Download Mariano Messina - Powered by it
Document related concepts
no text concepts found
Transcript
Universidad del Salvador Facultad de Ciencias de la Administración Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Trabajo de Investigación 07 de Diciembre del 2012 Carrera: Ingeniería en Sistemas Alumno: Mariano Messina Correo: Mariano.Messina@gmail.com Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Indice Introducción ........................................................................................................................................ 4 Antecedentes .................................................................................................................................. 4 La informática forense. .................................................................................................................... 7 Definición de informática forense. ................................................................................................... 8 Seguridad Informática e Informática Forense ................................................................................... 9 Relación entre Hackers y Forenses. ................................................................................................ 10 Informática forense el Cybercrimen y la ley de los delitos informáticos ............................................. 11 Cadena de Custodia. ...................................................................................................................... 11 El Cybercrimen............................................................................................................................... 13 Delitos informáticos:...................................................................................................................... 15 Evidencia Digital: ........................................................................................................................... 17 Proceso Forense ................................................................................................................................ 19 Etapas de la informática forense: ................................................................................................... 19 Identificación y documentación de la evidencia: ............................................................................ 20 Adquisición de Datos ..................................................................................................................... 26 Validación y Preservación de la Información: ................................................................................. 32 Análisis y descubrimiento de evidencia .......................................................................................... 34 Confección del Informe Final.......................................................................................................... 40 Conclusiones ..................................................................................................................................... 43 Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática forense Argentina: ............................................................................................................................. 44 Anexo II – Modelo de Informe final .................................................................................................... 46 Referencias ........................................................................................................................................... 53 Mariano Messina 2 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Abstract El presente trabajo de investigación procede a estudiar, analizar y exponer en qué consiste la informática forense, los conceptos que la definen, cuál es su metodología y también, cuales son las mejores prácticas que permiten llevar a cabo una investigación forense digital de forma tal que sea posible la identificación de los diferentes riesgos que constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un tribunal de justicia. Además, se procede a abordar la metodología de forma tal que el lector pueda conocer diferentes controles preventivos que utilizan los peritos experimentados en los procesos, los cuales evitan acciones que podrían permitir que los distintos elementos probatorios, involucrados en un proceso judicial, sean desestimados por alguna de las partes intervinientes. El objetivo principal del presente trabajo consiste en demostrar y concientizar que el cumplimiento de la aplicación metodológica, de los estándares y de las mejores prácticas de procesos forenses mitiga el riesgo de guiar a una investigación hacia su invalidación. Mariano Messina 3 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Introducción Antecedentes Se observa la enorme influencia que ha alcanzado la informática en la vida cotidiana de cada uno de nosotros y, también, en el ámbito de las organizaciones, de tal forma que hasta se podría llegar a considerar que la informática es una ciencia que contribuye directamente en el desarrollo de un país. Hoy en día vivimos en una sociedad dónde la gran mayoría de la población utilizamos un medio informático (que puede ser una computadora con acceso a internet, una Tablet o un teléfono) para poder realizar distintas operaciones que podrían abarcar desde las más sencillas (como por ejemplo: revisar el estado del tránsito) hasta realizar algunas más complejas, (aquí se podría considerar el pago de algún servicio mediante la utilización de nuestra cuenta bancaria y un teléfono celular, mientras nos encontramos físicamente en la calle). Estas actividades no solamente contribuyen al ámbito privado de cada uno de nosotros, sino que, analizando a la informática desde un aspecto más amplio se puede notar que ésta se encuentra arraigada a muchos otros ámbitos en los cuales podemos encontrar por ejemplo: la comunicación, la investigación, la educación, los procesos industriales, seguridad, sanidad, etc… y que todos estos dependen cada día más de una adecuada evolución y desarrollo de la tecnología.1 A su vez, conforme la tecnología avanza, va ejerciendo cada vez mas influencia en muchas áreas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos últimos aquellos que de manera genérica se han denominado en nuestra legislación como “delitos informáticos”.2 Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han conllevado a distintas ciencias a tratar de no sólo describir e interpretar el proceder de los encargados de ejecutarlos, sino que además, han orientado a poder desarrollar métodos con el fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o mediante) diferentes medios informáticos.3 1 Bocanegra C, Carlo A.: Impacto de la tecnología informática en los individuos, http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html 2 Aguilar Avilés, D.: Impacto del Desarrollo socioeconómico en la resolución de investigaciones forenses, en Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm 3 Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012, http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas Mariano Messina 4 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. La ciencia que se encarga de analizar cualquier contenedor informático de datos (entiéndase: notebook, celular, discos duros, memorias, etc…) con el objetivo de encontrar información que pueda ser relevante en una investigación o auditoria es la Informática Forense.4 Hace meses atrás se dio a conocer cómo miembros de un estado han podido vulnerar diferentes sistemas informáticos, de alto peligro, correspondientes a una planta nuclear iraní, que tuvo como principal objetivo el de sabotear los planes nucleares que allí se desarrollaban. Gracias a la adecuada aplicación de la Informática forense se ha logrado el análisis del malware utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5 En nuestro país se han identificado múltiples antecedentes en diversos procesos judiciales que han resultado en una invalidación de la evidencia debido a falencias en la aplicación de las prácticas forenses. Uno de los más recientes casos de invalidación judicial es el famoso caso Ricardo Jaime, en dónde se ha responsabilizado a la Policía Federal Argentina por no respetar la cadena de custodia, mediante la aplicación de una metodología que asegure que los elementos contenedores de información que van a ser presentados como evidencia ante el tribunal de justicia, no sean contaminados durante las diferentes fases que comprenden al proceso forense.6 “Teniendo en cuenta el reciente caso Jaime, se ha probado que por más que se tenga el mejor software de informática forense, si no se tiene la idoneidad necesaria para utilizarlo, los resultados serán desastrosos y la prue-ba [SIC] nula.” (Arellano G., 2012) Debido a que dichas falencias podrían permitir el desvío del proceso judicial en su búsqueda de la verdad7, el propósito del presente trabajo es el de ampliar y proponer la adecuada aplicación metodológica de las mejores prácticas forenses en la Argentina, en las cuales se debe considerar prestar especial atención a diversos puntos críticos que podrían poner en riesgo la investigación o auditoría. La finalidad es de brindar a la justicia una herramienta que sea eficaz a la hora de realizar los procesos judiciales. Con el fin de lograr el mencionado objetivo, se ha trabajado de manera de obtener un procedimiento metodológico con aportes de diversas fuentes, nacionales e internacionales, de información bibliográfica que incluyen: artículos periodísticos disponibles en internet, libros de 4 Aguirre, Alessio: Informática Forense, 2012, http://alessioaguirre.com/informatica_forense.html Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012, http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/ 6 Cappiello, Hernán: La invisibilidad de las pruebas de corrupción, 23 de Febrero 2012, http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion 7 Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012, http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-deJaime.html 5 Mariano Messina 5 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. informática forense, manuales de cursos especializados, fallos judiciales argentinos y sitios relacionados al objeto de estudio. Además, se ha tenido la suerte de recibir una invitación para formar parte de un foro de informática forense dónde se realizan consultas, se comparte información y dónde existe mucha documentación relacionada al objeto de estudio. El espacio se encuentra conformado por diversos profesionales que incluyen abogados, peritos forenses, especialistas informáticos y estudiantes de diversas carreras. Por otra parte, una vez definida la base teórica, se ha procedido a realizar una entrevista personal a un reconocido perito forense con fuerte presencia nacional e internacional.8 Por último, además de lo expuesto anteriormente, se ha trabajado en la aplicación de conocimientos adquiridos mediante la experiencia personal que se ha logrado a través de diferentes cursos específicos en la materia y gracias al hábito que se ha adquirido al participar de numerosos proyectos en grandes empresas y de distinta índole. 