18,99 €
Mehr erfahren.
- Herausgeber: Errepar
- Kategorie: Fachliteratur
- Serie: Prueba Indiciaria Informático Forense
- Sprache: Spanisch
Mucha agua ha pasado bajo el puente, desde aquel momento en que corriendo el año 2004, los autores iniciaban el Primer Curso de Experto en Informática Forense, en la Universidad Tecnológica Nacional, Facultad Regional Avellaneda. Se trataba de un intento de difundir la disciplina como parte integradora de la metodología criminalística, con tecnología y técnicas informáticas y en el marco legal de nuestro país. Como soporte al precitado curso, se instrumentó el primer Grupo de Expertos en Informática Forense, hoy con más de 1250 miembros en América Latina y España. El resultado de aquella tarea fue la elaboración de dos manuales, también publicados por la Editorial Errepar: el Manual de Informática Forense, donde se sentaron las bases teóricas de la disciplina adaptada a nuestra realidad judicial, y luego el Manual de Informática Forense II, con la pretensión de extender la disciplina hacia la computación móvil (eran las postrimerías del año 2012). Hoy la tecnología nos ha pasado por el costado; el Derecho como siempre corre desde atrás y desde muy lejos. Los intentos que realiza por reducir la distancia parecen fuegos fatuos (la problemática para instaurar el sistema de notificaciones electrónicas por parte de la CSJN es prueba cabal de ello). Sin embargo, los operadores del Derecho y los auxiliares del juez no pueden darse el lujo de perder el tren tecnológico, so pena de incrementar la inseguridad jurídica que nos afecta a todos. Por esa razón, creemos que la única forma de evitar la brecha es la capacitación permanente de todos los involucrados y la difusión amplia e indiscriminada del conocimiento que cada día se amplía, evoluciona, cambia y se perfecciona. La primera parte de esta nueva obra pretende acercar a los operadores del Derecho una herramienta sencilla y útil para realizar una gestión eficiente, efectiva y eficaz de la prueba documental informática, aproximando las tres disciplinas involucradas (Criminalística, Informática y Derecho), mediante un lenguaje comprensible para los destinatarios. La segunda parte está especialmente orientada a los peritos, expertos y otros auxiliares del juez, brindando una serie de ejercicios prácticos (resueltos) que facilitan la capacitación de los profesionales jóvenes que se aproximan a la disciplina y unifican la metodología de resolución pericial para los más avezados (no existen peritos de la "vieja escuela", simplemente porque no existe una "vieja escuela", ya que la Informática forense en nuestro país aún no ha cumplido las dos décadas). La Prof. Mg. María Elena Darahuge y el Prof. Esp. Luis Enrique Arellano González han intentado por este medio complementar las dos obras antes citadas y brindar continuidad al proceso de formación permanente que la Informática forense estimula en sus cultores, la tecnología impulsa, el Derecho espera con premura y la ciudadanía exige con impaciencia.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 842
Veröffentlichungsjahr: 2021
Ähnliche
MARÍA ELENA DARAHUGE
LUIS E. ARELLANO GONZÁLEZ
MANUAL DE INFORMÁTICA FORENSE
(PRUEBA INDICIARIA INFORMÁTICO FORENSE)
Bases metodológicas: científica, sistémica, criminalística, tecnológica-pericial y marco legal
Darahuge, María Elena
Manual de informática forense : prueba indiciaria informático forense / María Elena Darahuge y Luis Enrique Arellano González. - 1a ed. - Ciudad Autónoma de Buenos Aires : Errepar, 2014.
E-Book.
ISBN 978-987-01-1681-3
1. Informática. I. Arellano González, Luis Enrique II. Título
CDD 001.5
Manual de informática forense
Fecha de catalogación: 19/06/2014
ERREPAR S.A.
Paraná 725 (1017) - Buenos Aires - República Argentina
Tel.: 4370-2002
Internet: www.errepar.com
E-mail: [email protected]
ISBN: 978-987-01-1681-3
Nos interesan sus comentarios sobre la presente obra:
© 2011 ERREPAR S.A.
Queda hecho el depósito que marca la ley 11.723
No se permite la reproducción parcial o total, el almacenamiento, el alquiler, la transmisión o la transformación de este libro, en cualquier forma o por cualquier medio, sea electrónico o mecánico, mediante fotocopias, digitalización u otros métodos, sin el permiso previo y escrito del editor. Su infracción está penada por las leyes 11.723 y 25.446.
Digitalización: Proyecto451
ACTUALIZACIÓN ON-LINE
El contenido del presente libro se actualiza por Internet a través de nuestra página web.
Deberá ingresar a www.errepar.com/libros.
Seleccione la presente obra presionando el botón Ingresar, visualizará la siguiente pantalla:
La primera vez que intente consultar el material tendrá que registrarse como usuario, para lo cual se le pedirá que ingrese la clave de de acceso (22462691) y que complete una serie de datos personales.
Tenga presente que es muy importante que ingrese correctamente su dirección de correo electrónico, debido a que allí se le enviará su usuario y contraseña para acceder a los servicios asociados al libro.
Finalmente, presionando el icono correspondiente, tendrá acceso a las actualizaciones de esta obra.
LOS AUTORES
Prof. Ing. María Elena Darahuge
Licenciada e Ingeniera en Informática.
Profesora Universitaria en Ingeniería en Informática, UCSA.
Secretaria Académica del Curso de Experto en Informática Forense, FRA (UTN).
Profesora Asociada de la materia Sistemas Operativos, UAJFK.
Prof. Ing. Luis Enrique Arellano González
Abogado con orientación Penal, UBA.
Licenciado e Ingeniero en Informática.
Profesor Universitario en Ingeniería en Informática y en Criminalística, UCSA.
Licenciado en Criminalística.
Perito en Documentología, Balística y Papiloscopía, IUPFA.
Director del Curso de Experto en Informática Forense, FRA (UTN).
Profesor Asociado de la materia Sistemas Operativos, UAJFK.
PORTADILLA
PRÓLOGO
PREFACIO
CAPÍTULO 1. ESTRUCTURA GENERAL
Orientación para la lectura del manual
CAPÍTULO 2. LA PROBLEMÁTICA DE LA INFORMÁTICA FORENSE
El surgimiento de la Informática Forense, su inserción social, judicial y tecnológica
Concepto de Informática Forense
CAPÍTULO 3. IMPLANTACIÓN PERICIAL CRIMINALÍSTICA
Características destacables en la disciplina:
Clasificación por su relación con el lugar del hecho:
Causas de alteración del lugar del hecho:
CAPÍTULO 4. IMPLANTACIÓN INFORMÁTICA
CAPÍTULO 5. IMPLANTACIÓN JUDICIAL
El delito informático propio e impropio
La reconstrucción del hecho
La reconstrucción metodológica del hecho
El lugar del hecho virtual propio e impropio
Prueba documental clásica (bibliográfica, foliográfica y pictográfica) e Informática
Elemento probatorio pertinente y conducente
Prueba pericial informático forense
Relaciones con otras disciplinas
CAPÍTULO 6. INFORMÁTICA FORENSE - LA PRUEBA DOCUMENTAL INFORMÁTICA
Principios y relaciones periciales informático forenses
La prueba documental informática
Definición y relaciones
Inteligencia estratégica
La entrevista
CAPÍTULO 7. INSERCIÓN LEGAL DEL PERITO EN INFORMÁTICA FORENSE - LA INSPECCIÓN JUDICIAL
Generalidades
Legalidad de la requisitoria pericial
Entorno legal del perito
Formalidades de la aceptación del cargo
Diligencias previas en el Juzgado
Requisitos legales y formales de la inspección judicial
Artículos pertinentes del Código de Procedimientos Penal de la Nación (CPPN)
Responsabilidad legal del perito informático forense: posesión, protección, análisis, preservación y devolución de la prueba
Legislación de fondo, el perito como testigo y el falso testimonio
Legislación de forma
Legislación complementaria, leyes y proyectos
Jurisprudencia
CAPÍTULO 8. ACTIVIDADES PERICIALES COMPLEMENTARIAS
La aceptación del cargo
El informe pericial informático forense impreso y virtual
El párrafo de presentación
El objeto de la pericia y los puntos de pericia (tarea transdisciplinaria)
