Un artículo de Antonio López-Silves Mtz.
Una mediana empresa tuvo que despedir al director comercial por prácticas desleales. La sospecha del gerente condujo a investigar el ordenador del posteriormente despedido, lo que reveló que éste había creado su propia compañía, con la misma actividad que la empresa en la que trabajaba y, por lo tanto, competencia. Los documentos de texto, hojas de cálculo, correos electrónicos y otros encontrados en el ordenador demostraron que el director comercial había estado realizando actividades ilícitas empleando medios de la empresa, sustrayéndole clientes y negocio.
Las evidencias aportadas por el perito informático supusieron el despido procedente para el empleado y la presentación de una demanda civil por la empresa
Tradicionalmente la evidencia auditora se ha clasificado en: evidencia física, documental, analítica y evidencia testimonial. A estas cuatro categorías debe añadirse hoy la evidencia informática. Sin embargo, algunos autores consideran que la evidencia electrónica o informática es una evidencia física, aunque intangible (en definitiva son registros magnéticos u ópticos que pueden ser recogidos y analizados). Un ejemplo de evidencia informática es el envío de correos electrónicos con pornografía infantil: si tuviéramos acceso con orden judicial al ordenador del sospechoso, podríamos encontrar dichos correos en la carpeta de elementos enviados, las fotos en el ordenador y otros; esto sería el “rastro” en la escena del crimen y es una evidencia inequívoca de que el sospechoso poseía y distribuyó material pedófilo; además se puede añadir la evidencia del registro del proveedor o servidor de correo y otras evidencias que apoyen las conclusiones.
El objetivo de un peritaje de este tipo es presentar el contenido de archivos que puedan tener relevancia jurídica, informando de su significado y características. Una cuestión fundamental es la adecuada preservación de la cadena de custodia de las evidencias informáticas o digitales. Debe preservarse su contenido usando medios que no invaliden la prueba, de forma que esté disponible posteriormente para revisiones o estudio de los peritos de las partes, sin que pueda cuestionarse su obtención o su custodia, es decir, asegurando que no han sido alteradas o modificadas. Si el perito emplea herramientas de auditoría o de búsqueda de archivos en el ordenador del sospechoso, deberá asegurarse de que no se altera el contenido del disco. La mejor práctica es trabajar siempre sobre copias clónicas.
Tipos de periciales informáticas: La tipología de los peritajes informáticos es muy variada, tanto como las aplicaciones de la informática en la sociedad y el uso de los ordenadores. Antes hemos expuesto sólo uno de los tipos posibles. La metodología de trabajo del perito será muy distinta a la expuesta en caso de, por ejemplo, propiedad intelectual de programas de ordenador, en los que se precise encontrar semejanzas entre dos programas; o de cumplimiento de contratos de desarrollo e implantación de programas a medida, o de adaptación de paquetes de software, en los que se deba conocer si el sistema funciona correctamente o los posibles defectos o incumplimientos de contratos; el método de trabajo será también distinto en valoración de máquinas o programas, así como en otros tipos de dictámenes.