El arte de la computación forense
| Autor | Carlos Álvarez Cabrera |
| Cargo | Presidente de la Asociación Colombiana de Seguridad de la Información |
-
Introducción
En la mayoría de las organizaciones de hoy existen sistemas de seguridad informática que pretenden evitar el acceso, la lectura, la modificación, la destrucción y la publicación no autorizada de información privilegiada. En este sentido, las medidas de seguridad implementadas en la mayoría de los casos buscan, simplemente, levantar controles de acceso físico (biometría, smart cards o similares) o virtual (firewalls).
Las inversiones necesarias para acceder a esta tecnología suelen ser de cuantías importantes, y sobre ellas, reposa la tranquilidad de los directivos y los encargados de la seguridad de la información. Sin embargo, suelen no ser suficientes para que ante un incidente grave de seguridad (un hack[1] exitoso, por ejemplo), se lleve a cabo un proceso judicial en contra del presunto delincuente.
Esto se explica con un ejemplo sencillo: un empleado accede a contenido pornográfico desde su puesto de trabajo, en su horario de trabajo, en el equipo que le fue asignado por la empresa y a través de las redes de la misma. El empleado es detectado por los funcionarios de Seguridad Informática quienes, estudiando los logs[2] del proxy[3], alertan tanto al superior del infractor como a la gerencia de recursos humanos. Para demostrar la actividad ilícita del empleado, los encargados usan una impresión de los mencionados logs y, ante la claridad de la evidencia, el empleado es expulsado de la compañía sin recibir indemnización alguna. Con el obvio dolor por haber perdido su puesto de trabajo, inicia un proceso judicial en contra de su ex empleador.
En el juicio, su argumento consiste en alegar y demostrar que los logs, siendo archivos de texto, son modificables y que, por esta razón, bien pudieron ser alterados malintencionadamente por los oficiales de seguridad de la información, con quienes había tenido una muy reciente discusión. El juez le da la razón al ex empleado y la compañía se ve en la obligación de pagarle una cuantiosa indemnización y de resarcir el daño causado a su buen nombre, puesto que su caso fue ampliamente difundido entre sus ex compañeros de trabajo ?para tomaran escarmiento?. La compañía perdió el pleito por no cumplir satisfactoriamente las reglas que rigen la recolección, el análisis y la presentación de la evidencia digital.
En la mayoría de estos casos, los funcionarios judiciales de los países en vías de desarrollo no cuentan ni con la preparación ni con la tecnología requeridos para manejar adecuadamente la evidencia digital. Por esta razón, y teniendo en cuenta que las autoridades estadounidenses llevan la delantera en la investigación de delitos de alta tecnología, es indispensable, al menos inicialmente, que esos países integren en sus casos particulares, tanto las mejores prácticas en el manejo de esta clase de pruebas, como los criterios para lograr su admisibilidad judicial, según los parámetros ofrecidos por la jurisprudencia de la Corte Suprema norteamericana.
El presente escrito pretende explorar algunos de los aspectos funda-mentales de la computación forense desde la perspectiva legal, particular-mente en su relación con la aceptación de la evidencia digital por parte de un juez. Para el efecto, se entrará en el análisis de la jurisprudencia estadouni-dense que guía la materia y que, en el contexto internacional, marca un estándar a ser tenido en cuenta por parte de los funcionarios judiciales y del sector privado.
De esta forma, se analizará el Test de Daubert, que establece los criterios que debe cumplir la evidencia digital para ser aceptada por un juez de ese país, partiendo de un breve recuento del caso para acercarnos a la aplicación de los principios que éste establece y luego analizar la audiencia Daubert, en la que el juez, antes del juicio, decide si la evidencia es admisible o no. Finalizaremos con una perspectiva de la situación actual de los países en vías de desarrollo frente al tema de la computación forense.
-
Generalidades del proceso forense digital
-
Introducción al proceso forense[4]
Resumiendo genéricamente las mejores prácticas en esta materia, aunaremos las opiniones que al respecto presentan la Organización Internacional de Evidencia Computacional[5], el Scientific Work Group on Digital Evidence[6] la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de los Estados Unidos de América[7] y otras autoridades mundiales en la materia[8].
