Tesis.PDFTécnicas de Informática Forense en la investigación de Delitos de Alta
Tecnología
Bogotá D.C.
2003
Agradecimientos
A la profesora Sandra Julieta Rueda por su asesoría y colaboración incondicional con este
proyecto.
Al profesor Rafael García por sus grandes aportes tanto académicos como personales y por
aguantarme en 4 cursos diferentes.
Al profesor Jeimy José Cano por abrirme los ojos al mundo de la informática forense, sin
los cuales nunca se hubiera realizado este trabajo.
Al profesor Jaime Enrique Gómez por confiar en mis conocimientos.
Al grupo de profesores que llegue a conocer de la Universidad y en especial del
departamento de Ingeniería de Sistemas y Computación por sus contribuciones a mi
formación profesional.
Dedicatoria
A mis amigos y amigas, que me han acompañado tanto en los buenos momentos como en
los tiempos difíciles.
A Los Ramones y David Bowie por la inspiración.
A mi papá, mamá, hermanos, abuelas y el resto de mi familia por todo el amor y apoyo que
me han brindado.
Finalmente, quiero dedicarle especialmente éste trabajo a Martha Cristina Cortés (Churrita)
por su paciencia, consejos y principalmente por hacerme creer en mi.
Gracias y los quiero.
La Evidencia Digital _____________________________________________________ 13
Planeación de la Investigación_____________________________________________ 22
La Recolección de la Evidencia Digital______________________________________ 28
Herramientas para la recolección __________________________________________ 32
Características de las Herramientas Forenses_________________________________ 33
Preservación y Aseguramiento de la Evidencia Digital_________________________ 36
“Message Digest” y Firmas digitales ________________________________________ 36
La Cadena de custodia___________________________________________________ 37
El Análisis de la Evidencia Digital _________________________________________ 40
La Presentación de la Evidencia Digital _____________________________________ 48
Conclusiones ___________________________________________________________ 50
ISC-2003-1-55
1
Introducción
Con la evolución de las tecnologías informáticas en las últimas décadas, cada vez más se
ven involucrados equipos de cómputo en una gran cantidad de delitos, donde, o bien fueron
utilizados directamente para cometer el hecho (robo de información de una organización), o
bien, jugaron algún papel durante el desarrollo de éste (Chantaje o difamación por correo
electrónico).
Como consecuencia de haberse convertido en una de las herramientas más usadas dentro de
la vida cotidiana de las personas, los computadores tienen almacenada información que
permite conocer a fondo aspectos del comportamiento tanto personal como laboral de éstas.
Información como los programas que ejecutaron, el correo electrónico que han recibido y
enviado, los sitios de Internet que ha visitado, entre otros, se pueden convertir en hechos de
importancia dentro de una investigación que puede ser clave al esclarecer los hechos dentro
de un proceso legal, ya que pueden relacionar a uno o varios usuarios con algún hecho
punible.
Con el crecimiento de este nuevo estilo de criminalidad, se ha hecho necesario que varios
países incluyan dentro de su legislación, normas y leyes para tratar este tipo de delitos, y
que las agencias de seguridad del estado y grupos de atención de incidentes, tengan como
prioridad la utilización de una metodología adecuada y herramientas jurídicas robustas para
el proceso de investigación y posterior condena de un delito informático. Esto se debe a que
ISC-2003-1-55
2
en muchas ocasiones, por falta de una legislación adecuada, autores de conductas punibles
no han sido castigados de una manera proporcional al daño que causaron.
Un buen ejemplo de un incidente informático1 que no pudo ser castigado
satisfactoriamente es el de José Omar Olaya, un colombiano de 24 años, que provocó con la
simple ayuda del correo electrónico un serio problema al Banco Davivienda. Desde un
buzón de correo de Hotmail se dedicó a enviar mensajes a empleados y clientes del banco
anunciando una falsa crisis económica de la institución.
El aviso se extendió en pocos minutos. El resultado: aproximadamente 34.000 millones de
pesos salieron en pocas horas de las cajas fuertes del banco y provocaron una de sus
mayores crisis.
