Tag Archives: informatica forense

Cadena de Custodia en Informática Forense (Parte I)

Anexos.fi1.IlustracionMasterPrimero vamos a arrancar con algunos aspectos legales y técnicos sobre que es una “cadena de custodia”, su importancia y significado dentro de una investigacion policial y judicial y después nos ahondaremos en cuestiones informáticas.

La preservación de la cadena de custodia sobre la prueba indiciaria criminalística, es un objetivo que afecta a la totalidad de los miembros del poder judicial, los operadores del derecho y sus auxiliares directos.

Entre éstos últimos debemos incluir el personal de las Fuerzas de Seguridad, las Policías Judiciales y al conjunto de Peritos Oficiales, de Oficio y Consultores Técnicos o Peritos de Parte.

Por esta razón el establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de métodos y procedimientos que aseguren la confiabilidad de la información recolectada, único elemento integrador a proteger en los activos informáticos cuestionados, ya que incluye la confidencialidad, la autenticidad, la integridad y el no repudio de los mismo, es una necesidad imperiosa para asegurar el debido proceso en cualquiera de los fueros judiciales vigentes.

En términos sencillos implica establecer un mecanismo que asegure a quien debe Juzgar, que los elementos probatorios ofrecidos como Prueba Documental Informática, son confiables. Es decir que no han sufrido alteración o adulteración alguna desde su recolección, hecho que implica su uso pertinente como indicios probatorios, en sustento de una determinada argumentación orientada a una pretensión fundada en derecho.

El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, desde la sana crítica, la prueba tasada o las libres convicciones según sea el caso y la estructura judicial en que se desarrolle el proceso.

Consideramos a la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia y que tiene como fin asegurar la inocuidad y esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial.

Para asegurar estas acciones es necesario establecer un riguroso y detallado registro, que identifique la evidencia y posesión de la misma, con una razón que indique, lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no).

Desde la detección, identificación, fijación, recolección, protección, resguardo empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la escena, es la misma que se está presentando ante el evaluador y/o decisor.

Subsidiariamente, pero a idéntico tenor, es importante considerar el significado implícito en los indicios recolectados, el valor que van a tener en el proceso de investigación, análisis y argumentación del cual dependen. En dicho marco de referencia es que adquirirán su relevancia y pertinencia, de ahí la necesidad de evitar en lo posible la impugnación de los mismos en razón de errores metodológicos propios de cada disciplina en particular (no son idénticas la cadena de custodia de muestras biológicas que la que se corresponde con armas, o documentos impresos o virtuales). Es por esta razón que existen componentes genéricos y componentes particulares en toda cadena de custodia. Por ejemplo el realizar un acta de secuestro es un elemento genérico, pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre el archivo secuestrado es un elemento propio de la cadena de custodia en informática forense.

Suele asociarse a la cadena de custodia con el proceso judicial orientado a dilucidar acciones delictivas, sin embargo la misma no se agota en el orden penal. En particular la cadena de custodia informático forense debe preservarse en todas las transacciones virtuales susceptibles de ser valoradas económicamente. Cuando un banco realiza una transferencia de fondos o un consumidor adquiere un producto por medios virtuales (Internet entre otros) requiere de esa operación la misma confiabilidad que puede aportarle la cadena de custodia informático forense, es decir afecta en todo momento a la comunidad virtual y sus actores involucrados.

Al recolectar las pruebas, lo importante es el significado, el valor que va a tener en el proceso de investigación y por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar, al haberse acatado el procedimiento.

Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria ante el encargado de decidir a partir de la misma, es necesario que la misma sea garantizada respecto de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente adecuado. Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.

Continue reading

Una Dirección IP no identifica a una Persona (o Pirata Informático)

Ayer domingo mientras leía blogs y diferentes diarios/medios nacionales e internacionales me sorprendí mucho al leer una nota en la versión online del Diario La Capital de Rosario.

En principio la nota prometía ser interesante, bajo un titulo que reza “Piratas informáticos que operaban desde Rosario, en la mira”.

En el cuerpo del mensaje anuncia que unos Piratas Informáticos se habían hecho una suma cercana a los 500.000 Pesos Argentinos estafando cibernéticamente a dos empresas (Toscano S.A. de CABA y Laser Jet Impresos de Comodoro Rivadavia).

Pero, aqui viene la parte que no me cierra, en algunos de los parrafos de la nota dice siguiente y cito:

“…A partir de investigaciones realizadas por peritos informáticos se concluyó que las direcciones informáticas (IP) están asentadas en la ciudad Rosario.

“El IP es la señal de registros físicos de datos. Cuando uno contrata un servicio informático la empresa que es dueña del sitio lo registra, toma cada dato y una dirección. La localización del IP puede variar, pero al estar registrado al menos se llega a una dirección”, explicaron expertos en el tema. De ese modo se concluyó que los crakceres operan desde Rosario…”

Aquí estamos ante el primer error, la nota asegura que la dirección IP es una “señal de registros físicos de datos”. Error si recurrimos a Wikipedia (se que no es una fuente completamente severa de información, pero es donde encontré la explicación mas didáctica) dice lo siguiente sobre lo que es una Direccion IP:

“Una dirección IP es una etiqueta numérica que identifica, de manera lógica y jerárquica, a un interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP…”

Aseverar que la Direccion IP es un rastro fisico es un error MUY grave, otro error es concluir que los “crakckeres” (jajajaja mato el termino!) operan desde Rosario porque se identifico que la IP fue rastreada en dicha ciudad.

Hoy por hoy decenas de dispositivos utilizan Direcciones IP y una misma IP puede ser utilizada por muchos de ellos, smartphones, notebooks, tablets, heladeras, etc. Además la mayoría de los proveedores de Internet en Argentina utilizan “Asignación Dinámica de Direcciones IP” (DHCP), esto quiere decir que a un mismo usuario casi nunca se le asigna la misma Dirección IP. Y lo mas importante, en los tiempos que corren, todos nuestros dispositivos corren riesgo de ser victimas de algún software malicioso (virus, troyanos, backdoors) que permitan el control remoto de nuestros preciados objetos tecnológicos, así que asegurar o concluir que una Dirección IP identifica a una Persona o Pirata Informático es un error MUY grave, y por eso el titulo del post.

Por ultimo, quiero creer que los Peritos Informáticos (o Forenses Informáticos) de nuestras fuerzas de seguridad o el letrado que lleva la causa no fueron quienes hicieron esas aseveraciones, sino que es obra de algún redactor de noticias distraido o desinformado. La verdad me resultaría muy gracioso (sic) que le caigan a “Doña Rosa” que utiliza su PC para leer el diario, bajar recetas de cocina y leer chimentos en “Primicias Ya” con un allanamiento por estar sospechada de ser participe en una red de piratas informáticos estafadores.

Les dejo tambien una nota (en ingles) que salio en TorrentFreak que es de donde saque el titulo para el post donde un Juez reboto una causa por considerar que una dirección IP no identifica a una persona o delincuente informático  y la nota original completa del Diario La Capital.

Nota Diario La Capital

Nota TorrentFreak (Ingles)