El forense informático estadounidense Frank López, quien realizó un peritaje al disco duro de la computadora del Juzgado 15º de Garantías Penales del Guayas, tenía previsto regresar anoche a Miami para contrastar su análisis con el ordenado por la Fiscalía del Guayas, dentro de la indagación previa abierta en contra del juez Juan Paredes, quien sentenció a EL UNIVERSO en el juicio que sigue el presidente de la República, Rafael Correa.

¿En qué se parece el informe de la Fiscalía con el que hizo su equipo de investigadores?
En ambos se ha encontrado que el software que había sido utilizado era uno pirateado, no original, llamado Chucky Seven. También se establece que a ese computador ingresó una unidad externa. Nosotros encontramos que se trató de un pendrive. En el otro informe (de la Fiscalía) no existe un timeline (cronología) que nosotros sí reflejamos. Pero eso vamos a analizarlo.

Usted ha dicho que hubo un largo tiempo entre la noche del 19 de julio y la madrugada del día siguiente sin actividad del computador, ¿cómo llegó a determinar eso?
Haciendo el análisis del disco clonado encontramos que el día 19, a las 16:52, entró un archivo PDF, quizá lo vieron, pero no lo ejecutaron. Cinco minutos después se instala el programa Fine Rider Pro, que convierte imágenes PDF en textos, luego ingresaron tres PDF más. Convirtieron a texto el archivo más pequeño (de cinco páginas) y eso tomó dos minutos. El primero que pusieron tenía las 152 páginas de la demanda, pero no fue convertido de PDF a texto, al menos no en esa máquina.

¿Cuántas páginas había en cada archivo PDF?
En el primero IMG, 152 páginas. En el segundo IMG_0001 5 páginas, en el tercero, IMG_0002 37 y en el cuarto IMG_003, 17.

Publicidad

¿De estos cuántos se convirtieron a texto?
Uno, el IMG_001, de cinco páginas, que tomó dos minutos en convertirse.

¿Hay registros de que se hayan abierto los otros archivos?
Solo el primero (IMG, de 152 páginas) a las 16:52.

¿Que pasó con los otros dos archivos PDF?
No tuvo actividad.

Publicidad

¿Cuánto hubiera tomado convertir el PDF más grande?
Cuatro horas. Y tomando una computadora de las más nuevas para hacer el trabajo de transformación o edición del texto, porque el programa solo hace una conversión pura, pero te deja texto basura, tildes mal puestas, palabras cambiadas por números, etc.

¿Qué sigue dentro de la cronología de actividades del computador?
Después de las 17:10 no hay actividades hasta las 22:10. En ese tiempo la máquina no estuvo haciendo nada.

Publicidad

¿Qué encontró después de las 22:10?
El pendrive que entró a las 23:08. De allí cinco minutos fue creado el documento Correa 457 y lo transfirió a la computadora, pero no lo abrió, sino hasta las cuatro de la mañana del 20 de julio cuando abre Word (ese día se emitió la sentencia condenatoria).

¿Y de allí que más encontró?
Se abren otros documentos y a las 10:56 entra otro pendrive que no está identificado porque borraron el registro. Unos minutos después se registra un ingreso de una unidad externa (F) que lleva el apellido Paredes.

¿Es un pendrive?
Podría ser, pero como borraron el registro ya no hay forma de saberlo.

¿Qué sigue?
A las 12:00 abre otros documentos y a las 14:41 se activa impresora, pero no se puede asegurar que algo se imprimió. Solo hubo la orden del sistema. A las 16:21 se ve que vuelve abrir el documento word Correa 457. Unos minutos después abre Correa sentencia y a las 16:44 abre el programa de la Corte, el Satje.

Publicidad

¿Cuáles fueron sus conclusiones?
El documento Correa no fue creado en esa computadora.

¿Es posible alterar el disco duro original para eliminar las evidencias que encontró?
Se puede simular trabajo en fechas pasadas, pero igual esos cambios van a quedar registrados, así no hay forma de alterar el metadata original.

En su informe dice que se instaló un programa que borra los accesos a internet, ¿cuántas veces se lo utilizó?
Solo se lo usó una vez. Estaba instalado antes del 19 de julio, pero solo registra actividad el 29. Ese día se eliminó el historial de navegación en internet.