El presunto responsable fue identificado y arrestado por la policía colombiana, que lo acusó
de incitar al pánico económico, delito penado en el país y por el que hubiera podido
enfrentarse a una condena de ocho años de prisión, pero debido a que la tipificación de este
delito no incluye medios electrónicos, esta condena no pudo llevarse a cabo y José Omar
Olaya fue puesto en libertad.
Basándose en la premisa de que el acceso a la información es un derecho que puede
ejercerse libremente por cualquier persona, salvo cuando con él puedan afectarse otros
como la intimidad, el patrimonio económico, la propiedad intelectual, la libre competencia
o la seguridad de un estado entre otros[11], apenas ahora se están implementando algunos
elementos a las leyes vigentes en el país, aunque lo que se hace actualmente en la mayoría
1 Fuente: El Tiempo (http://www.eltiempo.com.co)
ISC-2003-1-55
3
de los casos es asociar el uso de tecnología a otros delitos que sí se encuentran
contemplados en los diferentes códigos.
Según testimonios del personal de la unidad de delitos informáticos del Departamento
Administrativo de Seguridad (DAS), a la fecha no cuentan con presupuesto suficiente para
mejorar su infraestructura tecnológica, especialmente en hardware, y gran parte de lo poco
que tiene ha sido donado por diferentes empresas, o incautado durante la investigación de
un caso.
Adicionalmente, el perfil requerido para ser parte de la unidad no es muy exigente en
cuanto a la parte tecnológica, esto se debe en parte, a que actualmente en nuestro país no
existe la suficiente cantidad de personas capacitadas para realizar este tipo de trabajo.
Como consecuencia, el personal de la unidad no posee suficiente capacitación formal en el
área de la informática forense y la atención de incidentes, ya que en la mayoría de los casos
el aprendizaje ha sido empírico y es por esto, que muchas veces no se da el manejo
adecuado al evidencia digital, tanto en la recolección, como en la preservación, análisis y
presentación. A pesar de que ha habido acercamientos con agencias de seguridad
internacionales, especialmente en la parte de capacitación, éstos no han sido suficientes,
debido en parte al hermetismo que existe, principalmente en las agencias norteamericanas,
con respecto a temas de seguridad.
Como consecuencia del acelerado desarrollo tecnológico de las organizaciones criminales,
es evidente que el desarrollo de la informática forense tiene una importancia muy marcada
dentro de la actividad de las fuerzas de seguridad del estado.
ISC-2003-1-55
4
Objetivos
Objetivo General
El presente proyecto de grado tiene por objeto ser una guía básica de capacitación para las
agencias de seguridad del estado, con el fin de que ellas mismas definan políticas y
procedimientos estándar de operación para ser utilizados cada vez que se requiera
recolectar y examinar evidencia digital dentro de una investigación, en especial se pretende
concientizar al personal administrativo de estas instituciones de la implicaciones que
puede tener dar un mal manejo a este tipo de evidencia, no solo por la pérdida de validez
ante una corte, sino también por la utilidad que puede tener el uso de técnicas forenses en
labores de inteligencia y contrainteligencia en la lucha con los grupos al margen de la ley
que atentan actualmente contra la constitucionalidad del país.
Objetivos Específicos
• Definir con un lenguaje claro, pero sin perder formalidad, los conceptos básicos de
la informática forense, enfatizando en el concepto de evidencia digital.
• Definir las características necesarias para darle un valor legal como prueba a la
información recolectada en una investigación a la hora de llevar un caso a la corte.
• Determinar el capital tecnológico y humano requerido en un equipo de atención de
incidentes
ISC-2003-1-55
5
El Proceso Forense y la Respuesta a Incidentes
Cuando en una organización ocurre un delito, o un acontecimiento que merezca ser
investigado, donde se vean involucrados equipos informáticos, realizar una investigación de
lo sucedido y especialmente determinar quién o quiénes fueron sus autores es una tarea que
requiere el máximo cuidado y atención por parte de los investigadores, ya que, si se desea
emprender algún tipo de acción legal, la validez de la información recolectada de estos
equipos como evidencia depende directamente de la rigurosidad con que se lleven a cabo
los procedimientos utilizados para recolectarla, preservarla y analizarla. De lo contrario,
ésta podrá ser fácilmente desvirtuada por la contraparte.