Los elementos ofrecidos (equipos, programas, indicios y rastros)
Las operaciones realizadas
Las conclusiones
CAPÍTULO 9. LA IMPUGNACIÓN
Revisión legal
La relación del perito con las partes y con los abogados de las mismas
Control, revisión y exigencia de legalidad en las herramientas utilizadas
Revisión científica, tecnológica y técnica
Revisión lógica
Revisión formal
CAPÍTULO 10. VALOR PROBATORIO DE LA PRUEBA INDICIARIA INFORMÁTICO FORENSE
Prueba documental informática (recaudos procesales)
Inserción de la prueba documental informática
Pertinencia de la prueba documental informática
El acceso y resguardo de la documental informática
La certificación de la documental informática
Recolección estratégica de la documental informática
Prueba pericial
En el delito informático propio e impropio
CAPÍTULO 11. UN EJEMPLO DE DELITO INFORMÁTICO PROPIO (EL PHISHING)
Herramienta de análisis del lugar del hecho real
Herramienta de análisis del lugar del hecho virtual
CAPITULO 12. GUÍA PARA EJECUTAR LA RECOLECCIÓN DE LA DOCUMENTAL INFORMÁTICA
CAPÍTULO 13. MARCO TECNOLÓGICO PERICIAL (la pericia informático forense en la práctica)
Listas de Control del Equipo del perito informático forense
Herramientas de hardware y software del perito informático forense
Elementos de hardware del laboratorio del perito informático forense
Equipo fijo de Laboratorio - Estación de trabajo
Equipo móvil de Laboratorio
Componentes de hardware de uso específico:
Laboratorios que trabajan para la Justicia y recuperan datos:
Equipo para la autenticación y duplicación de evidencia del disco rígido:
Herramientas de software para Informática Forense
Conjunto de herramientas integradas en un solo paquete de software de arranque en modo “en vivo” (live) disponibles para CD, DVD, Pendrive – Programas de Software Libre
Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales:
Herramientas individuales e integradas en paquetes de función específica
Herramientas de funciones específicas
Borrado seguro, limpieza y desinfección
Duplicación de discos
Duplicación en forma remota
Manejo de Particiones
RED
Recuperación de archivos eliminados
En Windows
Recuperación de archivos con claves
Recuperación de archivos de la papelera de reciclaje:
Telefonía, Celulares, PDA, GPS
Herramientas para la elaboración del informe pericial
Clasificación e identificación de las pericias informático forenses
Nomenclatura
Ejemplos
Etapas del Marco Tecnológico Pericial
Tarea a realizar en el Laboratorio
I – Etapa: Acceso a los recursos dubitados
II – Etapa: Identificación y registro
III – Etapa: Autenticación, duplicación y resguardo de la prueba
Procedimiento
Duplicación y autenticación de la prueba
Procedimiento para el resguardo de la prueba y preparación para su traslado
IV – Etapa: Detección, recolección y registro de indicios probatorios
Alternativa I, para el acceso con el equipo encendido
En sistemas operativos Microsoft Windows
Certificación matemática de los archivos
Envío de la evidencia a través de una conexión remota
Ejecución de un intérprete de comandos legítimo
Registro de la fecha y hora
Descarga de la memoria RAM
Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto
Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos
Verificación de los puertos abiertos
Verificación de las aplicaciones asociadas con los puertos abiertos
Verificación de los procesos activos
Verificación de las conexiones actuales y recientes
Revisión de los registros de eventos o sucesos del sistema operativo
Verificación de la base de datos del Registro del sistema operativo
Examinar los archivos de configuración del sistema operativo
Verificación y obtención de las claves de los usuarios del sistema
Verificación de archivos relevantes
Herramientas
Descarga de los archivos temporales
Verificación de los enlaces a archivos rotos
Verificación de los archivos de navegación por Internet
Verificación y descarga de los archivos de correo electrónico
Cliente de correo Outlook Express
Cliente de correo Microsoft Outlook
Cliente de correo Netscape Messenger
Documentar los comandos utilizados durante la recolección de datos o en la respuesta al incidente
Generación de un script o secuencia de comandos
Respuesta a incidentes
Alternativa II, con el equipo apagado
Procedimiento
V - Análisis e interpretación de los indicios probatorios. Reconstrucción y / o simulación del incidente
Procedimiento para el análisis e interpretación de los indicios probatorios
Elementos a examinar en el disco duro: (Anexo - Lista de control de Análisis de discos)
Discos rígidos de computadoras portátiles
Aspectos a considerar de los sistemas de archivos de los sistemas operativos
Estructura del inodo
Niveles de almacenamiento en el sistema de archivos
Nivel físico
Nivel de clasificación de la información
Esquema de particiones de BSD
Nivel de unidades de asignación
Nivel de gestión del espacio de almacenamiento
Unidades de asignación (FAT Clusters)
Gestión del espacio de almacenamiento (Tabla FAT)
Entradas de directorios
Nivel de clasificación y almacenamiento del nivel de aplicación
Análisis de particiones de los discos duros
Herramientas
En Windows XP
En Windows
Análisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos con memoria flash
Visualización de diferentes tipos de archivos
Búsqueda de texto y palabras claves
Análisis del espacio no utilizado o no asignado
Áreas del sistema de archivo que contienen datos borrados o eliminados
Espacio no asignado
Eliminación o borrado de información en el disco rígido
Listar los directorios ocultos de la papelera
Estructura de INFO2.
Eliminación segura de los datos
Análisis de datos ocultos
Tipo: Enmascaramiento
Archivos protegidos con claves
Tipo: ocultamiento de información
Herramientas
Espacio no asignado, desperdiciado y libre
Tipo: Alteración del entorno
Herramientas
Código malicioso o Malware
Métodos de invasión o ataque
Modos de control de la invasión o ataque
Modo de distribución o impregnación
Objetivos del código hostil
Análisis del correo electrónico
Características del encabezado de los mensajes
Descripción del encabezado
Aspectos importantes a considerar en el análisis del encabezado del mensaje
Herramientas para el análisis del encabezado de correo electrónico
Visualización de encabezados en diferentes clientes de correo electrónico
Verificación de los archivos de impresión
Análisis de código malicioso
Sitios de programas antivirus con la descripción de los distintos tipos de virus:
Herramientas de Antivirus
Herramientas de control remoto
Herramientas exploradoras de red y de vulnerabilidades
Herramientas rastreadoras de la red o sniffers
Herramientas detector de DDoS (denegación distribuida de servicio)
Herramientas bombas lógicas y bombas de tiempo
Herramientas para el Registro de las acciones efectuadas por teclado y/o mouse
Herramientas para eliminación de huellas
Procedimiento
Análisis de celulares, PDA, GPS
VI - Cotejo, correlación de datos y conclusiones
Técnicas posibles a utilizar para el cotejo y correlación de los datos
Procedimiento para el cotejo y correlación de los datos
Procedimiento para la elaboración de las conclusiones
Elementos a cotejar y correlacionar
Fecha y hora
Tablas de enrutamiento
Tabla ARP
Tabla de procesos activos
Tipo de sistema operativo
Sistemas de Archivos
Resguardo de herramientas de hardware y software utilizados en la pericia
APÉNDICE 1: ESTUDIO DE UN CASO REPRESENTATIVO
APÉNDICE 2: PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL
APÉNDICE 3: EL MÉTODO SISTÉMICO (RESUMEN)
Visión sistémica de la investigación
Entrevista previa o licitación
Relevamiento de la información
Selección de la metodología de análisis
Generación del modelo conceptual
Generación de los modelos complementarios
Programación y codificación
Prueba y ejecución en paralelo
