Peritajes informaticos
¡La instrucción es intachable!, nos dicen. ¡No se puede dudar de la profesionalidad de nuestra policía!, aseguran.
Veamos lo que sucedió ayer en el juicio. Resulta que los islamistas tenían, en Leganés y en la casa del “Chino”, ordenadores personales. En esos ordenadores personales, nos dijeron, encontraron pruebas abundantísimas de la frenética actividad internauta-jihadista de los terroristas: manuales de uso de armas, instrucciones para crear una célula terrorista, documentos de exhortación a la Jihad…
Faltaban las instrucciones sobre cómo fabricar bombas con móviles, pero supongo que pudieron haberse perdido. Ya es bastante suerte recuperar tanta información de un disco duro y unas memorias USB encontradas entre los escombros de Leganés, Claro que también tenían el portátil de Jamal Ahmidan, que encontraron en su domicilio en perfecto estado y que contenía la mayor parte de los documentos relevantes. Pero seguramente el Chino borró accidentalmente el fichero con las instrucciones y por eso ya en el siguiente atentado tuvieron que fabricar una bomba activada con una mecha larga y no con un teléfono móvil.
No importa, aunque falte eso, queda claro que los terroristas usaban Internet, y que de ahí tenían toda la información necesaria para organizar los atentados. ¿No?
Pues resulta que hay un “pequeño” problema. La fecha de algunos archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron. Preguntada la perita por este detalle, responde que puede responder a la fecha de recuperación del archivo, y no a la de creación. Pero resulta que hay otros ficheros con otras fechas anteriores al 3 de Abril.
Según dijo la perito, ella trabajó con unos CD que contenían el volcado del disco duro. Pero si eso es cierto, en ese volcado debería aparecer la fecha de creación del fichero, no la de su inclusión en el CD. Un fichero, en Windows, tiene asociadas tres fechas: la de creación, la de la última modificación y la del último acceso. Si han recuperado un fichero del disco duro, han tenido la ocasión de averiguar esta información. Es más. Se guardan más datos, por ejemplo información acerca del “propietario” del fichero, es decir, del usuario que lo guardó por primera vez. Se guarda información de los permisos asociados a distintos grupos de usuarios. Por ejemplo, puede que sólo el “propietario” tenga permisos de acceso, o de modificación. Si los peritos fueran medianamente profesionales, en su informe aparecería una relación de ficheros encontrados, junto a los metadatos asociados.
En técnica forense informática, esto es lo menos que se puede hacer. En este artículo (en inglés) podeis ver una descripción de las pruebas que se suelen realizar y las herramientas que se usan para ello. Se puede tener información, por ejemplo, de quién ha usado el ordenador, cuando lo ha hecho, cuando se conectó a Internet, por donde ha navegado… Absolutamente nada que ver con lo que se presentó ayer como pruebas contra los supuestos autores del 11-M.
Un CD con ficheros supuestamente descargados de Internet es, sencillamente, inaceptable como prueba. Y presentar unos ficheros con la fecha modificada es equivalente a encontrar las huellas dactilares del policía en el arma del crimen. Si se ha hecho así, solo puede ser porque los peritos son unos incompetentes o porque están ocultando información.
101 comentarios
