La complejidad de la informática forense estriba principalmente en el tratamiento de las evidencias, desde su localización, captura, reconstrucción e interpretación a la preservación y salvaguarda, haciendo uso siempre de la tecnología, el estado de la técnica más actual posible  y del procedimiento más adecuado para cada caso.

La informática (tanto software como hardware) evoluciona día a día a gran velocidad: nuevos dispositivos, sistemas operativos, aplicaciones, servicios, etc., y todos estos recursos son utilizados por lo usuarios y por supuesto por los delincuentes. Teniendo en cuenta esta circunstancia, lo que diferencia al forense informático del resto de forenses es la volatilidad de los métodos específicos a utilizar y de la multitud de plataformas, sistemas, lenguajes, dispositivos, técnicas y especializaciones.

Mientras que para otras especialidades forenses (calígrafos, médicos, siniestros, construcción, etc) existen metodologías estables y estándares perdurables a lo largo del tiempo que permiten realizar cualquier actuación o examen forense, paso a paso, y soportados por “check lists” que aseguran el poder controlar y constatar que se ha realizado todo correctamente y que no te se ha dejado por hacer ninguna actuación o validación, en la especialidad de peritaje informática forense esta sería una labor faraónica por su envergadura y extensión así como la fugacidad temporal inherente por la rapidez en que se produciría su desfase debido a la continua evolución.

Esto hace que realmente la labor del perito informático se vuelva prácticamente artesanal, cada “maestro” conoce sus especialidades y tiene su “librillo” para realizar las pericias en base a su propia experiencia y campo de actuación ya que es evidente que no es lo mismo operar en Windows, en Unix o en Android, o con un PC, Mainframe, PDA o teléfono móvil, un tema de programación de redes, de gestión o de seguridad, etc.

Sin embargo, es necesario el establecimiento de guías profesionales de trabajo que permitan evitar los “grandes errores” y olvidos, la pérdida o manipulación involuntaria de la evidencia, asegurando la cadena de custodia y la realización de los análisis y controles mínimos de la pericia.

La información existente de los estándares o buenas prácticas sobre este tema en concreto, tales como: RFC 3227 , HB-171 2003 , UNE 197001:2011 (*), son una recopilación de actuaciones y recomendaciones de sentido común en la práctica,  y que refuerzan, más si cabe, la idea de lo artesanal e individual de la labor del perito informático.

Por otro lado, el perito informático como técnico debe extender su espectro de conocimientos y estar continuamente actualizado para abarcar el mayor alcance posible ya que en eso consiste su oferta empresarial de servicios, en proveer su “expertis” en los campos en los cuales se define como profesional.

Estas circunstancias conlleva a que el perito informático se convierta en un experto de la tecnología y sus procedimeintos, entrando en ocasiones a unos niveles de detalle realmente profundos para que la pericia practicada goce de profesionalidad, consistencia, corrección al caso, obteniendo la credibilidad necesaria y que ésta no pueda ser superada o invalidada por un contra-peritaje o mejor opinión experta.

Y si con todo esto no fuera suficiente, además, por encima de todo, el perito ha de ser un profesional legal y ético.

Desde el punto de vista «legal» porque todas sus actuaciones deben discurrir observando estrictamente el marco de la legalidad vigente en cuanto a procedimiento, el proceso, la forma de accesos, información examinada, permisos, testigos, etc., para que la actuación no pueda ser tachada de ilegal o incorrecta y anule el valor de la prueba pericial.

Desde el punto de vista «ético» porque por un lado debe ser capaz de preservar el secreto profesional y como se suele decir «… el perito ha de estar dotado de memoria selectiva…», y por otro lado, ha de ser consecuente con lo encontrado en sus actuaciones y si, realmente, hay evidencia de comisión delictiva, si no es éste el objeto o mandato de la investigación como tal, ha de informarse del descubrimiento del delito a las autoridades competentes como mandato del código ético como perito y mandato civil como ciudadano.

(*) Nota: En breve proporcionare una introducción de esta norma en el blog.