Clonación de discos duros en el peritaje informático

En numerosos procedimientos de peritaje informático se requiere la investigación sobre uno o varios discos duros o memorias externas (bien en USB, en tarjetas SD, o en cualquier otro tipo de almacenamiento físico), con el objetivo de aportar información sobre una variedad de casuísticas: ficheros borrados que deben ser recuperados, correos electrónicos que deben ser certificados (que pueden haber sido también eliminados o no), comprobación sobre utilización de copias ilegales de software u otro tipo de delitos contra la propiedad intelectual, delitos contra la propiedad industrial, almacenamiento y/o difusión de material ilícito, etc.

Ante esta tesitura, el perito informático debe proceder siempre con una máxima: no utilizar nunca el material original y usar, siempre, copias clónicas refrendadas por un fedatario público. Si se está en un procedimiento judicial, esto en principio no debería suponer ningún problema, ya que el propio secretario judicial puede dar fe pública de la copia de los discos duros originales, quedando la copia original bajo custodia del juzgado. En caso de que se trate de un procedimiento de parte, será necesario realizar las copias de los discos ante notario para que éste dé fe de que las mismas son idénticas a las originales. El notario deberá quedarse con una copia del disco y el perito informático con otra, quedando el original bajo custodia del cliente. Una vez se tiene la copia refrendada por el secretario judicial o por el notario, el perito informático tampoco podrá trabajar sobre la misma, sino que será necesario realizar una copia clónica sobre ésta para poder realizar las actuaciones de campo. Asimismo, tampoco es recomendable que, en caso de tratarse de un procedimiento de parte, el cliente continúe trabajando con la copia original, debido a lo cual, en caso de que éste necesitase imperiosamente continuar trabajando con ese disco duro, lo recomendable sería que se realizase otra copia clónica para que el cliente pudiera seguir trabajando con total normalidad, manteniendo por tanto la copia original intacta.

Toda esta maraña de copias establecen un punto de partida: el inicio del procedimiento pericial y la conservación de la cadena de custodia desde el momento en que el perito informático toma el caso. En caso de que el perito necesitase demostrar que sus investigaciones fueron llevadas a cabo garantizando el cumplimiento de la cadena de custodia y con la información exacta que contenía el disco original justo antes de comenzar el procedimiento, será necesario, únicamente, cotejar la copia no utilizada del perito con la copia del secretario judicial o del notario para poder comprobar que son idénticas. Así pues, en este punto cualquier otro perito podría encargarse del caso y avalar o refutar lo que el primer perito informático concluyó.

Debido a que los honorarios notariales aumentan considerablemente el costo del procedimiento, es recomendable rechazar un procedimiento de parte en caso de que el cliente no desee guiarse por el perito informático y especifique explícitamente que no desea acudir al notario a levantar acta pública de la copia del disco. Así, el perito se evitará posibles problemas que pudieran surgir posteriormente de haber manipulado de forma irregular las copias originales de los discos y haber perdido evidencias ya irrecuperables.

Una vez clarificado el procedimiento forense (del latín forensis, “público y manifiesto” según el DRAE), se continuará explicando el procedimiento técnico de clonación de un disco duro. Se ha de partir de la base de que un disco duro no puede ser nunca clonado mediante herramientas de software.

Cualquier “clonación” mediante herramientas de software no será tal, puesto que el propio proceso de “clonado”, teniendo que instalar un software específico para tal fin, alteraría el contenido del disco y lo invalidaría a nivel forense. Asimismo, un “clonado” mediante software que, como se acaba de especificar, no es tal; únicamente suele copiar los ficheros indexados por la instalación actual del sistema operativo, obviando en la copia los sectores ocupados por ficheros procedentes de instalaciones previas y que, obviamente, ya no están en el índice.

El disco duro ha de clonarse, por tanto, usando herramientas de hardware, es decir, mediante lo que se denominan “clonadoras”. Existen en el mercado multitud de clonadoras profesionales, que incluso permiten copiar varios discos a la vez y/o realizar varias copias de un mismo disco. El clonado hardware copia, bit a bit, el contenido del disco origen en el disco destino, que debe ser de igual o superior capacidad que el disco origen. Así pues, una vez se tienen el original y un disco destino virgen de igual o mayor capacidad, se deben colocar en la clonadora, cada uno en su slot correspondiente (teniendo mucha precaución en no equivocarse de slot ya que un error sería absolutamente fatal), y se procede con la clonación. Como se trata de una copia física (a nivel de bit), es bastante probable que, si el disco duro origen es grande y la clonadora no es muy rápida, el proceso se demore durante varias horas. Finalizado el proceso, la clonadora confirmará que los discos son idénticos bit a bit (de lo cual dará fe el fedatario público) y se tendrán dos discos duros con exactamente el mismo contenido; el original y el clonado. Cualquier clonadora tiene la funcionalidad de comprobar, en cualquier momento, si dos discos cualesquiera son idénticos, sin necesidad de que la copia haya tenido que realizarse de forma inmediatamente anterior. Las clonadoras comprueban que los discos son idénticos bien comprobando bit a bit, bien calculando el valor de un determinado algoritmo de hash.

En la carrera profesional del perito informático, será necesario realizar este procedimiento en incontables ocasiones, tanto a nivel privado, como en presencia de un fedatario público cuando sea necesario certificar la conservación de la cadena de custodia, tal y como se ha especificado en párrafos anteriores. En España, según la legislación vigente, únicamente dos figuras están habilitadas por la Ley para ejercer como fedatarios públicos y levantar acta de un hecho: el notario a nivel civil y el secretario judicial a nivel judicial. Normalmente, cuando sea un cliente particular el que se pone en contacto con el perito informático, será necesario acudir al notario para que levante acta pública de que la cadena de custodia se conserva desde el momento en el que el perito informático se hace cargo del caso, mientras que si se está inmerso en un procedimiento judicial en el que es necesario analizar uno o varios discos duros, éstos deberán ser clonados en sede judicial, dando fe el secretario judicial de que las copias son idénticas a las originales.

Cuando sea necesario realizar el proceso ante un fedatario público, el perito informático deberá tener en cuenta que el disco clonado ahora es “su” disco original y que, por tanto, no podrá trabajar sobre el mismo, teniendo que realizar un clonado privado del mencionado disco con una clonadora de su propiedad, tal y como se advirtió al principio del artículo. Esto es una medida de seguridad que el perito informático debe tomar para evitar sorpresas a la hora de manipular el disco ya que, aunque el notario o el secretario judicial tienen copias que se pueden volver a clonar, los honorarios de un notario son elevados y el tiempo de un secretario judicial escaso, además de no quedar muy profesional el tener que realizar una nueva copia por un descuido.