Construya su propio laboratorio forense digital por poco dinero

Demasiado frecuentemente nos encontramos con alguien que busca desesperadamente la forma de recuperar los archivos borrados del disco duro de un sospechoso. A menudo las pruebas del delito se pierden, o quedan inutilizadas en cuanto el sospechoso sabe que le están investigando. Con el hardware apropiado -que probablemente ya tenga- y herramientas gratuitas disponibles online podrá construir fácilmente su propio laboratorio informático forense que le ayudará a reducir los costes de recuperación y, lo que es más importante, conseguir pruebas valiosas para sus investigaciones.

La regla de oro para comenzar cualquier investigación forense es no tocar el disco duro o el ordenador del sospechoso. En televisión vemos a los detectives de CSI caminando por la escena del crimen, accediendo al ordenador del sospechoso y buscar pruebas. No lo haga. Nunca. Cualquier roce en el teclado, ratón o incluso el simple hecho de apagar el ordenador provoca cambios forenses en su disco duro.

Estos son los dos pasos esenciales que debe seguir:

1. Primero, desconecte el ordenador de la corriente retirando el cable del propio equipo y no de la toma de la pared. Si se trata de un portátil retire la batería y deje que se apague solo. Esto suele "congelar" el estado del disco duro con cualquier prueba útil que contenga.

2. En segundo lugar, nunca trate de ver el disco duro del sospechoso sin un dispositivo de bloqueo de lectura/escritura. Estos dispositivos evitan que se alteren los contenidos del disco mientras buscamos pruebas.

Sin estos dos pasos las pruebas no servirán en un juicio, así que tenga la precaución de seguirlos e incluso moléstese en hacer un duplicado del disco para revisarlo con toda tranquilidad. Lo primero para poder recopilar pruebas es hacer un reconocimiento. Previamente averigüe la marca y modelo del ordenador del sospechoso. Conocerlo le puede ayudar a determinar el tipo de disco duro (SATA o ATA), su tamaño (desde 40 GB hasta varios TB) y sobre todo cómo acceder a él físicamente y desconectarlo. Probablemente una simple búsqueda en YouTube le ayude a encontrar algún tutorial sobre cómo desconectar el disco duro de su PC.

Respecto al dispositivo de bloqueo de lectura/escritura, tiene la opción de comprarlo o fabricarlo. Si elige comprarlo, hay diversas opciones disponibles a distintos precios. Un ejemplo es el laboratorio forense portátil de Logicube, que funciona como una copiadora portátil. Este dispositivo puede hacer copias a una velocidad de 4 GB por minuto y es fácil aprender a utilizarlo. También hay otras opciones más pequeñas y baratas en el mercado que pueden servirle.

Si desea fabricar su propio dispositivo de copia, hágase con una carcasa de disco duro externo con conexión USB. Después deberá hacer unos cambios en el registro (editar el registro no es recomendable para usuarios no familiarizados con la tecnología):

1. Haga clic en el botón Inicio, Ejecutar, escriba Regedit y pulse Enter.

2. Diríjase a HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control.

3. Haga doble clic sobre Control y seleccione Edición, Nueva y después Clave. Llame a la nueva clave FORENSICWRITEBLOCK.

3. Haga clic derecho sobre WriteProtect y seleccione Propiedades. Cambie el valor a 1 y pulse OK.

(Nota: para revertir este proceso y eliminar el bloqueo de escritura a los discos una vez hecha la copia, simplemente borre la clave de registro StorageDevicePolicies o borre la entrada del registro WriteProtect; o bien cambie el valor de WriteProtect a cero).

Una vez configurado el registro, pruebe el disco externo con un disco duro vacío tratando de copiar un archivo. Windows deberá darle un mensaje de error indicando que el disco está protegido contra escritura y que no se puede copiar el archivo.

Tras coger el disco duro de su sospechoso -a ser posible cuando no se dé cuenta- conecte la unidad a su dispositivo de bloqueo de lectura/escritura. Windows debería reconocer la nueva unidad y se abrirá el Explorador. En este punto puede buscar y usar el dispositivo como si fuera suyo, o hacer una imagen forense para ver los archivos borrados, revisarlo más adelante o presentarlo a un juicio.

Para hacer una imagen forense descargue FTK Imager 2.6.1 de Accessdata. Hay un montón de aplicaciones de código abierto, gratuitas y de pago entre las que elegir, pero esta es muy fácil de usar para principiantes gracias a su guía paso a paso. Una vez instalada, seleccione Create Disk Image, elija el origen de la imagen (su unidad USB), ponga nombre al archivo y guándelo (es recomendable guardarlo en un disco duro de gran capacidad) y pulse Start. Tras unas horas tendrá una copia idéntica al disco del sospechoso para poder explorarla. En este momento puede devolver el disco duro al ordenador del sospechoso sin que este se dé cu