El proceso forense en materia de evidencia digital, a muy grandes rasgos, se divide en tres momentos: la recolección de la evidencia, su análisis y su presentación. En la recolección, primero que todo, debe el investigador asegurarse de no modificar la información contenida en el medio magnético usando programas confiables de generación de copias exactas de la información contenida en él, como EnCase, ProDiscover IR, Acronis True Image, Drive Image y otros; la exactitud de las copias obtenidas se define mediante el cálculo del checksum de cada archivo copiado mediante la aplicación de un algoritmo, generalmente el MD5. Al aplicar el algoritmo se obtiene un hash (identificación única para cada archivo) y se comparan, entonces, el hash del archivo original con el hash del archivo de copia (así para cada uno de los miles de archivos que puede contener el medio magnético); al encontrar que los hashes coinciden se concluye que la copia es exacta. Obtenida una copia maestra del medio magnético original, de ésta se deben obtener, cuando menos, dos copias adicionales, también verificadas mediante la comparación de los hashes. La copia maestra debe ser guardada en un contenedor antiestático y al vacío, y entregada a quien tendrá el papel de custodio para que proceda a asegurarla bajo llave.
En este punto se da inicio a la segunda fase del procedimiento forense: el análisis del medio magnético; éste se debe realizar sobre las copias verificadas que se obtuvieron a partir de la copia maestra. En ellas el investigador puede ya utilizar herramientas de búsqueda profunda de datos, de recuperación de archivos borrados o sobre escritos, de desencriptación, propiamente forenses[9] e, incluso, aplicaciones comunes de oficina.
En la etapa de presentación deben el investigador, el abogado y el fiscal tener en cuenta normas de estrategia como las presentadas por el National Center for Forensic Science[10], debiendo para el efecto determinar hasta qué punto deben capacitar a la audiencia en temas técnicos (al juez, por ejemplo), decidir sobre la conveniencia de pedir el testimonio de un experto, etc.
-
El First Responder
El First Responder[11] es el funcionario que tiene la gran responsabilidad de asegurar inicialmente la prueba digital, evitando, antes que nada, las caídas o cortes intencionales en el flujo de energía en el lugar registrado. Posteriormente, teniendo la certeza de que los usuarios de los equipos no están en contacto con ellos (un clic es suficiente para que se intente eliminar la evidencia y el proceso forense se prolongue innecesariamente); y, finalmente, ubicando todos los medios magnéticos en los que pueda haber evidencia necesaria (teléfonos celulares, computadores personales de escritorio, portátiles, de bolsillo, beepers, faxes, sistemas GPS, circuitos digitales y cerrados de televisión, controles digitales de acceso, etc.) y sabiendo de antemano cuáles pueden ser apagados y cuáles no, de acuerdo con las circunstancias[12].
Al proceder a recoger la evidencia contenida en los medios magnéticos correspondientes, si es un investigador preparado y bien dotado, simplemente hará uso de su kit forense[13], que le permitirá obtener las imágenes digitales exactas de la información sin modificarla (o realizando modificaciones documentadas y plenamente conocidas) y sin alterar la presencia de elementos probatorios tan tradicionales como las huellas digitales. Al tiempo, tendrá cuidado de dejar constancia exacta de todas las actividades que realice en el procedimiento, de manera que si su dictamen es controvertido, pueda él demostrar que efectivamente siguió las mejores prácticas aceptadas por la industria y que, por tanto, la evidencia que ha aportado al proceso puede ser aceptada por el juez[14].
-
Requerimientos de validez de la prueba digital
La cadena de custodia es el procedimiento que permite demostrar la forma en la que la evidencia fue recolectada, analizada y preservada, antes de ser presentada ante una corte. De la definición de una cadena adecuada y del cumplimiento de sus pasos depende la aceptación, por parte del juez, de la prueba dentro del proceso.
Joan Feldman y Rodger Kohn[15] afirman que, en materia de evidencia digital, la cadena de custodia debe probar como mínimo:
- que la información no ha sido modificada ni añadida;
- que se realizó una copia completa de los datos;
- que el proceso de copia utilizado es confiable; y,
- que todos los medios magnéticos fueron asegurados.
Frente a la necesidad de respetar la cadena, so pena de ver invalidadas las pruebas, resaltan algunas obligaciones que deben ser cumplidas. Estas se refieren, por ejemplo, a los requisitos que deben cumplir los logs para ser admitidos por un juez y a las expectativas de privacidad que guardan los ciudadanos frente al uso de los sistemas de información
En cuanto a los primeros, de acuerdo a lo establecido...
-
Para continuar leyendo
Solicita tu prueba