procesan
terabytes de información. Sobre la mesa, un teléfono celular seccionado en dos,
y un disco duro conectado a un "bloqueador de escritura". Me miras y
me preguntas: "Profesor, ¿se puede recuperar lo que borré?".
Aquí es donde, como experto, te doy la respuesta que
los criminales temen y las víctimas esperan: "Todo depende de cuánto hayas
usado ese dispositivo después de presionar 'borrar'". Querido lector,
borra un archivo en tu computadora o celular no es comparable a quemar una
carta; es más bien como sacar la ficha del catálogo de la biblioteca. El libro
sigue en el estante hasta que alguien ponga otro libro en su lugar. Hoy vamos a
realizar una autopsia digital. Vamos a revivir los mensajes que debían haber
muerto, a restaurar las fotos que fueron eliminadas y a probar, byte por byte,
que la memoria tiene voz y voto en la sala del tribunal.
ABSTRACTO
·
Technical essay on the forensic recovery
of deleted evidence from electronic devices, detailing unallocated space
analysis, carving techniques, and judicial validation under Law 53-07 and ISO
17025 standards.
·
Français:
Essai technique sur la récupération médico-légale de preuves supprimées sur des
appareils électroniques...
·
Deutsch: Technischer Aufsatz über die
forensische Wiederherstellung gelöschter Beweise auf elektronischen Geräten...
·
Português:
Ensaio técnico sobre a recuperação forense de evidências excluídas em
dispositivos eletrônicos...
·
Italiano:
Saggio tecnico sul recupero forense di prove eliminate su dispositivi
elettronici...
·
Русский: Техническое эссе о судебно-медицинском восстановлении удаленных доказательств на электронных устройствах...
·
العربية: مقال
تقني حول
الاسترداد الطب
الشرعي للأدلة
المحذوفة من
الأجهزة الإلكتronية...
·
中文: 关于从电子设备中删除证据的法医恢复的技术文章...
·
日本語: 電子機器から削除された証拠の法医学的回復に関する技術記事...
LA ILUSIÓN DEL "ELIMINAR"
1. CÓMO FUNCIONA EL SISTEMA DE ARCHIVOS
Para entender la recuperación, debemos entender cómo
el sistema operativo "miente" al usuario. Tanto en Windows (NTFS),
Android (ext4) o iOS (APFS), cuando borras un archivo, el sistema no pasa por
cada cero y uno para borrarlo. Sería ineficiente.
·
El
Puntero Roto: Lo que se destruye es la "entrada" en la tabla de
archivos (el Master File Table en Windows o el inode en Linux).
Es como si arrancaras la tarjeta del índice de un libro de la biblioteca. El
libro (el archivo) sigue en el estante, pero nadie sabe dónde está.
·
El
Espacio No Asignado: El área donde vivía ese archivo pasa a llamarse
"espacio libre" o unallocated space. El sistema operativo se
siente autorizado a escribir nuevos datos encima de él. Mientras eso no ocurra,
los datos están ahí, intactos, esperando un forense digital.
TÉCNICAS DE RECUPERACIÓN AVANZADA: DE CERO A HÉROE
Como jurista, no soy solo un técnico; soy un buscador
de la verdad. Aquí es como opera la magia.
2. Carving: La Arqueología Binaria
Esta es mi técnica favorita para recuperar archivos
cuando las tablas de índice están corruptas o han sido formateadas.
·
Firma
de Archivo (File Signature): Cada archivo tiene una "cabecera" única.
Un JPEG empieza con FF D8 FF, un PDF con %PDF, un DOCX con 50
4B 03 04.
·
El
Proceso: El software forense (como EnCase o FTK) escanea el disco crudo, byte
por byte. Cuando encuentra una firma conocida, lee hacia adelante para
determinar el final del archivo y lo "esculpe" (carve) hacia un nuevo
archivo. Es como encontrar fósiles en capas geológicas; no sabemos qué libro
eran, pero podemos reconstruir las páginas.
3. RECUPERACIÓN EN DISPOSITIVOS MÓVILES: EL RETO DE
SQLITE
En teléfonos, los datos están fragmentados en miles de
archivos de base de datos (SQLite), principalmente para mensajes de WhatsApp,
Instagram y historial de llamadas.
·
Registros
Eliminados: WhatsApp usa una tabla de base de datos llamada wa.db.
Cuando se borra un chat, la fila se marca como DELETE (o desaparece en
versiones nuevas), pero el contenido sigue en el espacio vacío dentro del
archivo .db.
