Portada :: Colombia
Aumentar tamaño del texto Disminuir tamaño del texto Partir el texto en columnas Ver como pdf 16-05-2008

Ms de 48 mil archivos de computadora colombiana fueron manipulados

ABN


La evaluacin forense realizada por INTERPOL revel que entre el 1 y 3 de marzo de 2008, 48.055 archivos fueron creados, abiertos, modificados o suprimidos por la polica de Colombia.

As puede leerse en el prrafo 91, contenido en la pgina 33, del Informe Forense de Interpol sobre los Ordenadores y Equipos Informticos de las Farc decomisados por Colombia.

Por si fuera fuera poco, 4.245 archivos tienen fechas futuras, que van desde el 5 de abril de 2009, hasta el 16 de octubre de 2010.

Dado su inters informativo, a continuacin transcribimos textualmente el relato elaborado por Interpol:

79. Las autoridades colombianas encargadas de la aplicacin de la ley comunicaron abiertamente a los especialistas de INTERPOL en investigacin informtica forense que un funcionario de su unidad antiterrorista accedi directamente a las ocho pruebas instrumentales citadas, en circunstancias
exigentes y marcadas por la premura de tiempo, entre el 1 de marzo de 2008, cuando fueron decomisadas por las autoridades colombianas, y el 3 de marzo de 2008.

80. Como se ha sealado anteriormente, los especialistas en informtica de los organismos encargados de la aplicacin de la ley pueden reconstruir lo ocurrido durante un acceso directo a pruebas electrnicas decomisadas, y eso han hecho los especialistas de INTERPOL en el curso de su examen forense.

81. De este modo, los especialistas de INTERPOL descubrieron lo siguiente:

82. Los sistemas operativos de los tres ordenadores porttiles decomisados mostraban que los tres ordenadores haban sido apagados el 3 de marzo de 2008 (a diferentes horas, pero todos ellos antes de las 11.4531, hora en que fueron entregados a los investigadores en informtica forense de la polica judicial colombiana). Los dos discos duros externos y las tres llaves USB haban sido conectados a un ordenador entre el 1 y el 3 de marzo de 2008, sin que se hubieran obtenido previamente copias imagen forenses de su contenido y sin emplearse dispositivos de bloqueo de escritura (write-blockers).

83. En los archivos de la prueba instrumental decomisada no 26, un ordenador porttil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 273 archivos de sistema
.-Apertura de 373 archivos de sistema y de usuario
.-Modificacin de 786 archivos de sistema
.-Supresin de 488 archivos de sistema

84. En los archivos de la prueba instrumental decomisada no 27, asimismo un ordenador porttil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 589 archivos de sistema
.-Apertura de 640 archivos de sistema y de usuario
.-Modificacin de 552 archivos de sistema
.-Supresin de 259 archivos de sistema

85. En los archivos de la prueba instrumental decomisada no 28, igualmente un ordenador porttil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 1.479 archivos de sistema
.-Apertura de 1.703 archivos de sistema y de usuario
.-Modificacin de 5.240 archivos de sistema
.-Supresin de 103 archivos de sistema

86. En los archivos de la prueba instrumental decomisada no 30, un disco duro externo, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 1.632 archivos de sistema
.-Apertura de 11.579 archivos de sistema y de usuario
.-Modificacin de 532 archivos de sistema
.-Supresin de 948 archivos de sistema

87. En los archivos de la prueba instrumental decomisada no 31, asimismo un disco duro externo, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 3.832 archivos de sistema
.-Apertura de 13.366 archivos de sistema y de usuario
.-Modificacin de 2.237 archivos de sistema
.-Supresin de 1.049 archivos de sistema

88. En los archivos de la prueba instrumental decomisada no 32, una llave USB, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 8 archivos de sistema
.-Apertura de 12 archivos de sistema y de usuario
.-Modificacin de 5 archivos de sistema
.-Supresin de 6 archivos de sistema

89. En los archivos de la prueba instrumental decomisada no 33, igualmente una llave USB, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 54 archivos de sistema
.-Apertura de 168 archivos de sistema y de usuario
.-Modificacin de 28 archivos de sistema
.-Supresin de 52 archivos de sistema

90. En los archivos de la prueba instrumental decomisada no 34, tambin una llave USB, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:

.-Creacin de 1 archivo de sistema
.-Apertura de 60 archivos de sistema y de usuario
.-Modificacin de 1 archivo de sistema

Conclusin no 3: INTERPOL no ha encontrado indicios de que tras la incautacin a las FARC de las ocho pruebas instrumentales de carcter informtico, efectuada el 1 de
marzo de 2008 por las autoridades colombianas, se hayan creado, modificado o suprimido archivos de usuario en ninguna de dichas pruebas.

