La evidencia digital en el Código General del Proceso

(1)

La evidencia digital en el Código General del

Proceso

Retos y reflexiones emergentes en un mundo digitalmente modificado

Jeimy J. Cano M., Ph.D, CFE

Profesor Asociado

Escuela de Administración

2 Agenda

• Introducción

• Convergencia tecnológica

• Retos emergentes – Delincuencia digitalmente modificada

• Fundamentos conceptuales tradicionales

• Código general del proceso

• Ejemplos digitalmente modificados

• Cambio de paradigma

• Reflexiones finales

• Referencias

(2)

3 Introducción

JCM-17 DECEVAL * Evidencia Digital 3

4 Transformación digital

WEF-Accenture (2017) Digital Transformation Initiative. P.63. Recuperado de:

(3)

Convergencia tecnológica

Retos y tendencias

6 Convergencia tecnológica

Computación

cognitiva

Grandes

datos y

analítica

Redes

sociales

Computación

móvil

Computación

en la nube

Internet de

las cosas

(4)

7 Convergencia tecnológica

H o wa rd, C ., P lum m er , D . C ., G enoves e, Y ., Mann , J ., W ill is , D . A . y Mi tc hel l S m ith, D . ( 2 0 1 2 ) The nex us o f f o rc es : S o ci al , Mobi le, C lo ud an d Inf o rm at io n. G ar tner r epor t. R ec uper ad o de: htt ps :/ /www. gar tner .c o m /do c/ 20 49 31 5

Densidad

Digital

Con ideas de: KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre

8 Ecosistemas Digitales Criminales

ECOSISTEMA DIGITAL

Mercado potencial

(Estados, actores no-estatales, hacktivistas, hackers criminals, bandas

criminales organizadas) Requerimientos (Interrupción, interceptación, modificación, intrusion, Engaño) Estrategia técnica (Recolectar información, cazar vulnerabilidades, despliegue en DeepWeb,

cubrir los rastros, cripto-monedas)

Prototipos y simulaciones

(Vulnerabilidades de día cero, botnets, APT, Comando & Control, código de explotación)

Oferta y demanda

(Ventas y Mercado de entrada)

CIRCUITOS DE FEED-BACK / FEED-FORWARD

Infraestructura del adversario

Disrupciones políticas, económicas, sociales y tecnológicas Motivaciones políticas, económicas, sociales y tecnológicas

(5)

Retos emergentes – Delincuencia digitalmente modificada

Evidencia digital

10 Premisas de la delincuencia digital

Uso de plataformas

digitales públicas y

gratuitas, asistidas por

comunidades

especializadas.

Máximo anonimato, con

el mínimo de evidencia

posible.

Máxima efectividad, con el mínimo de

esfuerzo.

Uso de

criptomonedas como

medio de pago.

Máxima ambigüedad

jurídica, con el mínimo de

conocimiento tecnológico

(6)

11 Estrategias resilientes del malware

Ideas tomadas de: Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. Recuperado de: https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/

ANTI MÁQUINA VIRTUAL

Si se ejecuta en máquina virtual modifica secuencia de ejecución y cambia comportamiento.

ANTI DEPURADORES

Detección de debuggers (depuradores) con uso de secciones de memoria conocida

EMPAQUETAR

Mecanismos auto-defensivos para entorpecer y/o demorar a los analistas de seguridad

OFUSCAR

Disuadir estudio estático y manual del código malicioso

Comprime tamaño del ejecutable

Limita el análisis del código

Protege la esencia de su comportamiento

Protege la esencia de su código

12 Crimen como servicio

Tomado de:

https://cchs.gwu.edu/sites/cchs.gwu.edu/files/Responding%20to%2 0Cybercrime%20at%20Scale%20FINAL.pdf

(7)

Fundamentos Conceptuales Tradicionales

Evidencia digital

14 Contexto de base

Elementos materiales

probatorios

Evidencias

Pruebas

Procedimientos técnicos Técnica Jurídica

(8)

15 Evolución de los elementos materiales probatorios

2000s 2003s 2005s 2008s 2013 2015 2020+

Desktops y Laptops

CD, DVD, USB, Discos Externos

Teléfonos móviles

SmartPhones, SIMCards, Memorias SD

Dispositivos móviles

iPad, iPhone, iCloud

Recursos generales requeridos

Personas, procesos y tecnología

Tendencias transversales

Computación en la nube, computación móvil, redes sociales, IoT, grandes datos y analítica

Vestibles (Wearables)

iWatch, iglass, Dispostivos médicos

16

(9)

planteado alrededor de los hechos.

