Informática Forense en el Ecuador

(1)

FISCALIA GENERAL DEL ESTADO

Informática Forense en

el Ecuador

Una mirada introductoria

Dr. Santiago Acurio Del Pino

08/12/2009

La finalidad del presente documento es brindar una mirada introductoria a la informática forense a fin de sentar las bases de la investigación científica en esta materia, dándole pautas a los futuros investigadores de cómo manejar una escena del delito en donde se vean involucrados sistemas de información o redes y las posterior recuperación de la llamada evidencia digital

(2)

Introducción a la Informática Forense

Dr. Santiago Acurio Del Pino1

Introducción a la Informática Forense ... 1

1.- INTRODUCCIÓN ... 2

2.- LAINVESTIGACIÓN Y LAPRUEBA DE LOSDELITOSINFORMÁTICOS ... 4

2.1.- HARDWARE OELEMENTOSFÍSICOS ... 6

2.2.- INFORMACIÓN ... 7

3.- LASCIENCIASFORENSES ... 8

4.- LAINFORMÁTICAFORENSE ... 8

5.- EVIDENCIADIGITAL ... 9

5.1.- FUENTES DE LAEVIDENCIADIGITAL ... 11

5.3.- EVIDENCIADIGITALCONSTANTE YVOLÁTIL ... 12

5.4.- LADINÁMICA DE LAEVIDENCIA ... 13

6.- ROLES EN LAINVESTIGACIÓN ... 15

6.1.- PERITOSINFORMÁTICOS ... 16

7.- INCIDENTES DESEGURIDAD ... 20

7.1.- AMENAZAS DELIBERADAS A LA SEGURIDAD DE LA INFORMACIÓN ... 23

7.2.- ATAQUES PASIVOS ... 24

7.3.- ATAQUES ACTIVOS ... 25

7.- PROCEDIMIENTO DEOPERACIONESESTÁNDAR... 27

8.- INVESTIGACIÓN EN LAESCENA DELDELITO. ... 29

8.1.- RECONSTRUCCIÓN DE LAESCENA DELDELITO ... 31

9.- FASES DE LAINVESTIGACIÓNFORENSE. ... 32

9.1.- RECOLECCIÓN ... 32

9.2.- PRESERVACIÓN ... 32

9.3.- FILTRADO... 32

9.4.- PRESENTACIÓN... 32

10.- ELDELITOINFORMÁTICO Y SU REALIDAD PROCESAL EN ELECUADOR ... 33

11. - BIBLIOGRAFÍA ... 35

1.- Introducción

Increíblemente lo s delincuentes ho y están utilizando la tecno logía para facilitar el co met imiento de infraccio nes y eludir a la s autoridades. Este hecho ha creado la necesidad de que tanto la Po licía Judicial, la Fiscalía y la Funció n Judicial deba especializarse y capacitarse en estas nuevas áreas en donde las TICs2_{se convierten e n} herramientas necesarias en auxilio de la Just icia y la persecució n de delito y el delincuente.

Los hábitos de las personas han cambiado con el uso de las TICs, también las formas en que los delincuentes actúan y co menten sus actos reprochables, es así que el acceso universal a las tecno logías de la informació n y la co municació n brinda nuevas oport unidades para que gente inescrupulo sa, delincuentes, pornógrafos infant iles, artistas del 1_{Director N aci onal de Tecnología de la Inf orm aci ón de la Fi sc alía General del}

Estad o, Prof esor de la Univ ersidad Católica del Ecuador.

sac uri o@hotm ail.com

(3)

engaño, qu ienes realizan toda clase de ataques contra la int imidad, fraudes informáticos, co ntra el tráfico jurídico probatorio, que atacan a la int egridad de lo s sistemas co mputacio nales y de red a nivel mundial, actúen de forma desmedida sin que los o peradores de just ic ia pueda n hacer algo, ya que estos han quedado relegados en sus actuacio nes por la falt a de recursos tecno lógicos y capac itación a fin de lidiar con la evidencia digital presente en toda clase de infracciones y especialmente en los llamados Delitos Informát ico s.

La comisió n de infraccio nes informáticas es una de las causas de preocupac ió n de los elementos de segur idad de muchos países en este mo mento dado que las mismas han causado ingentes pérdidas econó micas especialmente en el sector comercial y bancario do nde por ejemp lo las manipulacio nes informát icas fraudulentas ganan más terreno cada vez más, se est ima que la pérdida ocasio nada por este tipo de conductas delincuencia les supera fácilmente los do scientos millo nes de dó lares, a lo que se suma la pérdida de credibilidad y debilitamiento inst itucio na l que sufren las ent idades afect adas. Es por eso que en pa íses co mo Estados Unidos, Alemania o Inglaterra se han creado y desarro llado técnicas y herramientas informát icas a fin de lograr t anto el descu brimiento de los auto res de dichas infraccio nes así co mo asegura n la prueba de estas.

Una de estas herramientas es la informática Forense, cienc ia cr imina líst ica que sumad a al impulso y ut ilizació n masiva de las Tecno logías de la Informació n y de la Co municació n en todos los ámbitos del quehacer del hombre, está adquiriendo una gran importancia, debido a la glo balizació n de la Sociedad de la Informació n3_{. Pero a pesar} de esto esta ciencia no t iene un méto do estandarizado, razón por la cua l su admisibilidad dentro de un proceso judicial podría ser cuest ionada, pero esto no debe ser un obstáculo para dejar de lado esta importante clase de herramienta, la cual debe ser manejada en base a rígido s principio s cient ífico s, normas legales y de procedimiento.

Es necesario mencio nar que son lo s operadores de just icia tanto como los profesio nales de la informática, los lla mados a combat ir lo s delitos tecno lógicos, ya que los primeros saben có mo piensa e l delincuente y su modus operandi, mientras los otros conocen e l func io namiento de los equipos y las redes informát icas. Unidos los dos conforman la llave para co mbat ir efect ivamente esta clase de infraccio nes.

3_{Es una soci edad en la que la creaci ón, di stri buci ón y m anipulaci ón de la}

inf orm ación f orm an parte im portante de las activ idades cul tural es y económ icas, e s deci r es un estadio del desarrol lo soci al caracteri zado por la capacidad de los ci udadanos, el sector público y el em presari al par a com partir, generar, adquiri r y procesar cualquier clase de inf orm aci ón por m edio de las tecn ologías de la inf orm ación y la com unicación, a f in de increm entar l a product iv idad y com petitiv idad de sus m iem bros, y así r educi r las dif erencias sociales ex istentes co ntri buyen do a un mayor bi enestar col ectiv o e indiv idual.

(4)

De lo expuesto se colige que es necesario contar dentro de los operadores de just icia con el perso nal capacitado en estas áreas par a lidiar con esta clase de problemas surgidos de la mal ut ilizació n de la las Tecno logías de la Co municació n y la I nformació n.

La finalidad del presente documento es brindar una mirada introductoria a la infor mática forense a fin de sentar las bases de la invest igació n cient ífica en esta materia, dándo le paut as a lo s futuro s invest igadores de có mo manejar una escena del delito en donde se vea n invo lucrados sistemas de informació n o redes y las poster ior recuperació n de la lla mada evidencia digit al.

2.- La Investigación y la Prueba de los Delitos

Informáticos

La prueba dentro del proceso penal es de especial importancia, ya que desde ella se confir ma o desvirtúa una hipót esis o afirmació n precedente, se llega a la posesió n de la verdad mater ial. De esta manera se confirmará la existencia de la infracció n y la responsabilidad de quienes aparecen en un inic io co mo presuntos responsables, todo esto servirá para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto somet ido a su conocimiento.

Por ejemplo en delitos co mo el fraude informát ico o la falsificació n electrónica, lo s medio s de prueba4_{generalmente so n de} caráct er material o documental, esto en razón de que esta clase de infraccio nes son del t ipo ocupacio nal, (característ ica co mún en la mayoría de estas transgresio nes). Esto significa que la persona o personas que co meten esta variedad de actos disvalio sos en un noventa por ciento (90%) trabajan dentro de las inst itucio nes afectadas; e n consecuencia la prueba de estos delitos se encuentra generalmente en los equipos y pro gramas informáticos, en lo s documentos electrónicos, y e n lo s demás mensajes de datos que utilizan e intercambian estas personas en su red de trabajo. S ituació n la cual hace indispensable que e l invest igador, cuente con el conocimiento sufic iente acerca de l func io namiento de toda clase de sistemas informáticos, así co mo una só lida formació n en có mputo forense y la capacidad para la administrar las evidenc ias e indicio s de convicció n aptos para lograr una co ndena e n esta clase de infraccio nes.