8 Diario Clarín: La sugestiva y misteriosa acción de un espía privado, 22 de Diciembre 2011, http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html Mariano Messina 6 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. La informática forense. El gobierno, las grandes organizaciones y las personas, de la mano de sistemas informáticos, han logrado hoy en día exponer una gran cantidad de productos y servicios que podemos consumir para satisfacer muchas de nuestras necesidades. Dichos productos o servicios fueron creados con un fin que subsana muchas de nuestras necesidades cotidianas y que cada vez más se encuentran arraigadas en nuestra vida, sin embargo, existen inconvenientes cuando se origina una acción ilícita que va en contra de los objetivos por los cuales los objetos mencionados, han sido construidos.9 Tomemos como ejemplo a un sistema financiero informático (que lo podríamos conocer bajo el nombre de Home Banking) que fue creado como un servicio que brinda una institución financiera a sus clientes, cuyo fin sería el de que una persona pueda administrar el dinero que tiene a su disposición. Ahora bien, supongamos además a un individuo que anhele vulnerar el sistema informático financiero con el fin de obtener alguna retribución económica (aunque también se podría considerar el hecho de generar perjuicio sobre el servicio brindado por la institución, como por ejemplo, realizar ataques de denegación de servicio). Siguiendo el hilo hipotético, imaginemos que un usuario malicioso logre no sólo el acceso no autorizado a dicho servicio sino que además él logre, mediante la aplicación de herramientas informáticas, la sustracción de dinero desde varias cuentas bancarias. Dicha acción resultaría en un perjuicio no sólo a la institución que se encargue de brindar el servicio a sus clientes sino que además impactaría de forma directa sobre la economía de cada uno de los titulares de las cuentas afectadas (claro que también se podría mencionar el daño a la imagen que le produce a la entidad, si el hecho tomara conocimiento público) Ante un escenario como el planteado (de forma hipotética pero que muchas veces no escapa a la realidad) sería necesario un proceso por el cuál se pueda identificar quién fue el responsable de las acciones ilícitas que fueron realizadas, teniendo en consideración diferentes aspectos, tales como: en qué momento se realizaron, en qué lugar, cuál fue el impacto que tuvo, de qué forma se realizaron, si aún quedan restos remanentes del acto y cuales fueron las personas (jurídicas o físicas) damnificadas.10 9 Stuart, Keith: PlayStation 3 hack – how it happened and what it means, 07 de Enero 2011, http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3 10 La Nación: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012, http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia Mariano Messina 7 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del 85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de seguridad.12 Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar información relevante a una investigación de cualquier índole, encontrándose ubicado en un escenario en dónde se haya planteado un interrogante que debiera ser esclarecido. Un forense informático entonces, debe cumplir el mismo rol que un forense tradicional cuándo el ámbito de una investigación incluya medios digitales o elementos informáticos cómo medio contenedor de información. Definición de informática forense. A fin de ampliar el concepto establecido en la introducción, se puede definir a la Informática Forense como una ciencia relativamente nueva que mediante la aplicación de una metodología estructurada de investigación, se encarga de analizar diferentes medios de almacenamiento de datos informáticos, como por ejemplo: discos ópticos, memorias, celulares, impresoras, discos rígidos, etc… con el fin de encontrar información que pudiera ser útil en un proceso de investigación o auditoría. La metodología que se aplica en el proceso de recolección de datos, y durante las distintas fases que comprenden al proceso de identificación, creación, cuidado y presentación de evidencia debe garantizar que la misma no sea alterada en el transcurso del proceso, así como también, que dichos datos sean solamente accesibles por aquellas personas que tienen autorización para tal fin, mediante el resguardo de la evidencia en una ubicación que no permita que ningún factor altere su contenido. Si bien existen múltiples herramientas utilizadas en las investigaciones por diferentes informáticos forenses, algunas gratuitas y de código abierto, otras protegidas por derecho de autor, la aplicación de cualquiera de ellas en las diversas etapas que comprenden al proceso deben asegurar que la información obtenida sea exactamente la misma a la que se encuentra en su contenedor original, es decir, que si bien existe libre elección o preferencia de las herramientas a utilizar teniendo en consideración el tiempo disponible para desarrollar el 11 12 Ec-Council: http://www.eccouncil.org/ Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 8 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. proceso (entre otros aspectos), cualquiera debe ratificar la autenticidad de la información obtenida.13 Durante los actos públicos o privados, y durante las diferentes etapas que comprenden al proceso forense, es mandataria la existencia de una figura que ejerza un control y una validación al procedimiento que se está llevando a cabo por los peritos informáticos, con el fin de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los mismos no afectaron la integridad de la información obtenida.14 En nuestro país, un escribano es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un especialista en materia informática, de lo que estaría limitado en dar fe es de que lo que realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como evidencia.15 En un curso realizado en el año 2010, en el Instituto Universitario de la Policía Federal Argentina (IUPFA), al cual se ha asistido, el señor Alessio Aguirre Piemetel ha manifestado la importancia de que una vez que la información relevante al caso ha sido claramente identificada y duplicada, y luego de haber establecido un fuerte mecanismo de control y protección de los datos, se debe proceder a confeccionar un informe final prestando especial atención al lenguaje utilizado con el fin de presentar la evidencia a las autoridades encargadas de emitir un juicio sobre los hechos, y de cómo este lenguaje tiene una influencia directa sobre la interpretación de los actos no sólo por parte del jurado, sino además por las demás partes intervinientes. Seguridad Informática e Informática Forense Se define a la seguridad informática como a la rama de la informática en dónde se tiene como objetivo la protección de la infraestructura computacional, la información que se encuentra almacenada en algún medio informático y a los usuarios que deban interactuar con ella 13 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 14 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 15 Zygier, Analía: En la era de Internet, los jueces no cazan una, 2012, http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html Mariano Messina 9 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. mediante la aplicación de diferentes estándares, reglas, procedimientos, leyes y herramientas que aseguren la disponibilidad, la confidencialidad y la integridad de la información. Como se ha mencionado anteriormente, la informática forense, mediante el cumplimiento de distintas etapas, se encarga de recabar información, de poder procesarla para crear evidencia, de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han logrado acceso a la misma. La diferencia entre ambas ramas de la informática, radica en que la informática forense entra en escena cuando se produce algún incidente en alguna institución (en el ámbito privado o también el público) y se deba buscar una respuesta al mismo, ubicándola así bajo uno de los ítems principales de la seguridad computacional: el triángulo consiste en el análisis de vulnerabilidades, detección de intrusos en la red y la respuesta ante incidentes, siendo esta última dónde se encuentra ubicada nuestro objeto de estudio. Relación entre Hackers y Forenses. Profesionalmente, se ha encontrado frente a la necesidad de definir a un Hacker en numerosas oportunidades pudiendo notar que la gran mayoría de las personas cree en la concepción de que la actitud de dicha figura es netamente delictiva, o que se trata de alguien dotado puramente de fines malignos, cuando en realidad, la esencia de un verdadero Hacker es simplemente, la curiosidad. Un Hacker pretende conocer cómo los diferentes elementos informáticos fueron construidos, cómo interactúan entre sí, cómo optimizar su funcionamiento, cómo protegerlos y también, ellos tienen como deseo el compartir sus amplios conocimientos con la comunidad. El nacimiento del término Hacker (o Hacking) tiene un significado totalmente venerable y se remonta a la década de los 60, dónde la memoria disponible en las diferentes computadoras de esa época era extremadamente escasa en comparación a la modernidad y dónde los programadores, dotados de altos conocimientos técnicos, debían realizar arduas modificaciones a los archivos fuente con la finalidad de recortar la cantidad total de líneas de código, logrando así, la optimización de la ejecución del software. Cuando la curiosidad y los elevados conocimientos técnicos se combinan con un hecho delictivo, o alguna acción maligna, en dónde se utilice elemento informático como medio y que Mariano Messina 10 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. además tenga como resultado un acceso no autorizado, o la violación de alguna ley, se hace presente el concepto de Cracker, distinguiéndolo efusivamente al término Hacker.16 Creo entonces que, al considerar a un forense informático como a una persona que se encarga de realizar un proceso metódico, en dónde debe utilizar sus elevados conocimientos técnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no existe una diferenciación entre un Hacker y un Forense informático sino que por el contrario, creo que ambos comparten la misma esencia, la curiosidad. Informática forense el Cybercrimen y la ley de los delitos informáticos Cadena de Custodia. La cadena de custodia en el proceso del análisis forense consiste en controlar y limitar el acceso a la evidencia que debe ser recabada de los diferentes medios informáticos, cuidándola celosamente, mediante la utilización de buenas prácticas. Dicho control es utilizado para asegurar que la información no ha sido dañada, alterada, contaminada o destruida durante todo el desarrollo de la práctica forense, permitiendo demostrar que los diferentes elementos de prueba, obtenidos en las diferentes etapas que comprenden al procedimiento, son los mismos que fueron recolectados en el lugar de los hechos.17 El ingeniero Gustavo D. Presman define en un artículo periodístico a la cadena de custodia como: “… un registro minucioso de las personas que han tomado contacto con la evidencia, indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las actividades que se efectuaron con relación a la misma y conocer quien es el responsable por las mismas.” (Presman, 2009, pág. 2) 16 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005. Campos, Federico: La Relevancia De La Custodia De La Evidencia En La Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf 17 Mariano Messina 11 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Si bien la cadena de custodia proviene de las ciencias criminológicas y su implementación es imperativa en procesos a cargo de fuerzas de la ley o en marcos de pericias judiciales, muchos expertos en materia forense Argentina recomiendan alinear la misma metodología en las investigaciones corporativas debido a que si en un futuro se decide llevar a la justicia algún hecho que requiera esclarecimiento, se debe asegurar que la evidencia fue recabada teniendo en cuenta los mismos principios utilizados ante un proceso judicial, tratando de asegurar de que la misma no sea descalificada por ninguna de las partes intervinientes en el proceso.18 Si en algún momento de todo el proceso, se especula con la idea de que la cadena de custodia no ha sido realizada conforme a las mejores prácticas forenses, se podría solicitar la invalidación de la evidencia presentada ante las autoridades.19 “… y si resultara posteriormente que la evidencia no se obtuvo a través de procedimientos válidos y no se mantuvo la cadena de custodia, no tendrá mayor sentido aportar la misma ya que podría ser fácilmente descalificada por alguna de las partes.” (Presman, 2009, pág. 2) Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe entre la información que se encuentra almacenada dentro de un contenedor informático (comúnmente llamada Evidencia digital) con el medio mismo dónde se encuentra almacenada (Evidencia Electrónica). Cada uno de los ítems debe ser claramente identificado, rotulados, custodiados y tratados de forma idónea según las mejores prácticas forenses.20 La cadena de custodia posee diferentes etapas en el proceso forense informático y en cada una de ellas debe asegurarse la autenticidad, confidencialidad y disponibilidad de la evidencia21: 1. Extracción o recolección de la prueba. 2. Preservación y embalaje de la prueba. 3. Transporte o traslado de la prueba. 