Por: R. Luis Ángel Gómez R Ingeniero, Segundo Comandante, jefe de División Seguridad Informática, Gendarmería Nacional Argentina
Introducción
La finalidad del presente trabajo es brindar una mirada introductoria y metodológica a la informática forense como herramienta para combatir la ciberdelincuencia, lo que la hace importante dentro del marco legal ya que desde ella se confirma o desvirtúa una hipótesis precedente y esto conllevará al esclarecimiento de un hecho.
La finalidad del presente trabajo es brindar una mirada introductoria y metodológica a la informática forense como herramienta para combatir la ciberdelincuencia, lo que la hace importante dentro del marco legal ya que desde ella se confirma o desvirtúa una hipótesis precedente y esto conllevará al esclarecimiento de un hecho.
El avance tecnológico y la proliferación de dispositivos electrónicos, que van desde teléfonos celulares hasta los grandes dispositivos computacionales, van acompañados de una avanzada tendencia en materia de delitos informáticos y muchas veces es innumerable la información que queda almacenada en estos equipos, no siendo explotada adecuadamente aún. He aquí la necesidad de contar con personal y medios acordes para realizar un análisis técnico legal que preserve la información, cualquiera sea la circunstancia del hecho, ya que ésta se podrá judicializar o no, algo difícil de predecir cualquiera sea el escenario. La finalidad indudable es que la información sea presentada ante la Justicia con un valor probatorio irrefutable y con garantía de éxito desde el punto de vista técnico legal, y es esto lo que denominaré “control legal y calidad de gestión tecnológica” como una modalidad para tener en cuenta. Si desglosáramos esta frase, diríamos que:
› Control legal. A los fines de contar con asesoramiento y manejo de terminologías, leyes y normas vigentes que el perito no está habitualmente acostumbrado a utilizar, sumado como beneficio que permitiría interactuar con los órganos jurídicos intervinientes y lograr un entendimiento de las partes, perito fiscal o juez para el logro de los objetivos propuestos por las partes.
› Calidad. Sumado al control legal como la forma de ser orientada a la mejora continua de las técnicas, productos, bienes o servicios, sistemas y procesos del modelo utilizado, con el propósito de crear valor para sus beneficiarios, en este caso la Justicia y la propia actividad realizada.
› Gestión. Coordinar todos los recursos disponibles para conseguir determinados objetivos. Implica amplias y fuertes interacciones fundamental mente entre el entorno, las estructuras, el proceso y los productos que se deseen obtener, en nuestro caso, la prueba digital.
› Tecnología. El conjunto de teorías y de técnicas que permiten el aprovechamiento práctico del conocimiento científico. Esta acepción asimila la tecnología a ciencias aplicadas, tecno-ciencia, lo que solo es válido para algunas tecnologías, las basadas en saberes científicos. Con ello se permite la reconstrucción de hechos en el ámbito computacional. Ésta deberá ser la base fundamental para tener en cuenta por lo que denominaremos “equipo de respuesta vital”, ya que con ello se logrará establecer y afianzar la forensia informática como auxiliar de la Justicia para el esclarecimiento de hechos.
La definición de informática forense
“Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permite identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal”.
Ampliaría diciendo que es:
“Una ciencia que busca reproducir científicamente con una metodología estricta de los hechos acontecidos y su correlación para determinar el grado de impacto, y posteriormente establecer en coordinación con otros entes intervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que van desde el marco normativo hasta la utilización de mecanismos técnicos”.
Es un método científico porque supone la adquisición de nuevos conocimientos, mediante el estudio de la evidencia observable y medible, aplicando un razonamiento lógico, elaborando modelos e hipótesis y corrigiendo o mejorando estas últimas según se obtiene más evidencia. Además, los resultados deben ser objetivos e imparciales, lo que implica un alto grado de profesionalidad para con la tarea por realizar. La metodología aplicada debe ser conocida, sabida y practicada, de forma que otros investigadores, utilizando los mismos métodos, puedan llegar a las mismas conclusiones. Si esto no se logra, la posibilidad de la pérdida de la evidencia con valor probatorio es inminente y todo lo que con esto conlleva. Los resultados de los expuestos deben explicar de forma clara las relaciones de causa y efecto, eliminar en la medida de lo posible alternativas que sean estimativas y evitar las conclusiones no falsables. Que una afirmación sea falsable significa que sería posible, al menos de forma teórica, demostrar su falsedad mediante la observación o experimento, conllevando de tal forma al descubrimiento de nueva evidencia.