Capacitación, supervisión y soporte de la aplicación
Retroalimentación
Síntesis
APÉNDICE 4: INFORMACIÓN COMPLEMENTARIA
Requisitoria pericial
Título VII - Participación criminal
Dibujo pericial complementario
Croquis ilustrativo
Condiciones esenciales
Elementos
Dibujos auxiliares
Fotografías durante la inspección judicial
APÉNDICE 5: MANUAL DE AUTOPSY
Introducción
Emulador Cygwin
Instalación – Configuración y Acceso
Instalación de Cygwin
Ejecución de Cygwin y acceso al intérprete de comandos (shell):
Instalación de Sleuth Kit
Instalación de Autopsy
Descripción general de Autopsy
Ejecución de Autopsy en Cygwin
Creación de un caso en Autopsy
Opción Analize - Analizar
Opción Keyword Search – Búsqueda de palabras claves
Comando “grep” (filtrar)
Opción File Type – Tipo de Archivo
Image Details – Detalles de la Imagen
Opción Meta Data - Metadatos
Aclaraciones acerca de NTFS y FAT
Opción Data Unit – Unidad de Datos
Aclaraciones sobre el sistema de archive FAT
Timeline Mode – Modo Línea de Tiempo
Image Integrity – Integridad de la Imagen
Event Sequencer - Secuencia de sucesos
Hash Database – Base de datos de Hash
Usos de las bases de datos - Database Uses
Configuración en Autopsy
Referencias
Anexo I - Herramientas de Sleuth Kit
Anexo II - Comando: sorter
APÉNDICE 6: RELACIONES CON LA PRUEBA INDICIARIA NO INFORMÁTICA
Expertos en Balística
Armas
Proyectiles
Ropas
Huellas plantares (Retrato del paso) y de vehículos
Huellas dactilares
Manchas de sangre
Manchas varias (material fecal, meconio, calostro, semen, orina), pelos, fibras naturales o artificiales
Documentos
Suposiciones a priori
APÉNDICE 7: LA ESTRUCTURA LÓGICA DEMOSTRATIVA EN LA LABOR PERICIAL
Demostración lógica y tecnológica de las conclusiones alcanzadas
APÉNDICE 8: LA REDACCIÓN FINAL
Generación del informe pericial
Preparación de la defensa escrita/oral
Reglas para las citas
La posredacción
Respecto de la presentación
Respecto de la forma de presentación
Entrega formal del informe pericial
APÉNDICE 9: LA DEFENSA ORAL
La defensa ante el tribunal
Reglas de argumentación generales
Reglas para evaluar argumentaciones de los interlocutores
Reglas para construir nuestras propias argumentaciones
La defensa ortodoxa
Las lagunas pasajeras
Las metáforas
Las respuestas estrictas
Consideraciones prácticas para la argumentación oral
APÉNDICE 10: GLOSARIO COMPLEMENTARIO BÁSICO
APÉNDICE 11: RESUMEN DE LÓGICA PROPOSICIONAL
APÉNDICE 12: LA INSPECCIÓN JUDICIAL
Generalidades
Situaciones posibles en la inspección judicial
Metodología de trabajo
Acta de inspección o secuestro
APÉNDICE 13: MISCELÁNEAS
Listado de Claves BIOS - CMOS
Award
Ami
Phoenix
Otras
Varios fabricantes
Toshiba
IBM Aptiva BIOS
Listado de Puertos utilizados por Troyanos
APÉNDICE 14: LA YAPA
ANEXO 1: DIAGRAMAS CONCEPTUALES
Marco científico investigativo
Esquema de investigación
ANEXO 2: MODELO DE INFORME PERICIAL
ANEXO 3: MODELOS DE NOTAS
ANEXO 4: FORMULARIOS
Lista de control de hardware en la inspección y reconocimiento judicial
Formulario de registro de evidencia
Rótulos para las evidencias
Formulario – Recibo de efectos
Formulario para la Cadena de Custodia
Lista de control de respuesta a incidentes
Lista de control de análisis de discos
BIBLIOGRAFÍA
Libros
Jurídica
Informática Forense
Sistemas operativos – Protocolos y redes - Seguridad informática
Investigación
RFC – Request for Comment
Normas
Internet
Fraudes, delitos informáticos y crimen en el ciberespacio
Seguridad informática
RFC y estándares
Auditoría
Códigos de ética
Jurídica
Colegio de abogados
Criminalística
Grupos de discusión
De interés general
PRÓLOGO
Hacia 1970, cuando empecé a interesarme en ella, la Informática era casi un tema de ficción científica. En las películas aparecían enormes máquinas llenas de luces intermitentes y carretes de cinta de movimiento espasmódico, a las que se atribuían poderes enormes, a ratos divinos, a menudo diabólicos. Vincular esas máquinas con el derecho era un verdadero desafío; no tanto técnico informático, sino técnico jurídico. En efecto, las computadoras siempre pudieron dar de sí mucho más que lo que los hombres de derecho fuimos capaces de pedirles. La persistente brecha entre estas dos variables obedeció a varios factores: uno, la aversión que la mayoría de los abogados sienten por las matemáticas y el temor de que un día las máquinas lleguen a reemplazarlos, utopía negativa que suelen comentar en términos de excelsitud del hombre, libre albedrío, irracionalidad de lo inanimado y otras referencias metafísicas. Otro factor consiste en el retraso epistemológico que afecta al conocimiento jurídico que –más allá de la evolución de sus contenidos– nunca tuvo su revolución copernicana y se encuentra hoy casi en el mismo punto donde lo dejó el emperador Justiniano en el siglo VI de nuestra era.
El desafío, pues, no giraba entonces en torno de la programación sino del modo de representar aquello que pudiera llamarse realidad jurídica. Era un tema apropiado para la filosofía del derecho y, al tratar de encararlo racionalmente, trabé relación y amistad con especialistas que se aproximaban también desde la elaboración de software, desde la recopilación de datos y desde la administración de justicia, pero también desde lo que aparecía como una nueva rama del derecho: el derecho informático, que muchos confundían entonces con la informática jurídica. Yo trataba de distinguirlos: una cosa –decía– es ser el abogado de un psicoanalista y otra distinta ser el psicoanalista de un abogado.
Todo aquello ha quedado en la historia de una época que –con escasa autocrítica– se me antoja heroica. La informática jurídica avanzó mucho en sus aspectos documentales y de gestión, pero sigue retrasada (por los motivos ya apuntados) en el ámbito decisorio, que es el más fascinante. Sin embargo, gracias a la difusión de computadoras personales y portátiles, en los últimos veinte años la Informática pasó a formar parte imprescindible de la vida de cualquiera y las computadoras se convirtieron en eficaces máquinas de pensar auxiliares, acopladas a nuestros cerebros por medio de teclados, ratones y monitores.
El hecho de que las computadoras formen parte de la vida cotidiana trajo consigo que, como los automóviles, los teléfonos y las armas de fuego, sirvieran también para cometer delitos o para contener indicios de actos ilícitos cometidos en cualquier rama de la actividad humana. Y, así como los médicos legistas escudriñan los cadáveres, los expertos en balística examinan las estrías de los proyectiles o anónimos funcionarios controlan las comunicaciones telefónicas de los sospechosos, aparecieron los peritos informáticos, capaces de buscar información en una computadora secuestrada, restaurar archivos borrados de un disco duro o verificar la autenticidad de un intercambio de correos electrónicos.
Esta nueva especialidad de la criminalística, que se ha vuelto indispensable para el procedimiento judicial, no es cosa sencilla. Requiere un profundo conocimiento de los elementos técnicos materiales e inmateriales, ingenio para extraer de ellos la información requerida venciendo disfraces y disimulos, una cuidadosa revisión de las condiciones que permitan preservar el valor probatorio de esa información y un certero modo de vincular toda esta actividad con las necesidades legales del proceso que las requiera.
Todo esto está presente en el preciso y completo manual que han preparado mis amigos María Elena Darahuge y Luis Enrique Arellano González, expresado en nuestro idioma y con la claridad que es la cortesía del intelecto. Aunque muchas de las precisiones técnicas que contiene son ajenas a mi propia experiencia, considero un honor presentar el libro como un valioso instrumento para la investigación de los hechos a partir de los vestigios informáticos.