18 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 19 Poder Judicial de la Nación: Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n° 39.803), 22 de Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100 20 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0, 7 de Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf 21 Ministerio Público de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia, http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf Mariano Messina 12 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. 4. Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías para su custodia. 5. Custodia y preservación final hasta que se realice el debate. El Cybercrimen Si bien en la introducción se hace mención a la premisa que establece que la constante evolución de la tecnología va modificando a la sociedad y que uno de los resultados de este proceso es el poder observar el origen de nuevas conductas o comportamientos, no es el objetivo del presente trabajo abordar de forma específica cada uno de ellos sino mas bien se procede a definirlos como para generar un marco teórico. “Herramientas Hackers se encuentran fácilmente disponibles en la Red y, una vez descargadas, pueden ser utilizadas inclusive por un novato usuario de computadoras.” (The Cybercitizen Awareness Program) El departamento de justicia de los Estados Unidos categoriza a los crímenes computacionales en tres diferentes formas22: - La computadora como objetivo: resulta de atacar las computadoras de otras personas (la propagación de un virus es un ejemplo). - La computadora como un arma: utilizar la computadora para cometer algún “crimen tradicional” que vemos en el mundo físico (como por ejemplo el fraude o los juegos ilegales). - La computadora como accesorio: utilizar la computadora como un extravagante medio de almacenamiento capaz de contener información ilegal o robada. En el décimo Congreso Nacional de las Naciones Unidas en la Prevención del Crimen y en el Tratamiento de Delincuentes, en un taller dedicado a cuestiones de crímenes relacionados a redes computacionales realizado en el año 2000, desglosan al cybercrimen en dos categorías y las definen como: 22 The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html Mariano Messina 13 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. a. CyberCrimen desde un sentido estrecho (crimen de computadoras): Cualquier comportamiento ilegal mediante operaciones electrónicas que tiene como objetivo la seguridad de las computadoras y la información procesada en ellas. b. CyberCrimen desde un aspecto más amplio (crimen relacionado a computadoras): Cualquier comportamiento ilegal realizado por medio de, o en relación a sistemas computacionales o redes, incluyendo dichos crímenes como posesión ilegal, distribución u ofrecimiento de información mediante un sistema de computadoras o redes.23 En la legislación argentina se encuentran modificaciones al código penal con el fin de establecer cuales son las actividades ilícitas que merecen una pena o sanción en nuestra sociedad.24 La legislación actual contempla los siguientes casos, teniendo en consideración que los diferentes ataques pueden ocurrir por una persona dentro de la empresa, como también desde el exterior de la misma: • Atentados a la propiedad intelectual: actos que permiten acceder a patentes, desarrollos de software, etc..25 • El daño a redes informáticas organizacionales: por ejemplo cuando se implanta un Trojan Horse, conductas de Denial of Service o la instalación de Back Doors con el fin de ganar acceso remoto a los sistemas. • Fraude financiero: cualquier acción fraudulenta que se realice con el fin de obtener una retribución monetaria. • Acceso no autorizado a servicios informáticos: mediante la utilización de sniffers, rootkits, explotación de vulnerabilidades y otras técnicas que puedan tomar ventaja de las vulnerabilidades de seguridad de los sistemas o software. • Distribución y ejecución de virus y gusanos informáticos. • Espionaje. 23 Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002. InfoLeg: Información Legislativa: Ley Delitos Informáticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio 2008. 25 InfoLeg: Régimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/4000044999/42755/texact.htm. 24 Mariano Messina 14 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. • Producción, comercialización, financiamiento, publicación, divulgación o distribución de pornografía infantil. Delitos informáticos: Una primera idea respecto al delito informático la señala Téllez Valdés, quien lo conceptualiza desde dos ópticas. Nos dice que desde un punto de vista atípico son “actitudes ilícitas en que se tiene al computador como instrumento o fin”, y desde uno típico son “conductas típicas, antijurídicas y culpables en que se tiene a las computadoras como medio o fin”.26 La ley 26.388 de delitos informáticos argentina tipifica27 cuales son las conductas ilícitas en las cuales se utiliza algún elemento informático para causar una acción que requiera una sanción. Establece además la pena que debe cumplir la persona tras desarrollar tales acciones. La falta de tipificación penal de muchas conductas delictivas aún hoy en día produce que las mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las más discutidas son: el grooming, phishing y la suplantación de la identidad. 26 27 Téllez Valdés, J. Derecho Informático, Ed. McGraw-Hill, México, 1996, p. 104 Muñoz Conde, Francisco (2002). Teoría General del Delito. Temis. 2ª Edición. Bogotá. Pág. 31 Mariano Messina 15 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Figura 1: Figuras contempladas en la ley de delitos informáticos. Si bien es verdad que se encuentran tipificados muchos de los delitos informáticos en nuestra legislación y que el campo de acción se podría pensar que se encuentra circunscripto a la informática, la práctica forense se debe extender y considerar como un proceso mandatario cuando se produce algún otro delito con el fin de lograr un entendimiento de los hechos que Mariano Messina 16 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. han sucedido. Varios ejemplos comprenden: casos de homicidio, extorsión, suicidio, violaciones, estafa, etc…28 Evidencia Digital: Casey define en su libro a la evidencia digital como: “… un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.” (Casey, 2000). Además de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida mediante la aplicación de rigurosos y metodológicos procesos que aseguren su validez. “La evidencia digital puede ser dividida en tres grandes categorías: 1. Registros almacenados en el equipo de tecnología informática (correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.) 2. Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.). 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.). “ (Bolívar Pinzón Olmedo, 2007) Existen varias diferencias entre la evidencia digital y la física. Una particularidad es que la evidencia digital es sumamente frágil: la información digital se puede crear, alterar, copiar y borrar muy fácilmente. Otra particularidad es que la duplicación de la información digital no establece per se forma alguna de poder identificar qué datos son originales y cuáles son resultantes de haber realizado un proceso de copiado de información, por lo tanto, y como 28 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005. Mariano Messina 17 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. veremos más adelante en el desarrollo del presente trabajo, la informática forense debe contar con un proceso metodológico lo suficientemente sólido como para evitar cometer errores que afecten a la evidencia y a su integridad. 29 Otras consideraciones a tener en cuenta de la evidencia digital son: • • • • • • • Es volátil Es anónima Duplicable Alterable y modificable Eliminable Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia. Es malo para los Juristas ya que el concepto de “original” carece de sentido. La evidencia que se puede necesitar en un proceso de investigación puede comprender30: • Toda la evidencia física disponible: computadoras, celulares, cámaras de fotos, dispositivos periféricos, documentación, anotaciones, etc… • Datos visuales que se encuentren representados en un monitor encendido. • Evidencia impresa en una impresora. • Evidencia impresa en un plotter. • Representaciones magnéticas de grabaciones. El departamento de Justicia de los Estados Unidos provee un documento en el cuál se centra en la asistencia y conciencia hacia los peritos informáticos en cuanto a buenas prácticas forenses que deben seguir en la adquisición y preservación de los diferentes dispositivos electrónicos que fueron encontrados en la escena del crimen. En el documento que se encuentra publicado en la web, se hace hincapié en que la evidencia pertinente a un caso puede encontrarse en lugares inusuales y que ésta podría tener información de suma importancia para el investigador de la escena del crimen. Además 29 Bolívar Pinzón Olmedo, F.: Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes, Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip 30 Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, 2002. Mariano Messina 18 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. establece la importancia de no sólo recolectar información digital, sino que, el perito debe observar el ambiente en su totalidad, realizando una búsqueda de hojas con contraseñas, anotaciones escritas a puño y letra, manuales de herramientas o dispositivos informáticos (entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos lineamientos que la evidencia digital.31 Proceso Forense Etapas de la informática forense: Anteriormente se ha hecho mención que el proceso forense consta de diversas etapas para lograr su objetivo, ellas comprenden: la Identificación de la evidencia, adquisición de datos, validación y preservación de la información adquirida, análisis y descubrimiento de la evidencia y como última etapa, se encuentra la confección del informe que debe ser presentado a las autoridades correspondientes. Se debe destacar que resulta de gran importancia realizar la documentación de todas las acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del proceso forense. Además, es también es de gran importancia mantener una adecuada cadena de custodia durante todas las etapas de la investigación.32 31 National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008, http://nij.gov/nij/pubs-sum/219941.htm 32 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 19 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Figura 2: Etapas del proceso forense. Identificación y documentación de la evidencia: Debido a que la adquisición de datos puede involucrar un amplio abanico de dispositivos contenedores de información, que pueden abarcar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, varias computadoras de una organización o un conjunto de dispositivos móviles (entre otros), es que antes de comenzar con el proceso de adquisición de datos es necesario realizar un reconocimiento y una correcta documentación de los diferentes tipos de evidencia que se debe adquirir, del sistema informático que se pretende analizar y también, se debe tener en cuenta cuál es el camino del delito, ya que no es lo mismo analizar un caso de homicidio que uno de fraude, por las características inherentes a cada uno de ellos.33 En un caso de fraude se podría considerar el análisis de diferentes componentes perimetrales que no sean computadoras, 33 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos v 2.0, 7 de Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf Mariano Messina 20 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. como por ejemplo, tarjetas de crédito, informes, impresoras, scanners, etc…, sin embargo, en casos como la pornografía infantil, se debe establecer énfasis en otros objetos, cómo por ejemplo, en las cámaras digitales.34 También es necesario, antes de comenzar con el proceso de adquisición de datos, tener en cuenta cuál va a ser la información que se debe recolectar, ya que si se decide copiar la totalidad de los datos cuando en realidad sólo se necesita una porción del conjunto, se podría incurrir en una pérdida innecesaria de tiempo, además de aumentar el riesgo a contaminar la evidencia.35 Los diferentes elementos que van a ser analizados, y que son material probatorio en un proceso judicial, deben encontrarse claramente identificados con el fin de evitar la pérdida de la información. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir los elementos que son copia de lo que es evidencia original así como también permite llevar un registro de la ubicación de cada uno de ellos. Es posible evitar este tipo de inconvenientes mediante la realización de un proceso que asegure que todos los dispositivos se encuentren correctamente etiquetados y que todos incluyan firmas para lograr identificar cuáles son los diferentes elementos que componen el caso.36 “Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Traslade estos datos a otra etiqueta y péguela en la caja contenedora del soporte, incluso sería conveniente precintar el original para evitar su manipulación inadecuada.” (Delgado L., 2007) Durante el desarrollo de un curso de Identificación y Adquisición de Evidencia Digital, en el que se ha tenido el agrado de participar hace algunos meses, varios consultores en materia forense han manifestado la importancia de fotografiar la escena dónde se haya cometido el delito para poder, en caso que se requiera, reconstruir su estado original una vez que el proceso forense haya concluido. Adicionalmente, a lo largo de la jornada han manifestado que es una buena práctica utilizar elementos de diversos colores para identificar claramente cada una de las piezas relevantes al caso. Por ejemplo, han hecho mención que les ha resultado muy 34 Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004, http://nij.gov/nij/pubs-sum/199408.htm 35 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. 36 Campos, Federico: La Relevancia De La Custodia De La Evidencia En La Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf Mariano Messina 21 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. práctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fácilmente diversos dispositivos y cables conectores durante todo el proceso. Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la escena, existe la posibilidad de que de forma accidental se desconecte algún conector provocando la pérdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la alteración de la información almacenada en un contenedor digital. Durante el curso, han demostrado cuán relevante es forrar de manera completa los diversos conectores de los dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de desconexiones accidentales. Figura 2: Ejemplo otorgado en el curso de etiquetado de conectores. Mariano Messina 22 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Antes de proceder a realizar un análisis de la evidencia identificada se podría responder a algunas preguntas tales como37: 1- ¿Qué evidencia se tiene para poder determinar que un acceso no autorizado ha ocurrido? 2- ¿Cuál es la cronología del acceso o de los cambios ocasionados en la información? 3- ¿Cuál es el daño estimado? 4- ¿Quién podría ser el responsable del incidente? 5- ¿Por qué se sospecha de esta persona? 6- ¿Cuál es el impacto en el negocio? 7- Los sistemas y las computadoras afectadas, ¿forman parte de procesos críticos de negocio? 8- ¿Qué acción fue que ocasionó un alerta del incidente? 9- ¿Cuando ocurrió el incidente? 10- ¿Cuando fue el incidente descubierto por primera vez? 11- ¿Quién ha investigado el incidente y qué acciones han sido tenidas en cuenta con el fin de identificar, recolectar y analizar la información y los dispositivos involucrados? Además, se deben tener en cuenta recaudos especiales sobre la computadora encargada de realizar el proceso con el fin de evitar acciones inadvertidas que atenten contra el proceso de duplicación de datos. En la misma charla de Identificación y Adquisición de Evidencia Digital mencionado anteriormente, los peritos forenses han hecho hincapié en el hecho de desactivar de forma completa las actualizaciones automáticas de Microsoft Windows debido a que si por algún motivo particular se tuviese acceso a internet, podrían ocasionar un reinicio del sistema operativo justo cuando se encuentra en pleno proceso de copiado de datos, logrando que la integridad de la información se vea comprometida y provocando demoras en el proceso. Además, se ha concientizado sobre tener especial recaudo en las opciones de energía y del uso horario del dispositivo encargado de la clonación. Las consideraciones a tener en cuenta fueron: 37 The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation, 12 de Diciembre 2003, http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf Mariano Messina 23 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. • Evitar opacar o apagar la pantalla de la computadora encargada de la copia de datos luego del transcurso de prolongadas horas de trabajo. • Desactivar opciones de hibernación o sleep mode. • Configurar los discos duros de forma tal que eviten su apagado o desconexión. • Revisar la fecha, zona y el uso horario teniendo en consideración la ubicación y el país dónde se encuentre realizando el proceso de duplicación de datos. Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexión de algún medio que contenga evidencia según corresponda, se debe realizar una preparación del ambiente de trabajo, mediante la creación de una estructura de directorios en medios de almacenamiento separados, en dónde se pueda extraer o recuperar archivos o información que requieran ser analizadas y que resulte relevantes al caso.38 En esta etapa se comienza con la confección de la cadena de custodia y se debe prestar especial atención y cuidado a lo largo de todo el proceso forense de llevar un detallado registro de movimiento, posesión y resguardo de evidencia. 38 U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, https://www.ncjrs.gov/pdffiles1/nij/199408.pdf Mariano Messina 24 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Figura 3: Formulario ejemplo de Cadena de Custodia otorgado durante el curso Mariano Messina 25 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Adquisición de Datos Luego de establecer los límites de la adquisición y de tener en claro cuál debe ser el objetivo de la investigación forense, se procede a la segunda etapa del proceso, la cuál se denomina Adquisición de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar de forma especial el contenido de la información almacenada en el sistema que se encuentra en observación hacia un medio dónde se pueda realizar un análisis y manipulación del contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptográficos (Hash) para determinar si la información copiada es un reflejo exacto de la original. Luego del cálculo, se debe trabajar sobre la información duplicada dejando intacto el contenedor original, resguardándolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando toda actividad en la cadena de custodia. Si bien las situaciones que involucran componentes informáticos podrían resultar diferentes según la investigación que se deba realizar, se debe tener ciertos recaudos para lograr proteger la integridad de la información a recolectar. Si el perito forense se encuentra frente a un escenario dónde el medio a analizar se encuentra encendido, resulta una buena práctica documentar las acciones realizadas teniendo en consideración lineamientos tales como:39 • Documentar si originalmente el sistema se encontraba encendido o apagado. • Si se encontraba encendido, documentar o tomar fotografías de la información que se encontraba visible en la pantalla, considerando que podrían existir múltiples monitores conectados a la misma computadora. • Documentar si se guardó algún archivo. • Determinar el sistema operativo, si es posible. • Si se encuentra encendido, considerar recolectar información volátil. • Determinar el método de apagado teniendo en cuenta si se va a realizar siguiendo el mecanismo de apagado seguro provisto por el sistema operativo o desconectando el cable de alimentación, según corresponda. • Documentar quién realizó el apague que sistema, el horario, el día y qué método de apague fue utilizado. 39 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 26 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Existen sistemas operativos que si se los apaga mediante la desconexión de la alimentación de energía podrían resultar dañados, comprometiendo la integridad de la información almacenada. La siguiente tabla fue expuesta durante el curso de Adquisición de datos e ilustra cuáles de los diferentes sistemas operativos pueden ser apagados mediante la desconexión de la energía eléctrica sin ocasionar daños, mientras que a otros deben aplicarse mecanismos de apagado seguro: Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro. Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque (booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un teléfono celular) y que los mismos podrían producir diferentes tipos de modificaciones en cuanto a fechas y también en cuanto al contenido de por lo menos algunos archivos del sistema; también, las diferentes etapas de los procesos de arranque pueden producir una variación en la Mariano Messina 27 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden originar otras consecuencias dependiendo del medio en observación. Los mismos resultados se pueden observar cuando se realiza la apertura de un archivo, aunque su único propósito no sea otro que el de sólo su propia lectura o impresión. Debido a estas particulares características de cómo se realizan modificaciones en los sistemas por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma inadvertida podría realizar modificaciones a los datos almacenados, en esta etapa se debe prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes dispositivos informáticos involucrados en el análisis de forma convencional, sino que se deben implementar técnicas de acceso a los volúmenes que sólo operen en modo de sólo lectura. Estas técnicas o acciones deben asegurar que ni siquiera un byte de información sufra alteraciones (Data Spoliation) desde el momento en que comienza la intervención forense y además, deben lograr mantener la integridad de la información almacenada durante todo el proceso de análisis forense.40 Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software, sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo de escritura a nivel de Hardware mediante por ejemplo, la utilización de dispositivos bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas modificaciones al Registro de Windows que podrían permitir impedir la alteración de la información en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo, Linux) que permiten montar de cierta forma los volúmenes que aseguren que la información solamente pueda ser accedida como sólo lectura, estas técnicas, a nivel Software, se les deben realizar una validación continua teniendo en consideración la metodología a aplicar, el caso particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de recolección. Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear la escritura en dispositivos USB mediante la creación de la siguiente entrada en el registro: HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies 40 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 28 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Al modificar el valor hexadecimal a 0x00000001, y luego de reiniciar la computadora, se podría acceder a los volúmenes USB de forma de sólo lectura.41 Figura 5: Implementación de Hardware Bloqueadores de Escritura. Existe otra consideración a tener en cuenta cuando se debe realizar una adquisición de información de un dispositivo. Si se encuentra en un escenario dónde se debe reutilizar un medio de almacenamiento que anteriormente fue empleado como parte de un proceso forense, se debe aplicar con especial cuidado una metodología sólida con el fin de esterilizar los contenedores que van a almacenar la información duplicada, si es que la copia forense no se va a realizar bit a bit. La omisión de la esterilización del medio puede provocar que exista una contaminación de la evidencia y podría provocar que la misma sea descalificada por alguna de las partes intervinientes. Existe Hardware forense y herramientas de duplicación de datos que esterilizan la información en conjunto a la adquisición de datos. Dichos equipos o herramientas generan Hashes de los datos almacenados y luego escriben ceros (u algún otro carácter aleatorio) en el espacio sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el riesgo de tener que dar explicaciones al Jurado por la contaminación de la evidencia.42 41 42 EC-Council: Investigating Wireless Networks and Devices, 2010. Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 29 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Existen dos fases diferentes de extracción de información: la lógica y la física. La diferencia radica en que la extracción física descarta los ficheros de sistema (File System). La fase de extracción lógica, sin embargo, tiene en consideración la totalidad de los archivos del sistema, incluyendo: archivos de sistema operativo, ficheros de sistema y archivos de las diferentes aplicaciones disponibles. Fase de extracción de información física: Durante esta etapa se realiza la extracción de información del disco a nivel físico sin considerar los archivos de sistema que se encuentren presentes. Las acciones que se podrían llevar a cabo son: la búsqueda de palabras claves, búsqueda de archivos y la extracción de la tabla de particiones y de espacio del disco físico no utilizado. Se debe tener en cuenta que: • Realizar una búsqueda de palabras claves a lo largo del disco físico podría ser de utilidad al analista forense para extraer datos relevantes y para identificar archivos que no pertenezcan al sistema operativo. • Utilizar herramientas en la búsqueda y extracción de archivos tiene como finalidad el encontrar ficheros que podrían no ser tenidos en cuenta por el sistema operativo y que podrían resultar relevantes en la investigación. • Por otra parte, analizar la estructura de particiones del disco es útil para comprender e identificar la composición del sistema de archivo, pudiendo determinar si todo el espacio físico del disco duro se encuentra utilizado. Fase de extracción de información lógica: Esta etapa de extracción de información, desde un medio de almacenamiento, se encuentra centrada en el sistema de archivos y podría incluir datos como por ejemplo: áreas de archivos Mariano Messina 30 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos que existe desde el final de un archivo hasta el final del último cluster que tiene asignado, en otras palabras, el slack es considerado a la diferencia que existe cuando el tamaño físico de un medio de almacenamiento supera a su tamaño lógico)43 y el espacio en disco que aún no ha sido asignado. Los pasos podrían incluir: • Extracción de información de archivos de sistemas que revelen características tales como: la estructura de directorios, atributos de los archivos, nombre de archivos, fechas y horas, tamaño de archivos y ubicación de los mismos. • La reducción de datos podría permitir identificar y eliminar archivos conocidos mediante la comparación de Hashes de archivos pre calculados en relación a los Hashes calculados de los archivos presentes en el disco. • Extracción de archivos pertinentes a la investigación. Los métodos que se utiliza para el cumplimiento de esta tarea podrían ser basados en la búsqueda de los nombres de archivos y extensiones, revisión de los encabezados, el contenido del archivo y la ubicación de los mismos en el medio contenedor. • Recuperación de archivos que fueron borrados. • Extracción de archivos protegidos con contraseña, cifrados y con información comprimida. • Extracción del file slack. • Extracción del espacio no asignado. En los dispositivos de telefonía móvil, además de las características mencionadas anteriormente se podrían considerar algunas adicionales, tales como:44 • • • • • Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas. Revisar los correos electrónicos almacenados en el dispositivo. Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc…) Revisar el caché del dispositivo móvil. Revisar las citas, notas y el calendario del dispositivo en búsqueda de eventos o de información relevante a la investigación. 43 Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-fileslack.html 44 EC-Council: Investigating Wireless Networks and Devices, 2010. Mariano Messina 31 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. • Revisar la agenda en búsqueda de números telefónicos que guarden relación con el caso. • Analizar el historial de navegación web. • Analizar los mapas y el sistema de navegación gps. • Revisar las fotografías y los videos almacenados. Adicionalmente se deberá revisar la Metadata de los archivos en búsqueda de información relevante. Por ejemplo, revisar las coordenadas podría resultar útil a fin de establecer la ubicación de dónde fueron tomadas las capturas. En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector público y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector público realizar la gestión de recursos para desarrollar la colección de datos, mientras que para el privado, existen menos procesos burocráticos que evitan la demora en el comienzo de la etapa. Validación y Preservación de la Información: La tercera etapa del proceso forense es la validación y preservación de la información adquirida. En la presente etapa, luego de haber realizado la identificación y documentación de los diferentes medios que deben ser analizados y luego de haber realizado el proceso de duplicación de los mismos, teniendo en cuenta las mejores prácticas forenses que eviten la contaminación de los datos, se debe llevar a cabo la aplicación de diversos algoritmos criptográficos (conocidos como funciones Hash) para lograr el cálculo de un código único y exclusivo de identificación correspondiente a la combinación única de bytes que constituye la totalidad de la información almacenada en el medio en observación.45 La generación de los códigos exclusivos deben ser lo suficientemente robustos para evitar que los mismos sean generados de forma inversa con fines dolosos. Además, deben encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitiéndole verificar la autenticidad de la información resultante del proceso de duplicación de datos, que a su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense. 45 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007 Mariano Messina 32 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Funciones Hash: Las funciones Hash utilizan algoritmos criptográficos para crear un mensaje de los datos a los cuales fueron aplicados. Los Hashes representan grandes volúmenes de información en una relativamente pequeña porción de datos y debido a que su utilización no altera la información analizada, sino que la representan de una forma más pequeña, se las utilizan en la informática forense para comparar la información original con aquella resultante de haber aplicado un proceso de duplicación. Cuando los Hashes coinciden, significa que tanto la información original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulación y/o análisis.46 A pesar de que se han encontrado múltiples fallas de seguridad en los Hashes tradicionales MD5, CRC y SHA1, y hasta existen métodos teóricos prácticos de cómo vulnerarlos (en la actualidad se encuentran disponibles en la web múltiples sitios que aducen realizar dicho proceso de forma fácil y rápida), aún se siguen utilizando como método de control válido en las prácticas forenses, encontrándolos aceptados en los diferentes tribunales como métodos de validación de la evidencia. 47 La razón por la cual aún son válidos dichos elementos es que al utilizar la función hash como método de reducción de información a fines de lograr un control efectivo, resultaría impráctico poder modificar una porción de un dato específico de la evidencia y aun así lograr generar el mismo hash de la evidencia original.48 Una vez que la información ha sido cotejada, se debe proceder a incluir la firma Hash en cada uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez duplicados para establecer copias de seguridad que permitan a los auditores realizar la búsqueda de elementos probatorios. 46 EC – Council: Computer Forensics – Investigating Network intrusions & Cyber Crime, 2010. Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009, http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/ 48 Informática Pericial: Consulta sobre colisiones MD5, http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobrecolisiones-md5&catid=43:guias-para-peritos&Itemid=64 47 Mariano Messina 33 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. A continuación se listan algunas precauciones que se deben tener en cuenta cuando se debe preservar la evidencia:49 • Mantener la evidencia en un lugar seguro. • Empaquetar la evidencia en un envoltorio sellado para restringir el acceso físico. • Mantener la evidencia fuera de temperaturas extremas y de altas humedades. • Mantener la evidencia alejada de medios magnéticos. • Mantener la evidencia alejada de ambientes con polvo o energía estática. • Mantener la evidencia alejada de ambientes con excesivas vibraciones. • Mantener la evidencia con las etiquetas correspondientes. • No se debe doblar, plegar o rayar los diversos medios informáticos, como por ejemplo, los dvds. • Mantener siempre una cadena de custodia apropiada. Análisis y descubrimiento de evidencia La cuarta etapa comprende al proceso de Análisis y descubrimiento de evidencia y siempre que sea posible, se refiere a examinar la información que ha sido recuperada del proceso de adquisición y duplicación de datos para poder encontrar elementos probatorios correspondientes al caso. Anteriormente se ha hecho mención que la forma en que se encuentran construidos los diferentes sistemas operativos generan eventos que van produciendo modificaciones a los datos almacenados. Por tal motivo, si en algún momento del proceso, teniendo en cuenta el tipo de investigación que debe analizarse y las pruebas que deben ser identificadas, es necesario inicializar el sistema operativo almacenado en los contenedores duplicados hay que emplear técnicas que aseguren al perito que el acceso a la información contenida sea de forma sólo lectura, logrando mantener la integridad de la misma a lo largo del tratamiento forense. Una técnica aprobada de acceso sólo lectura a sistemas operativos es la virtualización de las imágenes forenses resultantes de la etapa de adquisición de datos.50 Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la protección de la integridad de la información, el perito podría encontrarse frente a un sistema protegido con una contraseña que imposibilite el acceso a la información almacenada. 49 EC-Council: Investigating Wireless Networks and Devices, 2010. Arnicelli, Crsitian: Virtualización de Imágenes Forense, 17 de Septiebre 2012, http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/ 50 Mariano Messina 34 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Durante una charla de informática forense en la 8va edición de Eko Party51 realizada en Argentina, el ingeniero Gustavo Presman ha hecho mención sobre la importancia de utilizar herramientas que posibiliten el descubrimiento de la contraseña administrador del equipo relevante a la investigación, siempre teniendo recaudos de no realizar la contaminación del medio. También ha manifestado que dicha importancia se debe a que podría existir la implementación de mecanismos de autenticación Single Sign-on (SSO)52 que permitan el acceso a sistemas internos. Los cuales a su vez podrían contener información relacionada a la investigación en proceso. En un intercambio de correos electrónicos con el profesor Luis Enrique Arellano González, dónde se ha tenido el agrado de debatir el proceso “adivinatorio” de contraseñas, ha logrado ampliar lo citado por Pressman: “La adquisición de datos específicamente reservados por su propietario (hecho que se hace evidente, simplemente porque utilizó una clave para protegerla), utilizando herramientas invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que sólo puede ordenar el Juez en uso de sus atribuciones de Magistrado. De ahí que antes de hacer una cosa por el estilo, se debe pedir autorización a S. Sa.. Este pedido por otra parte debe ser fundado y preservando el resto de la información privada del propietario de los datos, en caso contrario (siempre que el operador del derecho de turno y/o su consultor técnico, se den cuenta) esa prueba y toda la cadena probatoria subsiguiente es nula. “ (Arellano G., 2012) Debido a que la persona que ha originado el incidente pudo haber considerado la eliminación de información que lo comprometa, o realizar alguna acción no convencional para lograr ocultarla, se debe realizar un análisis de los contenedores de información desde diferentes niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas consideraciones que pueden ser utilizados como lineamientos para realizar el análisis de la información adquirida.53 Las mismas comprenden: 51 Eko Party Security Conference 8va edición: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/. The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/ 53 U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, https://www.ncjrs.gov/pdffiles1/nij/199408.pdf 52 Mariano Messina 35 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Análisis de período de tiempo: El análisis del período de tiempo es útil para determinar cuando ocurrieron los eventos sobre un sistema informático, con el fin de identificar y asociar quién ha utilizado el recurso en el tiempo que han ocurrido los sucesos. Existen dos métodos que se utilizan: - Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la última modificación, la última vez que se accedió al archivo o el cambio de estado). El resultado que se busca es establecer una relación entre los archivos de interés y los tiempos relevantes a la investigación. - Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podrían ser analizados comprenden, eventos de error, instalación, de conexión, eventos de seguridad, etc.. Por ejemplo, el análisis del registro de eventos de seguridad podría indicar cuando se utilizó un usuario y una contraseña para autenticarse a un sistema. Análisis de datos ocultos: La información puede encontrarse de forma oculta en un sistema informático, como consecuencia, un análisis minucioso de la información permitiría detectar y recuperar archivos que podrían indicar conocimiento, posesión o intención de los sucesos realizados. Se puede lograr mediante: -La correlación de los encabezados de los archivos con las extensiones asociadas a los mismos para identificar si existen diferencias. La discrepancia entre ambos podría indicar que un usuario ha escondido información de forma intencional en el archivo. -Revisión de los archivos protegidos por contraseñas y también aquellos que se encuentren comprimidos o cifrados. Se debe considerar que la contraseña utilizada para proteger el archivo podría ser tan relevante en la investigación como el contenido del mismo. 54 National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010, http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm Mariano Messina 36 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. -Revisión del contenido de archivos (por ejemplo, una fotografía) en búsqueda de información oculta. Este proceso de análisis es conocido como estenografía. -Revisión de host-protected area (HPA). El HPA es una sección del disco duro que se encuentra oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de discos duros para ocultar un sistema de mantenimiento y recuperación. Sin embargo, esta sección puede ser alterable y utilizable para ocultar información.55 Análisis de Aplicaciones y de Archivos: Realizar un análisis de las aplicaciones y de los archivos que contemplan al sistema podría brindar al forense información relevante a la investigación y además, podría permitirle lograr una comprensión de la capacidad de los mismos. Algunos ejemplos incluyen: - Revisión de los nombres de los archivos y establecimiento de patrones. - Revisión del contenido de los archivos. - Identificación de la cantidad y tipo de sistemas operativos. - Correlación de archivos de aplicaciones. - Revisión de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del navegador con archivos de correos o de caché. - Identificación de archivos desconocidos. - Revisión de la configuración de los usuarios. - Revisión de las carpetas de los usuarios creadas por defecto. - Revisión de metadata y de los archivos creados por los usuarios: generalmente se buscan datos como: fechas de creación, fecha de última modificación, el autor del fichero y la ubicación de los mismos. 55 Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensicediscovery-glossary/what-is-host-protected-area.html Mariano Messina 37 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Durante la charla de Gustavo Pressman en la Eko Party también se ha hecho mención que podrían existir volúmenes TryeCrypt (software utilizado para el cifrado de información) ubicados en el sistema que se encuentra siendo investigado, que podrían contener información relevante al caso. Además, ha afirmado la dificultad en la que se encuentran los forenses para reconocer dichos volúmenes debido a que los mismos no poseen una extensión que los identifique dentro del sistema operativo. Hasta el momento, la única característica que podría guiar a un perito hacia la identificación de volúmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamaño de los diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros TrueCrypt. Otra dificultad que se presenta, por cómo se encuentran cifrados y construidos los volúmenes, es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro volumen cifrado.56 Hasta el momento se desconoce la existencia de herramientas que puedan identificar volúmenes dentro de volúmenes TrueCrypt. Posesión y propiedad: Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a archivos en el sistema debido a que puede resultar relevante en la investigación. También podría ser relevante identificar el conocimiento y la posesión de dichos archivos teniendo en cuenta los siguientes lineamientos: - Analizar el nombre asignado a la computadora puede indicar fecha y hora de intervalos de posesión o propiedad del sistema. (Ver Análisis de intervalos de tiempo). - Los archivos de interés pueden estar ubicados en carpetas que no son creadas por defecto por el sistema operativo. (Ver análisis de aplicaciones y de archivos). 56 TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume Mariano Messina 38 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. -Los nombres de archivos podrían indicar el contenido del archivo. (Ver análisis de aplicaciones y de archivos). - Información oculta en el sistema podría dar indicios de alguna persona que evita ser detectado. (Análisis de datos ocultos) - Cuando un archivo se encuentra protegido con contraseña y la misma ha podido ser recuperada, podría indicar posesión o propiedad del archivo. (Ver posesión y propiedad) - El contenido de un archivo podría indicar posesión o propiedad por contener información específica de un usuario. (Análisis de aplicación y de archivos) Figura 2: Resumen del Proceso forense obtenido del grupo de informática forense: http://espanol.groups.yahoo.com/group/informatica-forense/ Mariano Messina 39 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Confección del Informe Final. La quinta etapa representa uno de los aspectos más cruciales en una investigación forense y corresponde la producción de un informe que detalle el proceso que se ha desarrollado. El documento debe ser escrito para comunicar el resultado del análisis digital forense y deberá exponer una teoría entendible de la investigación de forma tal que, la persona encargada de realizar un juicio sobre la misma cuente con la información necesaria de forma clara y concisa.57 La producción de informes lógicos y bien estructurados aumenta la probabilidad de convencer a un jurado de que se posee un entendimiento avanzado de lo que se está haciendo y de que la evidencia presentada ante el tribunal, es válida. El propósito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque exista evidencia que se considere que no resulta de apoyo a la investigación, debe ser mencionada de todas formas en el informe final. En el reporte además, debe constar cuál es el objetivo principal de la investigación que se ha realizado. La confección del reporte debe ser escrito de forma lógica y ordenada, de manera tal que pueda exponer cuál es el interrogante que debe ser esclarecido, presentar los resultados de la investigación y además, declare conclusiones y recomendaciones. Para lograr una estructura lógica y centrarse en la narración del proceso, se puede proceder a la utilización de apéndices que puedan incluir calendarios, tablas u otra información relevante. Si el informe debe ser presentado a un público variado, se debería considerar la creación de un glosario que abarque la definición de los conceptos técnicos. El glosario sirve como herramienta de apoyo a quién lo debe leer con el objetivo de subsanar dudas técnicas. Un buen informe debe responder a: quién, qué, cuando, dónde y por qué. Además, debe documentar qué acciones fueron realizadas durante el proceso y el porqué de las mismas. 58 Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba en casos judiciales, debía prestar especial cuidado de evitar declarar conclusiones acerca de los hechos sino que lo que en realidad debía hacer es centrarse en narrar los mismos mediante la 57 The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation, 12 de Diciembre 2003, http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf 58 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 40 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. elección cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara que durante un juicio, se ha hecho mención que un sonido provenía de un hall de un hotel, a lo que él siempre se ha preguntado cuales son las características acústicas que diferencian un hall hotel, de una cancha de squash. En el anexo II del presente documento se puede observar un modelo de informe final utilizado por peritos argentinos. El material fue obtenido de un foro dónde diversos expertos en materia forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes, al que se ha tenido el agrado de ser invitado a participar como miembro. La experiencia personal en el ámbito privado ha demostrado que la inclusión de imágenes, gráficos o diagramas en la confección de informes, que deben ser revisados por diferentes personas con diferentes perfiles, generan un efecto de atracción en el receptor. Además, permiten una mejor comprensión del tema que se debe tratar y brinda al encargado de presentar la idea una herramienta en la cuál puede sentirse más confortable a la hora de exponer su discurso. Las técnicas de visualización permiten generar gráficos, mapas o redes que relacionan la información de forma tal que problemas de alta complejidad puedan ser comprendidos por el público sin la necesidad de utilizar un lenguaje específico o enredado. 59 Creo que en la etapa de confección y presentación del informe final, se podrían utilizar herramientas de visualización de información que permitan a los jueces de los tribunales, y las diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr un entendimiento más claro de los resultados de la investigación, relacionando por ejemplo los diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60 Una vez finalizadas todas las etapas de la investigación forense digital y, una vez concluido y presentado el informe a las autoridades pertinentes se debería resguardar toda información en 59 Visualizing: http://www.visualizing.org/about ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010, http://queue.acm.org/detail.cfm?id=1805128 60 Mariano Messina 41 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. un lugar seguro por si en algún momento futuro se decide volver a indagar en los elementos intervinientes. 