Adicio nalmente, estas conductas delict ivas, eventos lesivo s al orden jurídico, si bien pueden ser so lucionados en parte a través de la normativa vigente en el Ecu ador como la Ley de Co mercio Electrónico y Mensajes de Datos y el Código de Procedimiento Penal, la particular naturaleza de los medio s empleados para su co misió n y 4_{Procedim iento que esta blece l a Ley para ingre sar un elem ento de prueba en}

un proceso, por ej em plo las f orm alidades para bri ndar testim onio, o el contenido de un acta de reconoci mi ento.

(5)

fundamentalmente la falt a de medio s probatorios apropiados (Guía de Buenas práct icas en el manejo de evidencia digital, so ftware y hardware especializado, persona l capacitado), dificulta que se arribe a sentencias condenatorias5_.

Es necesario part ir del pr inc ipio de que la informació n const ituye un valor econó mico con relevancia jurídico-penal, por ser posible objeto de conductas delict ivas (acceso no autorizado, sabotaje o daño informático, espio naje informático, et c.) y por ser instrumento de co misió n, facilitació n, aseguramiento y calificació n de los ilíc itos tradicio nales, llegando a ser un bien jurídico protegido, suscept ible de protecció n legal propia y específica del ordenamiento jurídico imperante. Desde esa concepció n, se han de ident ificar, reconocer y legalizar los pro cedimientos y herra mientas técnicas especializadas en este tipo de infraccio nes para asegurar la prueba, otorgarle validez plena y co nst ituir la en el fundamento para la valoració n y decisió n judicia l, situació n que co mo ya se señalo en líneas precedentes está relativament e regulado por la Ley de Co mercio E lectrónico, Firmas E lectrónicas y Mensajes de Datos y el propio Código de Procedimiento Penal vigente en nuestro país.

De lo expuesto es importante clarificar los conceptos y describir la termino logía adecuada que nos señale el ro l que tiene un sistema informát ico dentro del iter criminis o camino de l delito. Esto a fin de encaminar correctamente el t ipo de investigació n, la o btenció n de indicio s y poster iormente los elementos probatorios necesar io s par a sostener nuestro caso. Es así que por ejemplo, el procedimiento de una investigación por homicidio que tenga relación con evidencia digital será tot almente dist into al que, se ut ilice en un fraude informático, por tanto el ro l que cumpla el siste ma informático determinara donde debe ser ubicada y co mo debe ser usada la evidencia.

Ahora bien para este propósito se han creado categor ías a fin de hacer una necesaria dist inció n entre el elemento material de un sistema informát ico o hardwar e (evidencia elect rónica) y la informació n contenida en este (evidencia digital). Esta dist inció n es út il al mo mento de diseñar lo s procedimientos adecuados para tratar cada tipo de 5_{Este hecho se ev idenci o dentro de la Audi enci a de Juz gam iento que por el}

delito de Falsificación Inf orm ática se siguió en el Cuarto Tri bunal Penal de Pi chi ncha en donde y luego de analizar l a teoría del ca so con t odos lo s partici pantes del proceso se logro pulir una estrategia ef icaz para dich a Audi enci a, tom ando en c uent a que la carga de la prue ba r ecae c om pletam ente en la Fi scal ía, di cho l o cual se m onto un esc enari o de análisis don de se ex ami naron l os indici os de conv icción con los cual es se sustent o la acusación fiscal al igual que el grado d e partici paci ón y l a responsabilidad de cada u no los acusados en este Jui ci o. La audi enci a se realizo sin m ucha s com plicaciones pero se im prov iso m ucho, no se apli co de f orm a ri gurosa los pri nci pios de la Inf orm ática Forense en rel aci ón a la ev idenci a digital encontra da, pero a pesar de esto al f inal se dem ostró l a ex istenci a de l a inf racci ón y l a respon sabilidad de los enc ausados logran do una sentenci a conde natori a.

(6)

evidencia y crear un parale lo entre una escena fís ica del crimen y una digit al. En este co ntexto el hardware se refiere a todos los componentes físicos de un sistema informático, mientras que la informació n, se refiere a todos los datos, mensajes de datos y programas almacenados y trasmit idos usando el sistema informát ico .

2.1.- Hardware o Elementos Físicos

SISTEMA INFORMÁTICO

HARDWARE (Elementos Físico s) Evidenci a Electrónica

· El hardware es mercancía ilegal o fruto del delito.

· El hardware es una mercancía ilegal cuando su posesió n no está autorizada por la ley. Ejemplo: en el caso de los decodificadores de la seña l de televisió n por cable, su posesió n es una vio lació n a los derechos de propiedad int electual y también un delito. · El hardware es fruto del delito

cuando este es obtenido mediante robo, hurto, fraude u otra clase de infracció n.

· El hardware es un instrumento · Es un instrumento cuando el hardware cumple un papel import ante en el co met imiento del delito, po demos decir que es usada co mo un arma o herramienta, tal co mo una pistola o un cuchillo. Un ejemplo serían lo s snifers y otros aparatos especialmente diseñado s para capturar el tráfico en la red o interceptar co municacio nes.

· El hardware es evidencia · En este caso el hardware no debe ni ser una mercancía ilegal, fruto del delito o un instrumento. Es un elemento fís ico que se const ituye co mo prueba de la co mis ió n de un delito. Por ejemp lo el scanner que se uso para digitalizar una imagen de pornografía infant il, cuyas características únicas son usadas co mo elementos de convicció n

(7)

2.2.- Información

SISTEMA INFORMÁTICO

INFORMACIÓN Evidencia Digita l

· La información es mercancía ilegal o el fruto del delito.

La informació n es considerada co mo mercancía ilegal cuando su posesió n no está permit ida por la ley, por ejemplo en el caso de la pornografía infant il. De otro lado será fruto del delito cuando sea el resultado de la comisió n de una infracció n, co mo por ejemplo las copias pirateadas de programas de ordenador, secret os industriales robados.

· La informació n es un instrumento

La informació n es un instrumento o herramienta cuando es usada como medio para co meter una infracció n penal. Son por ejemplo los programas de ordenador que se utilizan para romper las seguridades de un sistema informático, sirven para ro mper contraseñas o para brindar acceso no autorizado. En definit iva juegan un importante papel en el co met imiento del delito.

· La información es evidencia Esta es la categoría más grande y nutrida de las anteriores, muchas de nuestras accio nes diarias dejan un rastro digital. Uno puede conseguir mucha informació n co mo evidencia, por eje mplo la informació n de lo s ISP’s, de los bancos, y de las proveedoras de servicios las cuales pueden revelar act ividades part iculares de los sospechosos

En resumen e l propósito fundamental de las categorías antes mencio nadas es el de enfat izar el papel que juegan los sistema s informát ico s en la co misió n de delitos, a fin de que el invest igador crimina l tenga un derrotero claro y preciso al buscar lo s elementos convicció n que aseguren el éxito dentro de un proceso penal. En estas condicio nes para efectos probatorios son objeto de examen, tanto el hardware co mo la informació n contenida en este, para lo cual es necesario co ntar con el auxilio y el conocimiento que nos brinda la ciencia infor mática, y en part icular de la Ciencia Forense Informática.

(8)

3.- Las Ciencias Forenses

Las Ciencias Forenses son la ut ilizació n de procedimientos y conocimientos cient íficos para enco ntrar, adquirir, preser var y analizar las evidencias de un delito y presentarlas apropiadamente a una Corte de Just icia. Las ciencias forenses t ienen que ver principalmente co n la recuperació n y análisis de la lla mada evidencia latente, co mo por ejemplo las huellas digit ales, la co mparació n de muestras de ADN, et c. Las ciencias forenses co mbinan el conocimiento cient ífico y las diferentes técnicas que este proporciona con los presupuestos legales a fin de demostrar con la evidencia recuperada la existencia de la co misió n de un acto considerado como delict ivo y sus posibles responsables ante un Tribunal de Just icia.

Las ciencias forenses han sido desarro lla das desde hace mucho tie mpo atrás. Uno de los primeros textos y estudios en este campo lo s podemos ubicar en el año de 1248 DC, cuando el médico chino HI DUAN YU, escribió el libro “COMO CORREGIR LOS ERRORES”, en el cua l se explicaban las diferencias entre una muerte por ahogamiento y otra por una herida de cuchillo al igual que la muerte por causas naturales.

