Debido a algunos casos judiciales en mi jurisdicción, a menudo veo a expertos designados por el tribunal determinando la fecha de creación de un documento. ¿Es realmente posible hacer esto mediante métodos de software? ¿Cómo se podría probar una fecha de creación si se utilizó una fecha falsa antes de que se creara el documento?
Sé que esta parte no pertenece al superusuario, pero de todos modos también tenía curiosidad por saber si alguna metodología de hardware funcionaría (con alguna precisión: día/mes/año).
Respuesta1
Los metadatos del archivo (por ejemplo, fecha de creación, última modificación, etc.) generalmente son una cuestión del sistema de archivos y, por lo tanto, se pueden modificar utilizando varias herramientas de software. De hecho, algunos sistemas de archivos ni siquiera rastrean la fecha de creación (por ejemplo, ext3 en Linux rastrea ctime, que en realidad es una hora de cambio de inodo). Los metadatos que se rastrean también variarán de un sistema de archivos a otro: algunos sistemas de archivos permitirán el seguimiento de la hora del último acceso, la última modificación, etc.
La facilidad para cambiar esta "hora de creación" (o última modificación, último acceso, etc.) puede variar de un sistema de archivos a otro, pero en general, estas marcas de tiempo no son 100% confiables.
Me imagino que en un entorno de sala de audiencias, una de las partes intentaría sugerir que los últimos tiempos modificados son buenos debido a que el usuario tiene cierta capacidad, otros tiempos de archivo coinciden, etc., mientras que la parte contraria intentaría señalar que los tiempos de archivo pueden ser falso. No me queda claro qué lado lograría convencer a un juez o jurado sobre lo que probablemente sucedió, a menos que se encuentre una especie de "pistola humeante" que muestre inconsistencias con las marcas de tiempo (por ejemplo, dos archivos creados en la misma fecha tienen fechas muy diferentes, o se enviaron copias del archivo por correo electrónico antes de la supuesta fecha de creación, etc.).
No conozco ninguna metodología de hardware para rastrear modificaciones.
Respuesta2
DESCARGO DE RESPONSABILIDAD: IANAL
La primera regla de la ciencia forense es que todas las lecturas son sospechosas si se reducen al enésimo, por lo que siempre es necesario establecer un nivel de razonabilidad mediante el cual se aceptan los hallazgos. Sí, las fechas se pueden modificar, pero se necesita un usuario bastante sofisticado para hacerlo, y es casi seguro que necesite acceso físico al sistema para hacerlo.
Hay una serie de circunstancias en las que una computadora tiene que hacer su mejor estimación sobre algunos atributos. Por ejemplo, si copio un archivo de mi servidor de archivos SAMBA a mi estación de trabajo, la fecha de creación del archivo es la hora en que lo pegué, no la hora en que se creó inicialmente. En mi caso mantiene la hora de modificación correcta, pero puede que no siempre sea así.
Con los sistemas de archivos con registro en diario, es posible que tenga alguna evidencia de que los metadatos del archivo fueron modificados o falsificados, pero eso implicaría que el sistema de archivos tenía el control de la modificación, lo cual es poco probable. Siempre debe verificar el contenido de las copias de seguridad y quizás el archivo de paginación y hiberfill.sys para buscar copias de los datos del archivo que no coincidan con la información de la fecha.
A la larga, si el sospechoso está o está conectado de alguna manera con un técnico o atacante muy capacitado, entonces desconfíe de las fechas. Si apenas saben cómo reconstruir Windows y no saben qué es Linux, entonces las fechas probablemente sean correctas, a menos que haya un agente externo en juego.
Respuesta3
Quien posee o tiene acceso [físico] a la computadora puede hacer con ella lo que quiera. Incluyendo archivos creados con fechas falsas.
La única manera de que un experto pueda determinar con seguridad dicha fecha es si el documento o una copia del mismo se almacenó en otro lugar administrado por un tercero de confianza.
Por ejemplo, en algún lugar de la nube y utilizar las copias de seguridad de los proveedores de la nube para comprobar las cosas. O enviado por correo a alguien en la fecha X donde el destinatario sabe que se creó en la fecha X o antes.
Pero cualquier persona con acceso (ya sea remoto o físico) a una computadora puede cambiar la fecha aparente de creación de ese documento. Puede que no tengan la habilidad para hacerlo, pero eso no es algo que ningún tribunal aceptaría. (Similar a 'pero su señoría. No sé cómo funciona un arma. Por lo tanto, no podría haberle disparado').