61 Se ha procedido a realizar una consulta en el foro de informática forense solicitando asesoramiento sobre las mejores prácticas de cómo almacenar los datos de forma tal que no se perjudique con el transcurso del tiempo. En respuesta a mi pregunta, un perito forense de la Policía Judicial de la ciudad de Córdoba comenta que ellos, por cuestiones de costos, realizan el resguardo mediante la utilización de medios ópticos, por duplicado. Además, informa que lo realizan mediante la utilización de envoltorios que permiten el sellado al vacío, teniendo en consideración el medio ambiente y evitando el roce entre los discos. El referente también informa que dicho procedimiento le ha “salvado decenas de veces”, reflotando causas desde el año 2006. Debatiendo dicha situación con diversos peritos se ha logrado encontrar diversas opiniones, algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de pocos años, el medio de almacenamiento óptico podría estropearse, por más que se tengan recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos. Otros especialistas en informática forense han comentado que prefieren la utilización de medios magnéticos o electrónicos, pero que por cuestiones de elevados costos, la utilización de estos últimos resultan hoy en día poco frecuentes. Investigando sobre la durabilidad y del resguardo en el tiempo de la información, se ha logrado encontrar una investigación realizada por NIST (National Institute of Standards and Technology). En dicha investigación logran concluir, luego de un par de años de investigación y pruebas, que los discos ópticos almacenados en ambientes con temperaturas de 25 °C y con una humedad del 50% pueden llegar a durar más de 30 años sin estropearse. Por tal motivo, considero que si se tienen recaudos cautelosos para almacenar la información en medios de almacenamiento ópticos, se podría acceder a los datos luego del transcurso de varios años.62 61 National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008, http://nij.gov/nij/pubs-sum/219941.htm 62 NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007, http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf Mariano Messina 42 Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Conclusiones A través del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que el cumplimiento de la aplicación metodológica de los estándares definidos, y de las mejores prácticas en los procesos forenses, mitiga el riesgo de guiar una investigación hacia su invalidación. Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario el cumplimiento metódico de las sucesivas fases que comprenden al proceso. El marco metódico probado, utilizado y constantemente actualizado por forenses argentinos, y también con la contribución de peritos de diversos países, ofrece en la evaluación de incidentes diversos mecanismos de mitigación de riesgos. A su vez, logran prevenir la invalidación de los elementos probatorios a fin de brindar a las autoridades correspondientes un instrumento útil a la sociedad. En lo que a la aplicación metodológica respecta, se concluye que para realizarla de forma adecuada resulta imprescindible tener en cuenta la idoneidad del personal forense. Debido a esto, se considera que la capacitación constante y el mantener una amplia red de contactos profesionales son puntos clave para mantenerse actualizado en materia forense digital. Por otra parte, debido a que aún hoy en día la informática forense es considerada una ciencia nueva, lo cuál se considera que complica a personas fuera del ámbito informático en la comprensión técnica de diversos escenarios, se cree conveniente la utilización de diversas técnicas de capacitación y de representación de datos, como por ejemplo las de visualización de información. Las técnicas de visualización resultan de gran utilidad al transmitir a las diferentes autoridades un mensaje claro. Esto permite explicar problemas complejos mediante la abstracción de cuestiones técnicas, logrando que dicha herramienta sea utilizada como base para el análisis y la toma de decisiones. Por último, destacar que el valor de utilidad que tiene la informática forense radica en su posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva de incidentes en las diferentes organizaciones. Mariano Messina 43 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática forense Argentina: Alessio, en la actualidad, ¿cuál piensa que es el mayor desafío, o la mayor dificultad que debe afrontar un perito forense a la hora de realizar una investigación en la Argentina? 1. Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe lo que hace a nivel técnico, claro está). Si es estatal quizá el reto mayor será logístico; el almacenamiento y procesamiento de altos volúmenes de datos requiere de forma dinámica una cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas veces destina recursos a los laboratorios forense de las distintas dependencias. 2. Según su experiencia en la práctica forense, ¿en qué partes del proceso piensa que se debe hacer hincapié? ¿Por qué? En la documentación de todos los pasos. Uno deberá prestar testimonio años después de lo que ocurrió y si no está todo bien documentado puede perderse todo el trabajo realizado. (esto también dando por sentado que se utiliza hardware y software forense así como los métodos forense) 3. Observando varios casos judiciales argentinos, de distinta índole y dónde se involucran diferentes elementos tecnológicos como medio contenedor de datos, pude notar que existen muchos que terminan en una invalidación de la evidencia por alguna de las partes intervinientes en el proceso. ¿Por qué piensa usted que esto sucede? Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc) 4. En lo que a la metodología forense respecta, y teniendo en consideración su amplia experiencia laboral, ¿considera que existe alguna diferenciación entre el ámbito público y el privado, a nivel procedimientos y estándares, que se deba tener en cuenta con el fin de tratar de asegurar el éxito de una investigación? No; ambas se deben llevar a cabo de igual manera. La informática forense nació en el Estado, se potenció por la lucha contra la pornografía infantil y luego creció exponencialmente de la mano del sector privado cuando se comenzó a aplicar a IF en investigaciones y auditorías. Mariano Messina 44 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 5. A su parecer, en la actualidad, ¿cómo considera que se encuentran los organismos públicos de seguridad en materia forense digital? La ley que equipara los documentos digitales a los de papel tiene menos de diez años. La justicia, y el sistema judicial, tardarán un tiempo en adecuarse a la nueva normativa. El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la adquisición de herramientas de última generación y capacitación. Si bien muchos autores consideran a la informática forense como una ciencia aún nueva, ¿Considera que la aplicación de la metodología y de las buenas prácticas forenses existentes mitigan el riesgo de que la evidencia sea susceptible a la invalidación durante el proceso judicial? 6. Cuando nació la papiloscopía el perito se apersonaba en el lugar del hecho y levantaba las huellas; terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el comisario. La gente tardó unos años en comprender que la escena del crimen debe ser resguardada y toda la comisaría pasaba por el lugar de los hechos con la intención de ayudar. . Lo mismo ocurrirá con la informática forense. Sin duda que el perito deberá tener el hardware, software y capacitación necesaria, pero hasta que no se capacite a todos los involucrados en la investigación de un delito, habrá impugnaciones. 7. En su opinión y para concluir con la entrevista, ¿Cuáles son los aspectos que se deben tener en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades correspondientes? Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidaré un informe que leí en Honduras, donde un perito de audio forense dice que en la grabación “se escucha una ampliación en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel”. Siempre me pregunté qué características acústicas tiene el hall de un hotel que no tenga el hall de un museo, mansión, cancha de squash, etc. Si el informe dice que se encontró una computadora cuyo sistema operativo indica como última fecha de utilización medianoche de una fecha, quién lea el informe comprenderá las implicancias. Si uno dice “esta computadora fue encendida por última vez el X” está asegurando algo que no tiene manera de probar. Mariano Messina 45 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 Anexo II – Modelo de Informe final Buenos Aires, 05 de Noviembre de 2005 AL SR. JUEZ NACIONAL DE PRIMERA INSTANCIA EN LO CRIMINAL DE INSTRUCCIÓN DR. JORGE LAGUNA. SECRETARÍA NRO 17 – DR. FIDEL PINTOS S / D El que suscribe Lic/Perito/Ing Nombre y Apellido; matrícula profesional Nro: ; Nro de CUIT/CUIL: ; de nacionalidad argentina; de estado civil…; de profesión ……; con domicilio particular en ……; constituyendo domicilio legal en ….; teléfono particular número: 1234-5678, fax número: 9101-1121; correo electrónico: perito@consultora.com.ar; designado Perito en Informática Forense en los autos caratulados Sánchez, Jorge s/averiguación de defraudación, identificado con el número de expediente 13331/2005, tramitado ante el JUZGADO NACIONAL DE PRIMERA INSANCIA EN LO CRIMINAL DE INSTRUCCIÓN Nro 14 del DR. JORGE LAGUNA. SECRETARÍA NRO 17 – DR. FIDEL PINTOS, acorde a lo determinado en el Código Procesal Penal de la Nación, artículos 253, 254, en concordancia con lo establecido en los artículos 255, 256, 257 y 258 de dicho Código. Reconociendo el conocimiento, alcance y penas establecidas en los artículos 275 y 276 del Código Penal de la Nación y la restricción del Artículo 266 del Código Procesal Penal de la Nación (esta legislación debe ajustarse a lo prescripto en cada Foro y Jurisdicción, incluyendo los códigos de forma particulares y las acordadas correspondientes) se constituye ante S SA (V SA, según corresponda), a efectos de informarle los resultados periciales alcanzados luego de las operaciones técnicas, (científicas, tecnológicas, etc.) realizadas sobre los elementos peritados (examinados, peritados, “sub_peritia”). Mariano Messina 46 Juzgado Criminal de Instrucción 14, Sec 17 I. Causa Nro 13331 OBJETO DE LA PERICIA: La presente pericia tiene por objeto determinar “…si los archivos dubitados se encontraban almacenados en: . . . .” (textual) , obrando requisitoria pericial a foja 75 del cuerpo principal de los autos citados. II. ELEMENTOS OFRECIDOS: En relación con la requisitoria pericial, de conformidad con el artículo 260 del Código Procesal Penal de la Nación y en las condiciones señaladas en el art 261 del precitado Cuerpo Legal, se recibieron los siguientes elementos “sub peritia”: 1. Documentos recibidos en custodia: Especialmente el expediente principal entregado al perito por aplicación del artículo 260 del CPPN (o su equivalente jurisdiccional) y en caso de existir, los cuadernos de prueba (correspondientes a los Juzgados Civiles). 2. Elementos dubitados: DiscoComputadora-Unidad de almacenamiento – Documento Impreso – Software – Hardware – Recursos Humanos o Expertos consultados – Laboratorio consultado –Ver ampliación en el detalle técnico. 3. Elementos de comparación: Herramientas que no forman parte de la prueba dubitada (descripción estricta de las mismas, incluyendo versión y procedencia, en caso de software libre indicar que se trata de Licencias GNU, en caso contrario incluir el número de licencia del producto y sus especificaciones técnicas en un anexo)- Informe realizado por otro técnico, laboratorio, empresa, etc. Reconstrucción del hecho en entornos simulados como máquinas virtuales (VPC – VMWare). III. OPERACIONES REALIZADAS: (Consta de dos partes principales: 1. la primera secuencial, acorde al orden cronológico de las actividades en su totalidad, desde la recepción del material o la inspección ocular, hasta las últimas operaciones de registro probatorio. Sólo se describe la tarea con carácter informativo y se la referencia al detalle técnico de un anexo respectivo. Desde lo metodológico es la conversión metodológica estricta de una proposición - Mariano Messina 47 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 proveniente de la variable definida-, en su correspondiente premisa, mediante una serie de operaciones científicamente válidadas, tecnológicamente fundamentadas y tecnicamente correctas, que puedan ser repetidas en cualquier momento posterior por otros expertos en el área. En caso de necesidad o riesgo evidente de destrucción total o parcial de la prueba indiciaria, como resultado de las tareas de análisis pericial efectuadas sobre la información ”sub peritia”, debe solicitarse la autorización escrita del Juzgado Interventor antes de proceder. 