Ricardo A. Guibourg
Buenos Aires, marzo de 2011
“Dicere etiam solebat nullum esse librum tam malum
Ut non aliqua parte prodesset”. (1)
Plinio el Joven (Epístolas III)
PREFACIO
Cuando a principios del año 2004 comenzamos a reunir información para iniciar el dictado de un Curso de Informática Forense, con carácter informativo, para todo tipo de profesionales, en la Regional Avellaneda de la Universidad Tecnológica Nacional, advertimos una serie de eventos que finalizaría en la planificación y redacción de este manual. Las circunstancias que nos llevaron a ello pueden sintetizarse en:
La mayoría de la bibliografía consultada era de origen estadounidense o europeo, casi en su totalidad en inglés, en menor cantidad en otros idiomas y escasamente en castellano.Las obras referidas consistían en descripciones generales de las técnicas relacionadas con la Informática Forense, obras anecdóticas con algún sentido práctico, o descripciones de operación de algunas herramientas específicas (con su correspondiente origen y marca registrada), que las convertían en manuales de dichas herramientas.No aparecían obras orientadas a generar un análisis conceptual, metodológico, formal y estricto de la Informática Forense como especialidad de las Ciencias Criminalísticas.Por otra parte aparecía una gran cantidad de herramientas sin clasificación ni orden aparente, entre los programas ofrecidos al respecto por la comunidad de Software Libre (entorno Linux).Se tornaba evidente la necesidad de efectuar una recopilación ordenada y sistemática de los distintos componentes detectables en la comunidad pericial, a efectos de aportar entidad metodológica, científica, criminalística, informática y legal a la nueva disciplina surgida de hecho y aún no formalizada de derecho.En nuestro país, se han producido diversos intentos para normar la conducta delictiva informática, representada por las leyes 25.506, de Firma Digital y 26.388 de Delitos Informáticos. Sin embargo es muy poco lo que se ha avanzado desde aquel momento citado hasta la fecha, en lo que hace al Derecho Procesal. Algunas jurisdicciones han evolucionado más que otras integrando nuevas formas de notificación y consulta de expedientes, avanzando hacia el expediente digital (sueño de todo operador del derecho). Muy poco es lo que se puede encontrar en el Derecho Internacional, en particular en el Derecho Privado, a pesar de que muchos contratos entre exportadores e importadores de productos en especial regionales, se celebran por medio de intercambio de mensajes de correo electrónico, lo que se está haciendo extensivo al área comercial de las autopartes y otros emprendimientos similares. En cuanto al tratamiento específico de la Prueba Documental Informática, su confirmación por medio de la Prueba de Informes y su revisión por la Prueba Pericial Informático Forense, la disciplina se encuentra muy lejos de estar adecuadamente inserta en el Sistema Judicial y convenientemente normalizada mediante el uso de protocolos claros, fáciles de implementar y útiles en el apoyo a la decisión judicial (objetivo principal de toda prueba pericial).
Recordando que en un momento crítico de nuestra formación profesional hemos recurrido a obras simples, integradoras, pero sumamente esclarecedoras, como el Manual de Criminalística de Roberto Albarracín, que tan útil nos fuera en nuestra aproximación a la investigación del delito. Aproximación que luego debíamos orientar con obras específicas como El ABC del Dactilóscopo de Ricardo Rosset y Pedro Lago. Pensamos que era necesario conformar un texto de apoyo al perito informático forense que le permitiera actuar de manera profesional, unificando los perfiles mínimos pretendidos para esta actividad en apoyo de la investigación delictiva. Sus componentes principales debían incluir:
Un Marco Científico, que le facilite realizar sus investigaciones y experiencias, apoyado estrictamente en el método científico. Asimismo debería aportarle las estructuras lógicas necesarias para justificar sus fundamentaciones de manera estricta e irrebatible, más allá de la fluidez argumentativa propia de cada profesional.Un Marco Criminalístico, a partir del cual pueda interrelacionarse con los restantes especialistas del área, interactuar con éstos, trabajar en forma mancomunada y en lo posible arribar a conclusiones coherentes desde todas las visiones específicas. De la misma forma en que la Medicina Legal es una especialidad de la Medicina imbuida de un amplio contenido Criminalístico y Legal (especialmente desde el Derecho Procesal), la Informática Forense es una disciplina Informática con las mismas características propias.Un Marco Informático general, a partir de las metodologías de Análisis de Sistemas, que le permitan utilizar aquellas herramientas de uso general que se adapten a las actividades periciales informáticas. En ese sentido, las etapas de relevamiento de información y desarrollo de un modelo coherente de análisis, se evidencian como instrumentos adecuados para brindar soporte metodológico a la actividad del experto en Informática Forense.Un Marco Informático específico, en relación con las herramientas propias del tratamiento de la prueba indiciaria informático forense. Al respecto es dable destacar que éstas deben ser abordadas desde los dos ambientes más frecuentes en uso en nuestra sociedad, el de software libre y el de software propietario, más allá de sus características de pago o gratuito.Un Marco Legal abarcativo de las distintas actividades periciales a desarrollar. Esto implica la inserción legal del accionar pericial al concurrir al lugar del hecho (a requerimiento de un Tribunal, o de un cliente, con orden judicial que lo avale o sin ella), al realizar una inspección ocular, al documentar y secuestrar elementos probatorios, su responsabilidad respecto de la prueba indiciaria que se le ha confiado en custodia, los cumplimientos de los plazos legales, su condición de testigo experto, los artículos de los códigos de fondo y de forma que lo protegen o lo limitan y la interacción resultante de su presentación ante los distintos Fueros Judiciales.Los puntos anteriores, se verían reflejados en un informe pericial:– Científicamente fundamentado.
– Criminalísticamente interrelacionado.
– Modelado mediante técnicas propias del Análisis de Sistemas.
– Investigado con las mejores herramientas disponibles.
– Inserto en el marco legal correspondiente.
No obstante y teniendo en cuenta la actual tendencia judicial hacia la metodología de juicio oral, no es suficiente con una fundamentación técnica adecuadamente implementada para defender un informe pericial. Hacen falta técnicas de argumentación, redacción y oratoria contundentes, precisas e irrebatibles. De ahí la necesidad de recomendar la capacitación del profesional en el arte de la redacción y la oratoria que le permitan realizar una adecuada defensa oral y escrita de sus resultados periciales, ante posibles impugnaciones o pedidos de aclaración.Estamos seguros de no haber podido realizar una obra adecuada a las pretensiones anteriores, pero también podemos asegurar que se trata de un punto de partida, disperso, con fallas, criticable y perfectible, pero punto de partida al fin.
1. “Se dice que no hay libro malo donde no se halle alguno bueno...”
“Criminalística es la metodología integradora multidisciplinaria que provee la información tendiente al esclarecimiento del hecho, a partir de los indicios recolectados (prueba indiciaria).”
“Prueba indiciaria es la prueba integrada por el conjunto de elementos físicos y virtuales, que obran en un lugar determinado, necesarios y suficientes para efectuar una reconstrucción lógica, científica, tecnológica y técnica de los hechos investigados, por medio del correspondiente análisis pericial forense.”
“Informática Forense es el conjunto muldisciplinario de teorías, técnicas y métodos de análisis, que brindan soporte conceptual y procedimental, a la investigación de la prueba indiciaria informática.”
CAPÍTULO 1
ESTRUCTURA GENERAL
Este trabajo ha sido planificado y desarrollado con el objeto de aportar al perito informático forense una guía de referencias y consultas rápida, sencilla y fundamentada especialmente en la inter y transdisciplinariedad que este tipo de tareas implica.
Pese a lo novedoso de esta especialidad, es indudable que los fundamentos que la sustentan ya existían con anterioridad a su implementación práctica. La Metodología Pericial Informático Forense es alimentada, soportada y justificada por otras ciencias y técnicas precedentes, que aportan a la tarea pericial distintos entornos específicos entre los que debemos destacar:
1. Marco Científico Investigativo: El método científico se constituye en una herramienta fundamental de análisis para toda tarea tecnológica de investigación.
2. Marco Metodológico Sistémico: El Análisis de Sistemas nos aporta los elementos necesarios para realizar un análisis de la información estructurado y estricto, relacionado con las estructuras de datos analizadas y las arquitecturas involucradas.
3. Marco Metodológico Criminalístico: La prueba indiciaria como fundamento de la investigación criminal ha sido identificada como la reina de las pruebas y se ha utilizado de manera sistemática durante la totalidad del siglo pasado. Su eficiencia ha sido harto probada, sus defectos detectados y corregidos. Constituye la base indiscutible de la tarea pericial, incluyendo a la pericia informática forense entre sus disciplinas derivadas y determinando las relaciones interdisciplinarias derivadas de la interacción pericial en el lugar del hecho (real o virtual, propio o impropio) o la gestión y análisis de la prueba involucrada.
4. Marco Tecnológico Pericial: Si bien la pericia informática forense se encuentra integrada, respaldada y justificada en la investigación criminalística en general, debe su existencia individual a una metodología específica y diferente de las demás. Se apoya en herramientas, métodos y técnicas propios y actúa sobre una prueba indiciaria, que posee características particulares que la diferencian notoriamente de las restantes pruebas indiciarias, analizadas por otras disciplinas criminalísticas.
5. Marco Legal: La pericia informática forense, por su orientación específica a la investigación reconstructiva, de transgresiones que pueden o no constituir ilícitos de diferente naturaleza (penal, civil, comercial, contractual, particular), involucra una enorme gama de actores y relaciones de todo tipo. Es inevitable el análisis metodológico ordenado y estricto de la legislación relacionada con ésta en cada caso particular, no es posible describirlos a todos en una obra como la presente, de ahí la necesidad del perito de acomodar su tarea a la jurisdicción y competencia en la cual debe actuar.
Hemos intentado integrar los marcos descriptos con anterioridad a efectos de constituir una Metodología Pericial Informático Forense estricta y científicamente fundamentada. Por supuesto esta metodología no tendría una razón de ser si no es volcada en un informe pericial. El análisis de las características propias de este informe pericial específico constituye una parte destacada de este manual.
A partir de la realización del informe pericial surge un compás de espera para el perito, hasta que llega la tan frecuente impugnación éste es llamado a realizar aclaraciones ante el Juzgado Interventor en la etapa de instrucción o debe concurrir ante el tribunal de oral que dictará sentencia.
En este punto se produce una división estricta en el accionar del perito como testigo. Esta división surge de la naturaleza federal de nuestro país, que implica diferentes códigos de procedimientos para las provincias que lo conforman, por una parte, y del tipo de pericia realizada (ámbito penal, civil, comercial, etc.), lo que determina diferentes entornos de testificación. No obstante estos entornos, desde la práctica se pueden resumir en dos tipos de defensa pericial: la defensa escrita y la defensa oral.
La defensa escrita, no tiene más implicancias que las analizadas en este manual y éstas, en general, se refieren a la oportunidad y formalidad de las presentaciones. En cambio, la defensa oral implica un cambio notorio en el escenario y grado de participación de los actores involucrados en el estudio pericial. Es necesario que el perito se capacite en las características que rodean al acto referido y las diferentes técnicas que pueden ser utilizadas en apoyo de su argumentación pericial. En la vida en general y en el discurso en particular, no siempre el que tiene la razón logra demostrarla.
Orientación para la lectura del manual
A poco de iniciar nuestra tarea, notamos que era una obra de notable extensión. Sabemos que una obra extensa tiende a cansar al lector y a dispersarlo de las ideas fundamentales de la misma. Lo bueno, si breve, dos veces bueno y nosotros queremos agregar: ¡ylo malo… también! Por lo tanto preferimos reducir la obra a los componentes esenciales de ésta.
No obstante, el propósito de este trabajo no es sólo confeccionar una guía para el perito informático forense, sino servir de consulta y fuente de información para otros profesionales que lo requieran. Tal el caso de abogados, ingenieros o licenciados en sistemas, informática o computación, licenciados en criminalística, médicos legistas, criminólogos, licenciados en administración de empresas, empresarios y toda otra persona que se interese por el tema.
Hemos intentado reunir en el texto todos los elementos necesarios para el experto y los conocimientos ampliatorios se distribuyen a lo largo de una serie de apéndices y anexos. En los apéndices el lector encontrará profundizados ciertos temas que se dan por conocidos en el cuerpo principal de la obra (la lógica, la prueba indiciaria, la inspección ocular, etc.) y en los anexos, todos aquellos instrumentos que puedan facilitarle su labor pericial (modelos de actas, de informes, de listas de control, etcétera).
Pensamos que la mejor manera de acercarse a la obra es realizar una lectura detallada del cuerpo principal. Para quienes lo necesiten o simplemente sientan curiosidad, se agregan los apéndices y para facilitar la tarea de los peritos se incluyeron los anexos. Todos estos documentos y algunos anexos suplementarios, como fuentes de consulta, se encuentran disponibles en su versión digital, para uso de quienes los necesiten y los consideren pertinentes.
CAPÍTULO 2
LA PROBLEMÁTICA DE LA INFORMÁTICA FORENSE
La inserción dentro de la sociedad de la Informática, como herramienta de gestión de la información, ha sido un proceso que se inicia a mediados del siglo pasado y que se ha caracterizado por su expansión incremental.
Los cambios tecnológicos y metodológicos han impulsado el desarrollo de la Informática de manera constante. A diferencia de lo que históricamente ha ocurrido en otras ciencias, que luego de un descubrimiento teórico extraordinario han sido necesarios largos períodos para desarrollar los instrumentos asociados con la misma en Informática, en contrapartida la aceleración del descubrimiento-implementación ha sido tan exponencial que actualmente no llega a difundirse un cambio sustancial en los equipos y su forma de empleo, cuando ya se está construyendo una nueva generación teórica y tecnológica que cambia totalmente las reglas de juego para profesionales y usuarios.
A principios del siglo pasado Albert Einstein proponía como resultado de sus investigaciones sobre la naturaleza y comportamiento de la luz, la existencia de un haz coherente con ciertos comportamientos particulares. Fue necesario que transcurriera prácticamente medio siglo, para que se implementara el primer láser operativo. Hoy habiendo transcurrido un período de tiempo similar, esta tecnología forma parte de nuestra vida y se ha incorporado a ella como un componente tan usual como la telefonía móvil.
En lo que hace a la Informática, ésta ha invadido la mayoría de las sociedades humanas, sin distinciones políticas, sociales, ni religiosas. Afecta la vida de todos los habitantes del mundo, de una u otra manera y con mayor o menor intensidad. Ha llegado a introducirse efectivamente en millones de hogares en las más diversas latitudes y longitudes y amenaza con dividir al mundo en dos grandes grupos principales: los que tienen acceso a la información y los que carecen de ella. Ha surgido un nuevo tipo de pobres que difícilmente puedan superar esta dificultad.
Los problemas derivados del atentado a las Torres Gemelas impusieron un gran respeto por la seguridad de las cosas y las personas. Como la mayoría de las personas pretende conservar su vida, el riesgo de los viajes se hizo evidente. Esto motivó a muchos productores regionales (jugo de arándanos, miel, dulces regionales, carnes exóticas a pequeña escala) a formalizar sus contratos de exportación e importación, por medio de mensajes de correo electrónico. A esto se suma que los procesos de integración en que nos encontramos insertos, avanzan en lo comercial, pero son mucho más conservadores en lo normativo. Esta realidad provoca litigios que generalmente se resuelven por medios alternativos de resolución de conflictos (mediación, conciliación, arbitraje, etc.), algunos de los cuales finalizan radicados ante la jurisdicción correspondiente (tema sumamente complejo de resolver, por la multiplicidad de normas nacionales, bilaterales, multilaterales y de integración que afectan a los países involucrados). La preservación de la prueba documental informática en estos casos requiere de protocolos con validez internacional, los que aún están en vías de desarrollo y en nuestro país ni siquiera en ciernes (a pesar de los esfuerzos del Arcert).
Progresivamente el mercado real, se fue trasladando paulatinamente al mercado virtual. En estos momentos las salas comunes de los mercados de valores se parecen más a un centro de cómputos atestado que a un lugar de intercambio de acciones personalizado.
La integración de los componentes de procesamiento y almacenamiento de la información con las redes de comunicaciones, asimilando estas últimas al proceso de gestión de los datos, ha trascendido las fronteras y en este momento los negocios en todos sus niveles son parcialmente realizados utilizando estos medios disponibles. Si recordamos la arquitectura de una central telegráfica o telefónica de la primera mitad del siglo pasado, veremos que estaba constituida por una enorme cantidad de material eléctrico operado manualmente. Desde mediados de dicho siglo, este material fue paulatinamente sustituido por elementos electrónicos. Pero al avanzar el siglo XX, los elementos electrónicos fueron adquiriendo cada vez más complejidad lógica asociada y en estos momentos el hardware (equipos eléctricos y electrónicos) es mínimo respecto del software (programas con su lógica asociada.
Las redes han llegado no sólo a los centros de investigación, universidades, centros comerciales, banca financiera y área de negocios, sino que actualmente permiten relaciones de comercio al por menor dentro y fuera de la casa. Es posible adquirir desde libros, hasta componentes electrónicos por medio de Internet, las relaciones humanas se amplían, los idiomas se simplifican (no siempre para bien del idioma original, pero claro está facilitando la comunicación), la gente se relaciona.
Sin embargo esta aparente panacea informática es en muchos casos falsa. Por la red no sólo se intercambian bienes y servicios que facilitan la vida diaria, también se adquieren drogas ilegales, armas y pornografía infantil entre otros productos nocivos para la sociedad humana.
Es imposible entender estos procesos sin analizar la problemática consustancial con la naturaleza humana. Sólo la firme convicción en la inocuidad ética y moral de los desarrollos humanos, permite asimilar esta disparidad de conductas y sus resultados. El instrumento (la computadora y la red), no son buenos, ni malos en sí mismos.