91. El acceso directo entre el 1 y el 3 de marzo de 2008 a las ocho pruebas instrumentales de carcter informtico decomisadas a las FARC dej rastros en los archivos de sistema, como ya se ha explicado.

No obstante, los especialistas de INTERPOL no encontraron en ninguna de las ocho pruebas archivo de usuario alguno que hubiera sido creado, modificado o suprimido con posterioridad al decomiso, practicado el 1 de marzo de 2008. Utilizando sus herramientas forenses, los especialistas hallaron un total de 48.055 archivos cuyas marcas de tiempo indicaban que haban sido creados, abiertos, modificados o suprimidos como consecuencia del acceso directo a las ocho pruebas instrumentales por parte de las autoridades colombianas entre el momento del decomiso de stas, el 1 de marzo de 2008, y el 3 de marzo de 2008 a las 11.45 horas.

92. Los especialistas de INTERPOL descubrieron asimismo que uno de los ordenadores porttiles (prueba no 28) y los dos discos duros externos decomisados (pruebas no 30 y 31) contenan archivos cuyas marcas de tiempo eran errneas, ya que indicaban una fecha futura.

93. La prueba no 28 contiene:
.-Un archivo cuya fecha de creacin es el 17 de agosto de 2009

94. La prueba no 30 contiene:
.-668 archivos cuyas fechas de creacin oscilan entre el 7 de marzo de 2009 y el 26 de agosto de
2009;
.-31 archivos cuyas fechas de ltima modificacin varan entre el 14 de junio de 2009 y el 26 de
agosto de 2009.
.-Estos archivos contienen msica, vdeos e imgenes.

95. La prueba no 31 contiene:
.-2.110 archivos cuyas fechas de creacin oscilan entre el 20 de abril de 2009 y el 27 de agosto
de 2009;
.-1.434 archivos cuyas fechas de ltima modificacin varan entre el 5 de abril de 2009 y el
16 de octubre de 2010

96. Basndose en el anlisis de las caractersticas de estos archivos, los especialistas de INTERPOL concluyeron que estos archivos haban sido creados antes del 1 de marzo de 2008 en uno o varios dispositivos con una configuracin de fecha y hora del sistema incorrecta. El hecho de que estos archivos aparezcan en las pruebas no 30 y no 31 indica que o bien fueron creados cuando dichas pruebas instrumentales se encontraban conectadas a un dispositivo con una configuracin de fecha y hora del sistema incorrecta, o bien se transfirieron posteriormente (despus de su creacin), junto con sus respectivas marcas de tiempo de 2009, a las pruebas no 30 y no 31.

97. En lo que respecta al nico archivo con fecha de creacin de 2009 que contiene la prueba no 28, los especialistas de INTERPOL llegaron a la conclusin de que este archivo haba sido primero creado y despus transferido a la prueba no 28, y que su fecha de creacin se haba transferido con l.

98. Basndose en todo lo anterior, los especialistas de INTERPOL llegaron a la conclusin de que las autoridades colombianas no deberan tener en cuenta la fecha futura marcada en los archivos de las tres pruebas citadas (28, 30 y 31).

99. Habida cuenta de todo lo antedicho y habiendo realizado un examen forense exhaustivo, los especialistas de INTERPOL concluyen que no se ha creado, modificado o suprimido ningn archivo de usuario en ninguna de las ocho pruebas instrumentales de carcter informtico despus de su decomiso a las FARC, practicado el 1 de marzo de 2008.


Lea tambin:
+ Interpol no pudo asegurar que las computadoras fueran de Ral Reyes


Envía esta noticia
Compartir esta noticia: delicious  digg  meneame twitter