La informática forense es un instrumento de conflicto, a grandes rasgos, es la aplicación de
las ciencias de la computación a la investigación criminal. Ésta provee, a partir de
principios y/o técnicas científicas, la posibilidad de, metodológicamente identificar,
recuperar, reconstruir, o analizar evidencia digital dentro de una investigación de un
incidente informático, o un caso en el que se encuentren computadores involucrados [6].
En términos generales, los incidentes informáticos son eventos que interrumpen el proceso
normal de operación de uno o más equipos de cómputo y que conllevan un cierto nivel de
crisis, esto incluye ataques de negación de servicios, intrusiones y accesos no autorizados
entre otros [5]. Sin embargo, es importante tener en cuenta que las técnicas y metodologías
utilizadas en la informática forense no solo son utilizadas para investigar hechos
relacionados con la seguridad informática (Hackers/Cracker, virus, etc.), por el contrario,
en la mayoría de los casos son utilizadas para investigar otro tipo de delitos tales como
ISC-2003-1-55
6
extorsiones, fraudes, amenazas, pornografía infantil, suplantaciones de identidad, piratería
de software, entre otros. Adicionalmente, estas técnicas pueden ser de bastante utilidad
como fuentes de información de inteligencia1, como por ejemplo, si se utilizan para analizar
equipos incautados a grupos al margen de la ley. Independientemente de la finalidad con
que se utilicen, los procedimientos forenses a seguir son similares, al igual que las
herramientas que se utilizan pueden usarse en diferentes escenarios.
Debido a que cada investigación es diferente, es imposible conocer a priori todos los
aspectos posibles de cómo llevar a cabo un análisis forense. Sin embargo, es importante
contar con una aproximación metodológica general para la recuperación, organización y
análisis de grandes cantidades de información, típicamente encontradas en equipos de
cómputo. Lo que se busca básicamente con esto, es que se minimicen al máximo los errores
humanos cometidos, al igual que la toma de decisiones dentro de la investigación.
Adicionalmente, asegurar que se están utilizando los mejores métodos y herramientas
disponibles y que los procedimientos seguidos puedan reproducirse, es decir, que 2
investigadores puedan llegar a las mismas conclusiones al examinar independientemente la
evidencia [10].
Los Procedimientos Estándar de Operación2 son una serie de pasos que deben ser seguidos
cada vez que se requiera recolectar y/o examinar un computador o componente de este.
Estos procedimientos aseguran que la evidencia fue recolectada, preservada y analizada de
una manera consistente y minuciosa [10]. En la guía “The Good Practices Guide for
1 El personal de contrainteligencia también debe estar al tanto de estas técnicas y de cómo pueden ser contrarrestadas para no ser víctimas de las operaciones de inteligencia del adversario. 2 Del inglés “Standard Operating Procedures” (SOP)
ISC-2003-1-55
7
Computer Based Evidence” publicado por la Asociación de Oficiales jefes de Policía del
Reino Unido, basan estos procedimientos en 4 principios básicos:
• Principio 1: Ninguna medida tomada por la policía o sus agentes deberá alterar
datos almacenados en un computador o cualquier otro medio que pueda ser
eventualmente confiado ante una corte.
• Principio 2: Bajo circunstancias excepcionales, en donde se considere necesario
acceder a los datos originales en un computador, la persona encargada de realizar
dicha acción, deberá ser competente para hacerlo, adicionalmente debe dar
evidencia de sus acciones, documentando y explicando la relevancia y las
implicaciones de éstas.
• Principio 3: Se deberá crear y preservar un registro de secuencia de eventos u otro
tipo de registro de todos los procesos aplicados a la evidencia digital. Una tercera
parte independiente deberá estar en condiciones de examinar esos procesos y
lograr el mismo resultado.
• Principio 4: El oficial a cargo del caso es responsable de asegurarse que la ley y
estos principios sean cumplidos. Esto con respecto a la posesión de la información
contenida en el computador, y el acceso a la misma. Se deberá satisfacer que
cualquiera que acceda al computador, o cualquier uso que se haga sobre éste de un
dispositivo de copiado, cumpla con estas leyes y principios.
Es importante mencionar que esta y otras guías se enfocan principalmente en el proceso de
recolección y preservación de la evidencia digital, y proveen poca información sobre la
estandarización del proceso de análisis forense, esto se debe principalmente a la acelerada
ISC-2003-1-55
8
evolución de las tecnologías informáticas, lo que hace que casi cualquier procedimiento
técnico o herramienta se vuelva obsoleto en muy poco tiempo.
Se podría decir que el proceso forense a seguir en la investigación de un incidente, en
términos generales, puede ser visto como un proceso de 5 etapas1 [10,5], el cual podría
realizarse de manera cíclica dependiendo de la complejidad de la investigación (Fig. 2). Las
etapas mencionadas se podrían enumerar de la siguiente manera:
1. Planeación: Se refiere principalmente al reconocimiento del escenario donde
sucedieron los hechos a investigar, en este punto es donde se debe definir una
posición sobre como adaptar los Procedimientos Estándar de Operación definidos, a
la investigación en particular.
2. Desarrollo: Es la aplicación práctica de los procedimientos de operación, en este
punto se realiza la recolección de la evidencia digital.
3. Análisis: Consiste en la correlación e interpretación de la información recolectada,
con el fin de realizar la reconstrucción de los hechos. En este punto pueden surgir
nuevos elementos relacionados con el hecho en cuestión, los cuales no fueron
tenidos en cuenta inicialmente en la etapa de planeación, por lo tanto es necesario
realizar de nuevo un análisis (planeación) de cómo incorporar y recolectar la
información que se encuentre almacenada en éstos.
1Se explicarán con mayor profundidad a lo largo de este escrito
ISC-2003-1-55
9
4. Aseguramiento: Aunque directamente no hace parte de la investigación, es un
punto fundamental que debe encontrarse siempre presente dentro del desarrollo y el
análisis de la evidencia recolectada, ya que, con esto se asegura la integridad del
material recolectado durante la investigación. Consiste básicamente en la
documentación de los procedimientos seguidos y de la utilización de herramientas
tecnológicas que permitan preservar la integridad de la evidencia durante el proceso
forense.
5. Presentación: Consiste en la síntesis de los pasos mencionados anteriormente, en
este punto el investigador debe presentar las conclusiones de la investigación,
sustentadas a partir de la información recolectada y la reconstrucción del escenario
donde se llevó a cabo el hecho investigado y adicionalmente la transparencia con
que se llevo a cabo todo el proceso de investigación.
Planeación
ISC-2003-1-55
10
En la actualidad, la mayoría de las investigaciones de delitos informáticos en Colombia son
realizadas sin la utilización de ningún tipo de metodologías para asegurar la integridad y la
validez de la información recolectada, adicionalmente no se utilizan la herramientas
adecuadas para la recolección y análisis, lo que trae como consecuencia que muchas veces
se pase por alto, y en el peor de los casos que se elimine o modifique, información
relevante para la investigación. Esto se debe principalmente a la falta de recursos
tecnológicos, legales y a la falta de personal capacitado para realizar este tipo de labores.
Adicionalmente esto también puede ser causado por la no adaptación de las metodologías al
entorno colombiano que presenta características, seguramente, muy distintas a las que
podríamos encontrar en los entornos y escenarios que se presenta en la bibliografía escrita
actualmente sobre el tema.
Entonces, se ve la importancia de la cultura en este tipo de sistemas, convirtiéndose en un
punto crítico y de cuidado, que en un momento dado puede determinar el éxito en la
aplicación de metodologías de investigación que integran tantas variables, pero que a fin de
cuentas es manejado por personas que se comportan de acuerdo a ciertos patrones que
encuentran su origen en sus costumbres autóctonas y que se salen del alcance de cualquier
método foráneo.
Por esta razón, los administradores y el personal de los equipos de atención de incidentes
deben ser concientes de los riesgos que implica no tener una metodología formal y
personal capacitado para realizar investigaciones de delitos informáticos, por supuesto
adaptados al marco legal y tecnológico colombiano, ya que en el peor de los casos esto
puede conllevar a que, en el momento en que ocurra un incidente, la validez de ésta
ISC-2003-1-55
11
información sea cuestionada en un juicio debido a que no se documentaron con precisión,
ni de acuerdo a la ley, las acciones tomadas para informar, detectar y reaccionar ante estos
casos.
Antes de un iniciar la investigación de un incidente, como primera medida se deben estimar
las operaciones críticas de la investigación, en especial el proceso de recolección de la
evidencia digital. Es decir, el investigador debe darse una idea inicial del estado en que se
encuentra la escena del crimen, indagando que tanto contacto han tenido con ella los
usuarios del sistema o sistemas implicados, que tanto afectó el incidente al sistema y a la
organización (si éste quedo inutilizado, con comportamientos extraños, etc.), en fin, la
información que el investigador considere necesaria para familiarizarse con el personal y el
entorno informático en donde ocurrió el hecho en cuestión.
Para esto, Es necesario valorar y analizar los posibles riesgos a los cuales está y ha estado
expuesta la evidencia. Sin embargo, hay que tener en cuenta que a pesar de que estos
riesgos pueden ser previsibles en la mayoría de los casos, puede haber eventos sorpresivos
que no se pueden identificar fácilmente con anterioridad. Es muy importante contar con un
sistema de capacitación y entrenamiento para afrontar crisis en todos los niveles, con el fin
de que los investigadores estén preparados para enfrentarla y el tiempo que dure la
contingencia sea el mínimo posible.
Una encuesta realizada por la asociación Colombiana de Ingenieros de Sistemas (ACIS) en
el año 2002 [12], revela que en la mayoría de las organizaciones no se encuentra
formalmente establecida la función de seguridad informática, adicionalmente se muestra
ISC-2003-1-55
12
que tan solo el 27,18% de los encuestados posee políticas de seguridad formalmente
escritas e informadas a todo el personal de la organización, como consecuencia de esto, en
el momento en que ocurre un incidente informático no se sabe como proceder y
generalmente prima la inmediata recuperación operativa del sistema y no se le da prioridad
a la investigación de las causas del incidente en cuestión. Como se explicará más adelante,
la evidencia digital es extremadamente sensible y volátil, razón por la cual una previa
preparación forense de los sistemas en las organizaciones y la formalización de políticas
adecuadas para la atención de incidentes, ayudarían en gran medida a las labores de
investigación de delitos informáticos.
Se debe capacitar al personal elegido para realizar la investigación, por medio de la
creación de espacios simulados, con el fin de evaluar su comportamiento y procedimientos
en medio de ella. Para esto es recomendable la creación un comité de crisis, un grupo de
funcionarios estratégicos de varios niveles de la institución, que pueda determinar y/o
valorar los puntos débiles de las metodologías utilizadas [13].
Por lo tanto, el observar con detenimiento las condiciones bajo las cuales se desarrollarán
acciones y se tomarán decisiones, es un aspecto crítico para encontrar amenazas futuras de
riesgo y para diseñar un sistema de control que permita evacuar sin dificultad cualquier tipo
de crisis que se desarrolle a partir del estado en que se encuentra el ambiente informático a
analizar.
ISC-2003-1-55
13
“En todas las ciencias reconstructivas, la evidencia tiene una importancia fundamental,
pues permite conocer el pasado; pero en el campo del derecho este aspecto es vital para
saber quien tiene la razón” [7], ya que ella es la que le permite al investigador determinar
cuáles fueron los hechos que ocurrieron antes, durante y después del incidente. Con esta
información a la mano, el investigador debe estar en capacidad de reconstruir total o
parcialmente el escenario en el que sucedió el incidente, con el fin de formular hipótesis
sobre quien, como y por qué se llevo a cabo el hecho en cuestión y a la vez comprobarlas
y/o descartarlas.