Posteriormente con el avance de la ciencia y la tecno logía, las ciencias forenses han alcanzado un desarrollo inconmensurable, pero ese desarro llo a veces no ha ido de la mano del avance de la legislació n penal. Esto en razón del retrazo en la incorporación de nuevos e lementos de prueba y medios probatorios y sobre todo en la demora de la admisibilidad de nuevas evidencias o pruebas. Este es el caso por ejemplo de la pru eba de ADN que fue admit ida en un juicio recién en e l año de 1996, pero su desarrollo y co mprensió n se logró desde la década de los ochentas.

Las ciencias forenses sie mpre están en constante cambio , siempre buscando nuevos méto dos y procesos para enco ntrar y fijar las evidencias de cualquier t ipo. Creando nuevos estándares y po lít icas. Son ochocientos años de experiencia co mo disciplina cient ífica.

4.- La Informática Forense

Es una ciencia forense que se ocupa de la ut ilizació n de lo s méto dos cient íficos aplicables a la investigació n de los delitos, no solo Informát ico s y donde se ut iliza el análisis forense de las evidencias digit ales, en fin toda informació n o datos que se guardan en una co mputadora o sistema informático6_{. En co nclusió n d iremo s que} Informática Forense es “la ciencia forense que se encarga de la

preservación, identif icación, extracción, documentación y interpretación de la evidencia digital, para luego ésta ser presentada en una Corte de Justicia”.

6 _{Sistema Informático: Es todo di spositiv o f ísico o l ógico ut ilizado para crear,}

gener ar, env iar, recibir, procesar, com unicar o alm acenar, de cual quier f orm a, m ensajes de dat os.

(9)

La informática forense es el vehiculo idóneo para localizar y presentar de forma adecuada los hechos jur ídicos informáticos relevantes dentro de una invest igació n, ya sea de carácter civil o penal.

La ciencia forense es sistemática y se basa en hecho s premeditados para recabar pruebas para luego ana lizarlas. La tecno logía, en caso de la ident ificació n, reco lecció n y análisis forense en sistemas informát icos, son aplicacio nes que hacen un papel de suma importancia en recaudar la informació n y los element os de convicció n necesario s. La escena del crimen es el computador y la red a la cual éste está conectado. Históricamente la ciencia forense siempre ha basado su experiencia y su accio nar en estándares de práct ica y entrenamiento, a fin de que las personas que part icipan o trabajan en este campo cient ífico tengan la suficiente probidad profesio nal y so lvencia de conocimientos para realizar un buen trabajo en su área de experiencia. Esta situació n debe ser igual en le campo de la Info rmát ica forense, es por tanto necesario que las perso nas encargadas de este aspecto de la ciencia forense tenga parámetros básico s de actuació n, no so lo en la incaut ació n y reco lecció n de evidencias digita les, sino también en su procesamiento, cumpliendo siempre con lo s principio s del básicos del debido proceso.

El objet ivo de la Informática forense es el de recobrar lo s reg istros y mensajes de datos existentes dentro de un equipo informát ico , de tal manera que toda esa informació n digit al, pueda ser usada co mo prueba ante un tribunal.

De otro lado, esta ciencia forense necesit a de una estandarizació n de procedimientos y de accio nes a tomar, esto en razón de las característ icas específicas que las infraccio nes informáticas presentan. Son entonces est as propiedades que contribuyen a la existencia de una co nfusió n termino lógica y conceptual presente en todos lo s campos de la informática, especialmente en lo que dice relació n co n sus aspect os cr iminales.

5.- Evidencia Digital

En derecho procesal la evidenc ia es la cert eza clara, manifiesta y tan percept ible que nadie puede dudar de ella. De otro lado la evidencia digital es cualquier mensaje de datos almacenado y trasmit ido por medio de un Sistema de Informació n que tenga relació n con el co met imiento de un acto que compro meta gravemente dicho sistema y que posteriormente guié a los invest igadores al descubrimiento de los posibles infract ores. En definit iva son campos magnét icos y

(10)

pulsos electrónicos que pueden ser recogidos y analizados usando técnicas y herramientas especiales7_{, no es otra forma de EVIDENCIA} LATENTE, necesita para su reco lección y preservación principio s cient íficos y un marco legal apropiado.

Para Miguel López Delgado la evidencia digit al es el conjunto de datos en formato binario, esto es comprende los archivo s, su contenido o referencias a éstos (metadatos8_{) que se encuentren en lo s} soportes físicos o lógicos de un sistema co mpromet ido por un inc idente informát ico9_.

Otros autores co mo Ant hony Reyes10_{se refieren a la evidencia} digit al co mo “OBJETOS DE DATOS” en relació n a la informació n que es enco ntrada en los disposit ivo s de almacenamiento o en las piezas de almacenamiento mult imedia, que no son más que cadenas de unos y ceros es decir de informació n binaria o digital grabada en un disposit ivo magnético (como discos duros o los disquetes), en uno de estado sólido11 o memoria so lida (como las memorias flash y disposit ivo s USB) y los disposit ivo s ópticos (co mo los discos co mpact os y DVD).

Estos objetos de datos podemos enco ntrarlos en una gran cant idad de disposit ivo s tales co mo computadores personales, en IPODS, teléfo nos celulares, lo s cuales t ienen sistemas operat ivos y programas que co mbinan en un part icular orden esas cadenas de unos y ceros para crear imágenes, documentos, música y muchas cosas más en formato digit al. Pero también existen otros objetos de datos que no están organizados como archivos, son infor macio nes que están vincu ladas a archivos como los metadatos antes mencionados, otros son fragmentos de archivo s que quedan después de que se sobrescr ibe la informació n a causa del borrado de los archivos viejo s y la creac ió n de los archivo s nuevos esto se lla ma SLACK SPACE, o espacio inact ivo. Tambié n pueden quedarse almacenados temporalmente en los archivo s de int ercambio (SWAP FILE) o en la misma memoria RAM.

7 _{CASEY E oghan, H andook of Com puter Inv estigation, Elsev ier Academ ia}

Press, 20 05

8_{El térmi no m eta prov iene del gri ego y significa junto a, despu és, sigu iente .}

Los m etadatos pueden ser def inidos com o dat os sobre los dato s. S on com o las etiquetas de un pr oducto, nos bri nda inf orm aci ón rel ativ a a este c om o, el peso f echa de caduci dad, etc. T ecnologías de la Información a la

comunicación ALONSO, Juan A. y otros, Editorial ALFAOMEGA y RA-MA,

2005

9 _{LOPEZ DELGADO, Mi guel, Anál isis Foren se Digital, Juni o del 2007,}

CRIPORED.

10 _{REYES, Anthony, Inv estigaci ón del Cibercri m en, Syngress 2007.}

11_{Más conoci dos com o SSD (Solid-State Driv e) son dispo sitiv os de}

alm acenamientos de datos que usan una m em ori a solida para al m acenar la inf orm ación de f orm a consta nte de f orm a simi lar que u n di sco dur o usand o l o que se conoc e com o SRAM (Mem ori a de Acceso Rand óm ico Estát ico) o DRAM (Mem ori a de Acceso Randóm ico Di námi co). Esta s m em ori as sim ulan la interf az de un di sco m agnético conv irtiéndose en dispositiv os de alm acenamiento m asiv o.

(11)

5.1.- Fuentes de la Evidencia Digital

Algunas personas t ienden a confundir lo s término s evidenc ia digit al y evidencia electrónica, dichos término s pueden ser usado s indist int amente co mo sinó nimos, sin embargo es necesar io dist inguir entre aparatos electrónicos co mo los celulares y PDAs y la informació n digit al que estos contengan. Esto es indispensable ya que el foco de nuestra invest igació n siempre será la evidencia dig ital aunque en algunos casos también serán los aparatos electrónicos.

A fin de que los invest igadores forenses tengan una idea de donde buscar evidencia digit al, éstos deben ident ificar las fuentes más co munes de evidencia. Situació n que brindará al invest igador el método más adecuando para su posterior recolección y preservació n.

Las fuentes de evidencia digital pueden ser clasificadas en tres grande grupos:

1. SISTEMAS DE COMPUTACIÓN ABIERTOS, so n aquello s que están co mpuestos de las llamadas co mputadores perso nales y todos sus periféricos co mo teclados, ratones y mo nitores, las computadoras portátiles, y los servidores. Actualmente estos co mputadores t iene la capacidad de guardar gra n cant idad de informació n dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia digital. 2. SISTEMAS DE COMUNICACIÓN, estos están co mpuestos por las redes de teleco municaciones, la co municació n inalá mbrica y el Internet. Son también una gran fuente de informació n y de evidencia digit al.

3. SISTEMAS CONVERGENTES DE COMPUTACIÓN, son lo s que están formados por los teléfo nos celulares llamados inteligentes o SMARTPHONES, los asistentes personales digit ales PDAs, las tar jetas inteligentes y cualquier otro aparato electrónico que posea convergencia digit al y que puede contener evidencia digit al12_.

Dada la ubicuidad de la evidencia digital es raro el delito que no esté asociado a un mensa je de datos guardado y trasmit ido po r medio s 12_{Se trata de una car acterística q ue pre senta el actual desarrol lo de la s}

inf raestructur as de r ed y de los di spositiv os terminales, q ue les perm ite, pese a su nat ur aleza di v ersa, t ransm itir y recibir, en e senci a, la mi sm a i nf orm aci ón, todo ello girando en torno a l a digitalización de los contenidos que se transm iten y conduci endo ineludiblem ente a una tran sf orm aci ón de la activ idad económ ica que d esarrollaban en f orm a separad a las em presas de telecom unicaciones, de inf orm ática y de contenidos audiov isuales.

Ciberespacio, Sociedad y Derecho , HERR ERA BRAVO Rodolf o, en el Libro

(12)

informát icos. Un invest igador entrenado puede usar el contenido de ese mensaje de datos para descubrir la conducta de un infractor, puede también hacer un perfil de su actuació n, de sus act ividades individuales y relacio nar las co n sus víct imas.

5.3.- Evidencia Digital Constante y Volátil

En un princip io el t ipo de evidencia digital que se buscaba e n lo s equipos informáticos era del t ipo CONSTANTE o PERSISTENTE es decir la que se encontraba almacenada en un disco duro o en otro medio informát ico y que se mantenía preservada después de que la co mputadora era apagada. Posteriormente y gracias a las redes de interconexió n, e l invest igador forense se ve obligado a buscar también evidencia del t ipo VOLÁTIL, es decir evidencia que se encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son evidencias que por su naturaleza inestable se pierden cuando el co mputador es apagado. Este t ipo de evidencias deben ser recup eradas casi de inmediato .

De lo dicho se desprende que cuando se co mete un delito cualquiera, muchas veces la informació n que directa o indirectamente se relacio na con esta conducta criminal queda almacenada en forma dig ita l dentro de un Sistema Informático. Este conjunto de datos ordenado s sistemát icamente y convert idos en informació n se convierte en evidencia digit al. He aquí entonces que encontramos la primera dificultad en lo que se refiere a la o btenció n de esta clase de evidencia co mo prueba de la infracció n co met ida, esto debido a que los Sistemas Informát icos e n donde se almacena la misma presentan caract eríst icas técnicas propias, en tal razó n la informació n ahí almacenada no puede ser recuperada, reco lectada, preservada, procesada y posteriormente presentada co mo indic io de co nvicció n ut ilizando los medios crimína list ico s co munes, se debe ut ilizar mecanismos diferentes a lo s tradicionales. Es aqu í que se ve la necesidad de ut ilizar lo s procedimiento s técnico s legales y la rigurosidad cient ífica que pone a d isposició n de los invest igadores la ciencia Forense Informática a fin de descubrir a los autores y có mplices del delito comet ido.

La falt a de informació n especializada en esta área de invest igació n cient ífica, la inexistente práct ica y entrenamiento en la obtenció n, reco lecció n, documentació n y post erior anális is e int erpretació n de la evidencia digit al, pueden permit ir que se condene a un inocente y se deje libre a un culpable, situación que es inadmisible en un proceso penal, es por tanto necesario s que los operadores de just icia, es decir la Fiscalía, la Polic ía Nac io nal y la Funció n Judicial debe estar preparad a para afrontar el ret o de capacitar y entrenar al perso na l necesario para que lidien de forma óptima no so lo con lo s Delito s Informát icos sino también con otra clases de delitos, aprovechando as í las ventajas de ut ilizar la Informát ica Forense y la E videncia Digit a l dentro de los procesos penales.

(13)

5.4.- La Dinámica de la Evidencia

La dinámica de la evidencia es la for ma como se ent ienden y se describen lo s diferentes fact ores (humanos, de la naturaleza, de lo s equipos) que actúan sobre las evidencias, a fin de determinar lo s cambio s que estos producen so bre ellas.

Podemos afirmar indudable mente que existen muchos agentes que inter vienen o actúan sobre la evidencia digital, aquí se aplica e l llamado pr incipio de int ercambio o de Locard13_{; el invest igador forense} se ve en la necesidad de reconocer la forma como estos factores puede n alterar la evidenc ia, y así tener la oportunidad de manejarla de una manera apropiada, evitando genera lmente co ntaminarla, dañarla y hasta perderla por completo.

Los principios crimínalisticos, co mo el de Locard o de int ercambio y el mis misidad14_{deben tenerse co mo instrumentos de la} invest igació n en cualquier escena del crimen inc lusive la informática. Esto se puede explicar por ejemplo en el caso de las bit ácoras o LOGS del sistema operativo de un equipo informático utilizado por un Hacker o Cracker para ro mper las seguridades de un programa o vulnerar la int egridad de un Sistema informát ico remoto. En dicha bitácora e l invest igador podría encontrará registrada dicha act ividad ilegal. Ese es un eje mplo del princ ipio de int ercambio en acció n.

Cuando en una escena del crimen se tiene que trabajar en condicio nes adversas, co mo en incend ios, inundacio nes, derrames de gasolina o químico s peligrosos, es indispensable que el invest igador tome las medidas de segur idad necesarias para asegurar en primer lugar su integridad física, luego deberá implementar el procedimiento más 13_{El pri nci pio de intercam bio de Locard, m enci ona que cu ando dos obj eto s}

entran en c ontacto siem pre ex iste una transferencia de m ateri al entre el uno y el otro. Es decir que cua ndo una per sona está en una esc ena del crim en est a deja algo de si m ism a dentro de la esce na, y a su v ez cuando sale de ella esta se llev a algo consigo.

(14)

adecuado para incrementar las posibilidades de recuperar las evidencia s de la manera más co mpleta. De lo d icho podemos manifestar que lo s examinadores forenses nunca tendrán la oportunidad de revisar una escena del crimen en su estado original, siempre habrá algún factor que haga que la escena del crimen presente algunas ano malías o discrepancias.

Con la finalidad de explicar có mo funcio na la diná mica de la s evidencias, a cont inuació n se expondrán a lgunas de las posible s situacio nes en donde esta se ve afectada dentro de una escena de l crimen:

1. EQUIPOS DE EMERGENCIAS: En el caso de un incendio, lo s sistemas informát icos pueden ser afectados por el fuego y el humo, posteriormente somet idos a una gran presió n de agua al trat ar de apagar este. Esto provoca que los técnicos forenses no puedan determinar a ciencia cierta si los sistemas informát icos encontrados en la escena estuvieron co mpro metidos, fueron atacados o usados indebidamente. En otras ocasio nes lo s equipos de emergencia manipulan la escena cuando es necesario para salvar la vida de una perso na.

2. PERSONAL DE CRIMINALÍSITICA15_{: En alguna s}

ocasio nes el personal de crimina lística por accident e cambia, reubica, o altera la evidencia. Por eje mplo en e l caso de que se quiera sacar una muestra de sangre de una gota precipitada sobre un disquete o disco co mpacto mediante el uso de un escarpelo, esto puede accidentalmente co mpro meter los datos e informació n almacenada en dichos soportes.

3. EL SOSPECHOSO O EL IMPUTADO TRATANDO DE CUBRIR SUS RASTROS: Cuando el Sospechoso o el imputado deliberadamente borra o alt era lo s dato s, registros u otros mensajes de datos considerados co mo evidencia dentro de un disco duro .

4. ACCIONES DE LA VÍCTIMA: La vict ima de un delito, puede borrar correos electrónicos que le causen aflicció n o le pro voquen alguna situación embarazosa.

5. TRANSFERENCIA SECUNDARIA: En alguna s ocasio nes, los sistemas informát icos usados en e l co met imiento de un delito, son usados post eriorment e por alguna perso na de forma ino cente, causando con ello 15_{Se tiene que mi nimi zar todo rastro del inv estigador en l a esce na del delito.}

Una hi stori a cl ásica e n estos ca so s, es la del inv estigador f oren se que encontró una huella digital dentro de un caso de h om icidio, al recuperar y pre serv ar di cha huel la creyó tener la pi sta nece sari a para resolv er el caso. Por t anto hizo com parar dicha huella digital con l a base de datos de la Pol icía Judi ci al, al no encontrar un r esultado, am plió la búsqueda a niv el naci onal encontrá ndose qu e la huella encontrad a en la esc ena era suya.

(15)

la destrucció n y alt eració n de evidencia.

6. TESTIGOS: Un administrador del sistema puede borrar cuentas de usuar io s sospechosas, las mismas que fuero n creadas por un intruso, a fin de prevenir su acceso y utilizac ió n futura.

7. EL CLIMA Y LA NATURALEZA: Los campos electromagnét icos pueden corromper la informació n guardada en discos magnét icos.

8. DESCOMPOSICIÓN: En algunos casos la informació n almacenada en discos magnét icos, o en otros soportes puede perderse o tornarse ilegible para los sistemas de informació n, a causa del t iempo y de las mala s condicio nes de almacena miento.

En resumen el invest igador forense debe entender co mo lo s factores humanos, de la naturaleza y de los propios equipos informát icos pueden a lterar, borrar o destruir evidenc ia, debe comprender co mo dichas variables actúan sobre la escena misma del delito, debe por tanto encaminar la invest igació n desde su etapa más temprana tomando en cuenta esos cambio s, a fin de adecuar el mejor méto do para adquirir, preservar y luego analizar las pistas obtenidas, y así reduc ir de manera co nsiderable lo s posibles efect os de la dinámica de la evidencia.

6.- Roles en la Investigación

La invest igació n cient ífica de una escena del crimen es un proceso formal, donde el invest igador forense, documenta y adquiere toda clase de evidencias, usa su conocimiento cient ífico y sus técnicas para ident ificarla y generar indicios suficientes para reso lver un caso. Es por tanto necesario dejar en claro cuáles son lo s roles y la part icipació n que t iene ciertas personas dentro de una escena del crimen de carácter infor mático o digital, estas perso nas son:

1. TÉCNICOS EN ESCENAS DEL CRIMEN INFORMÁTICAS , también llamados FIRST RESPONDENDERS, son los pr imeros en llegar a la escena del crimen, son lo s encargados de reco lectar las evidencias que ahí se encuentran. Tiene una formación básica en el manejo de evidencia y documentació n, al igual que e n reconstrucció n del delito, y la localizació n de elementos de convicció n dentro de la red.

2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMÁTICA, que son los responsables de procesar toda la evidencia digital o informática obtenida por los Técnicos e n Escenas del Crimen Informát icos. Para esto dichas perso nas requieren tener un alto grado de especializació n en el área de sistemas e informática.

3. INVESTIGADORES DE DELITOS INFORMÁTICOS, que son lo s responsables de realizar la invest igación y la reconstrucció n de lo s hechos de lo s Delitos Informáticos de manera general, son personas que t iene un entrenamiento general en cuest iones de

(16)

informática forense, son profesio nales en Seguridad Informática, Abogados, Policías, y examinadores forenses.

6.1.- Peritos Informáticos

Por otro lado, se hace ind ispensable para la valoració n de las pruebas o elementos de convicció n la int ervenc ió n de personas que tengan especia les conocimientos en mater ias especiales en este caso de la mater ia informática, perso nas que prestan un servicio especial a l Fiscal y a l Juez al mo mento ilustrar sobre las materias, técnicas o artes que son de su conocimiento, a fin de dichos funcio narios en funció n de dichas explicacio nes puedan emit ir su criterio en el mo mento adecuado (Dictamen Fisca l o la Sentencia)

De acuerdo a lo que dispone el Art. 94 del Cód igo de Procedimiento Penal, “son peritos los profesionales especializados en

diferentes materias que hayan sido acreditados como tales, previo proceso de calif icación de la Fiscalía.”

Peritos son las perso nas que por disposició n legal y encargo Judicia l o de la Fiscalía aportan con sus conocimientos los datos necesario s para que el Juez, el Fiscal o la Policía Judicial adquieran u n grado de conocimiento para determinar las circunstancias en que se co met ió una infracció n. La presencia de los peritos en una diligencia es indispensable co mo lo manda el Art. 95 del Cód igo de Procedimiento Penal, suscr ibir el acta y posteriormente llevar la a co nocimiento de l Fiscal y el Juez co mo informe pericia l. En otras palabras el conocimiento del perito suple al del juez y el fiscal en cierta área del conocimiento del cual estos no son expertos, por tanto el perito entrega los elementos de convicció n que permita al operador de just ic ia crear un razo namiento que desemboque en la reso lució n del caso propuesto, en fin aportan elementos que tanto el Fiscal co mo el Juez valoraran al emit ir su reso lució n.

Jeimy Cano llama a lo s peritos informát icos forenses: “investigadores en informática” y los define co mo “profesionales que

contando con un conocimiento de los fenómenos técnicos en informática, son personas preparadas para aplicar procedimientos legales y técnicamente válidos para establecer evidencias en situaciones donde se vulneran o comprometen sistemas, utilizando métodos y procedimientos científicamente probados y claros que permitan establecer posible s hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas hipótesis”16

Las condicio nes que deben reunir las personas para ser peritos son:

16 _{CANO Jei m y, Estado del Arte del Peritaje Inf orm ático en Latinoam éri ca.}

(17)

a. Ser profesio nal especia lizado y calificado por la Fiscalía, poniendo a salvo un criterio, que es aquel de que no necesariamente el perito es un profesio nal en determinada rama, sino una per sona expert a o especializada en su respect ivo campo de determinada materia. El Código de Procedimiento Penal facult a para que en ciertos casos de lugares donde se vaya a realizar una diligencia no existan peritos habilit ados, el Fiscal no mbrará a personas mayores de edad, de reconocida honradez y probidad que tengan co nocimientos sobre la materia que van a informar.

b. Mayores de edad, los peritos deben tener la mayoría de edad que en nuestro país se fija en 18 años, porque a esa edad la perso na ha alcanzado la madurez psico lógica necesaria para prestar esta clase de asesoramiento a la Administració n de Just icia.

c. Reco nocida honradez y pro bidad, en cuanto a la calidad moral del perito, de proceder recto, íntegro y ho nrado en el obrar, el perito es un persona je esencialmente imparcial que cumple con su co met ido y se desvincula del proceso.

d. Conocimiento s específicos en la materia so bre la que debe informar, es decir los necesar ios y específicos conocimientos para cumplir su co met ido.

La per icia es un medio de prueba específicamente mencio nado por la Ley procesal, “con el cual se intenta obtener para el proceso, un

dictamen fundado en especiales conoci mientos científicos, técnicos o artísticos, útil para el descubrimiento o valoración de un elemento de prueba”.

Un informe pericia l, sus conclusio nes u observacio nes no son definit ivo s ni conclu yentes, la valoració n jurídica del informe per icia l queda a criterio del Fiscal, Juez penal o Tribunal penal, quienes puede n aceptarlo o no con el debido sustento o motivació n.

Se fundamenta en la necesidad de suplir la falt a de conocimiento del Juez o del Fiscal, porque una persona no puede saberlo todo, sobre todo en un mundo tan glo balizado, donde las ciencias se ha n mult iplicado y diversificado, así co mo los actos delict ivos.

El Perito debe regirse por los siguientes princip ios:

1. OBJETIVIDAD: El perito debe ser objetivo, debe observar lo s códigos de ét ica pro fesio nal.

2. AUTENTICIDAD Y CONSERVACIÓN: Durante la invest igació n, se debe co nservar la autent icidad e int egridad de los medio s probatorios.

3. LEGALIDAD: El per ito debe ser preciso en sus o bser vaciones, opinio nes y result ados, conocer la legislació n respecto de sus act ividades per iciales y cumplir co n los requisitos establecidos por

(18)

ella.

4. IDONEIDAD: Los medio s probatorios deben ser autént icos, ser relevantes y su fic ientes para el caso.

5. INALTERABILIDAD: En todos los casos, exist irá una cadena de custodia debidamente asegurada que demuestre que los medio s no han sido modificados durante la per icia.

6. DOCUMENTACIÓN: Deberá establecer se por escr ito los paso s dados en el procedimiento per icial.

Estos principio s deben cump lirse en todas las per ic ias y por todos los peritos invo lucrados

El Perito Informát ico Forense según la opinió n del Profesor Jeimy Cano17_{requiere la formació n de un perito informát ico integral que} siendo espec ialista en t emas de Tecno logías de informació n, tambié n debe ser formado en las disciplinas jurídicas, criminalíst icas y forenses. En este sent ido, el perfil que debe mo strar el perito informát ico es el de un pro fesio nal híbrido que no le es indiferente su área de formació n profesio nal y las ciencias jurídicas.

Con esto en mente se podría sugerir un conjunto de asignat uras y temas (básicos) que no pueden perderse de vista al formar un perito informát ico general, el cual debe tener por lo menos una formació n en:

1. ÁREA DE TECNOLOGÍAS DE INFORMACIÓN Y ELECTRÓNICA:

· Lenguajes de programación

· Teoría de sistemas operacionales y sistemas de archivo · Protocolos e infraestructuras de comunicación

· Fundamentos de circuiros eléctricos y electrónicos · Arquitectura de Co mputadores

2. FUNDAMENTO DE BASES DE DATOS ÁREA DE SEGURIDAD DE LA FORMACIÓN:

· Principios de Seguridad de la Información

· Políticas estándares y procedimientos en Seguridad de la Informació n

· Análisis de vulnerabilidades de seguridad informática · Análisis y administración de riesgos informát icos · Recuperación y continuidad de negocio

· Clasificación de la información

· Técnicas de Hacking y vulneración de sistemas de informació n

· Mecanismos y tecnologías de seguridad informática · Concientización en seguridad informát ica

17 _{CANO Jei m y, Estado del Arte del Peritaje Inf orm ático en Latinoam éri ca.}

(19)

3. ÁREA JURÍDICA:

· Teoría General del Derecho

· Formación básica en delito informático

· Formación básica en protección de datos y derechos de autor

· Formación básica en convergencia tecnológica

· Formación básica en evidencias digital y pruebas electrónicas

· Análisis comparado de legislaciones e iniciat ivas int ernacio nales

4. ÁREA DE CRIMINALÍSTICA Y CIENCIAS FORENSES:

· Fundamentos de conductas criminales · Perfiles psicológicos y técnicos

· Procedimientos de análisis y valoración de pruebas · Cadena de custodia y control de evidencias

· Fundamentos de Derecho Penal y Procesal · Ética y responsabilidades del Perito

· Metodologías de análisis de datos y presentación de informes

5. ÁREA DE INFORMÁTICA FORENSE:

· Esterilización de medios de almacenamiento magnét ico y óptico

· Selección y entrenamiento en software de recuperación y análisis de datos

· Análisis de registros de auditoria y control · Correlación y análisis de evidencias digitales

· Procedimientos de control y aseguramiento de evidencias digit ales

· Verificación y validación de procedimientos aplicados en la pericia forense.

Establecer un pro grama que cubra las áreas propuestas exige u n esfuerzo interdisciplinar io y vo luntad polít ica tanto de la Fiscalía, de l Estado Ecuatoriano y de los Organismos Inter nacio nales y de la industria para inic iar la formació n de un profesional que eleve los niveles de confiabilidad y formalidad exigidos para que la just icia en un entorno digit al o frezca las garant ías requer idas en lo s procesos donde la evidencia digit al es la protagonista.

De lo dicho se co lige que el PERITO INFORMÁTICO cumple un ro l import ante dentro de una investigació n penal. En resumen y siguiendo al Profesor Jeimy J. Cano diremos que el PERITAJE INFORMÁTICO nace co mo la respuesta natural de la evo lució n de la administració n de just icia que busca avanzar y fort alecer sus estrat egias para proveer los recursos técnicos, cient íficos y jurídicos que permitan a lo s operadores de just icia (Funció n Judicial, Minist erio Público y Po licía

(20)

Judicial), alcanzar la verdad y asegurar el debido proceso en un ambient e de evidencias digitales.

7.- Incidentes de Seguridad

Cuando se está a cargo de la Ad ministració n de Seguridad de un Sistema de Informació n o una Red, se debe conocer y entender lo que es la Informática Forense, esto en razón de que cuando ocurre un inc idente de seguridad, es necesario q ue dicho incidente sea report ado y documentado a fin de saber qué es lo que ocurrió. No importa qué tipo de evento haya sucedido, por más pequeño e insignificante que pueda ser este debe ser verificado. Esto es necesario a fin de señalar la ex istencia o no de un riesgo para el sistema infor mático. Está tarea es de aque llas que es co nsiderada de rut ina por los Administradores de un Sistema de Infor mació n, pero a pesar de eso, esta tarea puede llevar a un co mputador en especial dentro de dicho sistema. Es por tanto necesario que los administrado res y el personal de seguridad deben conocer los presupuestos básicos del manejo d e la evidencia digital, a fin de que sus accio nes no dañen la admisibilidad de dicha evidencia dentro de un Tribunal de Just icia, de igual forma deben mostrar la habilidad suficiente para recuperar toda la informació n referente a un incidente de seguridad a fin de proceder co n su potencial análisis.

Un incidente informático en el pasado era considerado co mo cualquier evento anómalo que pudiese afectar a la segur idad de la informació n, por ejemplo podría ser una pérdida de dispo nibilidad, o int egridad o de la confidencia lidad, etc. Pero la aparició n de nuevos tipos de inc identes ha hecho que este concepto haya ampliado su definició n. Actualmente y citando a Miguel López diremo s que un Incidente de Seguridad Informática puede co nsiderarse co mo una vio lació n o intento de vio lació n de la política de seguridad, de la polít ica de uso adecuado o de las buenas práct icas de ut ilizació n de lo s sist emas informát ico s18_.

Es por tanto necesario a fin de co mprender mejor el tema señalar algunos concept os utilizados dentro de la segur idad infor mát ica, la cual es definida co mo el conjunto de técnicas y métodos que se

utilizan para proteger tanto la información como los equipos informáticos en donde esta se encuentra almacena da ya sean estos individuales o conectados a una red frente a posibles ataque s premeditados y sucesos accidentales19_.

La seguridad Informát ica a su vez está dividida en seis co mponentes a saber:

SEGURIDAD FÍSICA: Es aquella que t iene relació n con la

18 _{LOPEZ DELGADO, Miguel, Anál isis Foren se Digital, Juni o del 2007,}

CRIPORED.

(21)

protecció n de l co mputador mismo, vela por que las personas que lo manipulan tengan la autorizació n para e llo, proporciona todas las indicacio nes técnicas para evit ar cualquier t ipo de daños físicos a lo s equipos informát icos. SEGURIDAD DE DATOS: Es la que señala lo s procedimiento s

necesario s para evitar el acceso no autorizado, per mit e controlar el acceso remoto de la info rmació n, en suma prot ege la integridad de lo s sistemas de dat os.

BACK UP Y RECUPE RACIÓN DE DATOS: Proporciona lo s

parámet ros básico s para la ut ilizac ió n de sistemas de recuperació n de datos y Back Up de los sistemas informáticos. Permite recuperar la informació n necesaria e n caso de que esta sufra daños o se pierda.

DISPONIBILIDAD DE LOS REC URSOS: Este cuarto compo nent e

procura que lo s recursos y lo s datos almacenados en e l sistema puedan ser rápidamente accesados por la persona o personas que lo requ ieren. Per mite evaluar constantement e lo s puntos crít icos del sistema para así poderlos corregir de manera inmediata.

SEGURIDAD NORMATIVA (POLÍTICA DE SEGURIDAD): Conjunto

de normas y criterio s básicos que determinan lo relativo a l uso de los recursos de una organización cualquiera. Se deriva de lo s principio s de legalidad y segur idad jurídica, se refiere a las normas juríd icas necesarias para la prevenció n y sanc ió n de las posibles conductas que puedan ir en contra de la int egridad y seguridad de los sistemas informáticos.

AN ÁL I SI S FORE NSE: El Análisis Forense surge co mo

consecuencia de la necesidad de invest igar los inc identes de Segur idad Informát ica que se producen en las entidades. Persigue la ident ificació n del autor y del motivo del ataque. Igualmente, trat a de hallar la manera de evitar ataques similares en el futuro y obtener pruebas periciales.

En lo s últ imo s años se ha puesto de manifiesto una crecient e masificació n del uso de Seguridad Informát ica en los entornos empresar iales, pero a pesar de eso y dado que no existe nunca una seguridad total es decir los controles y polít icas que se establecen no garant izan el cien por ciento de la seguridad, máximo si consideramos lo que algunos profesio nales de la seguridad señalan co mo la existencia de l lla mado riesgo humano (HUMAN RISK20_{) tanto de quienes elaboran la s} polít icas y los controles co mo también quienes las transgreden. Es por tanto que una amenaza deliberada a la seguridad de la informació n o de 20_{El ri esgo hum ano siem pre debe co nsiderar se dentro d e un plan de}

seguri dad inf orm ática, ya que siem pre no s hem os de hacer la preg unta ¿De qué no s protegem os?, pues la respue st a es nos pr otegem os de las per sonas. Es decir siem pre ex iste un elem ento que alienta al ser h um ano a i r en co ntra de lo s atributos f unci onales de un si stem a inf orm ático (l a conf idenci alidad, l a autenticación, el no repu dio, la i ntegri dad, y el control de acceso), la am bición por el poder. Este p oder r eside en los datos y en l a inf orm ación que se encue ntra en l os actuales sistem as de inf ormación del m undo.

(22)

un entorno infor mático (que se verán más adelante), es una condició n de ese entorno (una persona, una máqu ina, un suceso o idea) que, dada una oportunidad, po dría dar lugar a que se suscite un incidente de seguridad (ataque contra la confidencialidad, integridad, disponib ilidad o uso legít imo de lo s recursos). Con estas consideracio nes las inst itucio nes públicas y privadas deben implementar la polít ica de seguridad que más les convenga a sus intereses. De igual fo rma cumplir con el análisis de riesgos del sistema a fin de ident ificar con anterioridad las amenazas que han de ser co ntrarrestadas, la necesidad de esto es vit al, ya que estar consciente de las amenazas y lo s riesgos de un sistema y co mprender las co mpletamente hará que se aplique los procedimientos de segur idad apropiados para cada caso.

La integridad de un Sistema de Informació n puede verse afectada por la existencia de vulnerabilidades, en tal razó n un bue n sistema de seguridad informát ica seguido de la ap licació n de los protocolos necesarios (normatividad informática). Harán que la act ividad productiva de una empresa o su capital de co nocimiento no sean afectados por posibles intentos de explotació n de dichas vulnerabilidades (incidentes de segur idad).

En definit iva para que exista una adecuada protecció n a lo s sistemas informáticos y telemáticos se deben conjugar tanto la seguridad informát ica como la segur idad legal y así poder brindar una adecuada protecció n y tutela tanto técnica co mo normat iva.

Es import ante por parte de la persona que realiza la implementació n tanto de la Seguridad Informática (Técnico en la mater ia), como quien realiza la Polít ica de Seguridad, (Gerente de Segur idad y Abogado de la Empresa). Que el diseño del sistema debe hacerse de manera int egral y conjunta en orden a poder asegurar u na posible invest igació n en un ambiente Técnico y Jurídico que de so lució n a posibles problemas de seguridad informát ica y prevenció n de de Delitos Informát icos.

En conclusió n es necesario que tanto los administradores de l sistema y co mo los de seguridad en la red de una empresa, tengan e l suficiente entrenamiento y habilidad en el uso de técnicas forenses, esto con la fina lidad de que su actuación en un incidente de seguridad cumpla con los estándares de una invest igació n penal, ya que dicho incidente puede ser el resultado del accio nar delictivo de una o varias personas, entonces la invest igació n de ese hecho saldrá de la empresa afectada para entrar en el campo cr iminal, en donde la Polic ía Judic ial y la Fiscalía la llevarán adelante. Por tanto es esencial que el invest igador forense que está envuelto en la obtenció n de la evidencia digital co mprenda la naturaleza de la informació n, de su frag ilidad, y de la facilidad que t iene en contaminarse. Si este se equivo ca en la etapa preliminar de la invest igació n en la cual se ident ifica y obt iene la evidencia digital, sus errores y fallas de procediendo harán que esa evidencia se pierda o simplemente sea excluida co mo prueba durante el proceso judicial.

(23)

7.1.- Amenazas deliberadas a la seguridad de la información

Las amenazas cada vez más numerosas que ponen en peligro a nuestros datos, nuestra int imidad, nuestros negocios y la propia Internet ha hecho que la co mputació n sea una tarea azarosa. Los riesgo s familiares, como los virus y el correo indeseado, ahora cuentan con la co mpañía de amenazas más insid iosas -desde el llamado malware- , lo s programas publicitario s, y de espio naje que infectan su PC a los ladrones de identidad que atacan las bases de datos importantes de informac ió n personal y las pandillas de delincuencia organizada que merodean por e l espacio cibernét ico.

Los incidentes de seguridad en un Sist ema de Informació n pueden caract erizarse modelando el sistema co mo un flujo de mensajes de datos desde una fuente, como por eje mplo un archivo o una regió n de la memoria principa l, a un dest ino, co mo por ejemplo otro archivo o un usuario. Un incidente no es más que la realizació n de una amenaza en contra de los atributos funcio nales de un sistema informático21_.

Las cuatro categorías generales de inc identes son las siguientes

21_{Un si stem a inf orm ático debe tener v arios atr ibutos f unci onales que lo hace n}

podríam os deci r r esistente a una posible am enaza o ataque. E s por eso que para h acer f rente a los inci dentes de segur idad del sistem a se def inen una seri e de atri butos f unci onales para proteger los sistem as de proc esam iento de datos y de tran sf erencia de inf orm aci ón de una org anización. E stos son con siderad os por v ari os prof esionales de la seguri dad inf orm ática com o serv icios de un Si stem a Inf orm ático, personalm ente los c onsidero no com o serv icios sino com o cual idades intrínsecas de los si stem as inf orm áticos actuales, y a que si f ueran solo serv icios, se podrían suspen der o quit ar sin ningún pr oblem a, pero l a real idad es otra, su f alta u omi sión causa m as de un probl em a grav e al sistem a al no tener estos atri butos. Estos son l a conf idenci alidad, la autenticación, el no r epudio, la integri dad, y el control de acceso.

(24)

INTERRUPCIÓN: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad22_{. Ejemplo s} de este ataque son la destrucció n de un elemento hardware, co mo un disco duro , cortar una línea de co municació n o deshabilit ar e l sistema de gest ió n de archivos, lo s ataques de denegació n de servicios (DoD y DDoD)

INTERCEPCIÓN: una ent idad no autorizada consigue acceso a u n recurso. Este es un ataque contra la confidencialidad23_{. La} ent idad no autorizada podría ser una persona, un programa o un co mputador. Ejemplo s de este ataque son pinchar una línea para hacerse con datos que circulen por la red (ut ilizar un SNIFFER) y la copia ilícit a de archivo s o programas ( intercepció n de datos, WIRETAPING), o bien la lectura de las cabeceras de paquetes para desvelar la ident idad de uno o más de lo s usuario s implicados en la comunicació n observada ilegalment e (intercepc ió n de ident idad).

MODIFICAC IÓN: una ent idad no autorizada no só lo co nsigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la int egridad24_{. Ejemplos de este ataque es el cambio d e} valores en un archivo de datos, alterar un programa para que func io ne de forma diferente y modificar el contenido de mensaje s que están siendo transferidos por la red.

FABRICACIÓN: una ent idad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autent icidad. Ejemplo s de este ataque son la inserción de mensajes espurio s en una red o añadir registros a un archivo.

Estos ataques se pueden asimis mo clasificar de forma út il e n términos de ataques pasivo s y ataques act ivos.

7.2.- Ataques pasivos

En lo s ataques pasivo s el atacante no altera la co municació n, sino que únicamente la escucha o mo nitor iza, para obtener informació n que está siendo transmit ida. Sus objet ivo s son la intercepció n de datos y el análisis de tráfico, una técnica más sut il para obtener informació n de la co municació n, que puede consist ir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes mo nitorizados.

Control del volumen de tráfico intercambiado entre las ent idade s mo nitorizadas, obteniendo así informació n acerca de act ividad o inact ividad inusuales.

22_{La Disponibilidad hace ref erencia a que solo los usuari os autori zado s,}

pueden acceder a l a inf orm aci ón y a otros re curso s cuan do los nece siten.

23_{La Confidencialidad se ref leja en la utilización de inf orm aci ón y de los}

recur sos que solam ente son rev elados a los usuari os ( per sona s, entidades y procesos), quienes están autori zado s a acceder a ellos.

