Cuando
nos encontramos con la escena de un delito informático debemos
cumplir con los siguientes principios:
Principios
Básicos
1.
El investigador no debe acudir solo al lugar de los hechos. Un
segundo funcionario, por un lado, aporta seguridad personal y, por
otro, ayuda a captar más detalles del lugar de los hechos. Los
funcionarios deberían planear y coordinar sus acciones. Si surgen
problemas inesperados, es más fácil resolverlos porque “dos
cabezas piensan más que una.
2.
Ninguna acción debe tomarse por parte de los investigadores que
cambie o altere la información almacenada dentro de un sistema
informático o medios magnéticos, a fin de que esta sea presentada
fehacientemente ante un tribunal.
3.
En circunstancias excepcionales una persona competente puede tener
acceso a la información original almacenada en el sistema
informático objeto de la investigación, siempre que después se
explique detalladamente y de manera razonada cual fue la forma en la
que se produjo dicho acceso, su justificación y las implicaciones de
dichos actos.
4.
Se debe llevar una bitácora de todos los procesos adelantados en
relación a la evidencia digital. Cuando se hace una revisión de un
caso por parte de una tercera parte ajena al mismo, todos los
archivos y registros de dicho caso y el proceso aplicado a la
evidencia que fue recolectada y preservada, deben permitir a esa
parte recrear el resultado obtenido en el
primer
análisis.
5.
El Fiscal del Caso y/o el oficial a cargo de la investigación son
responsables de garantizar el cumplimiento de la ley y del apego a
estos principios, los cuales se aplican a la posesión y el acceso a
la información almacenada en el sistema informático. De igual forma
debe asegurar que cualquier persona que acceda a o copie dicha
información cumpla con la
ley
y estos principios.
Principios
del Peritaje
1.
OBJETIVIDAD: El perito debe ser objetivo, debe observar los códigos
de ética profesional.
2.
AUTENTICIDAD Y CONSERVACIÓN: Durante la investigación, se debe
conservar la autenticidad e integridad de los medios probatorios
3.
LEGALIDAD: El perito debe ser preciso en sus observaciones, opiniones
y resultados, conocer la legislación respecto de sus actividad
pericial y cumplir con los requisitos establecidos por ella.
4.
IDONEIDAD: Los medios probatorios deben ser auténticos, ser
relevantes y suficientes para el caso.
5.
INALTERABILIDAD: En todos los casos, existirá una cadena de custodia
debidamente asegurada que demuestre que los medios no han sido
modificados durante la pericia.
6.
DOCUMENTACIÓN: Deberá establecerse por escrito los pasos dados en
el procedimiento pericial
Estos
principios deben cumplirse en todas las pericias y por todos los
peritos involucrados
Reconocimiento
de la Evidencia Digital
Es
importante clarificar los conceptos y describir la terminología
adecuada que nos señale el rol que tiene un sistema informático
dentro del iter criminis o camino del delito. Esto a fin de encaminar
correctamente el tipo de investigación, la obtención de indicios y
posteriormente los elementos probatorios necesarios para sostener
nuestro caso. Es así que por ejemplo, el procedimiento de una
investigación por homicidio que tenga relación con evidencia
digital
será
totalmente distinto al que, se utilice en un fraude informático, por
tanto el rol que cumpla el sistema informático determinara DONDE
DEBE SER UBICADA Y COMO DEBE SER USADA LA EVIDENCIA.
Ahora
bien para este propósito se han creado categorías a fin de hacer
una necesaria distinción entre el elemento material de un sistema
informático o hardware (evidencia electrónica) y la información
contenida en este (evidencia digital). Esta distinción es útil al
momento de diseñar los procedimientos adecuados para tratar cada
tipo de evidencia y crear un paralelo entre una escena física del
crimen y una digital. En este contexto el hardware se refiere a todos
los componentes físicos de un sistema informático, mientras que la
información, se refiere a todos los datos, programas almacenados y
mensajes de datos trasmitidos usando el sistema informático.
Clases
de Equipos Informáticos y Electrónicos
Las
fuentes de evidencia digital pueden ser clasificadas en tres grande
grupos:
SISTEMAS
DE COMPUTACIÓN ABIERTOS, son aquellos que están compuestos de las
llamadas computadores personales y todos sus periféricos como
teclados, ratones y monitores, las computadoras portátiles, y los
servidores. Actualmente estos computadores tiene la capacidad de
guardar gran cantidad de información dentro de sus discos duros, lo
que los convierte en una gran fuente de evidencia digital.
SISTEMAS
DE COMUNICACIÓN, estos están compuestos por las redes de
telecomunicaciones, la comunicación inalámbrica y el Internet. Son
también una gran fuente de información y de evidencia digital.
SISTEMAS
CONVERGENTES DE COMPUTACIÓN, son los que están formados por los
teléfonos celulares llamados inteligentes o SMARTPHONES, los
asistentes personales digitales PDAs, las tarjetas inteligentes y
cualquier otro aparato electrónico que posea convergencia digital y
que puede contener evidencia digital.
Dada
la ubicuidad de la evidencia digital es raro el delito que no esté
asociado a un mensaje de datos guardado y trasmitido por medios
informáticos. Un investigador entrenado puede usar el contenido de
ese mensaje de datos para descubrir la conducta de un infractor,
puede también hacer un perfil de su actuación, de sus actividades
individuales y relacionarlas con sus víctimas.
Incautación
de Equipos Informáticos o Electrónicos
Si
el investigador presume que existe algún tipo evidencia digital en
algún aparato electrónico o en algún otro soporte material
relacionado con el cometimiento de una infracción. Este debe pedir
la correspondiente autorización judicial para incautar dichos
elementos, de igual forma debe tener la autorización judicial para
acceder al contenido guardado, almacenado y generado por dichos
aparatos.
Antes
de realizar un allanamiento e incautación de Equipos Informáticos o
Electrónicos se debe tomar en cuenta lo siguiente:
1.
¿A qué horas debe realizarse?
Para
minimizar destrucción de equipos, datos
El
sospechoso tal vez estará en línea
Seguridad
de investigadores
2.
Entrar sin previo aviso
Utilizar
seguridad
Evitar
destrucción y alteración de los equipos, o la evidencia contenida
en esta.
3.
Materiales previamente preparados (Cadena de custodia)
Embalajes
de papel
Etiquetas
Discos
y disquetes vacíos
Herramienta
Cámara
fotográfica
4.
Realizar simultáneamente los allanamientos e incautación en
diferentes sitios
Datos
pueden estar en más de un lugar, sistemas de red, conexiones
remotas.
5.
Examen de equipos
6. Aparatos
no especificados en la orden de allanamiento
7.
Creación de Respaldos en el lugar, creación de imágenes de datos.
Autorización
para duplicar, reproducir datos encontrados (por ejemplo, un
aparato
contestador)
8.
Fijar/grabar la escena
Cámaras,
videos, etiquetas
9. Códigos/claves de acceso/contraseñas
10.
Buscar documentos que contienen información de acceso, conexiones
en redes, etc.
11.
Cualquier otro tipo de consideración especial (consideraciones de la
persona involucrada: médicos, abogados, información privilegiada,
etc.)
En
la Escena del Delito
Los
Investigadores que llegan primero a una escena del crimen tienen
ciertas responsabilidades, las cuales resumimos en el siguiente
cuadro:
OBSERVE
Y ESTABLEZCA LOS PARÁMETROS DE LA ESCENA DEL DELITO: El primero en
llegar a la escena, debe establecer si el delito está todavía en
progreso, luego tiene que tomar nota de las características físicas
del área circundante. Para los investigadores forenses esta etapa
debe ser extendida a todo sistema de información y de red que se
encuentre dentro de la escena. En estos casos dicho sistema o red
pueden ser blancos de un inminente o actual ataque como por ejemplo
uno de denegación de servicio (DoS).
INICIE
LAS MEDIDAS DE SEGURIDAD: El objetivo principal en toda investigación
es la seguridad de los investigadores y de la escena. Si uno observa
y establece en una condición insegura dentro de una escena del
delito, debe tomar las medidas necesarias para mitigar dicha
situación. Se deben tomar las acciones necesarias a fin de evitar
riesgos eléctricos, químicos o biológicos, de igual forma
cualquier actividad criminal.
ASEGURE
FÍSICAMENTE LA ESCENA: Esta etapa es crucial durante una
investigación, se debe retirar de la escena del delito a todas las
personas extrañas a la misma, el objetivo principal es el prevenir
el acceso no autorizado de personal a la escena, evitando así la
contaminación de la evidencia o su posible alteración.
ASEGURE
FÍSICAMENTE LAS EVIDENCIAS: Este paso es muy importante a fin de
mantener la cadena de custodia de las evidencias, se debe guardar y
etiquetar cada una de ellas. En este caso se aplican los principios y
la metodología correspondiente a la recolección de evidencias de
una forma práctica. Esta recolección debe ser realizada por
personal entrenado en manejar, guardar y etiquetar evidencias.
ENTREGAR
LA ESCENA DEL DELITO: Después de que se han cumplido todas las
etapas anteriores, la escena puede ser entregada a las autoridades
que se harán cargo de la misma. Esta situación será diferente en
cada caso, ya que por ejemplo en un caso penal será a la Policía
Judicial o al Ministerio Público; en un caso corporativo a los
Administradores del Sistema. Lo esencial de esta etapa es verificar
que todas las evidencias del caso se hayan recogido y almacenado de
forma correcta, y que los sistemas y redes comprometidos pueden
volver a su normal operación.
ELABORAR
LA DOCUMENTACIÓN DE LA EXPLOTACIÓN DE LA ESCENA: Es Indispensable
para los investigadores documentar cada una de las etapas de este
proceso, a fin de tener una completa bitácora de los hechos
sucedidos durante la explotación de la escena del delito, las
evidencias encontradas y su posible relación con los sospechosos. Un
investigador puede encontrar buenas referencias sobre los hechos
ocurridos en las notas recopiladas en la explotación de la escena
del Delito.
Reconstrucción
de la Escena del Delito
La
reconstrucción del delito permite al investigador forense comprender
todos los hechos relacionados con el cometimiento de una infracción,
usando para ello las evidencias disponibles. Los indicios que son
utilizados en la reproducción del Delito permiten al investigador
realizar tres formas de reconstrucción a saber:
Reconstrucción
Relacional, se hace en base a indicios que muestran la
correspondencia que tiene un objeto en la escena del delito y su
relación con los otros objetos presentes. Se busca su interacción
en conjunto o entre cada uno de ellos;
Reconstrucción
Funcional, se hace señalando la función de cada objeto dentro de la
escena y la forma en que estos trabajan y como son usados;
Reconstrucción
Temporal, se hace con indicios que nos ubican en la línea temporal
del cometimiento de la infracción y en relación con las evidencias
encontradas.
Qué
hacer al encontrar un dispositivo informático o electrónico
No
tome los objetos sin guantes de hule, podría alterar, encubrir o
hacer desaparecer las huellas dactilares o adeníticas existentes en
el equipo o en el área donde se encuentra residiendo el sistema
informático.
Asegure
el lugar.
Asegure
los equipos. De cualquier tipo de intervención física o electrónica
hecha por extraños.
Si
no está encendido, no lo encienda (para evitar el inicio de
cualquier tipo de programa de autoprotección
Verifique
si es posible el Sistema Operativo a fin de iniciar la secuencia de
apagado a fin de evitar pérdida de información.
Si
usted cree razonablemente que el equipo informático o electrónico
está destruyendo la evidencia, debe desconectarlo inmediatamente.
Si
está encendido, no lo apague inmediatamente (para evitar la pérdida
de información “volátil”)
-
SI ES POSIBLE, LLAME UN TÉCNICO.
Cuando
no hay técnico:
No
use el equipo informático que está siendo investigado, ni intente
buscar evidencias sin el entrenamiento adecuado.
Si
está encendido, no lo apague inmediatamente.
Si
tiene un “Mouse”, muévalo cada minuto para no permitir que la
pantalla se cierre o se bloqueé.
Si
una Computadora Portátil (Laptop) no se apaga cuando es removido el
cable de alimentación, localice y remueva la batería, esta
generalmente se encuentra debajo del equipo, y tiene un botón para
liberar la batería del equipo. Una vez que está es removida debe
guardarse en un lugar seguro y no dentro de la misma máquina, a fin
de prevenir un encendido accidental.
Si
el aparato está conectado a una red, anote los números de conexión,
(números IP).
Fotografíe
la pantalla, las conexiones y cables
Usar
bolsas especiales antiestática para almacenar diskettes, discos
rígidos, y otros dispositivos de almacenamiento informáticos que
sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de
papel madera). Evitar el uso de bolsas plásticas, ya que pueden
causar una descarga de electricidad estática que puede destruir los
datos.
Coloque
etiquetas en los cables para facilitar reconexión posteriormente
Anote
la información de los menús y los archivos activos (sin utilizar el
teclado) Cualquier movimiento del teclado puede borrar información
importante.
Si
hay un disco, una disquete, una cinta, un CD u otro medio de
grabación en alguna unidad de disco o grabación, retírelo,
protéjalo y guárdelo en un contenedor de papel
Bloqueé
toda unidad de grabación con una cinta, un disco o un disquete vacío
aportado por el investigador (NO DEL LUGAR DE LOS HECHOS). Al
utilizar algún elemento del lugar del allanamiento o de los hechos,
se contamina un elemento materia de prueba con otro.
Selle
cada entrada o puerto de información con cinta de evidencia
De
igual manera deben selle los tornillos del sistema a fin de que no se
puedan remover o reemplazar las piezas internas del mismo.
Desconecte
la fuente de poder
Quite
las baterías y almacénela de forma separada el equipo (si funciona
a base de baterías o es una computadora portátil)
Mantenga
el sistema y medios de grabación separados de cualquier tipo de
imán, o campo magnético
Al
llevar aparatos, anote todo número de identificación, mantenga
siempre la CADENA DE CUSTODIA
Lleve
todo cable, accesorio, conexión
Lleve,
si es posible, manuales, documentación, anotaciones
Tenga
en cuenta que es posible que existen otros datos importantes en
sistemas periféricos, si el aparato fue conectado a una red, por
tanto desconecte el cable de poder de todo hardware de Red (Router,
modem, Swich, Hub).
Si
el equipo es una estación de trabajo o un Servidor (conectado en
red) o está en un negocio, el desconectarla puede acarrear (SIEMPRE
CONSULTE A UN TÉCNICO EXPERTO EN REDES):
Daño
permanente al equipo
Responsabilidad
Civil para el investigador
Interrupción
ilegal del giro del negocio.
