• No se han encontrado resultados

El tratamiento de la Evidencia Digital

N/A
N/A
Info
Descargar
Protected

Academic year: 2019

Share "El tratamiento de la Evidencia Digital"

Copied!
7
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 7 página )

Texto completo

(1)

El tratamiento de la Evidencia Digital

Leopoldo Sebastián M. GOMEZ1, Poder Judicial del Neuquén, Argentina

[email protected]

Resumen. La información digital es muy volátil y susceptible de ser alterada. En el ámbito de la Justicia es vital que la investigación sobre medios informáticos se realice metodológicamente, de manera tal de poder asegurar que todos los pasos pueden ser repetidos ante un tribunal en caso de ser necesario. En el presente trabajo se exponen los pasos que se llevan a cabo en aquellas causas judiciales que requieren un análisis de datos como parte del proceso de investigación. Se prescriben consideraciones de procedimiento y puntos críticos que deben ser considerados para asegurar que la evidencia digital pueda ser ofrecida como prueba en un proceso judicial.

Palabras Clave: Evidencia Digital, Análisis de Datos, Pericias Informáticas

1. Introducción

La Informática Forense puede definirse como “el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente aceptable” [1].

En la actualidad existen varias metodologías de trabajo para la realización de análisis de datos. En gran parte de los casos que se han investigado en el ámbito judicial de la provincia del Neuquén, se utilizan los pasos que se identifican con la definición enunciada precedentemente (Figura 1) por la practicidad y eficiencia que ofrece dicho enfoque metodológico:

Identificar Preservar Analizar Presentar

Figura 1. El proceso de investigación

A través de dicha secuencia, cuyo orden de precedencia debe ser rigurosamente respetado, el proceso de investigación logra trazabilidad, consistencia, precisión y objetividad en la búsqueda de potencial evidencia digital.

2. La identificación de la evidencia digital

Respecto al primer paso –Identificar- del proceso de investigación expuesto, un punto crítico a considerar es el recurso humano que realiza los secuestros de material informático.

1 Licenciado en Ciencias de la Computación (UNS), Magister en Ingeniería del Software (ITBA), Master en

(2)

En la mayoría de los casos, los allanamientos son realizados por personal policial que no cuenta con los conocimientos necesarios para la identificación de potencial evidencia digital. Actualmente existen guías de procedimiento que intentan cubrir los puntos más relevantes, como la Guía del United States Secret Service2, o la del Australasian Centre for Policing Research3 entre otras.

La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta información digital. A modo de ejemplo, baste recordar algunos casos históricos: a) Durante un allanamiento se secuestraron terminales, pero se omitió de traer el servidor; b) No se detalló en el acta de allanamiento una contraseña identificada, esencial para la operación de un sistema, con las consecuencias previsibles para la posterior investigación; c) Se apagaron las computadoras, eliminando la posibilidad de realizar un análisis sobre ciertos elementos volátiles (registros, procesos, memoria, estado de la red); d) No se registró la hora del reloj interno de la computadora, y luego se agotó la pila, imposibilitando la realización de un análisis temporal de datos. Por otra parte, el desconocimiento puede llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como un secuestro masivo de equipamiento informático o de material irrelevante para la investigación.

Otro aspecto crítico se refiere al correcta rotulación y detalle de los elementos informáticos. Sucede con frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos secuestrados. Las especificaciones técnicas volcadas en las actas de allanamiento son muy generales y no contienen datos de configuración –contraseñas obtenidas durante el procedimiento-, o tecnológicos –configuración de red o equipo, hora del reloj interno de una computadora- que aporten valor agregado al momento de realizar una pericia. Si no se toman ciertos recaudos durante el allanamiento, y se verifica que se dispone en el laboratorio pericial de la tecnología necesaria, el faltante de algún elemento puede retrasar o impedir la realización de la investigación. Asimismo, debe precintarse todo el material informático que sea susceptible de ser abierto o alterado. La omisión de este punto trae como consecuencia la posibilidad de reclamos por faltantes una vez devuelto el material secuestrado.

3. La preservación del material informático

En cuanto al segundo paso –Preservar-, es común que durante los secuestros de material informático, no se tenga en cuenta la fragilidad de los medios de almacenamiento de datos y la volatilidad de la información. Sobre este aspecto, cabe destacar que existe una gran falencia en lo que se conoce como la Cadena de Custodia, cuyo objetivo consiste en mantener un registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigación detallados. Ha sucedido que muchas veces, la evidencia digital ha sido previamente “analizada” por personal no idóneo y estos hechos no están informados formalmente. Posteriormente, al realizar un análisis de datos se detecta que la información original ha sido alterada, y la evidencia pierde su valor probatorio.