De la misma manera que la tecnología nuclear ha permitido destruir ciertos tipos de cáncer y las ciudades Hiroshima y Nagasaki, sin que se viera afectada su inocuidad moral intrínseca (y al parecer tampoco la de quienes lanzaron las bombas), la red puede emplearse para enviar fotografías y diagramas de una técnica novedosa de intervención quirúrgica, fotos de nuestro hijo recién nacido, para nuestros parientes en el otro extremo del mundo, las órdenes y plan de ejecución de un ataque terrorista o la seducción con fines sexuales de niños/as. El fenómeno de la sustitución de identidad se ha integrado a los males sociales modernos, en especial desde la aparición de las redes sociales y los perfiles virtuales (en la red, nada es lo que parece).
Entender esta naturaleza disociada entre tecnología, ética y normativa vigente es una tarea esencial para el perito informático forense. Sólo de esta manera podrá alcanzar el imprescindible grado de asepsia, objetividad y compromiso profesional con la tarea que le toca realizar. Los instrumentos, las tecnologías, los animales en general, no son bondadosos ni malvados, altruistas ni egoístas, son y/o actúan acorde con su naturaleza. Los conceptos éticos y morales son propios del hombre, de ninguna manera son universales y mucho menos compartidos por dos hombres diferentes (a poco de conversar con nuestro vecino, nuestro padre o nuestro hermano, podremos detectar dichas diferencias). Por lo tanto deben ser expuestos, propuestos, consensuados y normatizados (generalmente mediante leyes, reglamentos y disposiciones formales y coactivas; la ley sin castigo no parece ser una ley muy eficiente y hasta las leyes religiosas recurren a premios y castigos).
El perito informático forense es un auxiliar del aparato judicial, representado por el tribunal interventor. De ninguna manera es un auxiliar de la Justicia. La Justicia es un elemento tan indefinible, incomprensible e inmensurable como el amor, el bien, la superioridad racial, o el compromiso social de los políticos en general y de los nuestros en particular.
El perito debe cumplir su labor de asesoramiento en carácter de testigo, respecto del tribunal que ha requerido sus servicios. No es un investigador privado, no es el responsable de juzgar a las partes que intervienen en la causa y por supuesto no es quien va a decidir sobre la culpabilidad o inocencia de una persona. Esta tarea está reservada al tribunal y no nos concierne. Debemos actuar según nuestras capacidades profesionales, acorde con nuestras convicciones técnicas y separando dichas tareas de nuestras opiniones personales y prejuicios. ¿Es posible actuar de esta manera? ¿Existen los seres humanos objetivos y desprejuiciados? No estamos en condiciones de afirmarlo, probablemente no, pero como sabemos de la existencia de aves sin alas y de mamíferos sin patas, no podemos negar la probabilidad de descubrir alguno. Esta objetividad del perito es tal vez una meta, tan inalcanzable e indeterminada como la Justicia, pero sin lugar a dudas, debe ser nuestra meta.
El surgimiento de la Informática Forense, su inserción social, judicial y tecnológica
Como decíamos, la Informática Forense se desprende directamente de una serie de sucesos que han afectado a la sociedad globalizada e informatizada de fines del siglo XX y principios del XXI.
Entre ellos podemos destacar:
El surgimiento de una serie de agresiones delictivas, utilizando medios informáticos, para concluir en delitos informáticos propios e impropios.Estas agresiones son capaces de interactuar directa o indirectamente con gran parte de la normativa penal vigente.Sin embargo la legislación específica vigente es escasa o se encuentra en vías de análisis para su implementación.En el momento de producirse un hecho delictivo por medios informáticos, las acciones legales determinadas por los Códigos de Procedimientos (Legislación de Forma), no incluyen ni prevén los mecanismos necesarios para accionar contra este tipo de delitos. Ni siquiera establecen con claridad los límites legales de dichas investigaciones. Los derechos a la verdad material, al debido proceso y a la privacidad, se intersecan e invaden mutuamente, cada vez que hay que secuestrar y preservar elementos probatorios, en particular en la prueba documental informática.La jurisprudencia es incipiente y depende más de la opinión, la formación profesional y la buena voluntad del juez, que de un accionar legislativo consensuado y fundamentado científicamente en un entorno multidisciplinario.Como consecuencia de lo expresado y en razón del enorme auge de este tipo de delitos, han resultado afectadas diferentes áreas de la sociedad en general y de la comunidad científica, educativa y política en particular.
Desde el ambiente profesional de la Informática, de la abogacía, de la administración de empresas y de la criminalística se han iniciado una serie de acciones tendientes a reunir información multidisciplinaria acerca del delito informático, su “modus operandi”, los métodos informáticos involucrados en la comisión del delito y las carencias legales que los facilitan. Sobre la base de dicha información es necesario generar:
Nueva legislación de fondo que defina con claridad el delito informático, separando sus especies. La legislación vigente se ocupa en particular del delito informático impropio, pero muy poco del delito informático propio (que afecta a la información, por ejemplo, el robo de identidad y la falsedad de datos propietarios). (2)Nueva legislación de forma para dar soporte legal a los métodos de investigación, sin afectar la confidencialidad asegurada a cada ciudadano sobre sus actos privados.Nuevas formas de auditoría informática para la detección de intrusiones a los sistemas de información en uso.Nuevos métodos informáticos de análisis y recuperación de la información.Nuevas reglas gerenciales de protección de la información para asegurar la privacidad de las empresas y evitar los daños resultantes del espionaje industrial y/o comercial.Nuevas técnicas criminalísticas que aseguren la detección, certificación, resguardo, preservación, traslado y análisis de la prueba indiciaria informático forense.En el sentido de lo expresado la Informática Forense está inserta y/o es abarcativa de la totalidad de las acciones detalladas.
El conocimiento sobre sus alcances, desarrollo y posible evolución, permitirán al profesional (independientemente del área de origen), tener una visión clara y científicamente sustentada que le asegure una opinión certera e idónea al respecto.
Esta opinión, le será de suma utilidad, ya sea en el desarrollo de sus acciones profesionales particulares o en la interacción multidisciplinaria que nos conducirá hacia una legislación e investigación eficientes, efectivas y eficaces del delito informático y sus consecuentes.
El permanente crecimiento y difusión del uso de las computadoras y de los servicios que ofrece el trabajo en redes de comunicaciones por parte de los seres humanos, provoca inexorablemente el surgimiento de diversas actitudes hacia este tipo de entorno de trabajo o entretenimiento. Por consiguiente al estar involucrado el ser humano, aparecen diversas conductas relacionadas con el uso de las computadoras. La actitud delictiva del ser humano es inevitable y se encuentra reflejada de diversas formas, una de las que afecta al resto de los integrantes de este entorno de trabajo es el delito cibernético.
La computadora puede ser utilizada como elemento para cometer un delito o la computadora en sí misma es el objetivo del delito. Por ejemplo los delitos relacionados con la pornografía infantil, amenazas a través mensajes electrónicos, fraudes, robo de la propiedad intelectual, pueden dejar huellas digitalizadas (para evitar llamarlas digitales, ya que suelen confundirse con dactilares) cuando la computadora es utilizada para cometer un delito. En estos casos se intenta investigar aquellas computadoras de las cuales se sospecha que están involucradas en un delito. Por medio de la búsqueda de palabras claves específicas, análisis de registros de eventos para verificar qué ocurrió en determinado horario y fecha y del análisis de información almacenada en dispositivos volátiles o no volátiles, se podría obtener evidencia de que alguna persona cometió un delito específico o no.
Cuando una computadora es una víctima en sí misma se la relaciona con una respuesta a un incidente, por ejemplo, el análisis y reconocimiento de sistemas que han sido atacados en forma remota. Estos ataques durante los años ochenta eran propios de los sistemas conectados por líneas telefónicas a través de módems, pero actualmente se encuentran en su mayor parte en Internet. Los ataques remotos se encuentran facilitados por las propias vulnerabilidades de los sistemas operativos, aplicaciones y servicios de red que se encuentran en las computadoras conectadas a una red área local, amplia o en Internet. De esta forma surgen distintos tipos de equipos que trabajan para responder a estos incidentes, entre ellos el CERT –Coordination Center– (www.cert.org), el Forum of Incident Response and Security Teams (www.first.org), el AR-CERT –Coordinación de Emergencias en Redes Teleinformáticas– (www.arcert.gov.ar).
Por lo tanto, las técnicas de detección y análisis de los delitos informáticos deben actualizarse permanente para responder a la variada gama de ataques y nuevos delitos que surgen en el entorno cibernético, merced a la aguda creatividad de los seres humanos que lo componen. Este proceso debe ser acompañado por la acción legislativa prospectiva, la vieja frase “el derecho siempre llega tarde”, nunca fue tan pertinente como en estos casos.
