INFORMATICA CRIMINOLOGICA

EVIDENCIA DIGITAL.

Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informático • Susceptible de tratamiento digital

• Ejemplos:

– Documentos de Ofimática (Word, Excell, ...)

– Comunicaciones digitales: E-mails, SMSs, Fax, ...

– Imágenes digitales (fotos, videos...)

– Bases de Datos

Casey define la evidencia de digital como “cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre un crimen y su víctima o un crimen y su autor”. [Casey04] “Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático” [HBIT03] A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación crea problemas concernientes a la investigación del robo de secretos comerciales, como listas de clientes, material de investigación, archivos de diseño asistidos por computador, fórmulas y software propietario. Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales del disco, porque esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo checksums o hash MD5. Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar muestras del daño. Sin embargo, este problema es mitigado con algunas características que posee la evidencia digital.

• La evidencia de Digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Esto se hace comúnmente para no manejar los originales y evitar el riesgo de dañarlos.

• Actualmente, con las herramientas existentes, se muy fácil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada.

• La evidencia de Digital es muy difícil de eliminar. Aún cuando un registro es borrado del disco duro del computador, y éste ha sido formateado, es posible recuperarlo. • Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios.

Clasificación de la evidencia digital.

Cano clasifica la evidencia digital que contiene texto en 3 categorías.

· Registros generados por computador: Estos registros son aquellos, que como dice su nombre, son generados como efecto de la programación de un computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro.

· Registros no generados sino simplemente almacenados por o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales.

· Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los registros híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.

CADENA DE CUSTODIA INFORMÁTICA.

La cadena de custodia se constituye de hecho en un elemento que permite asegurar la confiabilidad de la información recolectada, que si bien implica la trazabilidad de la misma, no protege por sí sola al derecho a la privacidad. Este componente asegura que la prueba recolectada se pueda seguir metodológica y procesalmente desde su origen hasta su disposición final, pero nada dice respecto de la legalidad de la misma, mucho menos de su legitimidad. En efecto, la protección de la privacidad de la información no se conforma de manera exclusiva con la cadena de custodia. La privacidad requiere por supuesto confiabilidad, pero también respeto estricto de las normas procesales que resguardan el legítimo proceso asegurado constitucionalmente. Podríamos estar en presencia de una cadena de custodia bien realizada, con una trazabilidad adecuada, con preservación estricta criminalística, informática y procesal, pero que se haya realizado a partir de una acción ilegal o ilegítima. La condición de ilegalidad podría darse por falta de orden de allanamiento y secuestro previas a la recolección de prueba documental informática en una causa penal, y la ilegitimidad en el caso de la recolección de información propia, que excede los límites de lo permitido, accediendo no solo a la información estrictamente necesaria para asegurar la argumentación ofrecida, a efectos de justificar la pretensión litigada, resguardando otros elementos que nada tienen que ver con dicha cadena argumental-causal.

La cadena de custodia tiene como finalidad brindarle soporte veraz a la prueba digital ante el juez, en medio de lo que se conoce como el debido proceso. Por tal motivo deben establecerse los procedimientos indicados para garantizar la idoneidad de los métodos aplicados para la sustracción de la evidencia informática. Así se garantiza una base efectiva para el juzgamiento y la validez ante cualquier fuero judicial internacional. Para esto, es necesario que se eviten suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Procedimiento controlado y supervisable, la cadena de custodia informático-forense se aplica a los indicios materiales o virtuales relacionados con un hecho delictivo o no, desde su localización hasta su Valoración por los encargados de administrar justicia. Este artículo lista los procedimientos en cada caso de recopilación de evidencia informática.

El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalística clásico y evaluarlos en tal sentido, guiado por la sana crítica, la prueba tasada o las libres convicciones, según sea el caso y la estructura judicial en que se desarrolle el proceso. Desde la detección, la identificación, la fijación, la recolección, la protección, el resguardo, el empaque y el traslado de la evidencia del lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que la evidencia recolectada en la escena es la misma que se está presentando ante el evaluador o decisor. Consideramos la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración, por parte de los encargados de administrar justicia y que busca asegurar la inocuidad y la esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial. Con este fin es necesario establecer un riguroso y detallado registro, que identifique la evidencia y sus poseedores, indicando el lugar, la hora, la fecha, el nombre y la dependencia involucrada en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no). Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Es importante considerar el valor de los indicios recabados en el proceso de investigación, análisis y argumentación del cual dependen. En este marco de referencia adquirirán relevancia y pertinencia; de ahí la necesidad de evitar en lo posible la impugnación de los mismos en razón de errores metodológicos propios de cada disciplina en particular, pues no es igual la cadena de custodia de muestras biológicas que la de armas o documentos impresos o virtuales. Por ejemplo, un acta de secuestro es un elemento gené- rico, pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre un archivo secuestrado es un elemento propio de la cadena de custodia informático-forense.

La prueba documental informática tiene características particulares que requieren tratamiento particular en la recolección, la preservación y el traslado. Estos son:

1. Consiste en indicios digitalizados, codificados y resguardados en un contenedor digital específico, es decir, toda información es almacenada (aun durante su desplazamiento por una red, está almacenada en una onda electromagnética).

2. Hay diferencias entre el objeto que contiene la información (discos magnéticos, ópticos, cuánticos, ADN, proteínas, etc.) y su contenido —la información almacenada—. Para este caso consideramos:

a. Información: Todo conocimiento referido a un objeto o hecho, susceptible de codificación y almacenamiento.

b. Objeto: Conjunto físicamente determinable o lógicamente definible.

3. La información puede presentarse en uno de los siguientes estados:

a. En almacenamiento: se encuentra en un reservorio a la espera de ser accedida (almacenamiento primario, secundario o terciario). Es un estado estático y conforma la mayoría de las recolecciones posibles; sin embargo, difiere de la mayoría de los indicios recolectables a la que puede accederse por medios locales o remotos.

b. En desplazamiento, es decir, viajando en un elemento físico determinado (cable, microonda, láser, etc.). Es susceptible de recolección mediante interceptación de dicho elemento y está condicionada por las mismas cuestiones legales que la escucha telefónica o la violación de correspondencia.

c. En procesamiento: es el caso más complicado y constituye la primera decisión que debe tomar el recolector. Ante un equipo en funcionamiento, donde la información está siendo procesada, es decir, modificada, actualizada y nuevamente resguardada, debe decidir si apaga o no el equipo. Esta decisión es crítica y puede implicar la pérdida de información y la destrucción de la prueba documental informática pretendida.

ESCENA DEL CRIMEN.

Con independencia del tipo de cuerpo policial, o de institución judicial o fiscal que en cada país lleve a cabo los trabajos de Policía TécnicoCientífica en la Escena del Crimen, la investigación de ésta comprende básicamente las siguientes fases:

Primera fase. Protección y preservación del lugar de los hechos.

Segunda fase. Recopilación de la información preliminar.

Tercera fase. Observación, valoración y planificación.

Cuarta fase. Fijación del lugar de los hechos.

Quinta fase. Búsqueda y tratamiento de las evidencias.

Sexta fase. Liberación del lugar de los hechos.

Séptima fase. Documentación y remisión de evidencias.

Primera fase. Protección y preservación del lugar de los hechos

1. Objetivos Los objetivos que persigue esta fase son:

· Lograr una actuación coordinada y estructurada entre los funcionarios de las distintas unidades que concurren a la Escena del Crimen, evitando la ingerencia de terceras personas o de otros funcionarios que no estén autorizados para intervenir o permanecer en dicho lugar.

· Asegurar, preservar y proteger el lugar de los hechos hasta la llegada de las Unidades Especializadas de Policía Técnico-Científica.

· Asegurar la identificación de testigos, personas implicadas y personal actuante (policial, médicos, bomberos, etcétera).

· Garantizar y canalizar la información que sobre el hecho se va obteniendo y generando, para su oportuna transmisión a las unidades correspondientes.

2. Conceptos generales Antes de desarrollar las actividades que involucra esta primera fase es conveniente tener presente los siguientes preceptos:

2.1. Lugar de los hechos Se entiende por Lugar de los Hechos o Escena del Crimen el espacio físico que debe ser entendido en un concepto amplio, ya que su extensión depende de la naturaleza y las circunstancias del hecho que se investiga, variando su extensión de acuerdo con el hecho de que se trate, ya sea un robo o hurto, un homicidio con arma blanca o arma de fuego, un incendio, una explosión, o un accidente de tránsito, etcétera. Básicamente, se refiere a toda aquella área, espacio físico o lugar donde se ha producido un hecho presuntamente delictivo que va a requerir de la intervención policial y la realización de labores técnicocientíficas para su investigación. También incluiría otras áreas o espacios adyacentes, como:

· Vías de acceso y salida.

· Zonas adyacentes.

· Vehículos.

· Medios de transporte utilizados para la llegada o la huida del o los autores, entre otros.

2.2. Protección del lugar A ello corresponden todas las actuaciones y medidas adoptadas, destinadas a asegurar, proteger y preservar el lugar de los hechos, a partir del momento en que se tiene conocimiento de la comisión de un hecho presuntamente delictivo que requiere de la intervención de personal técnico-científico. El personal técnico-científico, al momento de asumir el control del lugar de los hechos, tendrá jerarquía técnica extraordinaria sobre las demás unidades intervinientes.

INCAUTACIÓN DE EQUIPOS

Si el investigador presume que existe algún tipo evidencia digital en algún aparato electrónico o en algún otro soporte material relacionado con el cometimiento de una infracción. Este debe pedir la correspondiente autorización judicial para incautar dichos elementos, de igual forma debe tener la autorización judicial para acceder al contenido guardado, almacenado y generado por dichos aparatos. Antes de realizar un allanamiento e incautación de Equipos Informáticos o Electrónicos se debe tomar en cuenta lo siguiente:

1. ¿A qué horas debe realizarse?
Ø Para minimizar destrucción de equipos, datos
Ø El sospechoso tal vez estará en línea
Ø Seguridad de investigadores

2. Entrar sin previo aviso
Ø Utilizar seguridad
Ø Evitar destrucción y alteración de los equipos, o la evidencia contenida en esta.

3. Materiales previamente preparados (Cadena de custodia) Ø Embalajes de papel Ø Etiquetas
Ø Discos y disquetes vacíos
Ø Herramienta
Ø Cámara fotográfica.

4. Realizar simultáneamente los allanamientos e incautación en diferentes sitios
Ø Datos pueden estar en más de un lugar, sistemas de red, conexiones remotas.

5. Examen de equipos.

6. Aparatos no especificados en la orden de allanamiento.

7. Creación de Respaldos en el lugar, creación de imágenes de datos. Ø Autorización para duplicar, reproducir datos encontrados (por ejemplo, un aparato contestador).

8. Fijar/grabar la escena Ø Cámaras, videos, etiquetas.

9. Códigos/claves de acceso/contraseñas.

10. Buscar documentos que contienen información de acceso, conexiones en redes, etc.

11. Cualquier otro tipo de consideración especial (consideraciones de la persona involucrada: médicos, abogados, información privilegiada, etc.).

La falta de una orden de allanamiento e incautación que ampare las actuaciones (sobre los equipos y sobre la información) de la Policía Judicial y la Fiscalía puede terminar con la exclusión de los elementos probatorios por violación de las Garantías Constitucionales. Art. 66 de la Constitución.