La Importancia de la Obtención, Análisis y Custodia de las Evidencias Electrónicas en un Proceso Judicial
La Importancia de la Obtención, Análisis y Custodia de las Evidencias Electrónicas en un Proceso Judicial
(Imagen: el blog de DIGI)
EN BREVE: "Uno de los pilares de un Estado de Derecho es la seguridad jurídica como garante de los derechos individuales de sus ciudadanos. Por ello, cuando existe un proceso judicial, se ha de asegurar de forma inequívoca que las pruebas digitales presentadas ante el juez no sólo son veraces, sino que se han obtenido de acuerdo al marco legal. Sin embargo, la falta de regulación en el marco jurídico español sobre la evidencia digital, hace que sea necesario recurrir a las mejores prácticas de los especialistas en tecnología forense para garantizar la fiabilidad, exactitud y legalidad de las pruebas presentadas."
1. Introducción.
Pongamos un caso hipotético: En una investigación se quiere realizar una copia de un disco duro externo de un sospechoso teniendo como testigo a un Secretario Judicial o un notario. El investigador entra en el ordenador del sospechoso, realiza una copia normal de todos los archivos que ve en el disco mientras el testigo supervisa el proceso y sella la evidencia al finalizar dicha copia. En este caso, donde puede parecer que se han tomado todas las precauciones para la obtención de una prueba digital, un especialista en tecnología forense podría ver, entre otros, los siguientes riesgos en el proceso:
1. Pérdida de información relevante. Por ejemplo, se ha perdido la información temporal del sistema de ficheros del disco duro origen de los datos, no tenemos rastro de elementos borrados o no podemos ver si el disco duro ha sufrido un proceso de borrado seguro.
2. Posible alteración del disco duro original, al no haber utilizado herramientas de hardware o software que garanticen que no se altera el disco duro origen al realizar una copia.
3. Posible corrupción de los datos a la hora de realizar la copia (por posible infección del ordenador de origen).
4. No existe forma de saber que no se ha alterado la información contenida en la evidencia, pues se pueden modificar tanto el contenido de los archivos como la información del propio archivo (autor, creación, modificación, localizaciones donde ha estado almacenado el archivo…)
5. No hay forma de saber que no se ha realizado una copia selectiva del disco duro.
También la cadena de custodia y el tratamiento de las pruebas obtenidas son claves en el proceso de investigación. Por ello, es de vital importancia seguir una metodología y procedimientos rigurosos que garanticen en todo momento la validez y exactitud de las pruebas, así como el derecho fundamental a la privacidad de las personas.
Asimismo, el análisis forense de las evidencias es crítico y pueden existir muchas diferencias entre el análisis de un tecnólogo forense y la simple revisión de la información contenida en un disco duro.
En Ernst & Young usamos una metodología contrastada a nivel nacional e internacional que garantiza estos derechos y que está basada en la aplicación de técnicas avanzadas de informática y análisis forense de la información. A continuación expondré algunos puntos claves de dichas metodologías para ilustrar cómo se garantizan los derechos del ciudadano a la hora de llevar una investigación.
2. Obtención de la evidencia.
A la hora de obtener una evidencia hay que tener en cuenta muchos factores que pueden ser de interés en el transcurso de la investigación o que sean relevantes para la misma. En función de dichos factores, la actuación técnica puede variar y ser muy compleja, por lo que es necesario seguir unos procedimientos establecidos para cada caso con el fin de evitar errores y documentar todo el proceso de obtención de evidencias, incluidas aquellas peculiaridades, incidencias o eventualidades surgidas en dicho proceso. Así, puede ser necesario fotografiar los dispositivos conectados a un ordenador con el objeto de que pasen a formar parte de la investigación, extraer los "logs" del sistema en vivo o forzar un volcado de la memoria física del mismo para analizarla posteriormente (ver procesos en ejecución, extraer ficheros que estaban abiertos y en la memoria volátil, etc.).
Durante el proceso de adquisición (llamado así a la fase de obtención de la evidencia en terminología forense), se han de completar una serie de documentos que contienen información del dispositivo informático objeto de la adquisición, de las técnicas utilizadas y del propio proceso, amén de información sobre el tratamiento y numeración interna que desde Ernst & Young damos a la evidencia. Si volvemos al ejemplo del disco duro externo, obtendríamos, entre otros datos, la marca, el modelo, el número de serie, el número de sectores o la hora del reloj interno. Por último, completaríamos esta documentación con otros datos como la hora de inicio y de fin de la adquisición, las técnicas utilizadas, así como las herramientas empleadas. Esta información es importante para garantizar que el proceso ha sido el adecuado y que la evidencia que se obtiene del disco duro no ha sido alterada.
Las herramientas de hardware y software que utilizamos para adquirir una evidencia garantizan que la información del dispositivo original no es alterada en el proceso de adquisición. El resultado de este proceso es típicamente una imagen forense, esto es, una colección de archivos que son una copia bit a bit del disco duro y que, por ello, nos permiten realizar una reconstrucción del mismo sin posibilidad de pérdida o alteración de la información. Esta imagen está firmada digitalmente, lo que quiere decir que se le ha aplicado un algoritmo para identificar de manera inequívoca el estado de ese disco duro en el momento en que se adquirió, con lo que cualquier intento de alteración de la imagen quedaría evidenciado pues la firma sería distinta.
Como parte de nuestra metodología y para asegurar que cumplimos con nuestros estándares de calidad, realizamos una verificación doble de la imagen: por un lado física (la firma digital de la imagen coincide con la obtenida en la adquisición y el número de sectores es el mismo que el del disco duro); y, por otro, lógica (es posible acceder a las estructuras lógicas del ordenador contenidas en la imagen), tras lo cual el resultado del proceso queda reflejado en los documentos de adquisición. También es necesario reseñar que durante la adquisición de la evidencia generamos copias de seguridad, que también tienen que ser verificadas, por si surgiera cualquier eventualidad.
La evidencia obtenida y su copia de seguridad son etiquetadas y numeradas como parte del seguimiento que se hace de la evidencia para documentar la Cadena de Custodia, concepto que trataremos en el siguiente punto.
Un elemento clave en el proceso de adquisición de la evidencia es que éste debe ser supervisado por un testigo que garantice que no modificamos la evidencia y por el responsable del equipo de tecnología forense para asegurar que el trabajo realizado se corresponde con nuestra metodología y requisitos de calidad. Una vez finalizada la adquisición, se genera un "Acta de Obtención de la Evidencia" con toda esta información y con las firmas del equipo de Ernst & Young, del testigo y de la persona de la empresa que ha proporcionado el dispositivo o el fichero informático.
En determinadas ocasiones y dependiendo de la política de uso de los sistemas de información del cliente, se puede pedir a la persona objeto de la investigación que firme una carta de consentimiento donde se especifique el motivo de la adquisición y el tratamiento que se va a realizar de su información.
3. Cadena de custodia y almacenamiento de los datos.
Desde el mismo momento que se nos proporciona el dispositivo o fichero que será objeto de la investigación, comenzamos a documentar la "Cadena de Custodia". Ésta no es más que el registro e identificación cronológica del receptor, creación, posesión, transferencia, localización, desplazamiento y/o disposición de la evidencia. De este modo, podemos tener un seguimiento de quién ha tenido la evidencia en qué momento y por qué.
Cualquier hecho que afecte a la cadena de custodia ha de ser reflejado en el documento oportuno y firmado por las personas que están involucradas en el cambio.
El almacenamiento de las evidencias debe estar perfectamente registrado, al igual que las medidas de seguridad de las mismas, tanto físicas como de conservación, puesto que la información contenida en las evidencias es muy sensible.
4. Análisis forense de la información.
Como ya se ha explicado anteriormente, el objetivo primordial de la utilización de las técnicas y seguimiento de las metodologías es preservar los derechos de la persona que está siendo investigada. Por ello, cuando se realiza un análisis del disco duro no se puede hacer de forma arbitraria o accediendo a contenidos en concreto del ordenador, sino que son necesarios unos procedimientos apoyados por técnicas y herramientas que garanticen la privacidad de los datos personales y que la información que contiene el disco duro no ha sido alterada de modo alguno. Para ello en Ernst & Young utilizamos sistemas de búsquedas ciegas que permiten al analista extraer de las evidencias únicamente aquella información relevante para la investigación salvaguardando los derechos fundamentales de privacidad de la información y de los datos de carácter personal que pudieran contener las evidencias.
Desde el punto de vista metodológico, se establecen unos criterios de búsqueda en función de cada caso que servirán para extraer la información relevante de aquello que se está investigando. Se pueden analizar únicamente determinados tipos de documentos, extraer aquella información que tenga unos términos determinados, que haya sido accedida o creada en el disco en un intervalo de tiempo determinado, grupos de documentos parecidos en función de cálculos estadísticos, documentos que hablen de determinados temas mediante la aplicación de algoritmos de Inteligencia Artificial, etc.
5. Recuperación de la información borrada.
Desde el punto de vista técnico, el empleo de herramientas de tecnología forense permite un amplio espectro de posibilidades. Entre otras acciones, se puede reconstruir la información que haya sido borrada; recuperar la información de los archivos temporales en el PC; acceder a determinadas partes del disco duro donde no se escribe de forma habitual la información; seguir el rastro de un documento en el disco; identificar los programas que ha ejecutado o ha tenido instalado en el ordenador y cuándo ha sido su última ejecución; buscar el rastro que evidencie un borrado seguro de una parte del disco duro; buscar archivos o información oculta dentro de otros archivos; extraer toda la información no visible que contienen, por ejemplo, documentos ofimáticos (versiones, creador del documento, fechas de creación del documento y en el sistema de archivos, versiones del documento, etc.).
Los resultados obtenidos en cada fase de la metodología de análisis son también registrados, identificados y almacenados en un directorio individual propio de la investigación. Asimismo, se identifica el profesional que ha analizado la información, las técnicas empleadas así como los procedimientos utilizados en dicha fase para la obtención de dichos resultados. Toda esta documentación se elabora con el objetivo, de reconstruir el trabajo del investigador en caso de que sea necesario.
6. Conclusión.
A lo largo del presente artículo se han tratado aspectos clave para garantizar los derechos individuales de las personas en una investigación que contiene evidencias digitales. Estos aspectos deben estar reflejados en unas metodologías y procedimientos que estén respaldados por las herramientas de hardware y software más avanzadas de tecnología forense y los especialistas más experimentados.
Todo ello contribuye a garantizar los derechos de la persona que está siendo objeto de la investigación, y ayudan a minimizar los riesgos en cada una de sus fases:
1. En la práctica, una imagen forense garantiza que tenemos todo el contenido del ordenador (no sólo la información visible a simple vista) y que éste no puede ser alterado sin que quede evidencia. Además, podemos analizar no ya el contenido, sino los datos que describen dicho contenido. Parte de esta información se perdería o alteraría si únicamente se realizase una copia normal.
2. Mediante el análisis con herramientas especializadas y la técnica de "búsquedas ciegas" garantizamos el derecho a la intimidad de las personas, puesto que no revisamos todo el contenido de un ordenador, sino que únicamente extraemos aquella información relevante para la investigación. Ello, unido al conocimiento y experiencia en multitud de investigaciones de nuestros especialistas, nos permiten conseguir los mejores resultados en el análisis de evidencias digitales.
3. Mediante la documentación generada en cada fase de la metodología tenemos toda la información necesaria para garantizar que la prueba no ha sido alterada, pues se registran los procedimientos, quién los ha llevado a cabo junto a la información del dispositivo original y su localización en cada momento de la investigación.
Si bien pudiera parecer que el control es excesivo y que la documentación generada es demasiado pesada, hay que tener en consideración que el fin último de una investigación en el marco de un proceso judicial es presentar el resultado del análisis de la evidencia ante un juez y, por lo tanto, el compromiso con la calidad y la garantía del respeto a los derechos de la persona objeto de la investigación debe ser máxima.
Autores: Ricardo Noreña, Socio Responsable de Forensic de Ernst & Young, y Raúl del Águila, Especialista en Tecnología Forense de Ernst & Young.
Si desea leer el Artículo en formato PDF puede hacerlo abriendo el Documento Adjunto.
...