Suficiencia (Completitud):

Las evidencias recolectadas y analizadas son las requeridas para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada.

Tomado de: ISO/IEC 27037:2012. Tecnología de la información – Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

18

(10)

19 Normas ISO

Aplicabilidad de los estándares a las clases de proceso de investigación y sus actividades. Tomado de: ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence. P. vii

1. Las clases fueron definidas en el ISO/IEC 27043:2015 Information technology -- Security techniques -- Incident investigation principles and processes, publicado en Marzo de 2015.

2. El detalle de las actividades está dado por la ISO/IEC 27035-2 (en desarrollo) ISO/IEC 27037:2012 y la ISO/IEC 27042.

Information security incident management -- Part 1: Principles of incident management

Information security incident management -- Part 2: Guidelines to plan and prepare for incident response

Information security incident management -- Part 3: Guidelines for CSIRT operations

Guidelines for identification, collection, acquisition and preservation of digital evidence

Specification for digital redaction Storage security

Guidance on assuring suitability and adequacy of incident investigative method

Guidelines for the analysis and interpretation of digital evidence Incident investigation principles and processes

Guidelines for Security Information and Event Management (SIEM) Electronic Discovery, Part 1 to 4

Governance of digital forensic risk framework

20 Condiciones jurídicas de la Evidencia Digital

Evidencia Digital

Admisibilidad

Valor Probatorio

Exigencias legales Ley 527 de 1999 Art. 10

Peritos especializados (Expertos informática

forense)

Ley 906 de 2004. Art.236

Criterio para valorar probatoriamente un mensajes de datos

(11)

Código General del Proceso

Evidencia digital

22 Proceso integrado

Violación de la Ley Ejecución de Sentencia Ordena m ie n to J u rí d ic o Evidencia Admisible Forense Persuación Oportunidad Descubrimiento/ Acusación Identificación/ Recolección Preservación/ Control Revisión/ Individualización Análisis/ Resultados Reporte/ Hallazgos Méritos Descubrimiento Interrogatorio Presentación del Caso Testimonio de Expertos Revisión Cruzada de Evidencias Argumentos Finales

Verdicto Sentencia

(12)

23 La evidencia digital en el Código General del Proceso

MEDIOS

DE

PRUEBA

Declaración de parte Confesión Juramento Testimonio de terceros Dictámen pericial Inspección judicial Documentos Indicios Informes Cualesquier a otros medios

Art. 165 Medios de prueba

24 La evidencia digital en el Código General del Proceso

Art. 243 Distintas clases de documentos

DOCUMENTO

Todo objeto mueble que tenga carácter representativo o declarativo

Escritos, impresos, planos, dibujos, cuadros,

mensajes de datos, fotografía, cintas

cinematográficas, discos, grabaciones magnetofónicas,

videograbaciones,radiografías, talons, contraseñas, cupones, etiquetas, sellos,

incripciones en lápidas, monumentos, edificios o similares

(13)

representativo o declarativo

incripciones en lápidas, monumentos, edificios o similares

▪ Muebles. Muebles son las que

pueden transportarse de un lugar a otro, sea moviéndose ellas a sí mismas como los animales (que por eso se llaman semovientes), sea que sólo se muevan por una fuerza externa, como las cosas inanimadas.

