Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos.

Universidad del Salvador Facultad de Ciencias de la Administración Aplicabilidad metodológica de la informática forense en la obtención de resultados eficientes en procesos judiciales argentinos. Trabajo de Investigación 07 de Diciembre del 2012 Carrera: Ingeniería en Sistemas Alumno: Mariano Messina Correo: Mariano.Messina@gmail.com

Indice Introducción... 4 Antecedentes... 4 La informática forense.... 7 Definición de informática forense.... 8 Seguridad Informática e Informática Forense... 9 Relación entre Hackers y Forenses.... 10 Informática forense el Cybercrimen y la ley de los delitos informáticos... 11 Cadena de Custodia.... 11 El Cybercrimen... 13 Delitos informáticos:... 15 Evidencia Digital:... 17 Proceso Forense... 19 Etapas de la informática forense:... 19 Identificación y documentación de la evidencia:... 20 Adquisición de Datos... 26 Validación y Preservación de la Información:... 32 Análisis y descubrimiento de evidencia... 34 Confección del Informe Final... 40 Conclusiones... 43 Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática forense Argentina:... 44 Anexo II Modelo de Informe final... 46 Referencias... 53 Mariano Messina 2

Abstract El presente trabajo de investigación procede a estudiar, analizar y exponer en qué consiste la informática forense, los conceptos que la definen, cuál es su metodología y también, cuales son las mejores prácticas que permiten llevar a cabo una investigación forense digital de forma tal que sea posible la identificación de los diferentes riesgos que constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un tribunal de justicia. Además, se procede a abordar la metodología de forma tal que el lector pueda conocer diferentes controles preventivos que utilizan los peritos experimentados en los procesos, los cuales evitan acciones que podrían permitir que los distintos elementos probatorios, involucrados en un proceso judicial, sean desestimados por alguna de las partes intervinientes. El objetivo principal del presente trabajo consiste en demostrar y concientizar que el cumplimiento de la aplicación metodológica, de los estándares y de las mejores prácticas de procesos forenses mitiga el riesgo de guiar a una investigación hacia su invalidación. Mariano Messina 3

Introducción Antecedentes Se observa la enorme influencia que ha alcanzado la informática en la vida cotidiana de cada uno de nosotros y, también, en el ámbito de las organizaciones, de tal forma que hasta se podría llegar a considerar que la informática es una ciencia que contribuye directamente en el desarrollo de un país. Hoy en día vivimos en una sociedad dónde la gran mayoría de la población utilizamos un medio informático (que puede ser una computadora con acceso a internet, una Tablet o un teléfono) para poder realizar distintas operaciones que podrían abarcar desde las más sencillas (como por ejemplo: revisar el estado del tránsito) hasta realizar algunas más complejas, (aquí se podría considerar el pago de algún servicio mediante la utilización de nuestra cuenta bancaria y un teléfono celular, mientras nos encontramos físicamente en la calle). Estas actividades no solamente contribuyen al ámbito privado de cada uno de nosotros, sino que, analizando a la informática desde un aspecto más amplio se puede notar que ésta se encuentra arraigada a muchos otros ámbitos en los cuales podemos encontrar por ejemplo: la comunicación, la investigación, la educación, los procesos industriales, seguridad, sanidad, etc y que todos estos dependen cada día más de una adecuada evolución y desarrollo de la tecnología. 1 A su vez, conforme la tecnología avanza, va ejerciendo cada vez mas influencia en muchas áreas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos últimos aquellos que de manera genérica se han denominado en nuestra legislación como delitos informáticos. 2 Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han conllevado a distintas ciencias a tratar de no sólo describir e interpretar el proceder de los encargados de ejecutarlos, sino que además, han orientado a poder desarrollar métodos con el fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o mediante) diferentes medios informáticos. 3 1 Bocanegra C, Carlo A.: Impacto de la tecnología informática en los individuos, http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html 2 Aguilar Avilés, D.: Impacto del Desarrollo socioeconómico en la resolución de investigaciones forenses, en Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm 3 Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012, http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas Mariano Messina 4

La ciencia que se encarga de analizar cualquier contenedor informático de datos (entiéndase: notebook, celular, discos duros, memorias, etc ) con el objetivo de encontrar información que pueda ser relevante en una investigación o auditoria es la Informática Forense. 4 Hace meses atrás se dio a conocer cómo miembros de un estado han podido vulnerar diferentes sistemas informáticos, de alto peligro, correspondientes a una planta nuclear iraní, que tuvo como principal objetivo el de sabotear los planes nucleares que allí se desarrollaban. Gracias a la adecuada aplicación de la Informática forense se ha logrado el análisis del malware utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos. 5 En nuestro país se han identificado múltiples antecedentes en diversos procesos judiciales que han resultado en una invalidación de la evidencia debido a falencias en la aplicación de las prácticas forenses. Uno de los más recientes casos de invalidación judicial es el famoso caso Ricardo Jaime, en dónde se ha responsabilizado a la Policía Federal Argentina por no respetar la cadena de custodia, mediante la aplicación de una metodología que asegure que los elementos contenedores de información que van a ser presentados como evidencia ante el tribunal de justicia, no sean contaminados durante las diferentes fases que comprenden al proceso forense. 6 Teniendo en cuenta el reciente caso Jaime, se ha probado que por más que se tenga el mejor software de informática forense, si no se tiene la idoneidad necesaria para utilizarlo, los resultados serán desastrosos y la prue-ba [SIC] nula. (Arellano G., 2012) Debido a que dichas falencias podrían permitir el desvío del proceso judicial en su búsqueda de la verdad 7, el propósito del presente trabajo es el de ampliar y proponer la adecuada aplicación metodológica de las mejores prácticas forenses en la Argentina, en las cuales se debe considerar prestar especial atención a diversos puntos críticos que podrían poner en riesgo la investigación o auditoría. La finalidad es de brindar a la justicia una herramienta que sea eficaz a la hora de realizar los procesos judiciales. Con el fin de lograr el mencionado objetivo, se ha trabajado de manera de obtener un procedimiento metodológico con aportes de diversas fuentes, nacionales e internacionales, de información bibliográfica que incluyen: artículos periodísticos disponibles en internet, libros de 4 Aguirre, Alessio: Informática Forense, 2012, http://alessioaguirre.com/informatica_forense.html 5 Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012, http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/ 6 Cappiello, Hernán: La invisibilidad de las pruebas de corrupción, 23 de Febrero 2012, http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion 7 Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012, http://www.infobae.com/notas/655431-ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de- Jaime.html Mariano Messina 5

informática forense, manuales de cursos especializados, fallos judiciales argentinos y sitios relacionados al objeto de estudio. Además, se ha tenido la suerte de recibir una invitación para formar parte de un foro de informática forense dónde se realizan consultas, se comparte información y dónde existe mucha documentación relacionada al objeto de estudio. El espacio se encuentra conformado por diversos profesionales que incluyen abogados, peritos forenses, especialistas informáticos y estudiantes de diversas carreras. Por otra parte, una vez definida la base teórica, se ha procedido a realizar una entrevista personal a un reconocido perito forense con fuerte presencia nacional e internacional. 8 Por último, además de lo expuesto anteriormente, se ha trabajado en la aplicación de conocimientos adquiridos mediante la experiencia personal que se ha logrado a través de diferentes cursos específicos en la materia y gracias al hábito que se ha adquirido al participar de numerosos proyectos en grandes empresas y de distinta índole. 8 Diario Clarín: La sugestiva y misteriosa acción de un espía privado, 22 de Diciembre 2011, http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html Mariano Messina 6

La informática forense. El gobierno, las grandes organizaciones y las personas, de la mano de sistemas informáticos, han logrado hoy en día exponer una gran cantidad de productos y servicios que podemos consumir para satisfacer muchas de nuestras necesidades. Dichos productos o servicios fueron creados con un fin que subsana muchas de nuestras necesidades cotidianas y que cada vez más se encuentran arraigadas en nuestra vida, sin embargo, existen inconvenientes cuando se origina una acción ilícita que va en contra de los objetivos por los cuales los objetos mencionados, han sido construidos. 9 Tomemos como ejemplo a un sistema financiero informático (que lo podríamos conocer bajo el nombre de Home Banking) que fue creado como un servicio que brinda una institución financiera a sus clientes, cuyo fin sería el de que una persona pueda administrar el dinero que tiene a su disposición. Ahora bien, supongamos además a un individuo que anhele vulnerar el sistema informático financiero con el fin de obtener alguna retribución económica (aunque también se podría considerar el hecho de generar perjuicio sobre el servicio brindado por la institución, como por ejemplo, realizar ataques de denegación de servicio). Siguiendo el hilo hipotético, imaginemos que un usuario malicioso logre no sólo el acceso no autorizado a dicho servicio sino que además él logre, mediante la aplicación de herramientas informáticas, la sustracción de dinero desde varias cuentas bancarias. Dicha acción resultaría en un perjuicio no sólo a la institución que se encargue de brindar el servicio a sus clientes sino que además impactaría de forma directa sobre la economía de cada uno de los titulares de las cuentas afectadas (claro que también se podría mencionar el daño a la imagen que le produce a la entidad, si el hecho tomara conocimiento público) Ante un escenario como el planteado (de forma hipotética pero que muchas veces no escapa a la realidad) sería necesario un proceso por el cuál se pueda identificar quién fue el responsable de las acciones ilícitas que fueron realizadas, teniendo en consideración diferentes aspectos, tales como: en qué momento se realizaron, en qué lugar, cuál fue el impacto que tuvo, de qué forma se realizaron, si aún quedan restos remanentes del acto y cuales fueron las personas (jurídicas o físicas) damnificadas. 10 9 Stuart, Keith: PlayStation 3 hack how it happened and what it means, 07 de Enero 2011, http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3 10 La Nación: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012, http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia Mariano Messina 7

Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council 11, alrededor del 85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de seguridad. 12 Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar información relevante a una investigación de cualquier índole, encontrándose ubicado en un escenario en dónde se haya planteado un interrogante que debiera ser esclarecido. Un forense informático entonces, debe cumplir el mismo rol que un forense tradicional cuándo el ámbito de una investigación incluya medios digitales o elementos informáticos cómo medio contenedor de información. Definición de informática forense. A fin de ampliar el concepto establecido en la introducción, se puede definir a la Informática Forense como una ciencia relativamente nueva que mediante la aplicación de una metodología estructurada de investigación, se encarga de analizar diferentes medios de almacenamiento de datos informáticos, como por ejemplo: discos ópticos, memorias, celulares, impresoras, discos rígidos, etc con el fin de encontrar información que pudiera ser útil en un proceso de investigación o auditoría. La metodología que se aplica en el proceso de recolección de datos, y durante las distintas fases que comprenden al proceso de identificación, creación, cuidado y presentación de evidencia debe garantizar que la misma no sea alterada en el transcurso del proceso, así como también, que dichos datos sean solamente accesibles por aquellas personas que tienen autorización para tal fin, mediante el resguardo de la evidencia en una ubicación que no permita que ningún factor altere su contenido. Si bien existen múltiples herramientas utilizadas en las investigaciones por diferentes informáticos forenses, algunas gratuitas y de código abierto, otras protegidas por derecho de autor, la aplicación de cualquiera de ellas en las diversas etapas que comprenden al proceso deben asegurar que la información obtenida sea exactamente la misma a la que se encuentra en su contenedor original, es decir, que si bien existe libre elección o preferencia de las herramientas a utilizar teniendo en consideración el tiempo disponible para desarrollar el 11 Ec-Council: http://www.eccouncil.org/ 12 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 8

proceso (entre otros aspectos), cualquiera debe ratificar la autenticidad de la información obtenida. 13 Durante los actos públicos o privados, y durante las diferentes etapas que comprenden al proceso forense, es mandataria la existencia de una figura que ejerza un control y una validación al procedimiento que se está llevando a cabo por los peritos informáticos, con el fin de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los mismos no afectaron la integridad de la información obtenida. 14 En nuestro país, un escribano es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un especialista en materia informática, de lo que estaría limitado en dar fe es de que lo que realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como evidencia. 15 En un curso realizado en el año 2010, en el Instituto Universitario de la Policía Federal Argentina (IUPFA), al cual se ha asistido, el señor Alessio Aguirre Piemetel ha manifestado la importancia de que una vez que la información relevante al caso ha sido claramente identificada y duplicada, y luego de haber establecido un fuerte mecanismo de control y protección de los datos, se debe proceder a confeccionar un informe final prestando especial atención al lenguaje utilizado con el fin de presentar la evidencia a las autoridades encargadas de emitir un juicio sobre los hechos, y de cómo este lenguaje tiene una influencia directa sobre la interpretación de los actos no sólo por parte del jurado, sino además por las demás partes intervinientes. Seguridad Informática e Informática Forense Se define a la seguridad informática como a la rama de la informática en dónde se tiene como objetivo la protección de la infraestructura computacional, la información que se encuentra almacenada en algún medio informático y a los usuarios que deban interactuar con ella 13 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/cxo2_20090828130325.pdf 14 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/cxo2_20090828130325.pdf 15 Zygier, Analía: En la era de Internet, los jueces no cazan una, 2012, http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html Mariano Messina 9

mediante la aplicación de diferentes estándares, reglas, procedimientos, leyes y herramientas que aseguren la disponibilidad, la confidencialidad y la integridad de la información. Como se ha mencionado anteriormente, la informática forense, mediante el cumplimiento de distintas etapas, se encarga de recabar información, de poder procesarla para crear evidencia, de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han logrado acceso a la misma. La diferencia entre ambas ramas de la informática, radica en que la informática forense entra en escena cuando se produce algún incidente en alguna institución (en el ámbito privado o también el público) y se deba buscar una respuesta al mismo, ubicándola así bajo uno de los ítems principales de la seguridad computacional: el triángulo consiste en el análisis de vulnerabilidades, detección de intrusos en la red y la respuesta ante incidentes, siendo esta última dónde se encuentra ubicada nuestro objeto de estudio. Relación entre Hackers y Forenses. Profesionalmente, se ha encontrado frente a la necesidad de definir a un Hacker en numerosas oportunidades pudiendo notar que la gran mayoría de las personas cree en la concepción de que la actitud de dicha figura es netamente delictiva, o que se trata de alguien dotado puramente de fines malignos, cuando en realidad, la esencia de un verdadero Hacker es simplemente, la curiosidad. Un Hacker pretende conocer cómo los diferentes elementos informáticos fueron construidos, cómo interactúan entre sí, cómo optimizar su funcionamiento, cómo protegerlos y también, ellos tienen como deseo el compartir sus amplios conocimientos con la comunidad. El nacimiento del término Hacker (o Hacking) tiene un significado totalmente venerable y se remonta a la década de los 60, dónde la memoria disponible en las diferentes computadoras de esa época era extremadamente escasa en comparación a la modernidad y dónde los programadores, dotados de altos conocimientos técnicos, debían realizar arduas modificaciones a los archivos fuente con la finalidad de recortar la cantidad total de líneas de código, logrando así, la optimización de la ejecución del software. Cuando la curiosidad y los elevados conocimientos técnicos se combinan con un hecho delictivo, o alguna acción maligna, en dónde se utilice elemento informático como medio y que Mariano Messina 10

además tenga como resultado un acceso no autorizado, o la violación de alguna ley, se hace presente el concepto de Cracker, distinguiéndolo efusivamente al término Hacker. 16 Creo entonces que, al considerar a un forense informático como a una persona que se encarga de realizar un proceso metódico, en dónde debe utilizar sus elevados conocimientos técnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no existe una diferenciación entre un Hacker y un Forense informático sino que por el contrario, creo que ambos comparten la misma esencia, la curiosidad. Informática forense el Cybercrimen y la ley de los delitos informáticos Cadena de Custodia. La cadena de custodia en el proceso del análisis forense consiste en controlar y limitar el acceso a la evidencia que debe ser recabada de los diferentes medios informáticos, cuidándola celosamente, mediante la utilización de buenas prácticas. Dicho control es utilizado para asegurar que la información no ha sido dañada, alterada, contaminada o destruida durante todo el desarrollo de la práctica forense, permitiendo demostrar que los diferentes elementos de prueba, obtenidos en las diferentes etapas que comprenden al procedimiento, son los mismos que fueron recolectados en el lugar de los hechos. 17 El ingeniero Gustavo D. Presman define en un artículo periodístico a la cadena de custodia como: un registro minucioso de las personas que han tomado contacto con la evidencia, indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las actividades que se efectuaron con relación a la misma y conocer quien es el responsable por las mismas. (Presman, 2009, pág. 2) 16 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005. 17 Campos, Federico: La Relevancia De La Custodia De La Evidencia En La Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf Mariano Messina 11

Si bien la cadena de custodia proviene de las ciencias criminológicas y su implementación es imperativa en procesos a cargo de fuerzas de la ley o en marcos de pericias judiciales, muchos expertos en materia forense Argentina recomiendan alinear la misma metodología en las investigaciones corporativas debido a que si en un futuro se decide llevar a la justicia algún hecho que requiera esclarecimiento, se debe asegurar que la evidencia fue recabada teniendo en cuenta los mismos principios utilizados ante un proceso judicial, tratando de asegurar de que la misma no sea descalificada por ninguna de las partes intervinientes en el proceso. 18 Si en algún momento de todo el proceso, se especula con la idea de que la cadena de custodia no ha sido realizada conforme a las mejores prácticas forenses, se podría solicitar la invalidación de la evidencia presentada ante las autoridades. 19 y si resultara posteriormente que la evidencia no se obtuvo a través de procedimientos válidos y no se mantuvo la cadena de custodia, no tendrá mayor sentido aportar la misma ya que podría ser fácilmente descalificada por alguna de las partes. (Presman, 2009, pág. 2) Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe entre la información que se encuentra almacenada dentro de un contenedor informático (comúnmente llamada Evidencia digital) con el medio mismo dónde se encuentra almacenada (Evidencia Electrónica). Cada uno de los ítems debe ser claramente identificado, rotulados, custodiados y tratados de forma idónea según las mejores prácticas forenses. 20 La cadena de custodia posee diferentes etapas en el proceso forense informático y en cada una de ellas debe asegurarse la autenticidad, confidencialidad y disponibilidad de la evidencia 21 : 1. Extracción o recolección de la prueba. 2. Preservación y embalaje de la prueba. 3. Transporte o traslado de la prueba. 18 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009, http://www.presman.com.ar/admin/archivospublicaciones/archivos/cxo2_20090828130325.pdf 19 Poder Judicial de la Nación: Sala V, en autos V. C. W. E. s/infracción ley 11723 (causa n 39.803), 22 de Septiembre 2010, http://www.pjn.gov.ar/02_central/viewdoc.asp?doc=40022&ci=index100 20 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0, 7 de Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf 21 Ministerio Público de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia, http://www.mpfsalta.gov.ar/files/resolucion/197_i.pdf Mariano Messina 12

4. Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías para su custodia. 5. Custodia y preservación final hasta que se realice el debate. El Cybercrimen Si bien en la introducción se hace mención a la premisa que establece que la constante evolución de la tecnología va modificando a la sociedad y que uno de los resultados de este proceso es el poder observar el origen de nuevas conductas o comportamientos, no es el objetivo del presente trabajo abordar de forma específica cada uno de ellos sino mas bien se procede a definirlos como para generar un marco teórico. Herramientas Hackers se encuentran fácilmente disponibles en la Red y, una vez descargadas, pueden ser utilizadas inclusive por un novato usuario de computadoras. (The Cybercitizen Awareness Program) El departamento de justicia de los Estados Unidos categoriza a los crímenes computacionales en tres diferentes formas 22 : - La computadora como objetivo: resulta de atacar las computadoras de otras personas (la propagación de un virus es un ejemplo). - La computadora como un arma: utilizar la computadora para cometer algún crimen tradicional que vemos en el mundo físico (como por ejemplo el fraude o los juegos ilegales). - La computadora como accesorio: utilizar la computadora como un extravagante medio de almacenamiento capaz de contener información ilegal o robada. En el décimo Congreso Nacional de las Naciones Unidas en la Prevención del Crimen y en el Tratamiento de Delincuentes, en un taller dedicado a cuestiones de crímenes relacionados a redes computacionales realizado en el año 2000, desglosan al cybercrimen en dos categorías y las definen como: 22 The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html Mariano Messina 13

a. CyberCrimen desde un sentido estrecho (crimen de computadoras): Cualquier comportamiento ilegal mediante operaciones electrónicas que tiene como objetivo la seguridad de las computadoras y la información procesada en ellas. b. CyberCrimen desde un aspecto más amplio (crimen relacionado a computadoras): Cualquier comportamiento ilegal realizado por medio de, o en relación a sistemas computacionales o redes, incluyendo dichos crímenes como posesión ilegal, distribución u ofrecimiento de información mediante un sistema de computadoras o redes. 23 En la legislación argentina se encuentran modificaciones al código penal con el fin de establecer cuales son las actividades ilícitas que merecen una pena o sanción en nuestra sociedad. 24 La legislación actual contempla los siguientes casos, teniendo en consideración que los diferentes ataques pueden ocurrir por una persona dentro de la empresa, como también desde el exterior de la misma: Atentados a la propiedad intelectual: actos que permiten acceder a patentes, desarrollos de software, etc.. 25 El daño a redes informáticas organizacionales: por ejemplo cuando se implanta un Trojan Horse, conductas de Denial of Service o la instalación de Back Doors con el fin de ganar acceso remoto a los sistemas. Fraude financiero: cualquier acción fraudulenta que se realice con el fin de obtener una retribución monetaria. Acceso no autorizado a servicios informáticos: mediante la utilización de sniffers, rootkits, explotación de vulnerabilidades y otras técnicas que puedan tomar ventaja de las vulnerabilidades de seguridad de los sistemas o software. Distribución y ejecución de virus y gusanos informáticos. Espionaje. 23 Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002. 24 InfoLeg: Información Legislativa: Ley Delitos Informáticos: http://www.infoleg.gov.ar/infoleginternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio 2008. 25 InfoLeg: Régimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infoleginternet/anexos/40000-44999/42755/texact.htm. Mariano Messina 14

Producción, comercialización, financiamiento, publicación, divulgación o distribución de pornografía infantil. Delitos informáticos: Una primera idea respecto al delito informático la señala Téllez Valdés, quien lo conceptualiza desde dos ópticas. Nos dice que desde un punto de vista atípico son actitudes ilícitas en que se tiene al computador como instrumento o fin, y desde uno típico son conductas típicas, antijurídicas y culpables en que se tiene a las computadoras como medio o fin. 26 La ley 26.388 de delitos informáticos argentina tipifica 27 cuales son las conductas ilícitas en las cuales se utiliza algún elemento informático para causar una acción que requiera una sanción. Establece además la pena que debe cumplir la persona tras desarrollar tales acciones. La falta de tipificación penal de muchas conductas delictivas aún hoy en día produce que las mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las más discutidas son: el grooming, phishing y la suplantación de la identidad. 26 Téllez Valdés, J. Derecho Informático, Ed. McGraw-Hill, México, 1996, p. 104 27 Muñoz Conde, Francisco (2002). Teoría General del Delito. Temis. 2ª Edición. Bogotá. Pág. 31 Mariano Messina 15

Figura 1: Figuras contempladas en la ley de delitos informáticos. Si bien es verdad que se encuentran tipificados muchos de los delitos informáticos en nuestra legislación y que el campo de acción se podría pensar que se encuentra circunscripto a la informática, la práctica forense se debe extender y considerar como un proceso mandatario cuando se produce algún otro delito con el fin de lograr un entendimiento de los hechos que Mariano Messina 16

han sucedido. Varios ejemplos comprenden: casos de homicidio, extorsión, suicidio, violaciones, estafa, etc 28 Evidencia Digital: Casey define en su libro a la evidencia digital como: un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales. (Casey, 2000). Además de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida mediante la aplicación de rigurosos y metodológicos procesos que aseguren su validez. La evidencia digital puede ser dividida en tres grandes categorías: 1. Registros almacenados en el equipo de tecnología informática (correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.) 2. Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.). 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.). (Bolívar Pinzón Olmedo, 2007) Existen varias diferencias entre la evidencia digital y la física. Una particularidad es que la evidencia digital es sumamente frágil: la información digital se puede crear, alterar, copiar y borrar muy fácilmente. Otra particularidad es que la duplicación de la información digital no establece per se forma alguna de poder identificar qué datos son originales y cuáles son resultantes de haber realizado un proceso de copiado de información, por lo tanto, y como 28 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005. Mariano Messina 17

veremos más adelante en el desarrollo del presente trabajo, la informática forense debe contar con un proceso metodológico lo suficientemente sólido como para evitar cometer errores que afecten a la evidencia y a su integridad. 29 Otras consideraciones a tener en cuenta de la evidencia digital son: Es volátil Es anónima Duplicable Alterable y modificable Eliminable Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia. Es malo para los Juristas ya que el concepto de original carece de sentido. La evidencia que se puede necesitar en un proceso de investigación puede comprender 30 : Toda la evidencia física disponible: computadoras, celulares, cámaras de fotos, dispositivos periféricos, documentación, anotaciones, etc Datos visuales que se encuentren representados en un monitor encendido. Evidencia impresa en una impresora. Evidencia impresa en un plotter. Representaciones magnéticas de grabaciones. El departamento de Justicia de los Estados Unidos provee un documento en el cuál se centra en la asistencia y conciencia hacia los peritos informáticos en cuanto a buenas prácticas forenses que deben seguir en la adquisición y preservación de los diferentes dispositivos electrónicos que fueron encontrados en la escena del crimen. En el documento que se encuentra publicado en la web, se hace hincapié en que la evidencia pertinente a un caso puede encontrarse en lugares inusuales y que ésta podría tener información de suma importancia para el investigador de la escena del crimen. Además 29 Bolívar Pinzón Olmedo, F.: Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes, Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip 30 Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, 2002. Mariano Messina 18

establece la importancia de no sólo recolectar información digital, sino que, el perito debe observar el ambiente en su totalidad, realizando una búsqueda de hojas con contraseñas, anotaciones escritas a puño y letra, manuales de herramientas o dispositivos informáticos (entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos lineamientos que la evidencia digital. 31 Proceso Forense Etapas de la informática forense: Anteriormente se ha hecho mención que el proceso forense consta de diversas etapas para lograr su objetivo, ellas comprenden: la Identificación de la evidencia, adquisición de datos, validación y preservación de la información adquirida, análisis y descubrimiento de la evidencia y como última etapa, se encuentra la confección del informe que debe ser presentado a las autoridades correspondientes. Se debe destacar que resulta de gran importancia realizar la documentación de todas las acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del proceso forense. Además, es también es de gran importancia mantener una adecuada cadena de custodia durante todas las etapas de la investigación. 32 31 National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008, http://nij.gov/nij/pubs-sum/219941.htm 32 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 19

Figura 2: Etapas del proceso forense. Identificación y documentación de la evidencia: Debido a que la adquisición de datos puede involucrar un amplio abanico de dispositivos contenedores de información, que pueden abarcar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, varias computadoras de una organización o un conjunto de dispositivos móviles (entre otros), es que antes de comenzar con el proceso de adquisición de datos es necesario realizar un reconocimiento y una correcta documentación de los diferentes tipos de evidencia que se debe adquirir, del sistema informático que se pretende analizar y también, se debe tener en cuenta cuál es el camino del delito, ya que no es lo mismo analizar un caso de homicidio que uno de fraude, por las características inherentes a cada uno de ellos. 33 En un caso de fraude se podría considerar el análisis de diferentes componentes perimetrales que no sean computadoras, 33 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos v 2.0, 7 de Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf Mariano Messina 20

como por ejemplo, tarjetas de crédito, informes, impresoras, scanners, etc, sin embargo, en casos como la pornografía infantil, se debe establecer énfasis en otros objetos, cómo por ejemplo, en las cámaras digitales. 34 También es necesario, antes de comenzar con el proceso de adquisición de datos, tener en cuenta cuál va a ser la información que se debe recolectar, ya que si se decide copiar la totalidad de los datos cuando en realidad sólo se necesita una porción del conjunto, se podría incurrir en una pérdida innecesaria de tiempo, además de aumentar el riesgo a contaminar la evidencia. 35 Los diferentes elementos que van a ser analizados, y que son material probatorio en un proceso judicial, deben encontrarse claramente identificados con el fin de evitar la pérdida de la información. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir los elementos que son copia de lo que es evidencia original así como también permite llevar un registro de la ubicación de cada uno de ellos. Es posible evitar este tipo de inconvenientes mediante la realización de un proceso que asegure que todos los dispositivos se encuentren correctamente etiquetados y que todos incluyan firmas para lograr identificar cuáles son los diferentes elementos que componen el caso. 36 Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia, por ejemplo COPIA A, COPIA B para distinguirlas claramente del original. Traslade estos datos a otra etiqueta y péguela en la caja contenedora del soporte, incluso sería conveniente precintar el original para evitar su manipulación inadecuada. (Delgado L., 2007) Durante el desarrollo de un curso de Identificación y Adquisición de Evidencia Digital, en el que se ha tenido el agrado de participar hace algunos meses, varios consultores en materia forense han manifestado la importancia de fotografiar la escena dónde se haya cometido el delito para poder, en caso que se requiera, reconstruir su estado original una vez que el proceso forense haya concluido. Adicionalmente, a lo largo de la jornada han manifestado que es una buena práctica utilizar elementos de diversos colores para identificar claramente cada una de las piezas relevantes al caso. Por ejemplo, han hecho mención que les ha resultado muy 34 Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004, http://nij.gov/nij/pubs-sum/199408.htm 35 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. 36 Campos, Federico: La Relevancia De La Custodia De La Evidencia En La Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf Mariano Messina 21

práctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fácilmente diversos dispositivos y cables conectores durante todo el proceso. Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la escena, existe la posibilidad de que de forma accidental se desconecte algún conector provocando la pérdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la alteración de la información almacenada en un contenedor digital. Durante el curso, han demostrado cuán relevante es forrar de manera completa los diversos conectores de los dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de desconexiones accidentales. Figura 2: Ejemplo otorgado en el curso de etiquetado de conectores. Mariano Messina 22

Antes de proceder a realizar un análisis de la evidencia identificada se podría responder a algunas preguntas tales como 37 : 1- Qué evidencia se tiene para poder determinar que un acceso no autorizado ha ocurrido? 2- Cuál es la cronología del acceso o de los cambios ocasionados en la información? 3- Cuál es el daño estimado? 4- Quién podría ser el responsable del incidente? 5- Por qué se sospecha de esta persona? 6- Cuál es el impacto en el negocio? 7- Los sistemas y las computadoras afectadas, forman parte de procesos críticos de negocio? 8- Qué acción fue que ocasionó un alerta del incidente? 9- Cuando ocurrió el incidente? 10- Cuando fue el incidente descubierto por primera vez? 11- Quién ha investigado el incidente y qué acciones han sido tenidas en cuenta con el fin de identificar, recolectar y analizar la información y los dispositivos involucrados? Además, se deben tener en cuenta recaudos especiales sobre la computadora encargada de realizar el proceso con el fin de evitar acciones inadvertidas que atenten contra el proceso de duplicación de datos. En la misma charla de Identificación y Adquisición de Evidencia Digital mencionado anteriormente, los peritos forenses han hecho hincapié en el hecho de desactivar de forma completa las actualizaciones automáticas de Microsoft Windows debido a que si por algún motivo particular se tuviese acceso a internet, podrían ocasionar un reinicio del sistema operativo justo cuando se encuentra en pleno proceso de copiado de datos, logrando que la integridad de la información se vea comprometida y provocando demoras en el proceso. Además, se ha concientizado sobre tener especial recaudo en las opciones de energía y del uso horario del dispositivo encargado de la clonación. Las consideraciones a tener en cuenta fueron: 37 The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation, 12 de Diciembre 2003, http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/palmer/digital_evidence_in_courtroom.pdf Mariano Messina 23

Evitar opacar o apagar la pantalla de la computadora encargada de la copia de datos luego del transcurso de prolongadas horas de trabajo. Desactivar opciones de hibernación o sleep mode. Configurar los discos duros de forma tal que eviten su apagado o desconexión. Revisar la fecha, zona y el uso horario teniendo en consideración la ubicación y el país dónde se encuentre realizando el proceso de duplicación de datos. Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexión de algún medio que contenga evidencia según corresponda, se debe realizar una preparación del ambiente de trabajo, mediante la creación de una estructura de directorios en medios de almacenamiento separados, en dónde se pueda extraer o recuperar archivos o información que requieran ser analizadas y que resulte relevantes al caso. 38 En esta etapa se comienza con la confección de la cadena de custodia y se debe prestar especial atención y cuidado a lo largo de todo el proceso forense de llevar un detallado registro de movimiento, posesión y resguardo de evidencia. 38 U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, https://www.ncjrs.gov/pdffiles1/nij/199408.pdf Mariano Messina 24

Figura 3: Formulario ejemplo de Cadena de Custodia otorgado durante el curso Mariano Messina 25

Adquisición de Datos Luego de establecer los límites de la adquisición y de tener en claro cuál debe ser el objetivo de la investigación forense, se procede a la segunda etapa del proceso, la cuál se denomina Adquisición de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar de forma especial el contenido de la información almacenada en el sistema que se encuentra en observación hacia un medio dónde se pueda realizar un análisis y manipulación del contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptográficos (Hash) para determinar si la información copiada es un reflejo exacto de la original. Luego del cálculo, se debe trabajar sobre la información duplicada dejando intacto el contenedor original, resguardándolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando toda actividad en la cadena de custodia. Si bien las situaciones que involucran componentes informáticos podrían resultar diferentes según la investigación que se deba realizar, se debe tener ciertos recaudos para lograr proteger la integridad de la información a recolectar. Si el perito forense se encuentra frente a un escenario dónde el medio a analizar se encuentra encendido, resulta una buena práctica documentar las acciones realizadas teniendo en consideración lineamientos tales como: 39 Documentar si originalmente el sistema se encontraba encendido o apagado. Si se encontraba encendido, documentar o tomar fotografías de la información que se encontraba visible en la pantalla, considerando que podrían existir múltiples monitores conectados a la misma computadora. Documentar si se guardó algún archivo. Determinar el sistema operativo, si es posible. Si se encuentra encendido, considerar recolectar información volátil. Determinar el método de apagado teniendo en cuenta si se va a realizar siguiendo el mecanismo de apagado seguro provisto por el sistema operativo o desconectando el cable de alimentación, según corresponda. Documentar quién realizó el apague que sistema, el horario, el día y qué método de apague fue utilizado. 39 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 26

Existen sistemas operativos que si se los apaga mediante la desconexión de la alimentación de energía podrían resultar dañados, comprometiendo la integridad de la información almacenada. La siguiente tabla fue expuesta durante el curso de Adquisición de datos e ilustra cuáles de los diferentes sistemas operativos pueden ser apagados mediante la desconexión de la energía eléctrica sin ocasionar daños, mientras que a otros deben aplicarse mecanismos de apagado seguro: Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro. Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque (booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un teléfono celular) y que los mismos podrían producir diferentes tipos de modificaciones en cuanto a fechas y también en cuanto al contenido de por lo menos algunos archivos del sistema; también, las diferentes etapas de los procesos de arranque pueden producir una variación en la Mariano Messina 27

cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden originar otras consecuencias dependiendo del medio en observación. Los mismos resultados se pueden observar cuando se realiza la apertura de un archivo, aunque su único propósito no sea otro que el de sólo su propia lectura o impresión. Debido a estas particulares características de cómo se realizan modificaciones en los sistemas por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma inadvertida podría realizar modificaciones a los datos almacenados, en esta etapa se debe prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes dispositivos informáticos involucrados en el análisis de forma convencional, sino que se deben implementar técnicas de acceso a los volúmenes que sólo operen en modo de sólo lectura. Estas técnicas o acciones deben asegurar que ni siquiera un byte de información sufra alteraciones (Data Spoliation) desde el momento en que comienza la intervención forense y además, deben lograr mantener la integridad de la información almacenada durante todo el proceso de análisis forense. 40 Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software, sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo de escritura a nivel de Hardware mediante por ejemplo, la utilización de dispositivos bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas modificaciones al Registro de Windows que podrían permitir impedir la alteración de la información en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo, Linux) que permiten montar de cierta forma los volúmenes que aseguren que la información solamente pueda ser accedida como sólo lectura, estas técnicas, a nivel Software, se les deben realizar una validación continua teniendo en consideración la metodología a aplicar, el caso particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de recolección. Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear la escritura en dispositivos USB mediante la creación de la siguiente entrada en el registro: HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies 40 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 28

Al modificar el valor hexadecimal a 0x00000001, y luego de reiniciar la computadora, se podría acceder a los volúmenes USB de forma de sólo lectura. 41 Figura 5: Implementación de Hardware Bloqueadores de Escritura. Existe otra consideración a tener en cuenta cuando se debe realizar una adquisición de información de un dispositivo. Si se encuentra en un escenario dónde se debe reutilizar un medio de almacenamiento que anteriormente fue empleado como parte de un proceso forense, se debe aplicar con especial cuidado una metodología sólida con el fin de esterilizar los contenedores que van a almacenar la información duplicada, si es que la copia forense no se va a realizar bit a bit. La omisión de la esterilización del medio puede provocar que exista una contaminación de la evidencia y podría provocar que la misma sea descalificada por alguna de las partes intervinientes. Existe Hardware forense y herramientas de duplicación de datos que esterilizan la información en conjunto a la adquisición de datos. Dichos equipos o herramientas generan Hashes de los datos almacenados y luego escriben ceros (u algún otro carácter aleatorio) en el espacio sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el riesgo de tener que dar explicaciones al Jurado por la contaminación de la evidencia. 42 41 EC-Council: Investigating Wireless Networks and Devices, 2010. 42 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. Mariano Messina 29