Continuando con este tema, se debe observar lo inherente al transporte de la evidencia digital. Es común que los elementos informáticos a periciar lleguen sin los más mínimos resguardos. Usualmente, el secuestro de material informático tiene un tratamiento muy similar al de otros elementos –armas, papeles contables, etc.- y no se le da el cuidado que realmente merece, pudiendo algún golpe ocasionar roturas en el equipamiento informático. Debe considerarse además que la información digital es sensible a la temperatura, y en algunos casos a los campos electromagnéticos.

(3)

Por último están los aspectos técnicos referidos a la autenticación de la evidencia original. Sobre este punto, es ya bien conocida la utilización de algún software que genere un valor hash a partir de un conjunto de datos. Existen diferentes algoritmos para calcular un checksum o valor resumen (CRC, SHA-1, MD5), siendo este último uno de los más utilizados por las herramientas forenses. El aspecto crítico sobre este tema estará centrado en el criterio de aplicación de esta técnica. Para realizar copias de la evidencia original debe usarse algún software forense que realice una imagen a nivel de bit-stream y no una simple copia de archivos, en la que se pierde información que puede ser usada como potencial evidencia. Existen varias aplicaciones forenses que realizan imágenes de originales como parte de sus funcionalidades, siendo las más comúnmente utilizadas EnCase y Safeback.

Algunas de estas herramientas forenses realizan una imagen bit-a-bit del original conocida como cruda (del inglés, raw), sin compresión y sin agregar datos propietarios u otra información adicional, mientras que otras lo hacen [2]. No existe inconveniente alguno en trabajar con cualquiera de ellas, pero se debe tener conocimiento del software que se usa para poder explicar estos aspectos técnicos en caso de ser requerido. Asimismo, debe quedar claro que aunque por principio general se debe trabajar sobre imágenes de la evidencia original, sólo el perito podrá determinar cuando debe o no aplicarse este tipo de medida [3].

En muchos casos resulta impracticable realizar copias de la evidencia original por impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis de datos no-invasivas y utilizando todas las herramientas forenses que estén al alcance, a fin de no alterar la evidencia.

4. El análisis de datos

El tercer paso – Analizar- involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de almacenamiento. Un punto crítico en este tema es la localización de información específica vinculada con una determinada causa. La experiencia demuestra que en muchos casos, el análisis de datos requerirá un trabajo interdisciplinario entre el perito y el operador judicial -juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave (keywords) que son de interés para la investigación. Si bien las herramientas forenses permiten realizar análisis de datos mediante palabras clave, y el investigador puede extraer ciertas palabras esenciales para la búsqueda de evidencia, los aportes desde el punto de vista del operador judicial pueden contribuir a obtener mejores resultados.

(4)

El análisis sobre sistemas Unix es similar al de Windows, ya que se investiga sobre los elementos citados precedentemente. Unix utiliza el concepto de nodos índices (i-node) para representar archivos. Cada i-node contiene punteros a los datos en el disco, así como también los atributos del archivo. Los datos se escriben el unidades llamadas bloques (blocks) que es un concepto análogo a los clusters de Windows. En Unix todo es tratado como un archivo, y puede estar almacenado en formato binario o texto. Para archivos de texto es usual utilizar herramientas forenses para buscar expresiones regulares [4]. Para sistemas Unix, las herramientas forenses más populares son The Coroner´s Toolkit y The Sleuth Kit.

5. La presentación del dictamen pericial

El último paso del proceso de investigación –Presentar- consiste en la elaboración del dictamen pericial con los resultados obtenidos en las etapas anteriores. Existen casos en los cuales la informática puede ser el medio para cometer un delito, mientras que en otros es el objeto del propio delito (compra de software ilegal), o en ocasiones interviene en forma colateral (un incumplimiento de contrato de desarrollo de software).

A nivel nacional, los dictámenes periciales relacionados con la informática han tenido un importante incremento a partir de 1995. Inicialmente, dichas tareas fue canalizada únicamente a través de la Policía Federal, Provincial o de Gendarmería Nacional. En los últimos años, la complejidad de la materia ha requerido que las pericias informáticas sean tratadas interdisciplinariamente. Actualmente, la integración de profesionales informáticos a los cuerpos de peritos oficiales o departamentos de profesionales auxiliares de la Justicia, va marcando la necesidad de contar con especialistas que sirvan a los operadores judiciales de apoyo permanente en la actividad jurisdiccional.

Por otra parte, cabe recordar que en nuestra legislación el valor probatorio de la evidencia digital ha tenido hasta la fecha escasa o casi nula recepción legislativa y se cuenta con pocos antecedentes jurisprudenciales. Es sabido que el documento electrónico para la ley vigente argentina, constituye tan sólo “principio de prueba por escrito", lo que genera numerosos inconvenientes a la hora de determinar la eficacia probatoria de los elementos informáticos y su interpretación a través de los dictámenes periciales. Teniendo en cuenta que nuestra ley penal data de 1921, es claro que la misma no pueda receptar con facilidad los adelantos tecnológicos, dando lugar a situaciones de duda. A pesar de los avances en materia informática, la dinámica del proceso penal y la legislación de fondo permanecen inmóviles tolerándose por ausencia de tipicidad el desarrollo de actividades reñidas con el orden social.

La eficacia probatoria de los dictámenes informáticos radica fundamentalmente en la continuidad en el aseguramiento de la prueba desde el momento de su secuestro. Realizado ello en debida forma es poco probable que, si la investigación preliminar se dirigió correctamente, el material peritado no arroje elementos contundentes para la prueba del delito [5].

Expuesta la situación actual en materia de pericias informáticas, interesa conocer cómo debe realizarse un dictamen pericial sobre análisis de datos, de manera tal que sea objetivo, preciso y contenga suficientes elementos para repetir el proceso en caso de ser necesario. A tal fin, se exponen algunas consideraciones esenciales, ilustradas con fragmentos extraídos de casos reales de trabajos periciales que han requerido realizar análisis de datos.

(5)

Caso1: “... A tal efecto, se utilizaron técnicas informáticas para garantizar la preservación de la evidencia electrónica, pudiendo a futuro verificarse la integridad del material probatorio por medio de certificaciones digitales que se suministran para cada uno de los diskettes en cuestión, a saber:

Diskette1: 5F1CE0BF7738AB171D686E2A150CC593 Diskette2:9F3FB4171DF7F3B254CB93D4AABF6849 Diskette3: 36E53D636E3511C5ED3DC0C76B5233F8.

Dichas certificaciones son conocidas como valores Hash, resultando una cadena de caracteres y números única para cada uno de los diskettes obtenida a través de un algoritmo estándar aprobado internacionalmente conocido como MD5. ...”

b) Una descripción detallada de todas las fuentes de información utilizadas, así como también de los pasos realizados durante la investigación:

Caso 2: “... Se realizó un resguardo de la información almacenada en la computadora marca ACER, modelo Entra, Nro. de serie 012345, a fin de cumplimentar lo solicitado en el punto 1) de pericia. Para dar cumplimiento a lo solicitado en el punto 2) de la pericia, se realizaron los siguientes procedimientos: 1-Análisis de datos a nivel físico, 2-Análisis de datos a nivel lógico, 3-Análisis cronológico de datos ...”. "... Análisis de Datos a Nivel Físico: Se realizó una búsqueda de información relevante sobre todos los sectores físicos del disco de las siguientes palabras clave: "XXX", "YYY", "ZZZ"...”

Figura 2. Análisis de datos utilizando una herramienta forense

c) En caso de haber utilizado herramientas forenses, se deberá detallar el nombre y su versión:

Caso 3: “... En base a los fármacos indicados en el Informe Técnico Pericial Nro. 2 del Dr. XXX, se practicó un análisis de datos sobre el disco rígido de la computadora con las siguientes palabras: misoprostol, mifepristone, oxaprost y diofenac. Se especificó una búsqueda exhaustiva de las cadenas de caracteres mencionadas con el software ReadIT – Versión 1.01, utilizado comúnmente en pericias informáticas para análisis de datos. ...”

(6)

Caso 4: “...El análisis de datos a nivel lógico confirma la existencia de un enlace a un documento titulado "DDD.doc.lnk", en la carpeta \WINDOWS\Recent. Esta carpeta del sistema operativo almacena los enlaces de los últimos archivos accedidos por el usuario de la computadora. El enlace referencia a un archivo localizado en la unidad de disco A:, lo cual indica que el documento fue trabajado en disquette. ...”

Caso 5: “... Dado que se hace impracticable realizar una impresión indiscriminada de todos los archivos localizados, se tomó una muestra de ellos, para localizar visualmente información relevante, cuyos resultados son: un archivo (AAA.tmp) y dos visualizaciones mediante capturas de pantalla (BBB.dbf y CCC.dbt) los cuales se adjuntan al presente informe...”.

6. Trabajos relacionados

En el International Journal On Digital Evidence4 y en The Electronic Evidence Information Center5 se expone de información actualizada y de relevancia en la materia. En muchos artículos técnicos se observa que el rigor metodológico en el manejo de la evidencia digital está dado en función de la legislación vigente en cada país y la propia experiencia de los profesionales en la realización de pericias informáticas.

Existen diversas organizaciones como la International Organization On Computer Evidence6, que intentan proveer de una base de principios y procedimientos comunes para el tratamiento de evidencia digital, así como también proyectos de participación pública para la redacción de Manuales o Códigos de Práctica de Informática Forense7. Hasta tanto se posea un estándar internacional para el tratamiento de la evidencia digital, este trabajo intenta brindar al profesional un enfoque práctico, maduro y congruente con los criterios actuales en la materia.

7. Conclusiones

Este trabajo ha presentado una visión integral de los cuatro pasos que conforman el proceso de investigación practicado por la informática forense para el análisis de datos. Se han destacado los principales puntos críticos en cada uno de ellos para conducir la investigación a resultados exitosos, a saber: a) contar con recursos humanos capacitados para el tratamiento de evidencia digital, b) describir correctamente el material informático, c) tener criterio profesional para determinar en cada circunstancia lo que debe ser secuestrado, d) considerar la fragilidad y volatilidad de la información digital y la importancia de la Cadena de Custodia en el tratamiento de evidencia digital, e) realizar siempre que sea posible copia y autenticación de la evidencia original, f) utilizar herramientas forenses y tener suficiente profundización técnica sobre el tema tratado, g) realizar una correcta presentación de un dictamen pericial. Todos los aspectos precedentemente expuestos, junto con una reforma de la legislación penal vigente acorde a los avances tecnológicos, permitirán dar respuesta a la casuística que se produce actualmente en la realidad nacional.

4 www.ijde.com

5 http://www.e-evidence.info 6 www.ioce.org

(7)

Referencias

[1] McKemmish, R., “What is Forensic Computing”. Trends and Issues in Crime and Criminal Justice(118), ISBN 0 642 24102 3 ; ISSN 0817-8542, 1997. Disponible en:

http://www.aic.gov.au/publications/tandi/ti118.pdf

[2] Scott, M., “Independent Review of Common Forensic Imaging Tools”. Memphis Technology Group, 2003. Disponible en: http://mtgroup.com/ papers/ForensicImagingTools.pdf

[3] Gómez, L., “MD5 para Certificación de Copias”, Reporte Técnico Nº 7, C.A.P.I.S., I.T.B.A, ISSN 1667-5002, Argentina, 1999. Disponible en: http://www.e-evidence.info/international.html

[4] Bui S., Enyenart M. & Luong J., “Issues in Computer Forensics”, 2003. Disponible en: www.cse.scu.edu/~jholliday/COEN150sp03/ projects/Forensic%20Investigation.pdf

[5] Fernández, C., “Prueba Pericial. Delitos y tecnología de la Información. Características y valoración en el Proceso Penal Argentino”, 2002. Disponible en:

Figure

Figura 2. Análisis de datos utilizando una herramienta forense

Referencias

Descargar ahora ( PDF - 7 página - 154.62 KB )

Documento similar

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Anexo

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)

de la no han los que el el de y más el a los de las es el de la de los que ha en la de la EL

b) El Tribunal Constitucional se encuadra dentro de una organiza- ción jurídico constitucional que asume la supremacía de los dere- chos fundamentales y que reconoce la separación

UNA SANTA QUE SE QUEDÓ EN EL CAMINO: SOR MARTINA DE LOS ÁNGELES ARILLA, O.P. (1573-1635)

"No porque las dos, que vinieron de Valencia, no merecieran ese favor, pues eran entrambas de tan grande espíritu […] La razón porque no vió Coronas para ellas, sería

EL CEDULARIO DE LA NUEVA GALICIA EN EL DERECHO INDIANO *

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

EL JARDÍN DE LOS BORGIA

No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado

DEFENSE OF A REBELLION: THE TRIAL FOR THE REVOLUTIONARY MANIFESTO OF 1930. POLITICAL

Habiendo organizado un movimiento revolucionario en Valencia a principios de 1929 y persistido en las reuniones conspirativo-constitucionalistas desde entonces —cierto que a aquellas