Concepto de Informática Forense
Si bien uno de los propósitos de la Informática Forense consiste en determinar los responsables de los delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular para asegurarse de que no vuelva a repetirse. La Informática Forense es aplicable tanto en los casos llevados a juicio como en investigaciones particulares solicitadas por empresas u organismos privados. Podemos decir que:
La informática forense es un método probatorio consistente en la revisión científica, tecnológica y técnica, con fines periciales, de una colección de evidencias digitalizadas para fines de investigación o legales.Cada caso específico debe ser analizado como si fuera a juicio, de esta manera cualquier investigación en Informática Forense puede soportar un escrutinio legal.Resumiendo, entendemos por Informática Forense al conjunto multidisciplinario de teorías, técnicas y métodos de análisis que brindan soporte conceptual y procedimental a la investigación de la prueba indiciaria informática. (3)
2. Nada tiene de extraño que un caballero o una dama, al llenar sus datos personales en una red social, modifique su fecha de nacimiento u optimice su fotografía, para hacerlo más atractivo a las personas con las que quiere relacionarse. Este hecho no es nuevo y por esa razón en las entrevistas laborales, luego de analizar el currículum, se pide que presente los certificados correspondientes a la capacitación académica atribuida (para evitar los falsos doctores, ingenieros y licenciados). Esta acción hasta suena simpática y no tiene más consecuencia que la decepción de la primera cita. Sin embargo, cuando quien cambia su edad es un adulto, que se hace pasar por un niño, para interactuar con otros niños e intentar sus fines ilegítimos, el tema se vuelve complejo. Establecer los límites entre el derecho a publicar sus propios datos modificados con fines de relación adulta o con fines de violación infantil, es una tarea ímproba y difícil, pero que en algún momento debe ser legislada.
3. Desde la Criminalística, consideramos como “prueba indiciaria” al conjunto de huellas (“testigos mudos”), de cualquier tipo y naturaleza, que se hayan producido como resultado de una acción cualquiera y que al ser metodológicamente investigados, permitan reconstruir los hechos acaecidos. En general, pero no de manera excluyente, se relacionan con actos delictivos.
CAPÍTULO 3
IMPLANTACIÓN PERICIAL CRIMINALÍSTICA
La Criminalística es la disciplina que se encarga de brindar soporte a la investigación judicial. Se inicia aportando criterios científicos, tecnológicos y técnicos al análisis a posteriori de los hechos criminales, se orienta al derecho penal. Surge como una respuesta metodológica racional, con pretensiones de sustituir a los restantes métodos probatorios clásicos. Es la conclusión evidente de un proceso evolutivo, que desde lo judicial, se evidencia en la venganza privada, la ley del Talión y los sistemas normativos. Abandona la prueba divina, las pruebas corporales y sus sucesores, la prueba confesional con sus resabios de tortura integrados y la prueba testimonial, con sus problemas de subjetividad, coerción y cohecho. Aparece como una pócima dorada, aportada por y para la sociedad industrializada de fines del siglo XIX. Conceptualmente se basa en el estudio de los indicios (“testigos mudos”) que obran en la escena del crimen, con fines reconstructivos. Esta nueva prueba que se agrega a las clásicas, es genéricamente llamada “prueba indiciaria” y también entres sus precursores: “la reina de las pruebas”. Su objetivo final es la reconstrucción del hecho, a partir de la prueba indiciaria, que se identifica, recolecta, certifica y resguarda en la escena del crimen, da lugar a la entonces llamada “inspección ocular”, hoy renombrada inspección judicial. A continuación intentaremos describir sus principales características.
Criminalística: Es la disciplina auxiliar de la investigación judicial que aplica los conocimientos, métodos y técnicas de investigación de las ciencias naturales en el examen del material sensible significativo relacionado con un presunto hecho delictivo o no, con el fin de determinar su existencia, o bien reconstruirlo, para señalar y precisar la intervención de uno o varios sujetos, llegando así a la verdad histórica o material del hecho. Su objeto de estudio es la prueba indiciaria.
Objetivos:
Investigar técnicamente y demostrar científicamente la existencia de un hecho en particular, que probablemente sea delictivo.Reconstruir los hechos acaecidos, determinando los fenómenos ocurridos y los mecanismos utilizados, señalando los instrumentos u objetos de ejecución, sus manifestaciones y las acciones que se pusieron en juego para realizarlo. Aportar evidencias, coordinar técnicas y sistemas para la identificación de la víctima.Aportar evidencias para la identificación del o los presuntos autores.Aportar pruebas indiciarias para probar el grado de participación del o los presuntos autores y demás involucrados.Características destacables en la disciplina:
Indicios (testigos mudos): Todo objeto, instrumento, huella, marca, rastro, señal o vestigio, que se produce como resultado de la ejecución de un hecho, independientemente de su naturaleza y condiciones particulares. Su estudio nos puede ayudar a establecer relaciones respecto de la sucesión de acontecimientos que lo generó, los instrumentos utilizados y/o los actores involucrados, puede o no corresponder a actos ilegítimos o ilegales. Es importante destacar que todo indicio está formado de signos y en algunos casos de símbolos, cuyo sentido e interpretación dependerán del entorno y el objetivo de nuestra labor reconstructiva. Sólo reconstruyendo se pueden realizar predicciones objetivas y con probabilidad de acierto. (4)Identidad: Un indicio es idéntico a sí mismo y diferenciable de sus copias y modelos representativos.Intercambio: Es el que observa los fenómenos que se desprenden de la interacción, deliberada o inadvertida, que existe entre el criminal, la víctima y la escena del crimen en un hecho delictivo. Correspondencia o identificación comparativa: Establece la relación de los indicios entre sí y eventualmente con una persona. (5) Por ejemplo: si dos huellas dactilares corresponden a la misma persona, si dos proyectiles fueron disparados por la misma arma, etcétera. Reconstrucción de hechos: Permite deducir, generar y proponer una secuencia de ejecución de acciones, a partir de los indicios localizados en el lugar del hecho, establecer sus relaciones y proponer una situación originaria, una serie de hechos y una situación resultado, coherente, metodológica y lógicamente válida, soportada en medios de investigación científicos, tecnológicos y técnicos de validez reconocida y reproducción asegurada, como propuesta sobre la manera en que pudieron ocurrir los hechos que los generaron. Probabilidad: Determina la probabilidad de ocurrencia de un fenómeno sobre la base del número de características verificadas durante un cotejo. Puede ir desde la certeza metodológica, lógica e instrumental, hasta un grado muy bajo de probabilidad. En todos los casos, puede resultar pertinente y conducente a la investigación judicial.Clasificación por su relación con el lugar del hecho:
Indicios determinados: Son aquellos que requieren solamente un análisis minucioso a simple vista o con lentes de aumento y que guarden relación directa con el objeto o persona que los produce. Pueden subclasificarse acorde con su naturaleza física, por ejemplo, en armas, huellas dactilares e instrumentos.Indicios indeterminados: Son aquellos que requieren de un análisis completo para el conocimiento de su composición y estructura de acuerdo con su naturaleza física, pues de otra forma no estaríamos en la posibilidad de definirlos. Son, por ejemplo: pelos, fibras, semen, orina, vómito, manchas o huellas de sangre y pastillas desconocidas con envoltura o sin ella. Entre ellos y en razón de nuestro estudio en particular, se deben destacar especialmente los indicios que conforman la prueba indiciaria informático forense.Indicios asociativos: Los que corroboran y guardan relación directa con el hecho que se investiga. Indicios no asociativos: Se localizan en el lugar del hecho o del hallazgo, pero no están relacionados íntimamente con el caso que se investiga. Indicios microscópicos: Son aquellos que por su naturaleza exigen el empleo de algún instrumento óptico (de amplificación macro o microscópica) para su observación (pelos y fibras). También requieren el empleo de otras técnicas de análisis de micropartículas, como la activación neutrónica, la espectrofotometría de acción de masas o la resonancia nuclear magnética.Indicios macroscópicos: Los que se observan a simple vista (manchas, armas, etc.). Indicios trasladables: Son aquellos que por su naturaleza, forma, volumen, peso o cualidades inherentes, se pueden sacar del lugar de investigación y se pueden preservar de forma adecuada para trasladarse al laboratorio y realizar el estudio pericial respectivo (armas, fibras, datos codificados en soportes magnéticos, ópticos, etc.). Indicios no trasladables. Son aquellos que por su naturaleza, forma, volumen, peso o cualidades inherentes, no pueden moverse del lugar de investigación ya que alterarían sus condiciones originales (huellas de efracción en paredes, muros, redes de cableado para interconexión digital, antenas de comunicaciones, etc.).Indicios virtuales. Son aquellos que se obtienen a partir de la investigación informático forense, pueden o no constituirse en prueba documental informática (LHVP - Lugar del hecho virtual propio).Resguardo de indicios: Son las técnicas de manejo y conservación adecuadas para guardar, inmovilizar y proteger un indicio de acuerdo a la naturaleza de éste, con el objeto de mantener su integridad para su posterior estudio y análisis. Cada indicio se empaqueta por separado, etiquetándolo con los datos administrativos correspondientes (número de averiguación previa, llamado, características del indicio, clase, fecha y nombre del criminalista) y una cadena de custodia asociada. (Prueba documental informática (6)).
