Si el perito realiza un acotamiento muy amplio llevará a investigar fuera del objeto deseado, mientras que si el acotamiento es muy estrecho es muy probable que perdamos evidencias importantes.
Una vez realizado correctamente el acotamiento, recopilaremos y garantizaremos de manera segura el traslado de las evidencias para su estudio, siempre preservando todos los datos adquiridos y trabajando con un escenario replicado idéntico al original. En este punto NO estoy hablando únicamente de cadena de custodia de un disco duro con sus clonaciones, HASH, custodia y demás pruebas, estoy hablando en general de CUALQUIER prueba que vayamos a analizar.
¿Se imaginan un análisis de una aplicación sin dar traslado de la misma con garantías a la parte contraria para poder contrastar nuestra prueba? ¿Se entiende un análisis de un terminal móvil sin presentar en formato digital la prueba? Debo recordar que trabajamos con medios digitales y por tanto estos deben ser presentados en su HABITAT ORIGINAL, es decir en formato digital, para dar traslado a la otra parte y que pueda ejercer su derecho a defensa.
¿Es esto siempre posible? Pues nuevamente debo decir que se debe estudiar el caso, pero si hablamos de analizar un software integrado en un sistema que no
se permite extraer, lo que nos debemos plantear es hacer un acotamiento correcto de la prueba y posteriormente poder presentar la prueba de otra manera que no implique “arrancar” la máquina de una cadena de producción y presentarla en el Juzgado… las formulas existen y únicamente queda a criterio de cada perito el pensar la mejor manera de hacerlo (grabar posición y prueba íntegra realizada en vídeo, generando un hash posterior del vídeo ante testigos y posterior custodia del mismo podría ser una de las decenas de opciones que habitualmente se usan para estos casos “extremos”).
Llega el momento de ponerse a trabajar en el despacho con la evidencia en nuestra mesa, la cual está correctamente asegurada y nos hemos garantizado que tenemos un clon idéntico. Obviamente sobra decir que habremos tomado todas las medidas necesarias para que no se modifique la prueba. ¿Imaginamos un móvil que estemos examinando y tengo un software de control remoto y nos borren la prueba? Obviamente NO, por ello lo introduciremos en una jaula Faraday mientras se clona el dispositivo para examinar. Ni que decir tiene tampoco las modificaciones “sobre la marcha” de medios digitales… los cuales también deben ser correctamente asegurados y con un sellado de tiempo que nos permita hacer un análisis con garantía… Esta casuística se repetirá con cada caso, cada cliente y cada examen que hagamos, si aquí tenemos problemas y fallamos es mejor que no continuemos con el trabajo.
En este punto es cuando nos encontramos que al comenzar el análisis vemos que las pruebas han sido muchas veces modificadas… ¿Cómo? Muy fácil, hablas con el cliente y te indica que tras la salida del trabajador accedieron al equipo y vieron “sospechas” o bien te indican que tras la ruptura de contrato con el desarrollador de la aplicación, accedieron al código para hacer unas mejoras…. entonces, ¿nos hemos cargado la cadena de custodia y se ha
infectado la prueba? Pues obviamente no es lo deseable, pero es lo más común que nos encontramos y es aquí donde más énfasis tenemos que hacer los peritos, en primer lugar NO ocultándolo y en segundo lugar documentando durante todo el espacio de “rotura” todas las actividades que han realizado y las implicaciones que pueden tener.
Después ya continuaremos con el análisis y entraremos en una eterna lucha de cómo se ha examinado la prueba. ¿Hemos roto el secreto de las comunicaciones? ¿Vulnerado algún derecho fundamental? ¿Estamos haciendo el examen con software forense de garantía? Es aquí donde tenemos que hacer un detallado análisis de todo nuestro trabajo. En primer lugar, es “igual” si el análisis lo hacemos con un software libre o con un software de pago, siempre que este sea forense, sin embargo y por mi experiencia en Juzgados en muchas ocasiones se ha preguntado si he usado software de código abierto. ¿Qué sentido tiene esa pregunta? Pues está claro, el software de código abierto permite manipulaciones y alteraciones en el código, con lo cual puede infectar la prueba. Es por ello que siempre recomiendo que se incorpore el HASH de este tipo de software y se aporte además en formato digital al informe para evitar cualquier problema.
Por otra parte debemos dejar muy claro el tipo de búsquedas que hemos realizado y hasta donde hemos llegado (y de qué manera).
Si tuviera que definir los pasos a realizar para una pericia informática serían los siguientes:
1. Identificación del incidente o proceso a analizar 2. Acotación del entorno a investigar
3. Recopilación de evidencias
(a) Recuperación de datos
(b) Aplicación de diferentes técnicas de investigación
4. Preservación de Evidencias
(a) Almacenamiento de las mismas (b) Etiquetado
(c) Cadena de Custodia 5. Análisis de Evidencias
(a) Reconstrucción (b) Respuestas
6. Documentación y Resultados (Informe Pericial) 7. Ratificación en Juzgado y Defensa del Informe
De todos estos puntos es importante la correcta cadena de custodia y la posterior documentación a realizar en el informe pericial. Un trabajo correcto mal documentado (o viceversa) de nada sirve. Es por ello importante que nuestros informes sean claros en estructura y redacción, haciéndolos entendibles para legos en la materia, pero sin obviar un ápice de tecnicismos necesarios para la descripción correcta de la prueba, recordando además que cada afirmación debe estar correctamente fundamentada.
Dentro del informe deberá figurar claramente la autoría del mismo, dejando este documento correctamente firmado (la firma es la expresión escrita del 335.2 LEC). Particularmente siempre recomiendo una estructura similar a la siguiente:
· Firma de la pericia · Resumen ejecutivo
· Objeto del encargo (Antecedentes y Objetivos) · Fuentes de información
· Análisis (SIN conclusiones)
· Limitaciones encontradas para la realización del trabajo · Conclusiones
· Curriculum del Perito · Anexos
Con todo lo anterior y medidas prudenciales tendremos nuestro trabajo bien realizado. Ahora bien, no todo en el monte es orégano… Esto no es siempre lo que uno se encuentra en el Juzgado. Desde mi punto de vista y a modo de anecdotario he encontrado detalles que creo que debo resaltar en este artículo para que se tenga prudencia y no se permitan:
· Muchos peritos incluyen la geolocalización de su propio despacho (con mapa incluido) en sus informes, siendo datos irrelevantes y que distraen el foco del trabajo
· Cada vez se hacen más pericias de terminales móviles, sin embargo el 90% de estos informes nunca llevan adjunto un soporte digital o una cadena de custodia especificada.
Los timestamping se realizan abriendo una página de periódico online y haciendo captura de fechas.
· Se apoyan en la figura del Notario para certificar autenticidad de mails, sin revisar cabeceras, servidores,…
· Aportan datos extraídos de otros equipos que no han sido custodiados correctamente.
· No se comprueba ni contrasta el HASH
Se realizan opiniones no técnicas sobre los resultados obtenidos
Se podría escribir un anecdotario completo y muy extenso de diferentes casos encontrados en Juzgados, no pudiendo pasar por alto temas tan impactantes y dichos en juzgado como los siguientes:
“Las cadenas de custodia no sirven para nada”
“¿Clonadora? No, era muy cara, encendí el ordenador y analicé sus datos” “Yo simplemente digo lo que me comentó mi abogado que escribiera”
“No he podido ver el terminal móvil” (tras presentar pericia de autenticidad de WhatsApp)
“He accedido a la cuenta personal de correo del trabajador, pero eso no lo he puesto en el informe”
…. estas y otras lindezas que ahora pueden sorprender han sido dichas en Sala en los últimos meses y desde luego el resultado ha sido el esperado. Es por ello que además de tener cuidado durante todo el proceso del trabajo, es luego sumamente importante el saber expresarlo en un informe y mucho más el saber ratificarlo, siendo siempre imparcial y claro en el trabajo a realizar.
A modo de finalización de este artículo: PRUDENCIA, SABER HACER y SABER CONTARLO es la máxima que se debe seguir en todo trabajo técnico si queremos que tenga plena validez y eficacia en un proceso judicial.
¿Es necesario el perito ingeniero informático para la presentación de Evidencias Digitales? Es TOTALMENTE recomendable, debido a nuestra preparación y continua formación. Realmente es el mejor aliado que un abogado y un juez se van a encontrar en sala a la hora de defender la validez de unas evidencias digitales.
Carlos ALDAMA SÁINZ Fuente original: