presentacion de foresenics - dts2012
TRANSCRIPT
Seminario30/10/2012
Lic. Gabriel Fernando ParadeloDr. Fernando Adrian GarcíaDr. Martín Francisco Elizalde
90% de la documentacióncomercial es digital – un estanque profundo.
Y tiene tiene valor de prueba.
Y no sé muy bien cómomanejarlo.
Contexto
Es frágil
Es perenne
Se duplica solo
Es complejo
Se altera sin que se vea
Siempre se sabe si se altera.
Tres preguntas antes de empezar:
Cuáles documentos quiero usar?
Dónde están?
Qué es lo que quiero probar?
Quién, cuando y cómo los recolectaron?
Notificar a la contraria: me olvidé
Es urgente: en realidad no me parece para tanto
Es simple: para quién es simple?
Lo puedo repetir: bueno, eso creo
Cadena de custodia: de qué?
Inspeccione el medio de almacenaje y saque fotos.
Establezca una base de contenidos para que sea autenticados calculando el “hash value” para cada elemento.
Proteja la prueba: haga varias copias y guárdelas por separado.
Determine cada persona que física ó electrónicamente acceda a la data.
Indexe.
Identifique.
Evalúe.
Exporte.
Presente.
Elimine.
La naturaleza y especificidad del reclamo La posición de quien hace el reclamo Si la amenaza de litigio es implícita, directa, o
inferida Si el reclamante tiene una historia de
investigaciones / reclamos / mediaciones / litigios El valor y el peso del reclamo comparado con la
jurisprudencia, resoluciones administrativas, etc. La similitud del reclamo con otros y que resolución
se dio a esos casos análogos La posibilidad de que si la data no es especialmente
conservada, se perderá
Denuncias Demandas Cartas documento Correos electrónicos certificados Notificaciones en gral. con aviso de recibo Reclamos y procedimientos relacionados con Defensa del
Consumidor / Lealtad Comercial Accidentes laborales Investigaciones internas Accidentes laborales Siniestros Liquidaciones de siniestros Contrataciones de servicios online
Guardar para probar no es hacer backup– ni se le parece.
Establezca responsable y responsabilidades
Avise a los custodios para que no deterioren la evidencia
Elimine la que no usará en juicio – esa moda no vuelve…
No escaneen la data que debemos preservar. Viejos mails pueden ser borrados por algoritmos
o herramientas automáticas de reducción de data.
Problemas mecánicos, o físicos, que producen daños a la información.
A veces simplemente apagar un aparato, o no usarlo por un tiempo puede ser nefasto.
En general: apártense de las fuentes de información. Dejen trabajar a los expertos, que son neutrales.
Mails La página web Data base Hard drive Programas Teléfonos celulares Presentaciones Fotocopiadoras Cámaras Videos- y mucho más
Naturaleza de una prueba contundente
Data, lo que se escribe no se borra.
Metadata, el adn.
Contexto, siempre contexto.
Lo posteo el dueño
Lo posteo un usuario con el consentimiento del dueño (chat room)
Lo posteo un tercero sin su consentimiento (un hacker!)
Cuánto tiempo estuvo posteado el contenido? Terceros reportan haberlo visto Todavía están, VS los puede verificar? No se olviden
de las páginas de búsqueda de resultados. Eran del tipo que usualmente se encuentra en ese
sitio? El dueño del sitio los reposteó en otras páginas? Terceros los repostearon en otras páginas, en todo o
en parte? Contactaron el web master?
Quién usó un seudónimo, se identificó con él en otro chat- y usó información única, como la dirección de correo.
Convenir un encuentro en el que apareceProbar que el ordenador de una persona
es el mismo desde el que se mandaban los posts, usando el seudónimo
Probar que quien usaba el seudónimo, tenía información que se mencionaba en los textos
Variedad, características, cuidados y detalles
Con la ayuda de sistemasespecializadoses posibleprocesargrandesvolúmnes de información y encontrar la informaciónrelevante
Manejadas adecuadamente, las copias tienegran valor para análisis y resguardo.
La manipulación debe conservar la validez“matemática” de la prueba.
Si yo lo envié, es difícil utilizarlo comoprueba. Sirve de poco:• Impresión
• Correo en copia
• Mensaje guardado
• Falta de aviso de rebote
• Desconocimiento de archivos adjuntos
Si yo lo recibí, es más valioso comoprueba, porque la metadata me ayuda
Alternativa: correo certificado
Irrelevante
Relevante 5% al 35%
Utilidad de la información
Reenvíos, Fecha y hora, aplicacionesinvolucradas
Ubicación
Ubicación
Vínculo con otrosservicios y usuarios
Referencias
Cuidando la cadena de custodia… o no tanto
Tener cuidado con• Pericias no reproducibles
• Lo simple no tan simple
• Notificar a la otra parte
Buenas prácticas• Registrar fecha y hora de toma y uso de la
información
• Registrar herramientas informáticas utilizadas
• Usar bloqueadores de escritura
• Trabajar sobre copias forenses
Uso de herramientas informáticas en el trabajo.
Fecha de inicio del vínculo laboral. PERICIA INFORMÁTICA
Correos electrónicos alojados en el servidor de “Google”
Imposibilidad de modificar el contenido de los mismos
Acreditación de que el dependiente ingresó a prestar labores en la fecha denunciada en la demanda
Cómo preservarla y limpiarla
Resultados no deseados aparecen en la primera página de Google
Una broma que termina en pesadilla
Herramientas disponibles para requeriractualización de cache y resultados de búsqueda
Hay que saber utilizarlasFomentar la importancia de los
resultados positivosRedactar y vincular nuevos contenidos
relevantes
Hacia una política de administración de datos: No
todo es prueba- ni mucho menos…
Uso de los elementos informáticos –generación de documentos digitales
Retención de los documentos digitalesEliminación de los documentos digitales
ContenidosQue “bajo” y que “subo” en mis
dispositivos digitalesEl BYOD ¿Una moda peligrosa?¿Qué hacer con los dispositivos usados
(y principalmente con su información)?Expectativa de privacidad – Derechos en
pugna
¿En que me baso?Cual es el objetivo final¿Es lo mismo backup que retención?
Política espejo de la que establece la retención de los documentos digitales
¿Puedo eliminar cualquier documento?
Preguntas / Comentarios
Dr. Martín Francisco [email protected]. Gabriel Fernando [email protected]. Fernando Garcí[email protected]