Los estrictos requisitos del método científico no excluyen elementos de la experiencia humana o propias del equipo, como son las “corazonadas” y la intuición que podrá ser transmitida a las autoridades jurídicas para ampliar o acotar el campo de búsqueda, cuyas solicitudes deberán ser diligenciados adecuadamente, tarea fundamental la de asesoramiento técnico legal. Éstas son de gran utilidad a la hora de proponer hipótesis modelos, que luego deben ser corroborados por la fría evidencia, de una forma estricta
y objetiva. La forensia informática deberá permitir responder preguntas tales como:
- ¿Cuándo?
- ¿Quién?
- ¿Cómo?
- ¿Dónde?
- ¿Para qué?
- ¿Por qué?
Con lo expuesto anteriormente, centralicemos la mirada en la actividad del equipo de respuesta vital, tomando en cuenta primero algunas consideraciones de las cuales partiremos.
Preservar el lugar del hecho y evitar la contaminación de evidencias
No solo tiene como finalidad la preservación de la evidencia computacional por así decir, sino también de todo lo que lo rodea en función de que pueden existir evidencias inherentes a otros campos que no podemos desconocer, y por ende contaminarlas, con lo cual se debe trabajar de manera mancomunada, íntegra y proactiva, lo que nos lleva a dividir la evidencia dentro del lugar del hecho en:
■ Primarias
Inherentes a la actividad pericial específica dentro del campo de la informática. A su vez la subdividiremos en:
› Evidencia electrónica: hardware, material del sistema informático.
› Evidencia digital: los datos contenidos dentro de la evidencia electrónica.
Para generalizar, estos dos tipos de evidencias mencionadas aquí serán llamadas “evidencia computacional”.
■ Secundarias
Todas aquellas que no tengan relación con el campo de la informática. De aquí que el trabajo del equipo de respuesta vital deberá tomar conciencia del resguardo, manejo y preservación de las evidencias ajenas a él, no pudiendo aludir desconocimiento, con el fin de evitar la alteración de éstas; por ende deberá interrelacionar con peritos de otras especialidades. Como se puede observar la tarea del equipo deberá ser lo más meticulosa posible, ya que la modificación de la escena podrá incurrir en una pérdida total del caso. De aquí nace que el equipo de respuesta vital podrá estar conformado por otras especialidades, pero como mínimo dos, uno con perfil tecnológico y otro con perfil legal.
Preservar el lugar del hecho y evitar la contaminación de evidencias
No solo tiene como finalidad la preservación de la evidencia computacional por así decir, sino también de todo lo que lo rodea en función de que pueden existir evidencias inherentes a otros campos que no podemos desconocer, y por ende contaminarlas, con lo cual se debe trabajar de manera mancomunada, íntegra y proactiva, lo que nos lleva a dividir la evidencia dentro del lugar del hecho en:
■ Primarias
Inherentes a la actividad pericial específica dentro del campo de la informática. A su vez la subdividiremos en:
› Evidencia electrónica: hardware, material del sistema informático.
› Evidencia digital: los datos contenidos dentro de la evidencia electrónica.
Para generalizar, estos dos tipos de evidencias mencionadas aquí serán llamadas “evidencia computacional”.
■ Secundarias
Todas aquellas que no tengan relación con el campo de la informática. De aquí que el trabajo del equipo de respuesta vital deberá tomar conciencia del resguardo, manejo y preservación de las evidencias ajenas a él, no pudiendo aludir desconocimiento, con el fin de evitar la alteración de éstas; por ende deberá interrelacionar con peritos de otras especialidades. Como se puede observar la tarea del equipo deberá ser lo más meticulosa posible, ya que la modificación de la escena podrá incurrir en una pérdida total del caso. De aquí nace que el equipo de respuesta vital podrá estar conformado por otras especialidades, pero como mínimo dos, uno con perfil tecnológico y otro con perfil legal.
Una vez que ya se resguardó el lugar del hecho y se determinó cuál es el campo de acción y las medidas del caso, se deberá tratar a éstas de la siguiente manera:
1. Con acciones metódicas
El equipo de respuesta vital debe ser responsable de sus propios procesos, ya que deberá, no solo documentar cada paso de las actividades realizadas, para que cualquiera pueda validar y revisar cada uno de los procesos con los mismos métodos científicos, reproduciendo sus resultados y obtenidos en forma unívoca. No olvidar documentar todas las actividades que se efectúen en presencia de testigos que avalen las actividades realizadas, dado que esto podrá ser limitante a la hora de su presentación ante algún estrado por las actividades técnico legales concretadas y que será la actividad del integrante del equipo con perfil legal del cumplimiento de los lineamientos legales.
2. Originar o controlar la cadena de reguardo/custodia
Este documento no es más que una hoja de ruta donde se documenta quién, cuándo y dónde se manipuló la evidencia. Esto permitirá saber cómo se custodió la evidencia y dar cuenta de una administración adecuada de la prueba y que detallaremos más adelante como actividad esencial de equipo.
Fuentes de la evidencia
La evidencia digital es única, si la comparamos con otras formas de evidencia documental. Recordemos que en un primer momento la evidencia digital posee las siguientes características: › Volátil.
› Anónima.
› Duplicable.
› Alterable y modificable.
› Eliminable.
Como vemos, la evidencia digital es frágil, pero existen mecanismos como la “Certificación matemática de la prueba” que garantizará su integridad y autenticidad, haciéndola lo suficientemente robusta y con valor legal. La RFC 3227 establece pautas para la recolección de evidencia por su grado de volatilidad, lo que resulta en una buena práctica metodológica por seguir para la preservación y extracción de evidencia:
› Registros y contenidos del caché.
› Tabla de enrutamiento, caché ARP, proceso, núcleo memoria.
› Archivos temporales.
› Estado de los procesos en ejecución.
› Disco rígidos y otros.
› Registro y supervisión remota de datos, de interés para el sistema en cuestión.
› Configuración física, la topología de la red.
› Los medios de comunicación.
Esta evidencia debe cumplir con algunos preceptos para poder ser presentada como prueba en un juicio, ya que sin algunos de estos puntos carecerá de valor probatorio.
■ Admisible
Que tenga valor apoyado en el marco técnico legal, mostrando que la evidencia ha sido recolectada y registrada en el lugar y las condiciones descriptas sin modificaciones al original.
■ Auténtica
Debe garantizarse para que sea irrefutable como prueba legal.
■ Completa
Debe poder reproducir los acontecimientos que ocurrieron previos a los hechos desde el punto de vista técnico, sin juicios o perspectivas particulares. Con respecto a este punto, el equipo no deberá señalar o indicar a la persona en sí, sino solo los hechos estrictamente técnicos legales.
■ Confiable
Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el trato tecnológico desde el punto de vista metodológico, ya que otorgara una autenticidad y veracidad de la prueba recabada, que con posterioridad se analizará y presentará.
■ Creíble
Debe ser lo suficientemente interpretada por cualquier persona, sin dejar dudas sobre la calidad técnico legal utilizada. Aquí es donde dividiremos el informe del equipo en dos partes, una para lectura de personas sin relación con el campo tecnológico y otra, con todos los datos técnicos necesarios para su reproducción de un tercero.
Dentro de estas fuentes de evidencia y ya como una actividad del equipo de respuesta vital se deberá considerar lo que denominaremos Análisis no técnico que servirá para realimentar el Análisis técnico y viceversa. El análisis no técnico hace referencia a toda información que podrá recabarse del entorno del lugar del hecho o de los escritos judiciales, así como de cualquier otra fuente de información para establecer ya sea un perfil del presunto sospechoso, la metodología, etc., que llevó a la necesidad del uso de la informática forense como herramienta de esclarecimiento del hecho. La importancia de esto hace que el tratamiento de la evidencia, la recolección, las herramientas forenses y la metodología a utilizar sean totalmente distintas si se trata de una persona con conocimientos en el campo informático o de una que no posea tales conocimientos.
El equipo de respuesta vital debe ser responsable de sus propios procesos, ya que deberá, no solo documentar cada paso de las actividades realizadas, para que cualquiera pueda validar y revisar cada uno de los procesos con los mismos métodos científicos, reproduciendo sus resultados y obtenidos en forma unívoca. No olvidar documentar todas las actividades que se efectúen en presencia de testigos que avalen las actividades realizadas, dado que esto podrá ser limitante a la hora de su presentación ante algún estrado por las actividades técnico legales concretadas y que será la actividad del integrante del equipo con perfil legal del cumplimiento de los lineamientos legales.
2. Originar o controlar la cadena de reguardo/custodia
Este documento no es más que una hoja de ruta donde se documenta quién, cuándo y dónde se manipuló la evidencia. Esto permitirá saber cómo se custodió la evidencia y dar cuenta de una administración adecuada de la prueba y que detallaremos más adelante como actividad esencial de equipo.
Fuentes de la evidencia
La evidencia digital es única, si la comparamos con otras formas de evidencia documental. Recordemos que en un primer momento la evidencia digital posee las siguientes características: › Volátil.
› Anónima.
› Duplicable.
› Alterable y modificable.
› Eliminable.
Como vemos, la evidencia digital es frágil, pero existen mecanismos como la “Certificación matemática de la prueba” que garantizará su integridad y autenticidad, haciéndola lo suficientemente robusta y con valor legal. La RFC 3227 establece pautas para la recolección de evidencia por su grado de volatilidad, lo que resulta en una buena práctica metodológica por seguir para la preservación y extracción de evidencia:
› Registros y contenidos del caché.
› Tabla de enrutamiento, caché ARP, proceso, núcleo memoria.
› Archivos temporales.
› Estado de los procesos en ejecución.
› Disco rígidos y otros.
› Registro y supervisión remota de datos, de interés para el sistema en cuestión.
› Configuración física, la topología de la red.
› Los medios de comunicación.
Esta evidencia debe cumplir con algunos preceptos para poder ser presentada como prueba en un juicio, ya que sin algunos de estos puntos carecerá de valor probatorio.
■ Admisible
Que tenga valor apoyado en el marco técnico legal, mostrando que la evidencia ha sido recolectada y registrada en el lugar y las condiciones descriptas sin modificaciones al original.
■ Auténtica
Debe garantizarse para que sea irrefutable como prueba legal.
■ Completa
Debe poder reproducir los acontecimientos que ocurrieron previos a los hechos desde el punto de vista técnico, sin juicios o perspectivas particulares. Con respecto a este punto, el equipo no deberá señalar o indicar a la persona en sí, sino solo los hechos estrictamente técnicos legales.
■ Confiable
Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el trato tecnológico desde el punto de vista metodológico, ya que otorgara una autenticidad y veracidad de la prueba recabada, que con posterioridad se analizará y presentará.
■ Creíble
Debe ser lo suficientemente interpretada por cualquier persona, sin dejar dudas sobre la calidad técnico legal utilizada. Aquí es donde dividiremos el informe del equipo en dos partes, una para lectura de personas sin relación con el campo tecnológico y otra, con todos los datos técnicos necesarios para su reproducción de un tercero.
Dentro de estas fuentes de evidencia y ya como una actividad del equipo de respuesta vital se deberá considerar lo que denominaremos Análisis no técnico que servirá para realimentar el Análisis técnico y viceversa. El análisis no técnico hace referencia a toda información que podrá recabarse del entorno del lugar del hecho o de los escritos judiciales, así como de cualquier otra fuente de información para establecer ya sea un perfil del presunto sospechoso, la metodología, etc., que llevó a la necesidad del uso de la informática forense como herramienta de esclarecimiento del hecho. La importancia de esto hace que el tratamiento de la evidencia, la recolección, las herramientas forenses y la metodología a utilizar sean totalmente distintas si se trata de una persona con conocimientos en el campo informático o de una que no posea tales conocimientos.
Una actividad pocas veces realizada es la de identificar a los implicados o funcionarios que tengan relación con la investigación y efectuar entrevistas con usuarios o administradores responsables de los sistemas, documentar todo y tratar de lograr un conocimiento integral de la situación únicamente para explotar esa información con fines técnicos según sea el caso, recordando que no tiene una finalidad de establecer cuál es el responsable sino la forma en que se desarrollaron los hechos temporalmente.
Flujo de la investigación
Con lo que se expuso hasta el momento partiremos con el flujo de la investigación. Ésta es una metodología que se inicia una vez conocido el incidente, que deberá ser el disparador para la intervención de los que venimos denominando equipo de respuesta vital.
Este equipo, como mencionamos anteriormente, deberá estar conformado no solo por personal técnico capaz de realizar una estricta metodología técnica, según la situación, con el fin de preservar la evidencia, sino que también deberá estar integrado por personal con un perfil jurídico legal, que permita otorgar un control bajo este campo. Una de las principales actividades de éste es establecer mecanismos en el menor tiempo posible para la preservación y contención del lugar del hecho, desde el punto técnico legal y su asesoramiento, en caso de que la actividad, por distintos motivos, no esté a cargo de personal idóneo, ya que la omisión de algunos aspectos técnicos legales podría llevar a la pérdida de datos probatorios o modificaciones, esenciales para el esclarecimiento del hecho, y por ende su pérdida como evidencia futura, como ya enunciamos anteriormente.
De la actividad y modalidad metodológica científica del equipo dependerá no solo la cantidad de información a recolectar, ya sea por sus conocimientos previos del análisis técnico y no técnico, sino también la calidad de la misma sumado al grado de preservación de la evidencia bajo lineamientos técnico legales.
Este flujo de investigación tendrá una metodología pericial asociada, como se observa en la figura Nº 3, que estableceremos como buenas prácticas, ya que en la actualidad no existe un método o estándar concreto para su realización, razón por la cual su admisibilidad dentro de un proceso legal podrá ser cuestionado, para lo cual nos deberemos desempeñar sobre la base de principios científicos estrictos, normas legales de procedimientos judiciales y la correcta documentación de todas las actividades realizadas, como elemento fundamental de la reproducibilidad de los hechos y las actividades realizadas.
Identificado el incidente o hecho
Se tomará en cuenta una serie de pautas que se refieren a la recopilación de evidencias, donde entra la actividad del equipo de respuesta vital.
■ Requerimiento para la intervención del equipo de respuesta vital
Ya sea por orden judicial o interna de una empresa u organismo, este documento avalará el inicio de las actividades del equipo y contendrá los puntos que originarán el flujo de la investigación, teniendo en cuenta los aspectos legales para su realización y en lo técnico solo se limitará a lo estrictamente solicitado.
Pudiendo contener datos como:
■ Tipo de hecho.
■ Fecha y hora del hecho.
■ Información técnica de los equipos afectados, acompañado, en lo posible, de especificaciones (capacidad de disco, RAM, sistema operativo, etc.).
■ Responsable o dueño del equipo.
■ Y todo otro dato que se considere de interés, recordando que no deberá ser ambiguo sino algo puntual y acotado.
■ Acuerdo de confidencialidad
Éste tiene como fin, según el caso, las garantías de la no divulgación y del tratamiento de la evidencia desde el equipo hacia terceros. Recuérdese que la actividad solo se limita a lo estipulado en los requerimientos.
■ Asegurar la evidencia
Tendiente a asegurar los procesos técnicos legales llevando a cabo la conducción de la forensia con una estricta metodología científico y legal.
■ Identificar la evidencia
■ Por su prioridad: teniendo en cuenta que el equipo podrá considerar elementos más importantes que otros en su proceso metodológico de recolección de evidencias.
■ Tipo de dispositivos: he aquí el tipo de evidencia electrónica o digital y su forma de tratamiento.
■ Modo de almacenamiento:
› Volátiles: aquellas que se perderán una vez apagado el equipo.
› No volátiles: medios físicos de almacenamiento, discos duros, pendrives, etc.
Una buena práctica sería tener una lista de elementos y su tratamiento para tener una identificación metodológica sin dejarla librada al azar.
Metodología pericial
Esta metodología que se presenta para el equipo de respuesta vital tiene como fin establecer una serie de pasos mínimos en un ciclo en el que no puede obviarse ninguno ya que, de realizarlo, no se llegará a la meta esperada para presentar la evidencia recabada como prueba irrefutable ante un juicio.
Identificado el incidente o hecho
Se tomará en cuenta una serie de pautas que se refieren a la recopilación de evidencias, donde entra la actividad del equipo de respuesta vital.
■ Requerimiento para la intervención del equipo de respuesta vital
Ya sea por orden judicial o interna de una empresa u organismo, este documento avalará el inicio de las actividades del equipo y contendrá los puntos que originarán el flujo de la investigación, teniendo en cuenta los aspectos legales para su realización y en lo técnico solo se limitará a lo estrictamente solicitado.
Pudiendo contener datos como:
■ Tipo de hecho.
■ Fecha y hora del hecho.
■ Información técnica de los equipos afectados, acompañado, en lo posible, de especificaciones (capacidad de disco, RAM, sistema operativo, etc.).
■ Responsable o dueño del equipo.
■ Y todo otro dato que se considere de interés, recordando que no deberá ser ambiguo sino algo puntual y acotado.
■ Acuerdo de confidencialidad
Éste tiene como fin, según el caso, las garantías de la no divulgación y del tratamiento de la evidencia desde el equipo hacia terceros. Recuérdese que la actividad solo se limita a lo estipulado en los requerimientos.
■ Asegurar la evidencia
Tendiente a asegurar los procesos técnicos legales llevando a cabo la conducción de la forensia con una estricta metodología científico y legal.
■ Identificar la evidencia
■ Por su prioridad: teniendo en cuenta que el equipo podrá considerar elementos más importantes que otros en su proceso metodológico de recolección de evidencias.
■ Tipo de dispositivos: he aquí el tipo de evidencia electrónica o digital y su forma de tratamiento.
■ Modo de almacenamiento:
› Volátiles: aquellas que se perderán una vez apagado el equipo.
› No volátiles: medios físicos de almacenamiento, discos duros, pendrives, etc.
Una buena práctica sería tener una lista de elementos y su tratamiento para tener una identificación metodológica sin dejarla librada al azar.
Metodología pericial
Esta metodología que se presenta para el equipo de respuesta vital tiene como fin establecer una serie de pasos mínimos en un ciclo en el que no puede obviarse ninguno ya que, de realizarlo, no se llegará a la meta esperada para presentar la evidencia recabada como prueba irrefutable ante un juicio.
Preservar y extraer
Una vez recabada la información necesaria y analizada la situación, el equipo evaluará los aspectos legales a tener en cuenta y la metodología científica por seguir, tomando en cuenta los aspectos técnico legales. Hay que considerar:
Aspectos técnicos
› La evidencia electrónica en todas sus formas.
› La evidencia digital y el grado de volatilidad de la información.
› Una metodología de recolección de evidencia podrá ser el método de espiral centrado desde el incidente extendiéndose hasta los límites judiciales establecidos en el punto de la pericia que posteriormente se volcará en un plano para su presentación.
› La evidencia no solo se limita a lo electrónico o digital, ya que se podrán introducir documentos escritos o elementos contenidos en las traseadoras de papel, etc.
› La documentación de todas las actividades realizadas, ya sea a través de escritos, fotografías, videos, etc., cuyo fin es la reproducibilidad.
› La recolección de la información on line u off line, según el escenario que se plantee en el momento de la actividad.
› Podrán surgir nuevas fuentes de evidencia que no se tomaron en cuenta en el origen, lo cual deberá ser solicitado adecuadamente para la realización de la presente actividad.
› La preservación implica aspectos técnicos relativos a la integridad de la evidencia original. La utilización del hash (MD5, SHA-1) es de gran ayuda, y además existen múltiples herramientas forenses que permiten la copia bit a bit y generan automáticamente en hash la información recolectada.
› El soporte donde se preserva la evidencia deberá estar libre de toda información que la corrompa o contamine, ya que ello puede hacerle perder su valor probatorio.
› Etiquetar numéricamente cada copia de la evidencia sobre el propio medio de almacenamiento con la fecha y hora. Con posterioridad se volcará dicha numeración en la cadena de resguardo.
› Una vez extraída, efectuar la verificación de la copia realizada.
Aspectos legales
› Leyes y normas vigentes.
› Inicio de la cadena de resguardo, que contendrá:
› Dónde, cuándo y quién recabó o examinó la evidencia.
› Quién estuvo custodiando la evidencia, durante cuánto tiempo, dónde se almacenó y bajo qué condiciones.
› Esto otorga a la evidencia una seguridad desde el punto de vista de que se restrinja la manipulación de personal no autorizado.
› La presencia de los testigos que corroboren las actividades realizadas.
› Que el equipo realice, en todos los casos, solo lo especificado estrictamente en los puntos de la pericia, teniendo en cuenta que el equipo puede asesorar a terceros sobre la necesidad de ampliar la búsqueda y, obtenida la autorización por escrito, la realización de la recolección de la información solicitada. Recuerde que el Equipo de respuesta vital es un elemento de asesoramiento técnico legal dentro de los requerimientos solicitados, indistintamente de quién haya originado los requerimientos.
Una vez recabada la información necesaria y analizada la situación, el equipo evaluará los aspectos legales a tener en cuenta y la metodología científica por seguir, tomando en cuenta los aspectos técnico legales. Hay que considerar:
Aspectos técnicos
› La evidencia electrónica en todas sus formas.
› La evidencia digital y el grado de volatilidad de la información.
› Una metodología de recolección de evidencia podrá ser el método de espiral centrado desde el incidente extendiéndose hasta los límites judiciales establecidos en el punto de la pericia que posteriormente se volcará en un plano para su presentación.
› La evidencia no solo se limita a lo electrónico o digital, ya que se podrán introducir documentos escritos o elementos contenidos en las traseadoras de papel, etc.
› La documentación de todas las actividades realizadas, ya sea a través de escritos, fotografías, videos, etc., cuyo fin es la reproducibilidad.
› La recolección de la información on line u off line, según el escenario que se plantee en el momento de la actividad.