Recolección de indicios: Es la acción de orden técnico que tiene como objetivo la recolección de los indicios localizados en el lugar de investigación, sin contaminar, transformar o modificar la naturaleza de éstos, con el objeto de mantener su integridad para su posterior estudio y análisis. (Gestión de la Prueba Documental Informática, normalmente como medida procesal previa o preliminar, a veces “in audita altera pars”.)
Lugar del hallazgo: Corresponde a un espacio en donde encontramos los indicios que puedan estar relacionados con algún hecho –por ejemplo el hallazgo de un cadáver–, no necesariamente se corresponde con el lugar del hecho delictuoso. En algunos casos ni siquiera es posible establecer el lugar de comisión del hecho, como en los supuestos de delitos informáticos propios o impropios cometidos en lugares del hecho virtuales propios, este tema se tratará oportunamente con mayor profundidad en esta misma obra.
Causas de alteración del lugar del hecho:
Intencionales: Suele ser cometida por los actores involucrados en la acción analizada (responsables, familiares, terceros interesados).No intencionales: Suele ser consecuencia culposa de la intromisión de personas extrañas a la investigación (periodistas y curiosos). Por causas naturales: (meteoros, fuegos, terremotos).Por desconocimiento, impericia o inexperiencia del propio investigador o los participantes (otros expertos, miembros de Fuerzas de Seguridad, bomberos, equipos de emergencia sanitaria).Desde la visión puramente deductiva y privada de un Sherlock Holmes, hasta las normalizaciones de procedimientos efectuadas por Scotland Yard y difundidas por INTERPOL, se crea un mundo nuevo. La investigación seria y científicamente soportada ha llegado para quedarse. Algunos de nuestros compatriotas hicieron enormes aporte a ésta, basta con recordar la sistematización que Vucetich aportó a la sociedad, conformando un auténtico sistema de identificación masivo, efectivo, eficiente y eficaz (el Sistema Dactiloscópico Argentino). Se trata de artes y técnicas relacionadas exclusivamente con el accionar de las Fuerzas de Seguridad en apoyo jurisdiccional directo. Desde la Policía de la Capital se conforman soluciones a partir de iniciativas particulares, soluciones que lentamente llevarán hasta la creación de la Scopometría y sus primeras divisiones en especialidades técnicas. Aún está muy lejos la concepción de una Policía Judicial, de la que se constituye en pionera la Morgue Judicial. El antiguo asesor del juez, el médico legista, se destaca en este proceso, es la voz autorizada de un profesional de la medicina, con capacitación específica en técnicas forenses (investigación causal de la muerte) y su respuesta pericial constituye un aporte indispensable a la hora de dictar sentencia.
En fin uno de los grandes maestros de la Criminalística, el inspector general Roberto Albarracín, a principios de los años setenta, en su obra Manual de Criminalística y en sus clases, solía decirnos respecto de esta denominación: “ha sido llamada: Policía Científica y Técnica Policial, Ciencia de la Policía Judicial, Arte de la Policía Judicial, Policía Científica, Técnica Policial, Policía Técnica, Policía científica o técnica (Reiss), Criminalística (Locard a partir de la Escuela Alemana representada por Hans Gross). Determinado que la más exacta y adecuada denominación de nuestra materia es actualmente la de Criminalística, diremos que ella encierra el estudio de las técnicas del crimen. En este sentido brinda una extraordinaria colaboración al proceso penal, ya que su fundamento es encontrar la verdad para que el hecho delictuoso no quede impune”. (pp. 24 y 25).
A partir de las afirmaciones anteriores, podemos descubrir ciertos detalles destacables:
Nuestro referido y dilecto maestro (a principios de los setenta) utilizaba con ambigüedad los términos crimen y delictuoso (delito en definitiva), utilizándolos en relación con el proceso penal. (7)Asignaba a la Criminalística un valor puro de soporte al proceso penal (algo inherente seguramente a su profunda formación policial), dejando de lado el aporte que la misma pudiera realizar a los restantes fueros judiciales (comercial, civil, laboral, etc.).Aunque en primera instancia parecería la panacea de la investigación del delito, en la práctica no resulta tal cosa, ni mucho menos. En efecto su método estrictamente comparativo, termina relacionando objetos con otros objetos o con determinados hechos, pero muy rara vez con el autor de dichos hechos. Se limita a comparar elementos provenientes de la prueba indiciaria, ya sea con otros objetos similares o con tablas y fórmulas estadísticas preestablecidas, sólo excepcionalmente podrá brindar información precisa respecto de la participación de una persona determinada en los hechos investigados. Esto se hace evidente en el caso de las cámaras ocultas y su pertinencia probatoria. La prueba indiciaria sólo podrá ser evaluada por el juez, en el marco de la normativa procesal vigente y a partir de su propia concepción e interpretación, como elemento pertinente y conducente en la investigación del hecho particular que debe analizar, juzgar y sentenciar (iura novit curia). (8)
Si bien la medicina legal se ha ganado su lugar por medios propios, no pasa lo mismo con otras áreas de la Criminalística, que lentamente se van separando de la integralidad originaria. Un perito es un experto, pero difícilmente pueda ser “experto en todo”, por ese proceso natural de selección, basado en las necesidades e intereses de cada profesional, se separan las primeras disciplinas criminalísticas: Laboratorio Pericial, Balística, Documentología, Fotografía, Dactiloscopia, Rastros. Sin embargo, no todas las necesidades periciales son sustentadas a partir de estas divisiones originarias, por ejemplo, puede ser necesario que el tribunal sea asesorado respecto de la autenticidad de un cuadro u otra obra de arte, algo excepcional pero no improbable. En ese caso será necesario consultar a un experto en el tema, que brindará su informe, en lo posible, con las mismas condiciones metodológicas que el resto de las áreas independientes ya consolidadas. A esto se agrega que desde el Derecho Civil se requieren actividades semejantes, es necesario realizar pericias contables, determinar superficies de inmuebles, identificar textos manuscritos y mecanografiados, establecer los daños de un vehículo siniestrado, es decir, realizar las mismas tareas que aparecían como propias de la Criminalística en soporte del Derecho Penal. A este conjunto de especialidades permanentes y ocasionales se lo denomina Ciencias Forenses.
Entre estas Ciencias Forenses ha aparecido una nueva disciplina, proveniente de la Informática, pero con sustento científico clásico, metodológico criminalístico y probatorio judicial. Esta nueva disciplina ya tiene nombre propio: Informática Forense. Se incluye, integra, complementa y es complementada por las restantes Ciencias Forenses, se constituye en herramienta de análisis de todas ellas y se relaciona de manera similar con todos los métodos probatorios aceptados por el Derecho Procesal, cualquiera sea el fuero considerado. Su visión particular se orienta hacia la prueba indiciaria informática, es decir a los testigos mudos que quedan como resultado de operaciones lícitas e ilícitas sobre activos informáticos, con fines reconstructivos orientados en particular, pero no exclusivamente a la investigación judicial.
Concepto: Se denomina Informática Forense al conjunto multidisciplinario de teorías, técnicas y métodos de análisis que brindan soporte conceptual y procedimental a la investigación de la prueba indiciaria informática.
Sintetizando podríamos decir que:
La Informática Forense es a la Informática lo que la Medicina Legal es a la Medicina.
Como toda disciplina forense, tiene sus particularidades, que justifican su diferenciación inclusiva en las mismas. Forma parte de la Informática en general y de la Seguridad Informática en particular.
Objeto: La prueba indiciaria informática. (9)
Método:
