Download Mariano Messina - Powered by it

Universidad del Salvador
Facultad de Ciencias de la Administración
Aplicabilidad metodológica de la
informática forense en la
obtención de resultados eficientes
en procesos judiciales argentinos.
Trabajo de Investigación
07 de Diciembre del 2012
Carrera: Ingeniería en Sistemas
Alumno: Mariano Messina
Correo: Mariano.Messina@gmail.com
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Indice
Introducción ........................................................................................................................................ 4
Antecedentes .................................................................................................................................. 4
La informática forense. .................................................................................................................... 7
Definición de informática forense. ................................................................................................... 8
Seguridad Informática e Informática Forense ................................................................................... 9
Relación entre Hackers y Forenses. ................................................................................................ 10
Informática forense el Cybercrimen y la ley de los delitos informáticos ............................................. 11
Cadena de Custodia. ...................................................................................................................... 11
El Cybercrimen............................................................................................................................... 13
Delitos informáticos:...................................................................................................................... 15
Evidencia Digital: ........................................................................................................................... 17
Proceso Forense ................................................................................................................................ 19
Etapas de la informática forense: ................................................................................................... 19
Identificación y documentación de la evidencia: ............................................................................ 20
Adquisición de Datos ..................................................................................................................... 26
Validación y Preservación de la Información: ................................................................................. 32
Análisis y descubrimiento de evidencia .......................................................................................... 34
Confección del Informe Final.......................................................................................................... 40
Conclusiones ..................................................................................................................................... 43
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática
forense Argentina: ............................................................................................................................. 44
Anexo II – Modelo de Informe final .................................................................................................... 46
Referencias ........................................................................................................................................... 53
Mariano Messina
2
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Abstract
El presente trabajo de investigación procede a estudiar, analizar y exponer en qué
consiste la informática forense, los conceptos que la definen, cuál es su metodología y
también, cuales son las mejores prácticas que permiten llevar a cabo una investigación
forense digital de forma tal que sea posible la identificación de los diferentes riesgos que
constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un
tribunal de justicia.
Además, se procede a abordar la metodología de forma tal que el lector pueda conocer
diferentes controles preventivos que utilizan los peritos experimentados en los procesos,
los cuales evitan acciones que podrían permitir que los distintos elementos probatorios,
involucrados en un proceso judicial, sean desestimados por alguna de las partes
intervinientes.
El objetivo principal del presente trabajo consiste en demostrar y concientizar que el
cumplimiento de la aplicación metodológica, de los estándares y de las mejores prácticas
de procesos forenses mitiga el riesgo de guiar a una investigación hacia su invalidación.
Mariano Messina
3
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Introducción
Antecedentes
Se observa la enorme influencia que ha alcanzado la informática en la vida cotidiana de cada
uno de nosotros y, también, en el ámbito de las organizaciones, de tal forma que hasta se
podría llegar a considerar que la informática es una ciencia que contribuye directamente en el
desarrollo de un país.
Hoy en día vivimos en una sociedad dónde la gran mayoría de la población utilizamos un
medio informático (que puede ser una computadora con acceso a internet, una Tablet o un
teléfono) para poder realizar distintas operaciones que podrían abarcar desde las más sencillas
(como por ejemplo: revisar el estado del tránsito) hasta realizar algunas más complejas, (aquí se
podría considerar el pago de algún servicio mediante la utilización de nuestra cuenta bancaria y
un teléfono celular, mientras nos encontramos físicamente en la calle). Estas actividades no
solamente contribuyen al ámbito privado de cada uno de nosotros, sino que, analizando a la
informática desde un aspecto más amplio se puede notar que ésta se encuentra arraigada a
muchos otros ámbitos en los cuales podemos encontrar por ejemplo: la comunicación, la
investigación, la educación, los procesos industriales, seguridad, sanidad, etc… y que todos
estos dependen cada día más de una adecuada evolución y desarrollo de la tecnología.1
A su vez, conforme la tecnología avanza, va ejerciendo cada vez mas influencia en muchas
áreas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos
comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos
últimos aquellos que de manera genérica se han denominado en nuestra legislación como
“delitos informáticos”.2
Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han
conllevado a distintas ciencias a tratar de no sólo describir e interpretar el proceder de los
encargados de ejecutarlos, sino que además, han orientado a poder desarrollar métodos con el
fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o
mediante) diferentes medios informáticos.3
1
Bocanegra C, Carlo A.: Impacto de la tecnología informática en los individuos,
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html
2
Aguilar Avilés, D.: Impacto del Desarrollo socioeconómico en la resolución de investigaciones forenses, en
Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm
3
Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012,
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas
Mariano Messina
4
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La ciencia que se encarga de analizar cualquier contenedor informático de datos (entiéndase:
notebook, celular, discos duros, memorias, etc…) con el objetivo de encontrar información que
pueda ser relevante en una investigación o auditoria es la Informática Forense.4
Hace meses atrás se dio a conocer cómo miembros de un estado han podido vulnerar
diferentes sistemas informáticos, de alto peligro, correspondientes a una planta nuclear iraní,
que tuvo como principal objetivo el de sabotear los planes nucleares que allí se desarrollaban.
Gracias a la adecuada aplicación de la Informática forense se ha logrado el análisis del malware
utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5
En nuestro país se han identificado múltiples antecedentes en diversos procesos judiciales que
han resultado en una invalidación de la evidencia debido a falencias en la aplicación de las
prácticas forenses.
Uno de los más recientes casos de invalidación judicial es el famoso caso Ricardo Jaime, en
dónde se ha responsabilizado a la Policía Federal Argentina por no respetar la cadena de
custodia, mediante la aplicación de una metodología que asegure que los elementos
contenedores de información que van a ser presentados como evidencia ante el tribunal de
justicia, no sean contaminados durante las diferentes fases que comprenden al proceso
forense.6
“Teniendo en cuenta el reciente caso Jaime, se ha probado que por más que se tenga el mejor
software de informática forense, si no se tiene la idoneidad necesaria para utilizarlo, los
resultados serán desastrosos y la prue-ba [SIC] nula.” (Arellano G., 2012)
Debido a que dichas falencias podrían permitir el desvío del proceso judicial en su búsqueda
de la verdad7, el propósito del presente trabajo es el de ampliar y proponer la adecuada
aplicación metodológica de las mejores prácticas forenses en la Argentina, en las cuales se debe
considerar prestar especial atención a diversos puntos críticos que podrían poner en riesgo la
investigación o auditoría. La finalidad es de brindar a la justicia una herramienta que sea eficaz
a la hora de realizar los procesos judiciales.
Con el fin de lograr el mencionado objetivo, se ha trabajado de manera de obtener un
procedimiento metodológico con aportes de diversas fuentes, nacionales e internacionales, de
información bibliográfica que incluyen: artículos periodísticos disponibles en internet, libros de
4
Aguirre, Alessio: Informática Forense, 2012, http://alessioaguirre.com/informatica_forense.html
Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012,
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
6
Cappiello, Hernán: La invisibilidad de las pruebas de corrupción, 23 de Febrero 2012,
http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion
7
Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012,
http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-deJaime.html
5
Mariano Messina
5
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
informática forense, manuales de cursos especializados, fallos judiciales argentinos y sitios
relacionados al objeto de estudio. Además, se ha tenido la suerte de recibir una invitación para
formar parte de un foro de informática forense dónde se realizan consultas, se comparte
información y dónde existe mucha documentación relacionada al objeto de estudio. El espacio
se encuentra conformado por diversos profesionales que incluyen abogados, peritos forenses,
especialistas informáticos y estudiantes de diversas carreras.
Por otra parte, una vez definida la base teórica, se ha procedido a realizar una entrevista
personal a un reconocido perito forense con fuerte presencia nacional e internacional.8
Por último, además de lo expuesto anteriormente, se ha trabajado en la aplicación de
conocimientos adquiridos mediante la experiencia personal que se ha logrado a través de
diferentes cursos específicos en la materia y gracias al hábito que se ha adquirido al participar
de numerosos proyectos en grandes empresas y de distinta índole.
8
Diario Clarín: La sugestiva y misteriosa acción de un espía privado, 22 de Diciembre 2011,
http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html
Mariano Messina
6
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La informática forense.
El gobierno, las grandes organizaciones y las personas, de la mano de sistemas informáticos,
han logrado hoy en día exponer una gran cantidad de productos y servicios que podemos
consumir para satisfacer muchas de nuestras necesidades. Dichos productos o servicios fueron
creados con un fin que subsana muchas de nuestras necesidades cotidianas y que cada vez más
se encuentran arraigadas en nuestra vida, sin embargo, existen inconvenientes cuando se
origina una acción ilícita que va en contra de los objetivos por los cuales los objetos
mencionados, han sido construidos.9
Tomemos como ejemplo a un sistema financiero informático (que lo podríamos conocer bajo
el nombre de Home Banking) que fue creado como un servicio que brinda una institución
financiera a sus clientes, cuyo fin sería el de que una persona pueda administrar el dinero que
tiene a su disposición. Ahora bien, supongamos además a un individuo que anhele vulnerar el
sistema informático financiero con el fin de obtener alguna retribución económica (aunque
también se podría considerar el hecho de generar perjuicio sobre el servicio brindado por la
institución, como por ejemplo, realizar ataques de denegación de servicio). Siguiendo el hilo
hipotético, imaginemos que un usuario malicioso logre no sólo el acceso no autorizado a dicho
servicio sino que además él logre, mediante la aplicación de herramientas informáticas, la
sustracción de dinero desde varias cuentas bancarias. Dicha acción resultaría en un perjuicio no
sólo a la institución que se encargue de brindar el servicio a sus clientes sino que además
impactaría de forma directa sobre la economía de cada uno de los titulares de las cuentas
afectadas (claro que también se podría mencionar el daño a la imagen que le produce a la
entidad, si el hecho tomara conocimiento público) Ante un escenario como el planteado (de
forma hipotética pero que muchas veces no escapa a la realidad) sería necesario un proceso
por el cuál se pueda identificar quién fue el responsable de las acciones ilícitas que fueron
realizadas, teniendo en consideración diferentes aspectos, tales como: en qué momento se
realizaron, en qué lugar, cuál fue el impacto que tuvo, de qué forma se realizaron, si aún
quedan restos remanentes del acto y cuales fueron las personas (jurídicas o físicas)
damnificadas.10
9
Stuart, Keith: PlayStation 3 hack – how it happened and what it means, 07 de Enero 2011,
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
10
La Nación: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia
Mariano Messina
7
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del
85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de
seguridad.12
Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar
información relevante a una investigación de cualquier índole, encontrándose ubicado en un
escenario en dónde se haya planteado un interrogante que debiera ser esclarecido. Un forense
informático entonces, debe cumplir el mismo rol que un forense tradicional cuándo el ámbito
de una investigación incluya medios digitales o elementos informáticos cómo medio
contenedor de información.
Definición de informática forense.
A fin de ampliar el concepto establecido en la introducción, se puede definir a la Informática
Forense como una ciencia relativamente nueva que mediante la aplicación de una metodología
estructurada de investigación, se encarga de analizar diferentes medios de almacenamiento de
datos informáticos, como por ejemplo: discos ópticos, memorias, celulares, impresoras, discos
rígidos, etc… con el fin de encontrar información que pudiera ser útil en un proceso de
investigación o auditoría. La metodología que se aplica en el proceso de recolección de datos, y
durante las distintas fases que comprenden al proceso de identificación, creación, cuidado y
presentación de evidencia debe garantizar que la misma no sea alterada en el transcurso del
proceso, así como también, que dichos datos sean solamente accesibles por aquellas personas
que tienen autorización para tal fin, mediante el resguardo de la evidencia en una ubicación
que no permita que ningún factor altere su contenido.
Si bien existen múltiples herramientas utilizadas en las investigaciones por diferentes
informáticos forenses, algunas gratuitas y de código abierto, otras protegidas por derecho de
autor, la aplicación de cualquiera de ellas en las diversas etapas que comprenden al proceso
deben asegurar que la información obtenida sea exactamente la misma a la que se encuentra
en su contenedor original, es decir, que si bien existe libre elección o preferencia de las
herramientas a utilizar teniendo en consideración el tiempo disponible para desarrollar el
11
12
Ec-Council: http://www.eccouncil.org/
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
8
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
proceso (entre otros aspectos), cualquiera debe ratificar la autenticidad de la información
obtenida.13
Durante los actos públicos o privados, y durante las diferentes etapas que comprenden al
proceso forense, es mandataria la existencia de una figura que ejerza un control y una
validación al procedimiento que se está llevando a cabo por los peritos informáticos, con el fin
de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los
mismos no afectaron la integridad de la información obtenida.14 En nuestro país, un escribano
es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un
especialista en materia informática, de lo que estaría limitado en dar fe es de que lo que
realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como
evidencia.15
En un curso realizado en el año 2010, en el Instituto Universitario de la Policía Federal
Argentina (IUPFA), al cual se ha asistido, el señor Alessio Aguirre Piemetel ha manifestado la
importancia de que una vez que la información relevante al caso ha sido claramente
identificada y duplicada, y luego de haber establecido un fuerte mecanismo de control y
protección de los datos, se debe proceder a confeccionar un informe final prestando especial
atención al lenguaje utilizado con el fin de presentar la evidencia a las autoridades encargadas
de emitir un juicio sobre los hechos, y de cómo este lenguaje tiene una influencia directa sobre
la interpretación de los actos no sólo por parte del jurado, sino además por las demás partes
intervinientes.
Seguridad Informática e Informática Forense
Se define a la seguridad informática como a la rama de la informática en dónde se tiene como
objetivo la protección de la infraestructura computacional, la información que se encuentra
almacenada en algún medio informático y a los usuarios que deban interactuar con ella
13
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
14
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
15
Zygier, Analía: En la era de Internet, los jueces no cazan una, 2012,
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina
9
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
mediante la aplicación de diferentes estándares, reglas, procedimientos, leyes y herramientas
que aseguren la disponibilidad, la confidencialidad y la integridad de la información.
Como se ha mencionado anteriormente, la informática forense, mediante el cumplimiento de
distintas etapas, se encarga de recabar información, de poder procesarla para crear evidencia,
de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han
logrado acceso a la misma. La diferencia entre ambas ramas de la informática, radica en que la
informática forense entra en escena cuando se produce algún incidente en alguna institución
(en el ámbito privado o también el público) y se deba buscar una respuesta al mismo,
ubicándola así bajo uno de los ítems principales de la seguridad computacional: el triángulo
consiste en el análisis de vulnerabilidades, detección de intrusos en la red y la respuesta ante
incidentes, siendo esta última dónde se encuentra ubicada nuestro objeto de estudio.
Relación entre Hackers y Forenses.
Profesionalmente, se ha encontrado frente a la necesidad de definir a un Hacker en
numerosas oportunidades pudiendo notar que la gran mayoría de las personas cree en la
concepción de que la actitud de dicha figura es netamente delictiva, o que se trata de alguien
dotado puramente de fines malignos, cuando en realidad, la esencia de un verdadero Hacker es
simplemente, la curiosidad. Un Hacker pretende conocer cómo los diferentes elementos
informáticos fueron construidos, cómo interactúan entre sí, cómo optimizar su funcionamiento,
cómo protegerlos y también, ellos tienen como deseo el compartir sus amplios conocimientos
con la comunidad.
El nacimiento del término Hacker (o Hacking) tiene un significado totalmente venerable y se
remonta a la década de los 60, dónde la memoria disponible en las diferentes computadoras de
esa época era extremadamente escasa en comparación a la modernidad y dónde los
programadores, dotados de altos conocimientos técnicos, debían realizar arduas
modificaciones a los archivos fuente con la finalidad de recortar la cantidad total de líneas de
código, logrando así, la optimización de la ejecución del software.
Cuando la curiosidad y los elevados conocimientos técnicos se combinan con un hecho
delictivo, o alguna acción maligna, en dónde se utilice elemento informático como medio y que
Mariano Messina
10
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
además tenga como resultado un acceso no autorizado, o la violación de alguna ley, se hace
presente el concepto de Cracker, distinguiéndolo efusivamente al término Hacker.16
Creo entonces que, al considerar a un forense informático como a una persona que se
encarga de realizar un proceso metódico, en dónde debe utilizar sus elevados conocimientos
técnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no
existe una diferenciación entre un Hacker y un Forense informático sino que por el contrario,
creo que ambos comparten la misma esencia, la curiosidad.
Informática forense el Cybercrimen y la ley de los delitos informáticos
Cadena de Custodia.
La cadena de custodia en el proceso del análisis forense consiste en controlar y limitar el
acceso a la evidencia que debe ser recabada de los diferentes medios informáticos, cuidándola
celosamente, mediante la utilización de buenas prácticas. Dicho control es utilizado para
asegurar que la información no ha sido dañada, alterada, contaminada o destruida durante
todo el desarrollo de la práctica forense, permitiendo demostrar que los diferentes elementos
de prueba, obtenidos en las diferentes etapas que comprenden al procedimiento, son los
mismos que fueron recolectados en el lugar de los hechos.17
El ingeniero Gustavo D. Presman define en un artículo periodístico a la cadena de custodia
como:
“… un registro minucioso de las personas que han tomado contacto con la evidencia,
indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer
en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las
actividades que se efectuaron con relación a la misma y conocer quien es el responsable por las
mismas.” (Presman, 2009, pág. 2)
16
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
17
Mariano Messina
11
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Si bien la cadena de custodia proviene de las ciencias criminológicas y su implementación es
imperativa en procesos a cargo de fuerzas de la ley o en marcos de pericias judiciales, muchos
expertos en materia forense Argentina recomiendan alinear la misma metodología en las
investigaciones corporativas debido a que si en un futuro se decide llevar a la justicia algún
hecho que requiera esclarecimiento, se debe asegurar que la evidencia fue recabada teniendo
en cuenta los mismos principios utilizados ante un proceso judicial, tratando de asegurar de
que la misma no sea descalificada por ninguna de las partes intervinientes en el proceso.18
Si en algún momento de todo el proceso, se especula con la idea de que la cadena de custodia
no ha sido realizada conforme a las mejores prácticas forenses, se podría solicitar la
invalidación de la evidencia presentada ante las autoridades.19
“… y si resultara posteriormente que la evidencia no se obtuvo a través de procedimientos
válidos y no se mantuvo la cadena de custodia, no tendrá mayor sentido aportar la misma ya
que podría ser fácilmente descalificada por alguna de las partes.” (Presman, 2009, pág. 2)
Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe
entre la información que se encuentra almacenada dentro de un contenedor informático
(comúnmente llamada Evidencia digital) con el medio mismo dónde se encuentra almacenada
(Evidencia Electrónica). Cada uno de los ítems debe ser claramente identificado, rotulados,
custodiados y tratados de forma idónea según las mejores prácticas forenses.20
La cadena de custodia posee diferentes etapas en el proceso forense informático y en cada
una de ellas debe asegurarse la autenticidad, confidencialidad y disponibilidad de la evidencia21:
1. Extracción o recolección de la prueba.
2. Preservación y embalaje de la prueba.
3. Transporte o traslado de la prueba.
18
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
19
Poder Judicial de la Nación: Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n° 39.803), 22 de
Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
20
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0, 7 de
Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
21
Ministerio Público de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia,
http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Mariano Messina
12
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
4. Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías
para su custodia.
5. Custodia y preservación final hasta que se realice el debate.
El Cybercrimen
Si bien en la introducción se hace mención a la premisa que establece que la constante
evolución de la tecnología va modificando a la sociedad y que uno de los resultados de este
proceso es el poder observar el origen de nuevas conductas o comportamientos, no es el
objetivo del presente trabajo abordar de forma específica cada uno de ellos sino mas bien se
procede a definirlos como para generar un marco teórico.
“Herramientas Hackers se encuentran fácilmente disponibles en la Red y, una vez
descargadas, pueden ser utilizadas inclusive por un novato usuario de computadoras.” (The
Cybercitizen Awareness Program)
El departamento de justicia de los Estados Unidos categoriza a los crímenes computacionales
en tres diferentes formas22:
- La computadora como objetivo: resulta de atacar las computadoras de otras personas (la
propagación de un virus es un ejemplo).
- La computadora como un arma: utilizar la computadora para cometer algún “crimen
tradicional” que vemos en el mundo físico (como por ejemplo el fraude o los juegos ilegales).
- La computadora como accesorio: utilizar la computadora como un extravagante medio de
almacenamiento capaz de contener información ilegal o robada.
En el décimo Congreso Nacional de las Naciones Unidas en la Prevención del Crimen y en el
Tratamiento de Delincuentes, en un taller dedicado a cuestiones de crímenes relacionados a
redes computacionales realizado en el año 2000, desglosan al cybercrimen en dos categorías y
las definen como:
22
The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html
Mariano Messina
13
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
a. CyberCrimen desde un sentido estrecho (crimen de computadoras): Cualquier
comportamiento ilegal mediante operaciones electrónicas que tiene como objetivo la
seguridad de las computadoras y la información procesada en ellas.
b. CyberCrimen desde un aspecto más amplio (crimen relacionado a computadoras):
Cualquier comportamiento ilegal realizado por medio de, o en relación a sistemas
computacionales o redes, incluyendo dichos crímenes como posesión ilegal,
distribución u ofrecimiento de información mediante un sistema de computadoras o
redes.23
En la legislación argentina se encuentran modificaciones al código penal con el fin de
establecer cuales son las actividades ilícitas que merecen una pena o sanción en nuestra
sociedad.24
La legislación actual contempla los siguientes casos, teniendo en consideración que los
diferentes ataques pueden ocurrir por una persona dentro de la empresa, como también desde
el exterior de la misma:
• Atentados a la propiedad intelectual: actos que permiten acceder a patentes,
desarrollos de software, etc..25
• El daño a redes informáticas organizacionales: por ejemplo cuando se implanta un
Trojan Horse, conductas de Denial of Service o la instalación de Back Doors con el fin de
ganar acceso remoto a los sistemas.
• Fraude financiero: cualquier acción fraudulenta que se realice con el fin de obtener una
retribución monetaria.
• Acceso no autorizado a servicios informáticos: mediante la utilización de sniffers,
rootkits, explotación de vulnerabilidades y otras técnicas que puedan tomar ventaja de
las vulnerabilidades de seguridad de los sistemas o software.
• Distribución y ejecución de virus y gusanos informáticos.
• Espionaje.
23
Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002.
InfoLeg: Información Legislativa: Ley Delitos Informáticos:
http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio
2008.
25
InfoLeg: Régimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/4000044999/42755/texact.htm.
24
Mariano Messina
14
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
• Producción, comercialización, financiamiento, publicación, divulgación o distribución de
pornografía infantil.
Delitos informáticos:
Una primera idea respecto al delito informático la señala Téllez Valdés, quien lo conceptualiza
desde dos ópticas. Nos dice que desde un punto de vista atípico son “actitudes ilícitas en que
se tiene al computador como instrumento o fin”, y desde uno típico son “conductas típicas,
antijurídicas y culpables en que se tiene a las computadoras como medio o fin”.26
La ley 26.388 de delitos informáticos argentina tipifica27 cuales son las conductas ilícitas en las
cuales se utiliza algún elemento informático para causar una acción que requiera una sanción.
Establece además la pena que debe cumplir la persona tras desarrollar tales acciones.
La falta de tipificación penal de muchas conductas delictivas aún hoy en día produce que las
mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las más
discutidas son: el grooming, phishing y la suplantación de la identidad.
26
27
Téllez Valdés, J. Derecho Informático, Ed. McGraw-Hill, México, 1996, p. 104
Muñoz Conde, Francisco (2002). Teoría General del Delito. Temis. 2ª Edición. Bogotá. Pág. 31
Mariano Messina
15
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Figura 1: Figuras contempladas en la ley de delitos informáticos.
Si bien es verdad que se encuentran tipificados muchos de los delitos informáticos en nuestra
legislación y que el campo de acción se podría pensar que se encuentra circunscripto a la
informática, la práctica forense se debe extender y considerar como un proceso mandatario
cuando se produce algún otro delito con el fin de lograr un entendimiento de los hechos que
Mariano Messina
16
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
han sucedido. Varios ejemplos comprenden: casos de homicidio, extorsión, suicidio,
violaciones, estafa, etc…28
Evidencia Digital:
Casey define en su libro a la evidencia digital como:
“… un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos
que pueden ser recolectados y analizados con herramientas y técnicas especiales.” (Casey,
2000).
Además de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los
procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida
mediante la aplicación de rigurosos y metodológicos procesos que aseguren su validez.
“La evidencia digital puede ser dividida en tres grandes categorías:
1. Registros almacenados en el equipo de tecnología informática (correos electrónicos,
archivos de aplicaciones de ofimática, imágenes, etc.)
2. Registros generados por los equipos de tecnología informática (registros de auditoría,
registros de transacciones, registros de eventos, etc.).
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología
informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas
parciales de datos, etc.). “ (Bolívar Pinzón Olmedo, 2007)
Existen varias diferencias entre la evidencia digital y la física. Una particularidad es que la
evidencia digital es sumamente frágil: la información digital se puede crear, alterar, copiar y
borrar muy fácilmente. Otra particularidad es que la duplicación de la información digital no
establece per se forma alguna de poder identificar qué datos son originales y cuáles son
resultantes de haber realizado un proceso de copiado de información, por lo tanto, y como
28
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
Mariano Messina
17
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
veremos más adelante en el desarrollo del presente trabajo, la informática forense debe contar
con un proceso metodológico lo suficientemente sólido como para evitar cometer errores que
afecten a la evidencia y a su integridad. 29
Otras consideraciones a tener en cuenta de la evidencia digital son:
•
•
•
•
•
•
•
Es volátil
Es anónima
Duplicable
Alterable y modificable
Eliminable
Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.
Es malo para los Juristas ya que el concepto de “original” carece de sentido.
La evidencia que se puede necesitar en un proceso de investigación puede comprender30:
• Toda la evidencia física disponible: computadoras, celulares, cámaras de fotos,
dispositivos periféricos, documentación, anotaciones, etc…
• Datos visuales que se encuentren representados en un monitor encendido.
• Evidencia impresa en una impresora.
• Evidencia impresa en un plotter.
• Representaciones magnéticas de grabaciones.
El departamento de Justicia de los Estados Unidos provee un documento en el cuál se centra
en la asistencia y conciencia hacia los peritos informáticos en cuanto a buenas prácticas
forenses que deben seguir en la adquisición y preservación de los diferentes dispositivos
electrónicos que fueron encontrados en la escena del crimen.
En el documento que se encuentra publicado en la web, se hace hincapié en que la evidencia
pertinente a un caso puede encontrarse en lugares inusuales y que ésta podría tener
información de suma importancia para el investigador de la escena del crimen. Además
29
Bolívar Pinzón Olmedo, F.: Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes,
Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
30
Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving
Evidence of Computer Crimes, 2002.
Mariano Messina
18
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
establece la importancia de no sólo recolectar información digital, sino que, el perito debe
observar el ambiente en su totalidad, realizando una búsqueda de hojas con contraseñas,
anotaciones escritas a puño y letra, manuales de herramientas o dispositivos informáticos
(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos
lineamientos que la evidencia digital.31
Proceso Forense
Etapas de la informática forense:
Anteriormente se ha hecho mención que el proceso forense consta de diversas etapas para
lograr su objetivo, ellas comprenden: la Identificación de la evidencia, adquisición de datos,
validación y preservación de la información adquirida, análisis y descubrimiento de la evidencia
y como última etapa, se encuentra la confección del informe que debe ser presentado a las
autoridades correspondientes.
Se debe destacar que resulta de gran importancia realizar la documentación de todas las
acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del
proceso forense. Además, es también es de gran importancia mantener una adecuada cadena
de custodia durante todas las etapas de la investigación.32
31
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
32
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
19
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Figura 2: Etapas del proceso forense.
Identificación y documentación de la evidencia:
Debido a que la adquisición de datos puede involucrar un amplio abanico de dispositivos
contenedores de información, que pueden abarcar desde un disquette o un disco rígido de una
computadora hasta un conjunto de discos de un servidor, un juego de cintas, varias
computadoras de una organización o un conjunto de dispositivos móviles (entre otros), es que
antes de comenzar con el proceso de adquisición de datos es necesario realizar un
reconocimiento y una correcta documentación de los diferentes tipos de evidencia que se debe
adquirir, del sistema informático que se pretende analizar y también, se debe tener en cuenta
cuál es el camino del delito, ya que no es lo mismo analizar un caso de homicidio que uno de
fraude, por las características inherentes a cada uno de ellos.33 En un caso de fraude se podría
considerar el análisis de diferentes componentes perimetrales que no sean computadoras,
33
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos v 2.0, 7 de Julio
2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Mariano Messina
20
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
como por ejemplo, tarjetas de crédito, informes, impresoras, scanners, etc…, sin embargo, en
casos como la pornografía infantil, se debe establecer énfasis en otros objetos, cómo por
ejemplo, en las cámaras digitales.34 También es necesario, antes de comenzar con el proceso de
adquisición de datos, tener en cuenta cuál va a ser la información que se debe recolectar, ya
que si se decide copiar la totalidad de los datos cuando en realidad sólo se necesita una porción
del conjunto, se podría incurrir en una pérdida innecesaria de tiempo, además de aumentar el
riesgo a contaminar la evidencia.35
Los diferentes elementos que van a ser analizados, y que son material probatorio en un
proceso judicial, deben encontrarse claramente identificados con el fin de evitar la pérdida de
la información. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir
los elementos que son copia de lo que es evidencia original así como también permite llevar un
registro de la ubicación de cada uno de ellos. Es posible evitar este tipo de inconvenientes
mediante la realización de un proceso que asegure que todos los dispositivos se encuentren
correctamente etiquetados y que todos incluyan firmas para lograr identificar cuáles son los
diferentes elementos que componen el caso.36
“Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,
incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia,
por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Traslade estos
datos a otra etiqueta y péguela en la caja contenedora del soporte, incluso sería conveniente
precintar el original para evitar su manipulación inadecuada.” (Delgado L., 2007)
Durante el desarrollo de un curso de Identificación y Adquisición de Evidencia Digital, en el
que se ha tenido el agrado de participar hace algunos meses, varios consultores en materia
forense han manifestado la importancia de fotografiar la escena dónde se haya cometido el
delito para poder, en caso que se requiera, reconstruir su estado original una vez que el
proceso forense haya concluido. Adicionalmente, a lo largo de la jornada han manifestado que
es una buena práctica utilizar elementos de diversos colores para identificar claramente cada
una de las piezas relevantes al caso. Por ejemplo, han hecho mención que les ha resultado muy
34
Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,
http://nij.gov/nij/pubs-sum/199408.htm
35
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
36
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina
21
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
práctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fácilmente
diversos dispositivos y cables conectores durante todo el proceso.
Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la
escena, existe la posibilidad de que de forma accidental se desconecte algún conector
provocando la pérdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la
alteración de la información almacenada en un contenedor digital. Durante el curso, han
demostrado cuán relevante es forrar de manera completa los diversos conectores de los
dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de
desconexiones accidentales.
Figura 2: Ejemplo otorgado en el curso de etiquetado de conectores.
Mariano Messina
22
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Antes de proceder a realizar un análisis de la evidencia identificada se podría responder a
algunas preguntas tales como37:
1- ¿Qué evidencia se tiene para poder determinar que un acceso no autorizado ha
ocurrido?
2- ¿Cuál es la cronología del acceso o de los cambios ocasionados en la información?
3- ¿Cuál es el daño estimado?
4- ¿Quién podría ser el responsable del incidente?
5- ¿Por qué se sospecha de esta persona?
6- ¿Cuál es el impacto en el negocio?
7- Los sistemas y las computadoras afectadas, ¿forman parte de procesos críticos de
negocio?
8- ¿Qué acción fue que ocasionó un alerta del incidente?
9- ¿Cuando ocurrió el incidente?
10- ¿Cuando fue el incidente descubierto por primera vez?
11- ¿Quién ha investigado el incidente y qué acciones han sido tenidas en cuenta con el
fin de identificar, recolectar y analizar la información y los dispositivos involucrados?
Además, se deben tener en cuenta recaudos especiales sobre la computadora encargada de
realizar el proceso con el fin de evitar acciones inadvertidas que atenten contra el proceso de
duplicación de datos.
En la misma charla de Identificación y Adquisición de Evidencia Digital mencionado
anteriormente, los peritos forenses han hecho hincapié en el hecho de desactivar de forma
completa las actualizaciones automáticas de Microsoft Windows debido a que si por algún
motivo particular se tuviese acceso a internet, podrían ocasionar un reinicio del sistema
operativo justo cuando se encuentra en pleno proceso de copiado de datos, logrando que la
integridad de la información se vea comprometida y provocando demoras en el proceso.
Además, se ha concientizado sobre tener especial recaudo en las opciones de energía y del
uso horario del dispositivo encargado de la clonación. Las consideraciones a tener en cuenta
fueron:
37
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
Mariano Messina
23
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
• Evitar opacar o apagar la pantalla de la computadora encargada de la copia de datos
luego del transcurso de prolongadas horas de trabajo.
• Desactivar opciones de hibernación o sleep mode.
• Configurar los discos duros de forma tal que eviten su apagado o desconexión.
• Revisar la fecha, zona y el uso horario teniendo en consideración la ubicación y el país
dónde se encuentre realizando el proceso de duplicación de datos.
Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexión de
algún medio que contenga evidencia según corresponda, se debe realizar una preparación del
ambiente de trabajo, mediante la creación de una estructura de directorios en medios de
almacenamiento separados, en dónde se pueda extraer o recuperar archivos o información que
requieran ser analizadas y que resulte relevantes al caso.38
En esta etapa se comienza con la confección de la cadena de custodia y se debe prestar
especial atención y cuidado a lo largo de todo el proceso forense de llevar un detallado registro
de movimiento, posesión y resguardo de evidencia.
38
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina
24
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Figura 3: Formulario ejemplo de Cadena de Custodia otorgado durante el curso
Mariano Messina
25
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Adquisición de Datos
Luego de establecer los límites de la adquisición y de tener en claro cuál debe ser el objetivo
de la investigación forense, se procede a la segunda etapa del proceso, la cuál se denomina
Adquisición de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar
de forma especial el contenido de la información almacenada en el sistema que se encuentra
en observación hacia un medio dónde se pueda realizar un análisis y manipulación del
contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptográficos (Hash)
para determinar si la información copiada es un reflejo exacto de la original. Luego del cálculo,
se debe trabajar sobre la información duplicada dejando intacto el contenedor original,
resguardándolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando
toda actividad en la cadena de custodia.
Si bien las situaciones que involucran componentes informáticos podrían resultar diferentes
según la investigación que se deba realizar, se debe tener ciertos recaudos para lograr proteger
la integridad de la información a recolectar. Si el perito forense se encuentra frente a un
escenario dónde el medio a analizar se encuentra encendido, resulta una buena práctica
documentar las acciones realizadas teniendo en consideración lineamientos tales como:39
• Documentar si originalmente el sistema se encontraba encendido o apagado.
• Si se encontraba encendido, documentar o tomar fotografías de la información que se
encontraba visible en la pantalla, considerando que podrían existir múltiples monitores
conectados a la misma computadora.
• Documentar si se guardó algún archivo.
• Determinar el sistema operativo, si es posible.
• Si se encuentra encendido, considerar recolectar información volátil.
• Determinar el método de apagado teniendo en cuenta si se va a realizar siguiendo el
mecanismo de apagado seguro provisto por el sistema operativo o desconectando el
cable de alimentación, según corresponda.
• Documentar quién realizó el apague que sistema, el horario, el día y qué método de
apague fue utilizado.
39
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
26
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Existen sistemas operativos que si se los apaga mediante la desconexión de la alimentación de
energía podrían resultar dañados, comprometiendo la integridad de la información
almacenada.
La siguiente tabla fue expuesta durante el curso de Adquisición de datos e ilustra cuáles de los
diferentes sistemas operativos pueden ser apagados mediante la desconexión de la energía
eléctrica sin ocasionar daños, mientras que a otros deben aplicarse mecanismos de apagado
seguro:
Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.
Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque
(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un teléfono
celular) y que los mismos podrían producir diferentes tipos de modificaciones en cuanto a
fechas y también en cuanto al contenido de por lo menos algunos archivos del sistema;
también, las diferentes etapas de los procesos de arranque pueden producir una variación en la
Mariano Messina
27
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden
originar otras consecuencias dependiendo del medio en observación. Los mismos resultados se
pueden observar cuando se realiza la apertura de un archivo, aunque su único propósito no sea
otro que el de sólo su propia lectura o impresión.
Debido a estas particulares características de cómo se realizan modificaciones en los sistemas
por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma
inadvertida podría realizar modificaciones a los datos almacenados, en esta etapa se debe
prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes
dispositivos informáticos involucrados en el análisis de forma convencional, sino que se deben
implementar técnicas de acceso a los volúmenes que sólo operen en modo de sólo lectura.
Estas técnicas o acciones deben asegurar que ni siquiera un byte de información sufra
alteraciones (Data Spoliation) desde el momento en que comienza la intervención forense y
además, deben lograr mantener la integridad de la información almacenada durante todo el
proceso de análisis forense.40
Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software,
sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo
de escritura a nivel de Hardware mediante por ejemplo, la utilización de dispositivos
bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas
modificaciones al Registro de Windows que podrían permitir impedir la alteración de la
información en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo,
Linux) que permiten montar de cierta forma los volúmenes que aseguren que la información
solamente pueda ser accedida como sólo lectura, estas técnicas, a nivel Software, se les deben
realizar una validación continua teniendo en consideración la metodología a aplicar, el caso
particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del
proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de
recolección.
Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear
la escritura en dispositivos USB mediante la creación de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies
40
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
28
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Al modificar el valor hexadecimal a 0x00000001, y luego de reiniciar la computadora, se
podría acceder a los volúmenes USB de forma de sólo lectura.41
Figura 5: Implementación de Hardware Bloqueadores de Escritura.
Existe otra consideración a tener en cuenta cuando se debe realizar una adquisición de
información de un dispositivo. Si se encuentra en un escenario dónde se debe reutilizar un
medio de almacenamiento que anteriormente fue empleado como parte de un proceso
forense, se debe aplicar con especial cuidado una metodología sólida con el fin de esterilizar los
contenedores que van a almacenar la información duplicada, si es que la copia forense no se va
a realizar bit a bit. La omisión de la esterilización del medio puede provocar que exista una
contaminación de la evidencia y podría provocar que la misma sea descalificada por alguna de
las partes intervinientes.
Existe Hardware forense y herramientas de duplicación de datos que esterilizan la información
en conjunto a la adquisición de datos. Dichos equipos o herramientas generan Hashes de los
datos almacenados y luego escriben ceros (u algún otro carácter aleatorio) en el espacio
sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para
determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el
riesgo de tener que dar explicaciones al Jurado por la contaminación de la evidencia.42
41
42
EC-Council: Investigating Wireless Networks and Devices, 2010.
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
29
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Existen dos fases diferentes de extracción de información: la lógica y la física. La diferencia
radica en que la extracción física descarta los ficheros de sistema (File System). La fase de
extracción lógica, sin embargo, tiene en consideración la totalidad de los archivos del sistema,
incluyendo: archivos de sistema operativo, ficheros de sistema y archivos de las diferentes
aplicaciones disponibles.
Fase de extracción de información física:
Durante esta etapa se realiza la extracción de información del disco a nivel físico sin
considerar los archivos de sistema que se encuentren presentes. Las acciones que se podrían
llevar a cabo son: la búsqueda de palabras claves, búsqueda de archivos y la extracción de la
tabla de particiones y de espacio del disco físico no utilizado.
Se debe tener en cuenta que:
• Realizar una búsqueda de palabras claves a lo largo del disco físico podría ser de utilidad
al analista forense para extraer datos relevantes y para identificar archivos que no
pertenezcan al sistema operativo.
• Utilizar herramientas en la búsqueda y extracción de archivos tiene como finalidad el
encontrar ficheros que podrían no ser tenidos en cuenta por el sistema operativo y que
podrían resultar relevantes en la investigación.
• Por otra parte, analizar la estructura de particiones del disco es útil para comprender e
identificar la composición del sistema de archivo, pudiendo determinar si todo el
espacio físico del disco duro se encuentra utilizado.
Fase de extracción de información lógica:
Esta etapa de extracción de información, desde un medio de almacenamiento, se encuentra
centrada en el sistema de archivos y podría incluir datos como por ejemplo: áreas de archivos
Mariano Messina
30
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos
que existe desde el final de un archivo hasta el final del último cluster que tiene asignado, en
otras palabras, el slack es considerado a la diferencia que existe cuando el tamaño físico de un
medio de almacenamiento supera a su tamaño lógico)43 y el espacio en disco que aún no ha
sido asignado.
Los pasos podrían incluir:
• Extracción de información de archivos de sistemas que revelen características tales
como: la estructura de directorios, atributos de los archivos, nombre de archivos, fechas
y horas, tamaño de archivos y ubicación de los mismos.
• La reducción de datos podría permitir identificar y eliminar archivos conocidos mediante
la comparación de Hashes de archivos pre calculados en relación a los Hashes calculados
de los archivos presentes en el disco.
• Extracción de archivos pertinentes a la investigación. Los métodos que se utiliza para el
cumplimiento de esta tarea podrían ser basados en la búsqueda de los nombres de
archivos y extensiones, revisión de los encabezados, el contenido del archivo y la
ubicación de los mismos en el medio contenedor.
• Recuperación de archivos que fueron borrados.
• Extracción de archivos protegidos con contraseña, cifrados y con información
comprimida.
• Extracción del file slack.
• Extracción del espacio no asignado.
En los dispositivos de telefonía móvil, además de las características mencionadas
anteriormente se podrían considerar algunas adicionales, tales como:44
•
•
•
•
•
Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.
Revisar los correos electrónicos almacenados en el dispositivo.
Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc…)
Revisar el caché del dispositivo móvil.
Revisar las citas, notas y el calendario del dispositivo en búsqueda de eventos o de
información relevante a la investigación.
43
Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-fileslack.html
44
EC-Council: Investigating Wireless Networks and Devices, 2010.
Mariano Messina
31
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
• Revisar la agenda en búsqueda de números telefónicos que guarden relación con el
caso.
• Analizar el historial de navegación web.
• Analizar los mapas y el sistema de navegación gps.
• Revisar las fotografías y los videos almacenados. Adicionalmente se deberá revisar la
Metadata de los archivos en búsqueda de información relevante. Por ejemplo, revisar
las coordenadas podría resultar útil a fin de establecer la ubicación de dónde fueron
tomadas las capturas.
En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector público
y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector
público realizar la gestión de recursos para desarrollar la colección de datos, mientras que para
el privado, existen menos procesos burocráticos que evitan la demora en el comienzo de la
etapa.
Validación y Preservación de la Información:
La tercera etapa del proceso forense es la validación y preservación de la información
adquirida. En la presente etapa, luego de haber realizado la identificación y documentación de
los diferentes medios que deben ser analizados y luego de haber realizado el proceso de
duplicación de los mismos, teniendo en cuenta las mejores prácticas forenses que eviten la
contaminación de los datos, se debe llevar a cabo la aplicación de diversos algoritmos
criptográficos (conocidos como funciones Hash) para lograr el cálculo de un código único y
exclusivo de identificación correspondiente a la combinación única de bytes que constituye la
totalidad de la información almacenada en el medio en observación.45
La generación de los códigos exclusivos deben ser lo suficientemente robustos para evitar
que los mismos sean generados de forma inversa con fines dolosos. Además, deben
encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitiéndole
verificar la autenticidad de la información resultante del proceso de duplicación de datos, que a
su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense.
45
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007
Mariano Messina
32
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Funciones Hash:
Las funciones Hash utilizan algoritmos criptográficos para crear un mensaje de los datos a los
cuales fueron aplicados. Los Hashes representan grandes volúmenes de información en una
relativamente pequeña porción de datos y debido a que su utilización no altera la información
analizada, sino que la representan de una forma más pequeña, se las utilizan en la informática
forense para comparar la información original con aquella resultante de haber aplicado un
proceso de duplicación. Cuando los Hashes coinciden, significa que tanto la información
original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulación
y/o análisis.46
A pesar de que se han encontrado múltiples fallas de seguridad en los Hashes tradicionales
MD5, CRC y SHA1, y hasta existen métodos teóricos prácticos de cómo vulnerarlos (en la
actualidad se encuentran disponibles en la web múltiples sitios que aducen realizar dicho
proceso de forma fácil y rápida), aún se siguen utilizando como método de control válido en las
prácticas forenses, encontrándolos aceptados en los diferentes tribunales como métodos de
validación de la evidencia. 47 La razón por la cual aún son válidos dichos elementos es que al
utilizar la función hash como método de reducción de información a fines de lograr un control
efectivo, resultaría impráctico poder modificar una porción de un dato específico de la
evidencia y aun así lograr generar el mismo hash de la evidencia original.48
Una vez que la información ha sido cotejada, se debe proceder a incluir la firma Hash en cada
uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita
a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez
duplicados para establecer copias de seguridad que permitan a los auditores realizar la
búsqueda de elementos probatorios.
46
EC – Council: Computer Forensics – Investigating Network intrusions & Cyber Crime, 2010.
Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,
http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/
48
Informática Pericial: Consulta sobre colisiones MD5,
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobrecolisiones-md5&catid=43:guias-para-peritos&Itemid=64
47
Mariano Messina
33
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
A continuación se listan algunas precauciones que se deben tener en cuenta cuando se debe
preservar la evidencia:49
• Mantener la evidencia en un lugar seguro.
• Empaquetar la evidencia en un envoltorio sellado para restringir el acceso físico.
• Mantener la evidencia fuera de temperaturas extremas y de altas humedades.
• Mantener la evidencia alejada de medios magnéticos.
• Mantener la evidencia alejada de ambientes con polvo o energía estática.
• Mantener la evidencia alejada de ambientes con excesivas vibraciones.
• Mantener la evidencia con las etiquetas correspondientes.
• No se debe doblar, plegar o rayar los diversos medios informáticos, como por ejemplo,
los dvds.
• Mantener siempre una cadena de custodia apropiada.
Análisis y descubrimiento de evidencia
La cuarta etapa comprende al proceso de Análisis y descubrimiento de evidencia y siempre
que sea posible, se refiere a examinar la información que ha sido recuperada del proceso de
adquisición y duplicación de datos para poder encontrar elementos probatorios
correspondientes al caso.
Anteriormente se ha hecho mención que la forma en que se encuentran construidos los
diferentes sistemas operativos generan eventos que van produciendo modificaciones a los
datos almacenados. Por tal motivo, si en algún momento del proceso, teniendo en cuenta el
tipo de investigación que debe analizarse y las pruebas que deben ser identificadas, es
necesario inicializar el sistema operativo almacenado en los contenedores duplicados hay que
emplear técnicas que aseguren al perito que el acceso a la información contenida sea de forma
sólo lectura, logrando mantener la integridad de la misma a lo largo del tratamiento forense.
Una técnica aprobada de acceso sólo lectura a sistemas operativos es la virtualización de las
imágenes forenses resultantes de la etapa de adquisición de datos.50
Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la protección de
la integridad de la información, el perito podría encontrarse frente a un sistema protegido con
una contraseña que imposibilite el acceso a la información almacenada.
49
EC-Council: Investigating Wireless Networks and Devices, 2010.
Arnicelli, Crsitian: Virtualización de Imágenes Forense, 17 de Septiebre 2012,
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
50
Mariano Messina
34
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante una charla de informática forense en la 8va edición de Eko Party51 realizada en
Argentina, el ingeniero Gustavo Presman ha hecho mención sobre la importancia de utilizar
herramientas que posibiliten el descubrimiento de la contraseña administrador del equipo
relevante a la investigación, siempre teniendo recaudos de no realizar la contaminación del
medio. También ha manifestado que dicha importancia se debe a que podría existir la
implementación de mecanismos de autenticación Single Sign-on (SSO)52 que permitan el
acceso a sistemas internos. Los cuales a su vez podrían contener información relacionada a la
investigación en proceso.
En un intercambio de correos electrónicos con el profesor Luis Enrique Arellano González,
dónde se ha tenido el agrado de debatir el proceso “adivinatorio” de contraseñas, ha logrado
ampliar lo citado por Pressman:
“La adquisición de datos específicamente reservados por su propietario (hecho que se hace
evidente, simplemente porque utilizó una clave para protegerla), utilizando herramientas
invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que sólo puede
ordenar el Juez en uso de sus atribuciones de Magistrado. De ahí que antes de hacer una cosa
por el estilo, se debe pedir autorización a S. Sa.. Este pedido por otra parte debe ser fundado y
preservando el resto de la información privada del propietario de los datos, en caso contrario
(siempre que el operador del derecho de turno y/o su consultor técnico, se den cuenta) esa
prueba y toda la cadena probatoria subsiguiente es nula. “ (Arellano G., 2012)
Debido a que la persona que ha originado el incidente pudo haber considerado la eliminación
de información que lo comprometa, o realizar alguna acción no convencional para lograr
ocultarla, se debe realizar un análisis de los contenedores de información desde diferentes
niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas
consideraciones que pueden ser utilizados como lineamientos para realizar el análisis de la
información adquirida.53 Las mismas comprenden:
51
Eko Party Security Conference 8va edición: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/.
The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/
53
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
52
Mariano Messina
35
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Análisis de período de tiempo:
El análisis del período de tiempo es útil para determinar cuando ocurrieron los eventos sobre
un sistema informático, con el fin de identificar y asociar quién ha utilizado el recurso en el
tiempo que han ocurrido los sucesos. Existen dos métodos que se utilizan:
- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la última
modificación, la última vez que se accedió al archivo o el cambio de estado). El resultado que se
busca es establecer una relación entre los archivos de interés y los tiempos relevantes a la
investigación.
- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podrían ser
analizados comprenden, eventos de error, instalación, de conexión, eventos de seguridad, etc..
Por ejemplo, el análisis del registro de eventos de seguridad podría indicar cuando se utilizó un
usuario y una contraseña para autenticarse a un sistema.
Análisis de datos ocultos:
La información puede encontrarse de forma oculta en un sistema informático, como
consecuencia, un análisis minucioso de la información permitiría detectar y recuperar archivos
que podrían indicar conocimiento, posesión o intención de los sucesos realizados. Se puede
lograr mediante:
-La correlación de los encabezados de los archivos con las extensiones asociadas a los mismos
para identificar si existen diferencias. La discrepancia entre ambos podría indicar que un
usuario ha escondido información de forma intencional en el archivo.
-Revisión de los archivos protegidos por contraseñas y también aquellos que se encuentren
comprimidos o cifrados. Se debe considerar que la contraseña utilizada para proteger el archivo
podría ser tan relevante en la investigación como el contenido del mismo.
54
National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Mariano Messina
36
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
-Revisión del contenido de archivos (por ejemplo, una fotografía) en búsqueda de información
oculta. Este proceso de análisis es conocido como estenografía.
-Revisión de host-protected area (HPA). El HPA es una sección del disco duro que se encuentra
oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de
discos duros para ocultar un sistema de mantenimiento y recuperación. Sin embargo, esta
sección puede ser alterable y utilizable para ocultar información.55
Análisis de Aplicaciones y de Archivos:
Realizar un análisis de las aplicaciones y de los archivos que contemplan al sistema podría
brindar al forense información relevante a la investigación y además, podría permitirle lograr
una comprensión de la capacidad de los mismos. Algunos ejemplos incluyen:
- Revisión de los nombres de los archivos y establecimiento de patrones.
- Revisión del contenido de los archivos.
- Identificación de la cantidad y tipo de sistemas operativos.
- Correlación de archivos de aplicaciones.
- Revisión de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del
navegador con archivos de correos o de caché.
- Identificación de archivos desconocidos.
- Revisión de la configuración de los usuarios.
- Revisión de las carpetas de los usuarios creadas por defecto.
- Revisión de metadata y de los archivos creados por los usuarios: generalmente se buscan
datos como: fechas de creación, fecha de última modificación, el autor del fichero y la ubicación
de los mismos.
55
Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensicediscovery-glossary/what-is-host-protected-area.html
Mariano Messina
37
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante la charla de Gustavo Pressman en la Eko Party también se ha hecho mención que
podrían existir volúmenes TryeCrypt (software utilizado para el cifrado de información)
ubicados en el sistema que se encuentra siendo investigado, que podrían contener información
relevante al caso. Además, ha afirmado la dificultad en la que se encuentran los forenses para
reconocer dichos volúmenes debido a que los mismos no poseen una extensión que los
identifique dentro del sistema operativo.
Hasta el momento, la única característica que podría guiar a un perito hacia la identificación
de volúmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamaño de los
diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros
TrueCrypt.
Otra dificultad que se presenta, por cómo se encuentran cifrados y construidos los volúmenes,
es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro
volumen cifrado.56
Hasta el momento se desconoce la existencia de herramientas que puedan identificar
volúmenes dentro de volúmenes TrueCrypt.
Posesión y propiedad:
Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a
archivos en el sistema debido a que puede resultar relevante en la investigación. También
podría ser relevante identificar el conocimiento y la posesión de dichos archivos teniendo en
cuenta los siguientes lineamientos:
- Analizar el nombre asignado a la computadora puede indicar fecha y hora de intervalos de
posesión o propiedad del sistema. (Ver Análisis de intervalos de tiempo).
- Los archivos de interés pueden estar ubicados en carpetas que no son creadas por defecto
por el sistema operativo. (Ver análisis de aplicaciones y de archivos).
56
TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume
Mariano Messina
38
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
-Los nombres de archivos podrían indicar el contenido del archivo. (Ver análisis de
aplicaciones y de archivos).
- Información oculta en el sistema podría dar indicios de alguna persona que evita ser
detectado. (Análisis de datos ocultos)
- Cuando un archivo se encuentra protegido con contraseña y la misma ha podido ser
recuperada, podría indicar posesión o propiedad del archivo. (Ver posesión y propiedad)
- El contenido de un archivo podría indicar posesión o propiedad por contener información
específica de un usuario. (Análisis de aplicación y de archivos)
Figura 2: Resumen del Proceso forense obtenido del grupo de informática forense:
http://espanol.groups.yahoo.com/group/informatica-forense/
Mariano Messina
39
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Confección del Informe Final.
La quinta etapa representa uno de los aspectos más cruciales en una investigación forense y
corresponde la producción de un informe que detalle el proceso que se ha desarrollado. El
documento debe ser escrito para comunicar el resultado del análisis digital forense y deberá
exponer una teoría entendible de la investigación de forma tal que, la persona encargada de
realizar un juicio sobre la misma cuente con la información necesaria de forma clara y concisa.57
La producción de informes lógicos y bien estructurados aumenta la probabilidad de convencer
a un jurado de que se posee un entendimiento avanzado de lo que se está haciendo y de que la
evidencia presentada ante el tribunal, es válida.
El propósito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque
exista evidencia que se considere que no resulta de apoyo a la investigación, debe ser
mencionada de todas formas en el informe final. En el reporte además, debe constar cuál es el
objetivo principal de la investigación que se ha realizado.
La confección del reporte debe ser escrito de forma lógica y ordenada, de manera tal que
pueda exponer cuál es el interrogante que debe ser esclarecido, presentar los resultados de la
investigación y además, declare conclusiones y recomendaciones. Para lograr una estructura
lógica y centrarse en la narración del proceso, se puede proceder a la utilización de apéndices
que puedan incluir calendarios, tablas u otra información relevante.
Si el informe debe ser presentado a un público variado, se debería considerar la creación de
un glosario que abarque la definición de los conceptos técnicos. El glosario sirve como
herramienta de apoyo a quién lo debe leer con el objetivo de subsanar dudas técnicas.
Un buen informe debe responder a: quién, qué, cuando, dónde y por qué. Además, debe
documentar qué acciones fueron realizadas durante el proceso y el porqué de las mismas. 58
Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba
en casos judiciales, debía prestar especial cuidado de evitar declarar conclusiones acerca de los
hechos sino que lo que en realidad debía hacer es centrarse en narrar los mismos mediante la
57
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
58
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
40
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
elección cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara
que durante un juicio, se ha hecho mención que un sonido provenía de un hall de un hotel, a lo
que él siempre se ha preguntado cuales son las características acústicas que diferencian un hall
hotel, de una cancha de squash.
En el anexo II del presente documento se puede observar un modelo de informe final utilizado
por peritos argentinos. El material fue obtenido de un foro dónde diversos expertos en materia
forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,
al que se ha tenido el agrado de ser invitado a participar como miembro.
La experiencia personal en el ámbito privado ha demostrado que la inclusión de imágenes,
gráficos o diagramas en la confección de informes, que deben ser revisados por diferentes
personas con diferentes perfiles, generan un efecto de atracción en el receptor. Además,
permiten una mejor comprensión del tema que se debe tratar y brinda al encargado de
presentar la idea una herramienta en la cuál puede sentirse más confortable a la hora de
exponer su discurso.
Las técnicas de visualización permiten generar gráficos, mapas o redes que relacionan la
información de forma tal que problemas de alta complejidad puedan ser comprendidos por el
público sin la necesidad de utilizar un lenguaje específico o enredado. 59
Creo que en la etapa de confección y presentación del informe final, se podrían utilizar
herramientas de visualización de información que permitan a los jueces de los tribunales, y las
diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr
un entendimiento más claro de los resultados de la investigación, relacionando por ejemplo los
diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60
Una vez finalizadas todas las etapas de la investigación forense digital y, una vez concluido y
presentado el informe a las autoridades pertinentes se debería resguardar toda información en
59
Visualizing: http://www.visualizing.org/about
ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,
http://queue.acm.org/detail.cfm?id=1805128
60
Mariano Messina
41
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
un lugar seguro por si en algún momento futuro se decide volver a indagar en los elementos
intervinientes. 61
Se ha procedido a realizar una consulta en el foro de informática forense solicitando
asesoramiento sobre las mejores prácticas de cómo almacenar los datos de forma tal que no se
perjudique con el transcurso del tiempo. En respuesta a mi pregunta, un perito forense de la
Policía Judicial de la ciudad de Córdoba comenta que ellos, por cuestiones de costos, realizan el
resguardo mediante la utilización de medios ópticos, por duplicado. Además, informa que lo
realizan mediante la utilización de envoltorios que permiten el sellado al vacío, teniendo en
consideración el medio ambiente y evitando el roce entre los discos. El referente también
informa que dicho procedimiento le ha “salvado decenas de veces”, reflotando causas desde el
año 2006.
Debatiendo dicha situación con diversos peritos se ha logrado encontrar diversas opiniones,
algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de
pocos años, el medio de almacenamiento óptico podría estropearse, por más que se tengan
recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.
Otros especialistas en informática forense han comentado que prefieren la utilización de
medios magnéticos o electrónicos, pero que por cuestiones de elevados costos, la utilización
de estos últimos resultan hoy en día poco frecuentes.
Investigando sobre la durabilidad y del resguardo en el tiempo de la información, se ha
logrado encontrar una investigación realizada por NIST (National Institute of Standards and
Technology). En dicha investigación logran concluir, luego de un par de años de investigación y
pruebas, que los discos ópticos almacenados en ambientes con temperaturas de 25 °C y con
una humedad del 50% pueden llegar a durar más de 30 años sin estropearse. Por tal motivo,
considero que si se tienen recaudos cautelosos para almacenar la información en medios de
almacenamiento ópticos, se podría acceder a los datos luego del transcurso de varios años.62
61
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
62
NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Mariano Messina
42
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Conclusiones
A través del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que
el cumplimiento de la aplicación metodológica de los estándares definidos, y de las mejores
prácticas en los procesos forenses, mitiga el riesgo de guiar una investigación hacia su
invalidación.
Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario
el cumplimiento metódico de las sucesivas fases que comprenden al proceso.
El marco metódico probado, utilizado y constantemente actualizado por forenses argentinos,
y también con la contribución de peritos de diversos países, ofrece en la evaluación de
incidentes diversos mecanismos de mitigación de riesgos. A su vez, logran prevenir la
invalidación de los elementos probatorios a fin de brindar a las autoridades correspondientes
un instrumento útil a la sociedad.
En lo que a la aplicación metodológica respecta, se concluye que para realizarla de forma
adecuada resulta imprescindible tener en cuenta la idoneidad del personal forense. Debido a
esto, se considera que la capacitación constante y el mantener una amplia red de contactos
profesionales son puntos clave para mantenerse actualizado en materia forense digital.
Por otra parte, debido a que aún hoy en día la informática forense es considerada una ciencia
nueva, lo cuál se considera que complica a personas fuera del ámbito informático en la
comprensión técnica de diversos escenarios, se cree conveniente la utilización de diversas
técnicas de capacitación y de representación de datos, como por ejemplo las de visualización de
información.
Las técnicas de visualización resultan de gran utilidad al transmitir a las diferentes autoridades
un mensaje claro. Esto permite explicar problemas complejos mediante la abstracción de
cuestiones técnicas, logrando que dicha herramienta sea utilizada como base para el análisis y
la toma de decisiones.
Por último, destacar que el valor de utilidad que tiene la informática forense radica en su
posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva
de incidentes en las diferentes organizaciones.
Mariano Messina
43
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación
actual de la informática forense Argentina:
Alessio, en la actualidad, ¿cuál piensa que es el mayor desafío, o la mayor dificultad que
debe afrontar un perito forense a la hora de realizar una investigación en la Argentina?
1.
Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe
lo que hace a nivel técnico, claro está). Si es estatal quizá el reto mayor será logístico; el
almacenamiento y procesamiento de altos volúmenes de datos requiere de forma dinámica una
cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas
veces destina recursos a los laboratorios forense de las distintas dependencias.
2.
Según su experiencia en la práctica forense, ¿en qué partes del proceso piensa que se debe
hacer hincapié? ¿Por qué?
En la documentación de todos los pasos. Uno deberá prestar testimonio años después de lo que
ocurrió y si no está todo bien documentado puede perderse todo el trabajo realizado. (esto
también dando por sentado que se utiliza hardware y software forense así como los métodos
forense)
3.
Observando varios casos judiciales argentinos, de distinta índole y dónde se involucran
diferentes elementos tecnológicos como medio contenedor de datos, pude notar que existen muchos
que terminan en una invalidación de la evidencia por alguna de las partes intervinientes en el
proceso. ¿Por qué piensa usted que esto sucede?
Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los
trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)
4.
En lo que a la metodología forense respecta, y teniendo en consideración su amplia
experiencia laboral, ¿considera que existe alguna diferenciación entre el ámbito público y el privado,
a nivel procedimientos y estándares, que se deba tener en cuenta con el fin de tratar de asegurar el
éxito de una investigación?
No; ambas se deben llevar a cabo de igual manera. La informática forense nació en el Estado, se
potenció por la lucha contra la pornografía infantil y luego creció exponencialmente de la mano del
sector privado cuando se comenzó a aplicar a IF en investigaciones y auditorías.
Mariano Messina
44
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
5.
A su parecer, en la actualidad, ¿cómo considera que se encuentran los organismos públicos
de seguridad en materia forense digital?
La ley que equipara los documentos digitales a los de papel tiene menos de diez años. La justicia, y
el sistema judicial, tardarán un tiempo en adecuarse a la nueva normativa.
El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que
afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la
adquisición de herramientas de última generación y capacitación.
Si bien muchos autores consideran a la informática forense como una ciencia aún nueva,
¿Considera que la aplicación de la metodología y de las buenas prácticas forenses existentes mitigan
el riesgo de que la evidencia sea susceptible a la invalidación durante el proceso judicial?
6.
Cuando nació la papiloscopía el perito se apersonaba en el lugar del hecho y levantaba las huellas;
terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el
comisario. La gente tardó unos años en comprender que la escena del crimen debe ser resguardada
y toda la comisaría pasaba por el lugar de los hechos con la intención de ayudar. . Lo mismo ocurrirá
con la informática forense. Sin duda que el perito deberá tener el hardware, software y
capacitación necesaria, pero hasta que no se capacite a todos los involucrados en la investigación
de un delito, habrá impugnaciones.
7.
En su opinión y para concluir con la entrevista, ¿Cuáles son los aspectos que se deben tener
en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades
correspondientes?
Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidaré un informe que leí en
Honduras, donde un perito de audio forense dice que en la grabación “se escucha una ampliación
en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel”.
Siempre me pregunté qué características acústicas tiene el hall de un hotel que no tenga el hall de
un museo, mansión, cancha de squash, etc.
Si el informe dice que se encontró una computadora cuyo sistema operativo indica como última
fecha de utilización medianoche de una fecha, quién lea el informe comprenderá las implicancias. Si
uno dice “esta computadora fue encendida por última vez el X” está asegurando algo que no tiene
manera de probar.
Mariano Messina
45
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
Anexo II – Modelo de Informe final
Buenos Aires, 05 de Noviembre de 2005
AL
SR. JUEZ NACIONAL DE PRIMERA INSTANCIA EN LO
CRIMINAL DE INSTRUCCIÓN DR. JORGE LAGUNA.
SECRETARÍA NRO 17 – DR. FIDEL PINTOS
S
/
D
El que suscribe Lic/Perito/Ing Nombre y Apellido; matrícula profesional Nro: ; Nro
de CUIT/CUIL:
; de nacionalidad argentina; de estado civil…; de profesión ……;
con domicilio particular en ……; constituyendo domicilio legal en ….; teléfono
particular número: 1234-5678, fax número: 9101-1121; correo electrónico:
perito@consultora.com.ar; designado Perito en Informática Forense en los autos
caratulados Sánchez, Jorge s/averiguación de defraudación, identificado con el
número de expediente 13331/2005, tramitado ante el JUZGADO NACIONAL DE
PRIMERA INSANCIA EN LO CRIMINAL DE INSTRUCCIÓN Nro 14 del DR. JORGE
LAGUNA. SECRETARÍA NRO 17 – DR. FIDEL PINTOS, acorde a lo determinado en el
Código Procesal Penal de la Nación, artículos 253, 254, en concordancia con lo
establecido en los artículos 255, 256, 257 y 258 de dicho Código. Reconociendo el
conocimiento, alcance y penas establecidas en los artículos 275 y 276 del Código
Penal de la Nación y la restricción del Artículo 266 del Código Procesal Penal de la
Nación (esta legislación debe ajustarse a lo prescripto en cada Foro y Jurisdicción,
incluyendo los códigos de forma particulares y las acordadas correspondientes) se
constituye ante S SA (V SA, según corresponda), a efectos de informarle los
resultados periciales alcanzados luego de las operaciones técnicas, (científicas,
tecnológicas, etc.) realizadas sobre los elementos peritados (examinados,
peritados, “sub_peritia”).
Mariano Messina
46
Juzgado Criminal de Instrucción 14, Sec 17
I.
Causa Nro 13331
OBJETO DE LA PERICIA:
La presente pericia tiene por objeto determinar “…si los archivos dubitados se
encontraban almacenados en: . . . .” (textual) , obrando requisitoria pericial a foja
75 del cuerpo principal de los autos citados.
II.
ELEMENTOS OFRECIDOS:
En relación con la requisitoria pericial, de conformidad con el artículo 260 del
Código Procesal Penal de la Nación y en las condiciones señaladas en el art 261 del
precitado Cuerpo Legal, se recibieron los siguientes elementos “sub peritia”:
1.
Documentos recibidos en custodia: Especialmente el expediente
principal entregado al perito por aplicación del artículo 260 del CPPN (o su
equivalente jurisdiccional) y en caso de existir, los cuadernos de prueba
(correspondientes a los Juzgados Civiles).
2.
Elementos
dubitados:
DiscoComputadora-Unidad
de
almacenamiento – Documento Impreso – Software – Hardware – Recursos
Humanos o Expertos consultados – Laboratorio consultado –Ver
ampliación en el detalle técnico.
3.
Elementos de comparación: Herramientas que no forman parte
de la prueba dubitada (descripción estricta de las mismas, incluyendo
versión y procedencia, en caso de software libre indicar que se trata de
Licencias GNU, en caso contrario incluir el número de licencia del producto
y sus especificaciones técnicas en un anexo)- Informe realizado por otro
técnico, laboratorio, empresa, etc. Reconstrucción del hecho en entornos
simulados como máquinas virtuales (VPC – VMWare).
III. OPERACIONES REALIZADAS:
(Consta de dos partes principales:
1.
la primera secuencial, acorde al orden cronológico de las actividades en su
totalidad, desde la recepción del material o la inspección ocular, hasta las últimas
operaciones de registro probatorio. Sólo se describe la tarea con carácter
informativo y se la referencia al detalle técnico de un anexo respectivo. Desde lo
metodológico es la conversión metodológica estricta de una proposición -
Mariano Messina
47
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
proveniente de la variable definida-, en su correspondiente premisa, mediante una
serie de operaciones científicamente válidadas, tecnológicamente fundamentadas y
tecnicamente correctas, que puedan ser repetidas en cualquier momento posterior
por otros expertos en el área. En caso de necesidad o riesgo evidente de
destrucción total o parcial de la prueba indiciaria, como resultado de las tareas de
análisis pericial efectuadas sobre la información ”sub peritia”, debe solicitarse la
autorización escrita del Juzgado Interventor antes de proceder.
2.
Una segunda parte que se conforma fuera de la pericia construyendo un
arbol demostrativo silogístico estricto, que define, estrucrtura y organiza la
justificación de las conclusiones. A partir de dicho arbol probatorio –ver metología
lógica demostrativa- se construye la redacción argumentativa, acorde a las
capacidades del perito, asimismo se debe utilizar para conoformar un discurso
técnico claro, conciso, breve, tecnológicamente fundamentado, acorde al nivel del
destinatario y especialmente ameno –ver técnicas de redacción y oratoria)
A efectos de cumplimentar la requisitoria pericial encomendada se procedió a
realizar las siguientes operaciones periciales:
Mariano Messina
48
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
TAREAS POR ORDEN CRONOLÓGICO
i.
ii.
iii.
Tarea 1 – Ver Anexo I
Tarea 2 - Ver Anexo II
…Tarean n – Ver Anexo m
ARGUMENTACIÓN DEMOSTRATIVA
Reorganización de las tareas, incorporándolas a una estructura demostrativa
estricta, en forma de árbol binario, que permita su análisis lógico estricto y su
discusión silogística formal. Este árbol, puede agregarse como anexo, pero en
general no es conveniente porque sólo contribuye a esclarecer la demostración a las
personas con una buena formación en lógica, lo que no es común, ni corriente entre
la mayoría de los profesionales. No obstante éste árbol constituirá la base de
nuestro discurso argumentativo. Con esta estructura, en base a su soporte y con el
agragado de nuestras capacidades de redacción, se construirá el argumento que
justifique las conclusiones alcanzadas.
Es imprescindible considerar además que no podemos escapara el método
científico en general y al método criminalístico en particular, el análisis desde lo
general a lo particular, debe conformar la estructura principal (el “backbone”)
subyacente al árbol binario demostrativo.
Recomendaciones: Una vez finalizada la demostración argumentativa estricta,
puede suceder que aparezcan situaciónes particulares que impliquen nuevas
estructuras o pruebas que puedan ayudar a la causa, pero que no han sido
incluidas en la requisitoria pericial. En este punto surge una clara dualidad, el perito
no puede expedirse más allá de la requisitoria pericial (so pena de ser considerado
tendencioso o parcial), pero no puede dejar de decir lo que vió, porque el falso
testimonio establecido en el art. 275 del CPN, no sólo consiste en afirmar una
falsedad, sino también en ocultar una verdad conocida.
Mariano Messina
49
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
Por lo tanto, no corresponde incluir estas apreciaciones en las conclusiones, que
únicamente deben referirse a la requisitoria pericial, sin embargo nada impide
incluirlas en este momento, explicitándolas y sugiriendo a S Sa, que en caso de
considerarlo necesario ordene la ejecución de una ampliación de pericia posterior.
De esta manera se salvan ambas situaciones y se eluden responsabilidades
innecesarias. Es conveniente “sugerir” asimismo los términos estrictos de dicha
requisitoria, para evitar nuevas idas y vueltas por falta de claridad o definición en
las mismas.
Ejemplo: Luego de examinados los archivos detectados, ha sido posible
determinar que los obrantes en el disco rígido correspondiente al servidor principal
de la red (identificado como Servidor A, en el apartado II del presente informe) de
la empresa R, son idénticos a los que obran la terminal J (identificada…) de la
Sucursal T. No obstante esta característica es señalada a título informativo a S Sa y
en concordancia con el artículo 275 del CPN. Si S Sa, estima conveniente analizar
esta circunstancia es posible hacerlo mediante una ampliación del presente informe
pericial orientada a: “establecer si los archivos obrantes en el Servidor Princiapla de
la red de la empresa R, son los mismos que obran en la terminal J de la Sucursal
T”.
En base a los estudios, experiencias y demostraciones realizadas, es posible
arribar a las siguientes:
IV.
CONCLUSIONES:
Afirmación, negación o explicitaciónde imposibilidad de expedirse (por falta de
elementos, por falta de tecnología o por razones demostrativas insuficientes)
respecto de la requisitoria pericial analizada de forma estricta, acotada y restringida
Con el objeto de informar a S. Sa., sobre las tareas realizadas y el tiempo
demandado por las mismas, hago saber la siguiente distribución horaria:
Nº Tarea
Mariano Messina
Actividad
Horas OBS
50
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
01 Gestión de expediente
Administrativa
5
Sede Judicial
02 Inspección Judicial
Técnica/Pericial
8
Local Empresa
03 Reconocimiento Judicial
Técnica/Pericial
8
Gerencia
04 Análisis de Laboratorio
Técnica/Pericial
13
05 Confección del Informe Pericial
Administrativa
5
TOTAL
39
Se hace constar que la hora técnico pericial vigente en el mercado para un
profesional universitario con título de grado, se estima en CIENTO CINCUENTA
PESOS ($150), respecto de las horas de gestión administrativas, se estiman en un
tercio del costo anterior ($50), lo que en el presente caso prevé un valor total
estimado de $4850.
El suscripto ruega a S. Sa. tener en cuenta estos valores, al momento de
determinar los honorarios profesionales que le pudieran corresponder, considerando
la complejidad del trabajo realizado y la capacitación profesional que el mismo
requiere por parte de quien realiza la misma.
Sirva la presente de formal y atenta nota de cierre y elevación del informe
pericial, constituyendo formal recibo de entrega y recepción de conformidad de los
elementos detallados, a sus efectos legales.
Se adjunta en devolución63 al presente informe pericial compuesto de cinco (5)
fojas útiles, (en 173 renglones) y, de 8 Anexos (en un total de treinta y dos fojas
útiles), el material descripto en el apartado II 1.
Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida
la tarea pericial encomendada y regule mis honorarios profesionales acorde a la
magnitud de los estudios experiencias y demostraciones técnicas efectuadas.
Mariano Messina
51
Juzgado Criminal de Instrucción 14, Sec 17
Causa Nro 13331
PROVEER DE CONFORMIDAD. SERA JUSTICIA.
Firma del perito auxiliar
(si lo hubo)
Aclaración
Título y cargo
Nro de CUIL O CUIT
Firma del perito Principal
Aclaración
Título y cargo
Nro de CUIL O CUIT
1
Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)
escrito por ambos lados y conste de un número par de paginas. De esta manera el sello de recepción
queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de
responsabilidades, sobre la integridad o destino “a posteriori” de la prueba analizada
Mariano Messina
52
Referencias
Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage
Learning.
Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informáticos.
Versión 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:
http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Aguilar Avilés, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde
www.eumed.net/rev/cccss/07/daa7.htm
Aldrovandi, M. G. (2012, Febrero). Accedido en Mayo 10, 2012, accedido desde
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresasargentinas
Alessio, A. (2012). Informática Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:
http://alessioaguirre.com/informatica_forense.html
Arellano G., L. E. (2012, Marzo 15). ¿La acción penal, por delitos de acción pública, en manos
exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community
LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ilaaccion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html
Arnicelli, C. (2012, Septiembre 17). Virtualización de Imágenes Forense. Accedido en Septiembre 23,
2012, accedido desde MKit - IT & Security Solutions:
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido
desde National Institute of Standards and Technology:
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf
Bocanegra C., C. A. (n.d.). Rincón del Vago. Accedido en Junio 12, 2012, accedido desde Rincón del Vago:
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-losindividuos.html
Bolívar Pinzón Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Información. Accedido en Mayo 23,
2012, accedido desde Tesis: Identificación de vulnerabilidades, análisis forense y atención de
incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley
Publishing INC.
Mariano Messina
53
Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido
desde La Relevancia De La Custodia De La Evidencia En La Investigación Judicial:
http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Cappiello, H. (2012, Febrero 23). Diario La Nación. Accedido en Mayo 23, 2012, accedido desde La
invisibilidad de las pruebas de corrupción: http://www.lanacion.com.ar/1450864-lainvisibilidad-de-las-pruebas-de-corrupcion
Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.
Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.
Academic Press.
Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,
NY: Cengage Learning.
Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido
desde Computer Forensics Procedures and Methods:
http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf
Delgado L., M. (2007, Junio). Análisis forense digital. Accedido en Agosto 22, 2012, accedido desde
Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780analisisforenseed2-criminalistica.net.pdf
Diario Clarín. (2011, Diciembre 22). La sugestiva y misteriosa acción de un espía privado. Accedido en
Septiembre 01, 2012, accedido desde Clarín: http://www.clarin.com/politica/sugestivamisteriosa-accion-espia-privado_0_613738660.html
Dutra, E. G. (2012, marzo). Accedido en Mayo 10, 2012, accedido desde
http://seguridadit.blogspot.com.ar/2012/03/crisis-de-identidad-gestion-parte-3.html
Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.
Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde
Informática Pericial:
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons
ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame
created by US and Israel to slow Iranian nuke program:
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,
accedido desde A Tour through the Visualization Zoo:
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina
54
Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.
Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html
InfoLeg: Información Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos
Informáticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000144999/141790/norma.htm
Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.
Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.
Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/199408.htm
Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido
en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/219941.htm
Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics
Investigators. Burlington, MA: Elsevier INC.
La Nación, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de
pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nación:
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbiacusado-de-pedofilia
Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:
Syngress Publishing, INC.
Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and
Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:
Auerbach Publications.
Ministerio Público Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de
Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Público Fiscal de
la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer
Science+Business Media.
Muñoz Conde, F. (2002). Teoría General del Delito Segunda Edición. Bogotá: Tirant Lo Blanch.
Nación, P. J. (2010, Septiembre 22). Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n°
39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nación:
http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
Mariano Messina
55
National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and
Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,
2012, accedido desde Optical Disc Longevity Study.:
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The
McGraw-Hill Companies.
Presman, G. D. (2008). Validez técnica de evidencia digital en la empresa. In C. Community, El rol del
oficial de seguridad. Buenos Aires, Arg.: CXO Community.
Presman, G. D. (2009, 09 28). Accedido en Mayo 21, 2012, accedido desde
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.p
df
Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the
Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in
_courtroom.pdf
Stuart, K. (2011, Enero 07). PlayStation 3 hack – how it happened and what it means. Accedido en Julio
22, 2012, accedido desde
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
Téllez Valdés, J. (1996). Derecho Informático. México: McGraw-Hill.
The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,
accedido desde The Cyber Citizen Partnership:
http://www.cybercitizenship.org/crime/crime.html
The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open
Group: http://www.opengroup.org/security/sso/
TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:
http://www.truecrypt.org/docs/?s=hidden-volume
Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,
accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscoveryglossary/what-is-host-protected-area.html
Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,
accedido desde Diario Judicial:
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina
56
Mariano Messina
57