24_{La Integridad se ref leja en que l a inf orm ación y otro s rec ur sos sol o pueden}

ser m odificados solo por aqu ellos usuari os que ti ene derecho a el lo. La ex actitud y el detalle de los datos y l a inf ormación est á tam bién garantizada.

(25)

Control de las horas habituales de int ercambio de datos entre las ent idades de la co municació n, para extraer informació n acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no pro vocan ninguna alteración de los datos. Sin embargo, es posible evit ar su éxito mediante el cifrado de la infor mació n y otros mecanismos que se verán más adelante.

7.3.- Ataques activos

Estos ataques implican algún t ipo de modificació n del flujo de datos transmit ido o la creació n de un falso flujo de datos, pudiendo subdivid irse en cuat ro categorías:

Suplantación de identidad25_{: el intruso se hace pasar po r una ent idad}

o usuario diferente. Normalmente inc luye alguna de las otras formas de ataque act ivo. Por ejemplo, secuenc ias de autent icació n pueden ser capturadas y repet idas, per mit iendo a una ent idad no autorizada acceder a una serie de recursos privilegia dos suplantando a la ent idad que posee esos privilegio s, como al robar la contraseña de acceso a una cuenta.

Re actuación: uno o vario s mensaje s leg ít imos so n capturados y repet idos para producir un efecto no deseado, como por ejemplo ingresar dinero repet idas veces en una cuenta dada.

Modificación de mensajes: una porció n del mensaje legít imo es alterada, o los mensajes son ret ardados o reordenados, par a producir un efecto no autorizado. Po r ejemplo, el mensaje “Ingresa un milló n de dó lares en la cuenta A” podría ser mo dificado para decir “Ingresa un milló n de dó lares en la cuenta B”.

En cuanto a esto podemos hacer una referencia a lo s t ipos de delitos informáticos que existen actualmente y que se refieren a este tipo de conducta que son los fraudes informát icos, a cont inuació n se detallan estos tipos de delitos:

LOS DAT OS FAL SOS O ENGAÑOSOS (Data diddling), co nocido

también co mo introducció n de datos falsos, es una manipulació n de datos de entrada al co mputador con e l fin de producir o lograr mo vimientos falsos en transaccio nes d e una empresa. Este tipo de fraude informát ico conocido

25 _{PAR ASIT ISMO INFORMÁTICO (PIGGYBACKI NG) Y SUPL ANT ACIÓN DE}

PERSONALIDAD (IMPERSONAT ION), fi guras en qu e co ncur san a l a v ez l os

delitos de suplantaci ón de per sonas o nombre s y el e spionaje, entre otro s delitos. En e stos c asos, el delincuente utiliza l a suplantaci ón de per sona s para com eter otro delito inf orm ático. Para ello se pr ev ale de artim añas y engaños tendientes a obt ener, v ía suplantaci ón, el acceso a los sistem as o códi gos pri v ados de utilización de ci ertos pr ogram as gener alm ente reserv ados a personas en las que se ha depositado un niv el de conf ianza im portante en razón de su cap aci dad y posici ón al interi or de una orga nización o em pre sa determ inada.

(26)

también co mo manipulación de datos de entrada, represent a el delito informático más co mún ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de infor mát ica y puede realizar lo cualquier perso na que tenga acceso a las funcio nes nor males de procesamiento de datos en la fase de adquisició n de los mismo s.

MANIP ULACIÓN DE PROGRAMAS O LOS “CABALLOS DE TROYA”

(Troya Horses), Es muy difícil de descubrir y a menudo pasa inadvert ida debido a que el delincuente debe tener conocimientos técnicos co ncret os de informát ica. Este delit o consiste en mo dificar los programas exist entes en el sistema de co mputadoras o en insertar nuevos programas o nueva s rutinas. Un método común ut ilizado por las personas qu e tienen conocimientos especia lizados en programació n informát ica es el deno minado Caballo de Troya que consist e en insertar instruccio nes de co mputadora de forma encubierta en un pro grama informático para que pueda realizar una funció n no autorizada al mismo t iempo que su func ió n normal.

LA TÉCNICA DEL SALAMI (Salami Technique/Rounching

Down), Apro vecha las repet icio nes automáticas de lo s pro cesos de có mputo. Es una técnica especializada que se deno mina “técnica del salchichó n” en la que “rodajas mu y finas” apenas percept ibles, de transacciones financieras, se van sacando repet idamente de una cuenta y se transfieren a otra. Y consiste en introducir al programa unas instruccio nes para que remit a a una determinada cuenta los cént imo s de dinero de muchas cuentas corrientes.

FALSIF ICACIONES INF ORMÁTICAS: Como objeto: Cuando se

alteran datos de lo s documentos almacenados en forma co mputarizada. Como instrumentos: Las co mputadoras pueden ut ilizarse también para efectuar fa lsificacio nes de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras co mputarizadas en color basándose e n rayos láser surgió una nueva generació n de falsificacio nes o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer reproduccio nes de alta reso lució n, pueden modificar documentos e incluso pueden crear documentos falso s sin tener que recurrir a un original, y lo s documentos que producen son de tal calidad que só lo un experto puede diferenciarlos de lo s documentos autént icos.

MANIP ULACIÓN DE L OS DATOS DE SALIDA.- Se efectúa fijando

un o bjet ivo al funcionamiento del sistema informático. E l ejemplo más común es el fraude de que se hace ob jeto a lo s cajeros auto mát icos mediante la falsificació n d e instruccio nes para la computadora en la fase de adquisició n

(27)

de datos. Tradicionalmente esos fraudes se hacían basándose en tarjetas bancarias robadas, sin embargo, en la actualidad se usan amp liamente equipo y programas de co mputadora especializados para codificar informació n electrónica falsificada en las bandas magnét icas de las tarjetas bancar ias y de las tarjetas de crédito.

Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gest ió n de recursos informáticos y de comunicacio nes. Por ejemplo, e l intruso podría supr imir todos los mensajes dirigidos a una determinada ent idad o se podría interr umpir el servicio de una red inundándo la con mensajes espur io s. Entre estos ataques se encuentran lo s de denegació n de servic io26_{, consistentes en para lizar}

temporalmente el servicio de un servidor de co rreo, Web, FTP, et c.

7.- Procedimiento de Operaciones Estándar

Cuando se va revisar una escena del crimen del t ipo informático es necesario tener en cuenta un procedimiento de operacio nes estándar (POE), el mis mo que es el conjunto de pasos o etapas que deben realizarse de forma ordenada al mo mento de recolectar o examinar la evidencia digit al. Esta serie de procedimientos se utilizan para asegurar que toda la evidencia recogida, preservada, ana lizada y filtrada se la haga de una manera transparente e integra. La transparencia y la integridad metodológica (estabilidad en el t iempo de lo s métodos cient íficos ut ilizados) se requieren para evit ar errores, a fin de cert ificar que los me jores métodos son usados, incrementado cada vez la posibilidad de que dos examinadores forenses lleguen al mismo dictamen o conclusió n cuando ellos analicen la misma evidencia por separado. A esto se lo conoce como reexaminació n.

Una de las me jores Guías Práct icas de manejo de evidencia digit al es la de lo s Jefes y o fic iales de Policía del Reino Unido publicada en 1999, en base a los princip ios de la Organizació n Internacio nal de Evidencia Informática (SWGDE).

Estos princip ios establecen lo sigu iente:

26 _A_{T A Q UE S D E D E NE G A C I Ó N DE} _S_{E R V I C I O}_{: Estos ataques se basan en uti lizar l a}

m ayor cantidad posible de r ecur sos del si stem a objetiv o, de m anera qu e nadie m ás pueda u sarl os, perj udican do a sí seri am ente la actuaci ón del sistem a, especialm ente si debe dar serv ici o a m ucho usuari os Ej em plos típicos de est e ataque son: el consum o de m em ori a de la m áquina v íctim a, hasta que se produc e un er ror general en el sistem a por f alta de mem ori a, l o que la d eja f uera de serv ici o, la apertura de cientos o mi les de v entanas, con el fin de que se pierda el f oco del ratón y del teclado, de m anera que l a m áquina ya no responde a pulsaciones de tecl as o de los botones del ratón, siendo así totalm ente inutilizada, en m áquinas que deban f unci onar i ninterrum pidam ente, cual quier i nterrupci ón en su serv ici o por ataques de este ti po puede acarr ear consecuencias desastrosas.