2. Una segunda parte que se conforma fuera de la pericia construyendo un arbol demostrativo silogístico estricto, que define, estrucrtura y organiza la justificación de las conclusiones. A partir de dicho arbol probatorio –ver metología lógica demostrativa- se construye la redacción argumentativa, acorde a las capacidades del perito, asimismo se debe utilizar para conoformar un discurso técnico claro, conciso, breve, tecnológicamente fundamentado, acorde al nivel del destinatario y especialmente ameno –ver técnicas de redacción y oratoria) A efectos de cumplimentar la requisitoria pericial encomendada se procedió a realizar las siguientes operaciones periciales: Mariano Messina 48 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 TAREAS POR ORDEN CRONOLÓGICO i. ii. iii. Tarea 1 – Ver Anexo I Tarea 2 - Ver Anexo II …Tarean n – Ver Anexo m ARGUMENTACIÓN DEMOSTRATIVA Reorganización de las tareas, incorporándolas a una estructura demostrativa estricta, en forma de árbol binario, que permita su análisis lógico estricto y su discusión silogística formal. Este árbol, puede agregarse como anexo, pero en general no es conveniente porque sólo contribuye a esclarecer la demostración a las personas con una buena formación en lógica, lo que no es común, ni corriente entre la mayoría de los profesionales. No obstante éste árbol constituirá la base de nuestro discurso argumentativo. Con esta estructura, en base a su soporte y con el agragado de nuestras capacidades de redacción, se construirá el argumento que justifique las conclusiones alcanzadas. Es imprescindible considerar además que no podemos escapara el método científico en general y al método criminalístico en particular, el análisis desde lo general a lo particular, debe conformar la estructura principal (el “backbone”) subyacente al árbol binario demostrativo. Recomendaciones: Una vez finalizada la demostración argumentativa estricta, puede suceder que aparezcan situaciónes particulares que impliquen nuevas estructuras o pruebas que puedan ayudar a la causa, pero que no han sido incluidas en la requisitoria pericial. En este punto surge una clara dualidad, el perito no puede expedirse más allá de la requisitoria pericial (so pena de ser considerado tendencioso o parcial), pero no puede dejar de decir lo que vió, porque el falso testimonio establecido en el art. 275 del CPN, no sólo consiste en afirmar una falsedad, sino también en ocultar una verdad conocida. Mariano Messina 49 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 Por lo tanto, no corresponde incluir estas apreciaciones en las conclusiones, que únicamente deben referirse a la requisitoria pericial, sin embargo nada impide incluirlas en este momento, explicitándolas y sugiriendo a S Sa, que en caso de considerarlo necesario ordene la ejecución de una ampliación de pericia posterior. De esta manera se salvan ambas situaciones y se eluden responsabilidades innecesarias. Es conveniente “sugerir” asimismo los términos estrictos de dicha requisitoria, para evitar nuevas idas y vueltas por falta de claridad o definición en las mismas. Ejemplo: Luego de examinados los archivos detectados, ha sido posible determinar que los obrantes en el disco rígido correspondiente al servidor principal de la red (identificado como Servidor A, en el apartado II del presente informe) de la empresa R, son idénticos a los que obran la terminal J (identificada…) de la Sucursal T. No obstante esta característica es señalada a título informativo a S Sa y en concordancia con el artículo 275 del CPN. Si S Sa, estima conveniente analizar esta circunstancia es posible hacerlo mediante una ampliación del presente informe pericial orientada a: “establecer si los archivos obrantes en el Servidor Princiapla de la red de la empresa R, son los mismos que obran en la terminal J de la Sucursal T”. En base a los estudios, experiencias y demostraciones realizadas, es posible arribar a las siguientes: IV. CONCLUSIONES: Afirmación, negación o explicitaciónde imposibilidad de expedirse (por falta de elementos, por falta de tecnología o por razones demostrativas insuficientes) respecto de la requisitoria pericial analizada de forma estricta, acotada y restringida Con el objeto de informar a S. Sa., sobre las tareas realizadas y el tiempo demandado por las mismas, hago saber la siguiente distribución horaria: Nº Tarea Mariano Messina Actividad Horas OBS 50 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 01 Gestión de expediente Administrativa 5 Sede Judicial 02 Inspección Judicial Técnica/Pericial 8 Local Empresa 03 Reconocimiento Judicial Técnica/Pericial 8 Gerencia 04 Análisis de Laboratorio Técnica/Pericial 13 05 Confección del Informe Pericial Administrativa 5 TOTAL 39 Se hace constar que la hora técnico pericial vigente en el mercado para un profesional universitario con título de grado, se estima en CIENTO CINCUENTA PESOS ($150), respecto de las horas de gestión administrativas, se estiman en un tercio del costo anterior ($50), lo que en el presente caso prevé un valor total estimado de $4850. El suscripto ruega a S. Sa. tener en cuenta estos valores, al momento de determinar los honorarios profesionales que le pudieran corresponder, considerando la complejidad del trabajo realizado y la capacitación profesional que el mismo requiere por parte de quien realiza la misma. Sirva la presente de formal y atenta nota de cierre y elevación del informe pericial, constituyendo formal recibo de entrega y recepción de conformidad de los elementos detallados, a sus efectos legales. Se adjunta en devolución63 al presente informe pericial compuesto de cinco (5) fojas útiles, (en 173 renglones) y, de 8 Anexos (en un total de treinta y dos fojas útiles), el material descripto en el apartado II 1. Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida la tarea pericial encomendada y regule mis honorarios profesionales acorde a la magnitud de los estudios experiencias y demostraciones técnicas efectuadas. Mariano Messina 51 Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331 PROVEER DE CONFORMIDAD. SERA JUSTICIA. Firma del perito auxiliar (si lo hubo) Aclaración Título y cargo Nro de CUIL O CUIT Firma del perito Principal Aclaración Título y cargo Nro de CUIL O CUIT 1 Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales) escrito por ambos lados y conste de un número par de paginas. De esta manera el sello de recepción queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de responsabilidades, sobre la integridad o destino “a posteriori” de la prueba analizada Mariano Messina 52 Referencias Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage Learning. Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States: http://www.oas.org/juridico/english/cyb_pan_manual.pdf Aguilar Avilés, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde www.eumed.net/rev/cccss/07/daa7.htm Aldrovandi, M. G. (2012, Febrero). Accedido en Mayo 10, 2012, accedido desde http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresasargentinas Alessio, A. (2012). Informática Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre: http://alessioaguirre.com/informatica_forense.html Arellano G., L. E. (2012, Marzo 15). ¿La acción penal, por delitos de acción pública, en manos exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ilaaccion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html Arnicelli, C. (2012, Septiembre 17). Virtualización de Imágenes Forense. Accedido en Septiembre 23, 2012, accedido desde MKit - IT & Security Solutions: http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/ Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido desde National Institute of Standards and Technology: http://csrc.nist.gov/publications/nistir/nistir-7387.pdf Bocanegra C., C. A. (n.d.). Rincón del Vago. Accedido en Junio 12, 2012, accedido desde Rincón del Vago: http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-losindividuos.html Bolívar Pinzón Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Información. Accedido en Mayo 23, 2012, accedido desde Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley Publishing INC. Mariano Messina 53 Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido desde La Relevancia De La Custodia De La Evidencia En La Investigación Judicial: http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf Cappiello, H. (2012, Febrero 23). Diario La Nación. Accedido en Mayo 23, 2012, accedido desde La invisibilidad de las pruebas de corrupción: http://www.lanacion.com.ar/1450864-lainvisibilidad-de-las-pruebas-de-corrupcion Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education. Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press. Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park, NY: Cengage Learning. Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido desde Computer Forensics Procedures and Methods: http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf Delgado L., M. (2007, Junio). Análisis forense digital. Accedido en Agosto 22, 2012, accedido desde Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780analisisforenseed2-criminalistica.net.pdf Diario Clarín. (2011, Diciembre 22). La sugestiva y misteriosa acción de un espía privado. Accedido en Septiembre 01, 2012, accedido desde Clarín: http://www.clarin.com/politica/sugestivamisteriosa-accion-espia-privado_0_613738660.html Dutra, E. G. (2012, marzo). Accedido en Mayo 10, 2012, accedido desde http://seguridadit.blogspot.com.ar/2012/03/crisis-de-identidad-gestion-parte-3.html Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC. Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde Informática Pericial: http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64 Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame created by US and Israel to slow Iranian nuke program: http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/ Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012, accedido desde A Tour through the Visualization Zoo: http://queue.acm.org/detail.cfm?id=1805128 Mariano Messina 54 Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime. Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html InfoLeg: Información Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos Informáticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000144999/141790/norma.htm Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press. Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement. Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/199408.htm Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/219941.htm Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics Investigators. Burlington, MA: Elsevier INC. La Nación, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nación: http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbiacusado-de-pedofilia Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA: Syngress Publishing, INC. Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.: Auerbach Publications. Ministerio Público Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Público Fiscal de la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer Science+Business Media. Muñoz Conde, F. (2002). Teoría General del Delito Segunda Edición. Bogotá: Tirant Lo Blanch. Nación, P. J. (2010, Septiembre 22). Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n° 39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nación: http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100 Mariano Messina 55 National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice: http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08, 2012, accedido desde Optical Disc Longevity Study.: http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The McGraw-Hill Companies. Presman, G. D. (2008). Validez técnica de evidencia digital en la empresa. In C. Community, El rol del oficial de seguridad. Buenos Aires, Arg.: CXO Community. Presman, G. D. (2009, 09 28). Accedido en Mayo 21, 2012, accedido desde http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.p df Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation: http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in _courtroom.pdf Stuart, K. (2011, Enero 07). PlayStation 3 hack – how it happened and what it means. Accedido en Julio 22, 2012, accedido desde http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3 Téllez Valdés, J. (1996). Derecho Informático. México: McGraw-Hill. The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012, accedido desde The Cyber Citizen Partnership: http://www.cybercitizenship.org/crime/crime.html The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open Group: http://www.opengroup.org/security/sso/ TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume: http://www.truecrypt.org/docs/?s=hidden-volume Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012, accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscoveryglossary/what-is-host-protected-area.html Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012, accedido desde Diario Judicial: http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html Mariano Messina 56 Mariano Messina 57