·
Decodificación
de Decodmsgstore.db: En Android, los mensajes pueden estar encriptados
en una base de datos de conversación, pero las copias de seguridad sin cifrar o
los archivos de registros internos (wa.db.journal) a menudo retienen
fragmentos de texto plano. Recuperar esto permite leer un "yo te voy a
matar" que fue borrado meses atrás.
4. METADATOS: EL FANTASMA EN LA MÁQUINA
Incluso si no podemos recuperar la foto completa (el
archivo fue sobrescrito por una canción nueva), a menudo podemos recuperar sus metadatos.
·
$MFT
(Master File Table): En Windows, este archivo maestro registra el nombre,
tamaño, fecha de creación y modificación de cada archivo.
·
La
Evidencia: Si el acusado borró una foto de una víctima, el archivo de la foto
puede estar perdido, pero el registro en la $MFT puede probar que existió un
archivo con ese nombre y tamaño en esa fecha específica, y más importante, qué
programa lo borró.
EL MARCO LEGAL: CIENCIA FORENSE ANTE EL JUEZ
Recuperar el dato es solo la mitad de la batalla. La
otra mitad es explicarle al juez que ese dato es legítimo.
5. CADENA DE CUSTODIA Y HASH
Bajo la Ley 97-25 y los estándares internacionales de
la ISO 17025 (que acredita los laboratorios), el procedimiento es inflexible.
·
Imagen
Forense: Jamás se trabaja sobre el disco original. Se realiza una copia bit a
bit (forensic image) y se calcula un Hash (ej. MD5 o SHA-256).
·
El
Sello de Garantía: Si el perito presenta el archivo recuperado en el juicio,
ofrece el Hash. Si el abogado defensor o el juez calculan el Hash en su momento
y coincide, se prueba que el archivo es una copia exacta del disco original y
no ha sido alterado.
6. ADMISIBILIDAD EN REPÚBLICA DOMINICANA
La Ley 53-07 (Crimen y Delitos de Alta Tecnología) y
la reforma del Código Procesal Penal establecen que la evidencia digital debe
ser "pertinente, útil y necesaria".
·
El
Reto: Un abogado defensor argumentará: "Ese archivo borrado podría ser
cualquier cosa". El perito debe contrarrestar: "No, señor. La
estructura interna del archivo, la ruta de acceso (path) C:\Users\Sospechoso\Desktop\Foto.jpg
y las marcas temporales demuestran que este archivo residía ahí antes de ser
borrado intencionalmente para obstruir la investigación".
ESCENARIOS DE LA VIDA REAL Y CASOS DE ESTUDIO
Caso "El Formateo Desesperado": Un pedófilo es arrestado con un portátil. La policía
llega tarde y él ha formateado el disco.
- La Recuperación: Se utiliza Carving sobre el disco duro físico. Se recuperan
fragmentos de imágenes. La imagen está incompleta
(grano, líneas cortadas).
- El Valor Jurídico: Aunque la foto es incompleta, los expertos forenses pueden
atestiguar que coincide con el patrón de ropa o ubicación del crimen. En
RD, esto ha sido aceptado como "indicio fuerte" en casos de la
DIJ.
Caso "El WhatsApp Fantasma": Un traficante eliminó todos los chats de entrega de
drogas cada día.
- La Recuperación: El forense no miró la base de datos actual, sino los backups
automáticos que Android guarda en la carpeta /sdcard/Android/data/com.whatsapp/Databases/backup/.
- El Hallazgo: Se encontró un archivo de backup de 3 meses atrás. El traficante
pensaba que estaba limpio, pero su propio teléfono lo había traicionado
guardando lo que él borraba en la app principal.
MITOS, TABÚES Y
PARADIGMAS
·
Mito:
"Si paso un imán sobre el disco duro, se borra todo."
·
Realidad: En los discos duros modernos, necesitarías un campo
magnético industrial (los de un desmantelador de coches) para dañar los platos.
Un
imán de nevera no hace absolutamente nada.
·
Mito: "Si tiro el celular al mar, los datos se van con
él."
·
Realidad: Si el celular es encontrado, aunque esté corroído por
la sal, a menudo los chips de memoria (eMMC/UFS) sobreviven y se pueden
desoldar y leer en una estación de trabajo forense avanzada.
·
Tabú:
"Si el archivo está encriptado, es irrecuperable."
·
Realidad: Es mucho más difícil, pero si la clave estaba
guardada en la memoria RAM (frecuente en laptops que no se apagan por completo
o en hibernate), a veces se puede recuperar la llave de la memoria
volátil antes de que se apague por completo (Cold Boot Attack), aunque esto es
técnica de guerra fría y muy específica.
FUENTES Y ENLACES
VERIFICADOS
1.
Instituto
Nacional de Ciencias Forenses (INACIF) - Área de Informática Forense: http://www.inacif.gob.do
2.
Policía
Nacional (DIJ) - Cibercrimen: https://www.policianacional.gob.do
3.
Ministerio
Público (PGR) - Departamento de Alta Tecnología: https://www.pgr.gob.do
4.
Ley
53-07 sobre Crímenes y Delitos de Alta Tecnología: https://www.pgr.gob.do/legislacion/ley-53-07
5.
Código
Procesal Penal (Ley 76-02) y Reforma 97-25: https://www.pgr.gob.do/legislacion/ley-76-02
6. Guidance
Software (OpenText EnCase): https://www.opentext.com
7. Cellebrite
(Mobile Forensics): https://www.cellebrite.com
8. Magnet
Forensics (Magnet AXIOM): https://www.magnetforensics.com
9. X-Ways
Forensics: https://www.x-ways.net
10. FBI
Regional Computer Forensics Laboratory (RCFL): https://www.rcfl.gov
11. INTERPOL
- Cybercrime Working Group: https://www.interpol.int/Crimes/Cybercrime
12. International
Association of Computer Investigative Specialists (IACIS): https://www.iacis.com
13. High
Tech Crime Investigation Association (HTCIA): https://www.htcia.org
14. American
Academy of Forensic Sciences (AAFS): https://www.aafs.org
15. Scientific
Working Group on Digital Evidence (SWGDE): https://www.swgde.org
16. ISO
27037: https://www.iso.org
17. International
Society of Forensic Computer Examiners (ISFCE): https://www.isfce.com
18. Oxford
University - Centre for Technology and Global Affairs: https://www.ox.ac.uk
19. UNODC
- Cybercrime: https://www.unodc.org
20.
CONANI
- Protección de datos de menores: https://www.conani.gob.do
21.
Gobierno
Digital RD: https://www.gob.do
22.
Escuela
Nacional del Ministerio Público: https://www.enmp.gob.do
23.
Universidad
Nacional Pedro Henríquez Ureña (UNPHU) - Informática Forense: https://unphu.edu.do
24.
PUCMM
- Tecnología: https://pucmm.edu.do
25. Kroll
- Cyber Risk: https://www.kroll.com
26. Control
Risks - Digital Forensics: https://www.controlrisks.com
27. NIST
(National Institute of Standards and Technology): https://www.nist.gov/itl
28. SANS
Institute (Computer Forensics): https://www.sans.org
29. Digital
Forensics Magazine: https://www.digitalforensicsmagazine.com
30. CyberTalks:
https://www.cybertalks.com
TÉRMINOS CLAVE
(GLOSARIO EXPLICATIVO)
1.
Forense
Digital: Aplicación de la ciencia al examen y análisis de datos digitales.
2.
Espacio
No Asignado: Área del disco donde no residen archivos activos (donde viven los
datos borrados).
3.
Carving:
Técnica para recuperar archivos basándose en sus firmas (headers).
4.
File
System: Sistema utilizado por el SO para almacenar y organizar archivos.
5. NTFS
(New Technology File System): Sistema de archivos de Windows.
6. FAT32
(File Allocation Table 32): Sistema de archivos heredado.
7.
EXT4:
Sistema de archivos usado en Linux y Android.
8.
APFS:
Sistema de archivos de Apple (iOS/macOS).
9.
Master
File Table (MFT): Tabla maestra de archivos en NTFS.
10.
Inode:
Estructura de datos que guarda información sobre un archivo en sistemas tipo
Unix.
11.
Metadatos:
Datos sobre otros datos (fecha, tamaño, autor).
12.
Hex
Editor: Herramienta para ver y editar datos en código hexadecimal.
13.
Write
Blocker: Dispositivo que impide la escritura en un disco durante la copia.
14.
Hash:
Huella digital única (MD5, SHA-1, SHA-256) para verificar integridad.
15.
Imaging:
Copia bit a bit de un dispositivo.
16.
Slack
Space: Espacio residual al final de un cluster no usado por el archivo actual.
17. RAM
(Random Access Memory): Memoria volátil.
18.
Swap
File: Espacio en el disco duro usado como extensión de la RAM.
19.
Hibernation
File: Archivo que guarda el estado de la memoria al apagar el PC.
20.
Paginación:
División de la memoria en bloques.
21.
Borrado
Lógico: Eliminación del puntero del archivo.
22.
Borrado
Físico (Wiping): Sobrescritura de datos con ceros y unos.
23.
Degaussing:
Desmagnetización del disco duro.
24.
SQLite:
Base de datos ligera usada en Android y muchas apps.
25.
WAL
(Write-Ahead Log): Registro de transacciones en SQLite.
26.
Journaling:
Mecanismo de los sistemas de archivos para evitar la corrupción.
27.
Headers:
Magia o firma al principio de un archivo.
28.
Footers:
Marca al final de un archivo.
29.
Cluster:
Unidad mínima de asignación de espacio en disco.
30.
Sector:
Unidad física mínima de almacenamiento (usualmente 512 bytes).
31.
Platter:
Disco magnético dentro del disco duro.
32.
Actuator:
Brazo mecánico que mueve la cabeza lectora.
33.
Solid
State Drive (SSD): Disco de estado sólido (memoria flash).
34.
TRIM:
Comando que le dice al SSD qué bloques pueden ser reutilizados (es enemigo de
la recuperación).
35.
Wear
Leveling: Técnica de los SSD para distribuir las escrituras.
36.
Chip-Off:
Extracción directa del chip de memoria NAND.
37.
Firmware:
Software que controla el hardware del disco.
38.
Partition:
División lógica de una unidad de almacenamiento.
39.
Rooting:
Obtener acceso de superusuario en Android.
40.
Jailbreak:
Eliminación de restricciones en iOS.
41. Encryption:
Cifrado de datos.
42. Decryption:
Descifrado de datos.
43.
Key:
Clave para encriptar o desencriptar.
44. Password:
Contraseña.
45.
Pattern
Lock: Patrón de desbloqueo.
46.
PIN:
Código de identificación personal.
47.
Salting:
Agregar datos aleatorios a una contraseña antes de hashearla.
48.
Hashing:
Proceso de convertir datos en una cadena de longitud fija.
49. Chain
of Custody: Cadena de custodia.
50. Evidence:
Evidencia/Prueba.
PREGUNTAS PARA EL
DEBATE
1.
¿Es
ético legalmente que un tribunal admita una evidencia parcialmente recuperada
(por ejemplo, una foto dañada) como prueba definitiva de un delito sin
corroboración física?
2.
¿Cómo
afecta la función TRIM en los SSD modernos a la capacidad de recuperación
forense, y las leyes (como la 53-07) deben prescribir el uso de herramientas
que inhabiliten TRIM inmediatamente al incautar el dispositivo?
3.
¿El
borrado "seguro" (múltiples pasadas de escritura) realizado por el
acusado constituye destrucción de evidencia (obstáculo a la justicia) si el FBI
puede usar microscopía de fuerza magnética para leer la última capa?
4.
¿En
la República Dominicana, los peritos del INACIF cuentan con la certificación
ISO 17025 para garantizar la admisibilidad internacional de sus análisis de
recuperación?
5.
¿Debe
el acusado estar obligado a facilitar su contraseña o patrón de desbloqueo bajo
la amenaza de ser condenado por obstrucción a la justicia si la evidencia
borrada es crucial para el caso?
"El espacio vacío del disco duro es el lugar
donde la memoria y la mentira se encuentran." — José Ramón Ramírez Sánchez
"Borrar un archivo no destruye el pasado, solo
borra la referencia al futuro." — Joel-Gaston M. Spector
"En la era digital, la memoria es para siempre.
La única forma de borrar un dato es destruir el medio que lo contiene, y a
menudo ni eso es suficiente." — Edward Snowden
notas técnicas y especiales
"El método de Carving es a menudo la última
esperanza. Si un borrador de archivos sobrescribió solo el principio del
archivo de video, pero el final estaba en otro cluster distinto, a veces
podemos recuperar el final del video. Aunque no tenga audio o principio, la
imagen del crimen puede ser identificada por testigos."
"Los SSD (Solid State Drives) presentan un
desafío único llamado 'Garbage Collection'. Cuando un archivo es borrado en un
SSD, el controlador puede limpiar los bloques automáticamente en segundos para
mantener el rendimiento. Esto hace que la ventana de recuperación sea de
minutos en lugar de meses o años. Es una carrera
contra el reloj para el perito."
Contacto:
Tel: 809-505-9986
Redes y plataformas:
Blog: lamesamigratoria.blogspot.com
·
YouTube: @LaEsquinaMigratoria
·
Instagram: @LaMesaMigratoria
·
X (Twitter): @Educajuris3
·
Truth Social: @lamesamigratoria
·
Mastodon: @lamesamigratoria