› Podrán surgir nuevas fuentes de evidencia que no se tomaron en cuenta en el origen, lo cual deberá ser solicitado adecuadamente para la realización de la presente actividad.
› La preservación implica aspectos técnicos relativos a la integridad de la evidencia original. La utilización del hash (MD5, SHA-1) es de gran ayuda, y además existen múltiples herramientas forenses que permiten la copia bit a bit y generan automáticamente en hash la información recolectada.
› El soporte donde se preserva la evidencia deberá estar libre de toda información que la corrompa o contamine, ya que ello puede hacerle perder su valor probatorio.
› Etiquetar numéricamente cada copia de la evidencia sobre el propio medio de almacenamiento con la fecha y hora. Con posterioridad se volcará dicha numeración en la cadena de resguardo.
› Una vez extraída, efectuar la verificación de la copia realizada.
Aspectos legales
› Leyes y normas vigentes.
› Inicio de la cadena de resguardo, que contendrá:
› Dónde, cuándo y quién recabó o examinó la evidencia.
› Quién estuvo custodiando la evidencia, durante cuánto tiempo, dónde se almacenó y bajo qué condiciones.
› Esto otorga a la evidencia una seguridad desde el punto de vista de que se restrinja la manipulación de personal no autorizado.
› La presencia de los testigos que corroboren las actividades realizadas.
› Que el equipo realice, en todos los casos, solo lo especificado estrictamente en los puntos de la pericia, teniendo en cuenta que el equipo puede asesorar a terceros sobre la necesidad de ampliar la búsqueda y, obtenida la autorización por escrito, la realización de la recolección de la información solicitada. Recuerde que el Equipo de respuesta vital es un elemento de asesoramiento técnico legal dentro de los requerimientos solicitados, indistintamente de quién haya originado los requerimientos.
Identificación
La colocaremos como una buena práctica que puede estar contenida tanto en la etapa de análisis como en la etapa anterior. Aquí, tomada por separado, su implementación será según el criterio y la metodología a utilizar pero que no podrá obviarse debido a su importancia. Esta metodología basada en lista de procedimientos por efectuar es solo orientativa para la realización de las actividades del equipo.
La colocaremos como una buena práctica que puede estar contenida tanto en la etapa de análisis como en la etapa anterior. Aquí, tomada por separado, su implementación será según el criterio y la metodología a utilizar pero que no podrá obviarse debido a su importancia. Esta metodología basada en lista de procedimientos por efectuar es solo orientativa para la realización de las actividades del equipo.
Analizar los datos recabados
› Una tarea clave a la hora del análisis es la localización de la información específica vinculada con los requerimientos. Esta actividad, en muchos casos, requerirá de un trabajo multidisciplinario entre el equipo de respuesta vital y quien originó la solicitud de la intervención del equipo. Es aquí donde el hombre con el perfil legal se interrelacionará con éste ya que podrá canalizar mejor los requerimientos técnicos legales desde el perito al tercero y viceversa, generando una mejora de los datos recabados para su presentación.
› Es importante mencionar que el análisis de la información siempre se realizará sobre copias, nunca sobre originales que se tomaron durante la recolección de la información.
› En este análisis no solo se seleccionará la o las herramientas forenses más adecuadas sino la metodología científica por utilizar, para colocar los hechos en una línea temporal y una correcta extracción de la información y posterior análisis.
› Del presente análisis podrán surgir nuevas fuentes de evidencia por analizar, que no se tuvieron en cuenta en las etapas anteriores, momento en el cual el equipo deberá solicitar su correspondiente autorización para la realización de las actividades necesarias para su análisis. Un tema que no podía dejar fuera del análisis de datos es la protección de la intimidad de los datos recabados en esta etapa. Es un aspecto para tener en cuenta, en todos los casos, por la posibilidad de la existencia de información confidencial, ajena al caso o no, entre la evidencia recolectada. Es ésta la importancia de la confidencialidad anteriormente mencionada.
› ¿Qué medidas se toman para proteger esa información?
› ¿Quién tiene acceso a ella?
› La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal. Esto hace que la actividad no solo se limite a lo solicitado por un tercero ante la intervención del equipo, sino también a la ética profesional, recordando que, una vez finalizados los análisis, se debe poner a disposición toda la evidencia recolectada, sin excepción.
Presentar
Informe técnico
En esta etapa se elabora el informe con los resultados obtenidos en las etapas anteriores. Es aquí donde el perito solo establecerá los hechos acontecidos desde el punto de vista técnico sin arrojar ninguna opinión personal al respecto, solo lo hará desde y respaldado por la metodología antes descripta. Su presentación deberá contar con una estructura básica como:
› Antecedentes del hecho.
› Documentos recopilados y examinados.
› Inspecciones realizadas.
› Entornos del análisis.
› Descripción de la metodología utilizada para la recolección de la evidencia.
› Descripción de las herramientas utilizadas.
› Descripción de los hallazgos.
› Cronología de los hechos.
› Conclusiones. En estas conclusiones se establecerán los hechos acontecidos teniendo en cuenta las evidencias recabadas. Si fuera el caso, como herramienta de la seguridad informática, se establecerá cuáles son los datos que se deben eliminar y algunas propuestas básicas para hacer frente a futuros incidentes.
› Anexos. Donde estará todo lo referente a la faz técnica, para que un tercero logre reproducir las actividades realizadas por éste, que van desde la autenticación del material informático, las herramientas forenses utilizadas, los métodos de recolección de la información y pasos realizados durante la recolección, todo esto colocado cronológicamente.
› Una inadecuada presentación puede conllevar a falsas expectativas o interpretaciones de los hechos, con lo cual, se lo debe presentar con un lenguaje entendible sin tecnicismos ya que éstos estarán volcados en los anexos.
Informe ejecutivo
Este informe tiene como finalidad un resumen del análisis efectuado, que se realizará junto con el técnico legal a fin de lograr una fácil interpretación por las autoridades judiciales o personal no técnico. Debe ser lo mas preciso y escueto posible y tendrá que contar con ciertos puntos mínimos, a saber:
› Introducción: se volcará el objetivo del análisis y se colocará la información de la evidencia proporcionada.
› Análisis: descripción breve del entorno de trabajo y las herramientas utilizadas y la cantidad de tiempo empleado.
› Sumario del hecho.
› Resumen del hecho tras el análisis de la evidencia.
› Principales conclusiones a los que se arribó tras el proceso de análisis. Aquí es donde se ve el aporte de la forensia a la actividad de la seguridad informática › Descripción del incidente.
› Solución del incidente.
› Recomendaciones finales del hecho: Aquí se volcará la propuesta de distintas barreras tendientes a evitar nuevos incidentes de seguridad.
Prueba pericial
En esta etapa podremos auditar los procedimientos realizados y establecer ya las pruebas periciales tendientes a la generación de disparadores para los distintos campos de interés de la presente prueba. Sobre la base de lo recolectado, la reconstrucción podrá realizarse en tres formas
Reconstrucción relacional
Muestra la relación de los objetos con otros objetos y su interacción.
› Reconstrucción funcional. Se hace marcando la función de cada objeto dentro del lugar del hecho mostrando cómo operan u operaron y son utilizados o fueron utilizados.
› Reconstrucción temporal. Ubicar los indicios en una línea de tiempo desde el momento de su conocimiento. Al plasmar esta actividad, deberá considerarse la colocación de las tres modalidades de reconstrucción, ya que según sea el caso podrá ser disparador para otras actividades que no son inherentes al equipo y que el tercero visualice más claramente la actividad desarrollada.
Conclusiones
El punto más importante es saber que la informática forense con un control legal y una calidad de gestión tecnológica deberá ser abordada más seriamente como una disciplina auxiliar de la justicia moderna, para lo cual la formación técnica con un alto grado de ética profesional, y personas con perfil legal especialistas en este campo, es algo que no debemos dejar librado al azar. Los delitos informáticos van en constante avance y de aquí la necesidad de a contar con leyes, normas y un riguroso método científico que permita utilizar la evidencia computacional en un proceso legal. Presentar hasta aquí lo expuesto solo tiene como finalidad dar a conocer una de las tantas formas en la que se puede trabajar, ya que la experiencia de cada uno llevará a adaptar la mejor metodología según el entorno donde se desenvuelva la actividad y con ello lograremos que ésta tenga su uso con el potencial que se posee y se merece para el esclarecimiento de los hechos y para afianzar la posición dentro de la justicia.
Fuentes
- Scientific Working Group on Imaging Technologies. Definitions and Guidelines for the Use of Imaging Technologies in the Criminal Justice System.
- Forensic Science Communications, 1(3), October 1999
- Computer Crime & Intellectual Property Section. United States Department of Justice. Digital Forensic.
- Forensic Science Communications, 1(3), October 1999
- Computer Crime & Intellectual Property Section. United States Department of Justice. Digital Forensic.
No hay comentarios:
Publicar un comentario