En la imagen se muestra una computadora forense y los códigos binarios que un perito obtuvo al extraer la información de un teléfono celular. Foto: Diego Pallero/ EL COMERCIO
Los peritos expertos en informática forense trabajan en cubículos separados. Cada uno tiene dos computadoras y tres discos duros extraíbles. En el laboratorio de Criminalística, en el norte de Quito, existe un área específica para extraer y procesar información de dispositivos electrónicos.
¿Cómo operan? Luego de recibir la orden de la Fiscalía y la autorización de un juez, los agentes recuperan datos como parte de un proceso judicial.
Ese contenido se convertirá en pruebas y los peritos deberán sustentar los hallazgos en una audiencia de juzgamiento ante un Tribunal Penal.
Pueden obtener información desde el primer día en que funciona un celular, una computadora o una laptop.
Además, pueden acceder legalmente a mensajes, correos y conversaciones a través de redes sociales, incluso que hayan sido borradas años atrás.
Para recuperar este tipo de información, los peritos que operan en Quito utilizan al menos siete software especiales que los técnicos denominan “software forenses”.
En esos programas se muestra la información en códigos binarios. Luego, una “computadora forense” transforma los datos en imágenes o textos (ver puntuales).
Así recuperan incluso el material eliminado, muestran las fechas en que se enviaron los documentos y si en algún momento fueron modificados.
Según el experto informático Enrique Mafla, pese a que una persona haya eliminado archivos, se pueden recuperar con estos software, porque queda almacenada en la memoria física del dispositivo.
Un agente de Criminalística contó a este Diario que él ha podido rescatar archivos y documentos eliminados desde el 2016. Pero otros equipos han podido obtener información que fue borrada en el 2010.
Por ejemplo, en el caso Sobornos, los peritos han recuperado chats de WhatsApp, correos y archivos de los procesados Alexis Mera, Pamela Martínez y Laura Terán, incluso de hace siete años.
En la computadora de Terán, Criminalística desmaterializó el contenido en 3 148 archivos.
Allí se detallaban los códigos de las empresas aportantes y las iniciales de los nombres de quienes supuestamente lideraron la estructura delictiva.
Si los datos fueron borrados, el proceso de extracción puede tardarse de 12 horas a tres días. Todo depende de la cantidad de información que posee el dispositivo. Pero si no han sido eliminados, todo el trabajo puede tardar tres horas.
Para comenzar la tarea de extracción, los peritos reciben el dispositivo incautado, conectan a una “computadora forense”, realizan una copia de los archivos originales y luego los almacenan en una memoria externa.
No analizan el contenido original, pues la idea es garantizar que se conserve la integridad de la información en caso de que se requiera otra
Códigos binarios que un perito obtuvo al extraer la información de un teléfono celular. Foto: Diego Pallero/ EL COMERCIO
Este procedimiento se realizó, por ejemplo, en el 2017. A través de técnicas forenses se recuperaron 184 correos desde el 2009 hasta el 2016, que evidenciaron la cercanía entre el exvicepresidente Jorge Glas y su tío Ricardo Rivera.
Estos archivos forman parte del expediente de asociación ilícita dentro de la trama de corrupción de Odebrecht.
Esto ocurrió también en el caso de Ola Bini, investigado por acceso no autorizado a sistemas informáticos. Los agentes accedieron a uno de los teléfonos incautados y tras una pericia encontraron 45 000 documentos.
Entre estos aparece una fotografía que revelaría cómo ingresó ilegalmente a un router de la Corporación Nacional de Telecomunicaciones (CNT).
Las fotografías, chats y correos electrónicos del extranjero que se analizaron van desde el 2011 hasta abril de este año. Ahora, estas evidencias están judicializadas.
Actualmente, en el área de informática forense de Quito trabajan ocho ingenieros en sistemas o tecnólogos. Cada uno realiza por lo menos 14 pericias cada mes.
El personal recibe capacitación anual, que dura 150 horas.
Allí actualizan conocimientos en el uso de “software forense”. Además, tienen 40 horas de formación en el área legal. La idea es que conozcan las leyes y procedimientos legales que aplican en su trabajo.
Los agentes aseguraron que están abarrotados de trabajo por la cantidad de pedidos que reciben semanalmente. Un trabajo similar se realiza en Guayaquil, con cinco especialistas.
El pasado 16 de agosto se realizó la extracción del contenido del celular del exfuncionario Vinicio Alvarado, también procesado en el caso Sobornos. La Policía se incautó de su celular en un allanamiento que se ejecutó en su domicilio.
Tras la intervención, los peritos recibieron una autorización judicial para acceder al teléfono e iniciaron el proceso. Además, receptaron el pedido de Fiscalía con los datos específicos que necesitan obtener.
Los especialistas reciben los casos uno tras otro. Para extraercontenido enviado a través de redes sociales, los peritos tienen que hacer una solicitud para que empresas como Facebook o WhatsApp les remitan los datos requeridos en el proceso judicial.
El personal dice que esto sí se cumple, que sí reciben ayuda, aunque los datos no son públicos, pues hay casos que aún se manejan bajo reserva.
Precisamente, los mensajes de WhatsApp de Pamela Martínez evidenciaron una supuesta red de corrupción.
Procedimiento para la extracción de datos en Criminalística
Agentes de la Policía se incautan de dispositivos (celulares, computadoras, laptops o tabletas) de un procesado. Los equipos son requeridos por la Fiscalía dentro de una investigación penal.
Los peritos informáticos de Criminalística reciben por escrito un pedido de la Fiscalía y una autorización judicial para hacer la extracción de la información contenida en los dispositivos.
Cuando los investigadores reciben el equipo que será analizado, primero realizan una copia de los archivos específicos solicitados por Fiscalía. Almacenan el contenido en un disco duro.
El equipo se conecta a una “computadora forense”, que contiene aplicaciones y software específicos para extraer información. Existen aplicaciones para celulares y computadoras.
Los software recuperan los datos eliminados y se muestran en códigos binarios. Luego la “computadora forense” los transforma en imágenes o textos que formarán parte del expediente.
Los investigadores obtienen de los dispositivos los códigos IP (número que identifica la conexión de una computadora a una red). Piden también estos datos a las operadoras móviles.
Luego con una aplicación forense encuentran la ubicación IP de la computadora que se analiza. De esa forma determinan el sitio donde el procesado habría enviado el mensaje, imagen o correo.
Los peritos de informática forense entregan a la Fiscalía la información recuperada, durante todo este proceso. Luego en la audiencia de juicio sustentan los hallazgos ante un Tribunal Penal.