BIEN MUEBLE

26 La evidencia digital en el Código General del Proceso

DOCUMENTO

Todo objeto mueble que tenga carácter representativo o declarativo

incripciones en lápidas, monumentos,

Datos/

Información

En movimiento En reposo En punto final

(14)

27 La evidencia digital en el Código General del Proceso

DOCUMENTO

Todo objeto mueble que tenga carácter representativo o declarativo

incripciones en lápidas, monumentos, edificios o similares P o rte r, M . y H epp el m an n , J. (2014 ) How Sm ar t, co nn ec ted pr oduc ts ar e tr ans fo rm ing co m peti ti o n .H a rv a rd B u sin es s R ev iew .N o vi em br e .p .7

28 Ejemplos digitalmente modificados

(15)

JCM-17 DECEVAL * Evidencia Digital 29 http://www.maximumpc.com/article/features/autopsy?page=0,3

http://www.cheadledatarecovery.co.uk/how-do-hard-disk-drives-work/

30 Análisis forense digital - Smartwatch

P o rte r, M . y H epp el m an n , J. (2014 ) How Sm ar t, co nn ec ted pr o duc ts ar e tr ans fo rm ing co m peti ti o n .H a rv a rd B u si n es s R ev iew .N o vi em br e .p .7 h tt p :/ /w w w .itcl e.co m /w p -co n te n t/ u p lo a d s/ 2 0 1 5 /0 4 /A p p le _ W atc h _E xp lo d ed _V ie w _Pi c_ 0 4 2 9 1 5 .jp g h tt p :/ /th in ka p p s. co m /b lo g/ d esi gn /a p p le -w atch -a p p s-im p o rta n t-d esi gn -p rin ci p le s/

(16)

31 Cambio de paradigma

Evidencia digital

32

(17)

34 Visibilidad y confiabilidad de los rastros en un ecosistema

tecnológico

(18)

35 Cambios en la investigación criminal sobre un

ecosistema tecnológico

Tradicional Ecosistema tecnológico Evidencia estática Evidencia dinámica Paradigma positivista Paradigma sistémico Orientado a dispositivos específicos Orientado a plataformas digitales

Una persona o grupo Comunidades distribuidas Basada en procedimientos

conocidos y probados

Basada en analítica de datos y patrones de reconocimiento Dificultad Intermedia Dificultad Avanzada

Individual y local Organizado y global Afectaciones de empresas y personas Afectaciones de comunidades y naciones

36 Reflexiones finales

Evidencia digital

(19)

Reconoce configuración de productos/servicios digitalmente modificados Validez formal Admisibilidad probatoria Admisibilidad probatoria incierta Productos/servicios digitalmente modificados Configuración de los productos/servicios digitalmente modificados EVIDENCIA DIGITAL PARADIGMA SISTÉMICO PARADIGMA MECÁNICO Procedimientos propuestos y en desarrollo Modelo Causa-Efecto Procedimientos definidos y probados

38

Cada vez que desees sinceramente

un cambio, lo primero que debes hacer

es elevar tus estándares.

(20)

39 Referencias

• Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega Editores.

• Darahuge, M. y Arellano, L. (2014) Manual de informática forense II. Buenos Aires, Argentina: Errapar S.A • García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación

interdisciplinaria. Barcelona, España: Gedisa Editorial.

• Goodman, M. (2015) Future crimes: everything is connected, everyone is vulnerable. New York, USA: Doubleday. • Cano, J. (2015) Seguridad y control en el 2020. Algunas reflexiones sobre el futuro. Revista Sistemas. Asociación

Colombiana de Ingenieros de Sistemas – ACIS. No. 134. 52-59

• Cano, J. (2015b) El lado oscuro de la tecnología de información. Reflexiones desde la inseguridad de la información. Blog

IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/01/el-lado-oscuro-de-la-tecnologia-de.html

• Howard, C., Plummer, D. C., Genovese, Y., Mann, J., Willis, D. A. y Mitchell Smith, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Recuperado de: https://www.gartner.com/doc/2049315

• Páramo, P. (2011) La investigación en ciencias sociales. Estrategias de investigación. Bogotá, Colombia: Universidad Piloto de Colombia.

• Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. ESET. Recuperado de:

https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/

• Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre • Ko, R. y Choo, R. (editors) (2015) The cloud security ecosystem. Technical, legal, business and management issues.

Waltman, MA. USA: Syngress Publications.

40 Para continuar aprendiendo …

Autor:

Jeimy J. Cano M., Ph.D, CFE

Editorial: Alfaomega

Edición: Segunda

Año: 2015

ISBN: 978-958-682-922-9

Mayor información en:

(21)