Un principio fundamental en las ciencias forenses, que es extremadamente útil al momento
de reconstruir y relacionar a un sospechoso con un delito, es el principio de intercambio de
Locard (Fig 1.). De acuerdo a este principio, cuando se comente un hecho punible toda
persona o cosa que haya estado presente en la escena del crimen, sin tenerlo presente, toma
algo de ella (ej. una fibra de una alfombra) o deja algo en ella cuando se marcha (ej. un
cabello). Con una de estas piezas de evidencia, un investigador puede demostrar que tan
probable es que un sospechoso haya estado presente en la escena del crimen o haya tenido
contacto con la víctima o en el mejor de los casos la evidencia encontrada relaciona al
sospechoso tanto con la víctima como con la escena del crimen.
ISC-2003-1-55
14
Fig. 2 Principio de Intercambio de Locard [6]
De la misma manera que en el mundo físico, en el caso de los delitos informáticos el
principio de intercambio de Locard se puede aplicar de igual manera en las investigaciones
de este tipo de hechos, debido a que, aunque el autor no se encuentre físicamente en la
escena del crimen ni tenga contacto directo con la víctima, los registros y datos que quedan
en un computador cuando ha sido utilizado y/o cuando se ha tenido acceso remoto o local a
él, son los equivalentes a los rastros físicos dejados en el mundo real cuando se ha cometido
un hecho punible. A partir de esta similitud, se puede decir que el término evidencia digital
abarca cualquiera o toda información en formato digital que pueda establecer que un delito
ha sido cometido o que pueda proveer una relación entre un delito y su víctima o un delito y
su autor [6].
De acuerdo al documento del departamento de justicia de los Estados Unidos, “Computer
Records and the Federal Rules of Evidence” [1], la evidencia digital puede ser clasificada
en 2 grupos, la generada por un computador (computer generated) y la información que es
almacenada en un computador (computer stored). Cuya principal diferencia es quién
ISC-2003-1-55
15
produjo la información, un computador o una persona. En el primer grupo se encuentran
elementos tales como los registros de acceso a un sistema, registros (logs) generados por un
firewall, un sistema de detección de intrusos, etc., del segundo son ejemplos comunes
documentos de un procesador de palabra, correos electrónicos, etc., o una mezcla de los dos
grupos incluye información como reportes de una hoja electrónica, donde parte de su
contenido fue insertado por manos humanas y otra parte fue generada por el computador.
Por lo general, en las investigaciones de delitos tradicionales la evidencia se refiere a todos
los rastros físicos dejados por el o los actores involucrados en el incidente, al igual que los
testimonios dados por personas que directa o indirectamente se encuentran relacionados
con el hecho punible en cuestión. En contraste, en las investigaciones de delitos
informáticos, la evidencia digital debe ser tratada y recolectada de manera diferente, ya que,
a pesar de compartir varias características con la evidencia física, ésta posee características
especiales que no pueden ser pasadas por alto1.
Como se mencionó anteriormente, la evidencia digital “abarca cualquiera o toda
información en formato digital”, lo cual, desde el punto de vista del derecho probatorio,
puede ser relacionado directamente con “los documentos” como prueba legal, ya que estos
“representan un hecho cualquiera o una manifestación del pensamiento, ya que si el objeto
se muestra a si mismo, sin representar algo distinto, no es documento. La representación de
otro hecho debe emanar o surgir del objeto y no de la mente del intérprete” [7]. Con el fin
de garantizar su validez probatoria, los documentos deben cumplir con algunos
requerimientos [9], estos son:
ISC-2003-1-55
16
• Admisibilidad: Debe estar conforme con la ley. Es decir, las pruebas que se
presenten durante el desarrollo del proceso penal deben ajustarse a los medios de
pruebas, en el caso colombiano, los consagrados en el artículo 233 del Código de
Procedimiento Penal dentro de los que se mencionan, la inspección judicial, la
peritación, el documento, el testimonio, la confesión y el indicio. Al respecto
debemos hacer especial énfasis en la institución jurídica del documento toda vez
que la mayoría de las pruebas que se pretender aportar son de este tipo, para lo cual
es necesario remitirse a la definición que trae el Código de Procedimiento Civil en
su artículo 251 que reza: “Son documentos los escritos, impresos, planos, dibujos,
cuadros, fotografías, cintas cinematográficas, discos, grabaciones magnetofónicas,
radiografías, talones, contraseñas, cupones, etiquetas, sellos y, en general, todo
objeto mueble que tenga carácter representativo o declarativo, y las inscripciones
en lápidas, monumentos, edificios o similares” . En este orden de ideas, lo
importante es que el medio de prueba ilustre la existencia de un hecho del obrar
humano, independientemente de la forma en el que se encuentre exteriorizado para
que pueda ser considerado como un documento.
• Precisión: Debe ser posible relacionarla positivamente con el incidente. No debe
haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas
para su recolección, manejo, análisis y posterior presentación en una corte.
Adicionalmente, estos procedimientos seguidos deben ser producidos por alguien
ISC-2003-1-55
17
que pueda explicar, en términos “entendibles”, como fueron realizados y con que
tipo de herramientas se llevaron a cabo.
• Completitud: Debe por si misma y en sus propios términos, dar el escenario
completo, y no una perspectiva particular, de un conjunto particular de
circunstancias o eventos.
Sin embargo, el desarrollo de la informática ha provocado un cambio radical en cuanto a la
forma como se producen actualmente los escritos y a pesar de que la evidencia digital
puede representar un hecho, como por ejemplo la firma de un ataque en los logs de un
sistema de detección de intrusos (IDS), o representar una manifestación del pensamiento,
como lo puede ser un correo electrónico o un documento de un procesador de palabra, es
necesario que cambie la forma como las reglas formalistas del derecho de la prueba deben
ser interpretadas, o en el peor de los casos reformuladas[8], ya que actualmente en
Colombia es muy poco lo que se valora a las tecnologías informáticas en disposiciones
legales. Esto se debe, principalmente al desconocimiento técnico de éstas por parte de los
jueces y fiscales, ya que los documentos generados por medios computacionales presentan
dificultades para ser valorados por estos, debido a que en la mayoría de los casos no vienen
identificados por su firma, o algo que identifique plenamente a su autor o dueño, o en el
caso de estar presente algún tipo de firma digital, “se pone en duda la identidad, la voluntad
del impreso y del compromiso” [8].
ISC-2003-1-55
18
“Frente a estos hechos, no queda la menor duda de que el derecho probatorio se encuentra
ante un enorme desafío generado por el desarrollo informático y lamentablemente el
legislador tampoco en sus disposiciones se ha referido al mismo” [8].
Características de la Evidencia Digital
A pesar de compartir muchas similitudes con la definición legal de “documento”, existen
otras características que hacen que la evidencia digital deba ser tratada de manera especial.
Como primera instancia, la característica más significativa de este tipo de evidencia es la
volatilidad, es decir, su poco tiempo de vida, esto se debe principalmente a que existe
mucha información que es almacenada temporalmente en dispositivos de almacenamiento
no permanentes (Memoria RAM y virtual, registros del procesador, etc.) y además a que la
mayoría de los sistemas operativos y paquetes de software actuales son diseñados y
desarrollados con un esquema multi-usuario y multi-proceso, que hace que su actividad
interna sea bastante alta, bien sea con procesos que son ejecutados automáticamente por el
sistema operativo, por un usuario o con cualquier otra actividad que represente un alto
consumo de procesamiento, memoria y escritura en disco. Esto conlleva que los datos
almacenados estén cambiando constantemente, y adicionalmente al apagar el computador
se pierde toda la información que se encontraba almacenado en estos dispositivos.
Otra característica importante de la evidencia digital se atribuye a la actual evolución de las
redes de computadores, ya que muchos de delitos informáticos son llevados a cabo a través
de ella. La escena del crimen puede encontrarse en uno o más computadores localizados en
jurisdicciones diferentes, esto presenta un gran problema para los investigadores en el
momento de recolectar la evidencia, ya que como se encuentra en sitios físicos distantes, en
muchos casos será demasiado tarde cuando se logre conseguir el acceso a los registros de
este sistema. De aquí yace la importancia de tener una buena infraestructura y metodología
ISC-2003-1-55
20
que permita, en el caso de un incidente, recolectar la mayor información posible
relacionada con él.
Otras características inherentes a la evidencia digital son las siguientes:
• Los datos almacenados en dispositivos informáticos de lectura y escritura pueden
ser alterados fácilmente sin dejar un rastro evidente, no solo por el autor de un delito
evitando ser identificado sino también en el proceso de recolección de la evidencia
se puede cambiar accidentalmente la información.
• No toda la evidencia digital recolectada puede ser leída directamente por humanos,
en muchos casos se trata de código de máquina o formatos que solo pueden ser
leídos e interpretados con la ayuda de aplicaciones especificas.
• Con el debido cuidado, la evidencia digital puede ser duplicada, copiada y
examinada como si se estuviera trabajando con el original.
• Con las herramientas apropiadas se puede verificar fácilmente si la evidencia ha
sido alterada.
• En muchos casos es posible recuperar información de dispositivos de
almacenamiento que previamente había sido borrada.
Debido a las características recién mencionadas y a las grandes diferencias que se han
mencionado entre “los documentos” tradicionales y la evidencia digital obligan al
investigador a seguir procedimientos que en la mayoría de los casos deben ser más
rigurosos que los tradicionales, es por esto que la preparación tanto técnica como
ISC-2003-1-55
21
metodológica es fundamental para toda persona que planee trabajar en el área de la
informática forense.
Planeación de la Investigación
El primer paso en una investigación donde se encuentren involucrados equipos
informáticos es la detección, o sospecha, del incidente en cuestión. Los incidentes pueden
ser detectados utilizando diferentes técnicas y procedimientos, tales como, sistemas de
detección de intrusos (SDI), firewalls, informes de inteligencia, comportamientos inusuales
de los sistemas (lentitud excesiva, aparición sin explicación de nuevos programas, etc.) e
incluso de los usuarios de estos. Cabe anotar, que la mayoría de las veces los incidentes
informáticos no ocurrirán en la institución a la que pertenece el investigador, razón por la
cual, la detección y denuncia de este serán llevados a cabo por terceras personas.
Una vez detectado el incidente, es necesario que el investigador realice una
preinvestigación a partir de la aplicación de todos los procesos anteriormente planeados,
adicionalmente, a partir de este punto, es fundamental que se documente de manera
detallada y rigurosa la forma como todos los procedimientos forenses se están llevando a
cabo, ya que de esta documentación depende gran parte del éxito de la investigación. Por
otro lado, se busca determinar cuales son los presuntos actores involucrados en el incidente
(tanto máquinas como usuarios), identificar el problema aparente, para así desembocar en
una etapa final, durante la cual se producen los pasos a seguir en la investigación y se
indaga sobre cual puede ser el problema realmente. Con esto se busca, por un lado
determinar si realmente se trata de un incidente informático, y por otro, reconocer el
escenario donde ocurrieron los hechos. Es importante que el investigador indague qué tanto
contacto tuvieron los usuarios con el sistema involucrado en el incidente, en especial si el
ISC-2003-1-55
23
incidente fue detectado por ellos, ya que esto le permite darse una idea de que tan
contaminada puede estar en ese momento la escena del crimen.
Para preparar la investigación, el investigador debe determinar qué información requiere,
con el propósito de determinar cómo se afrontará el problema. Primero es necesario
determinar con que tipo de incidente se está enfrentando. A continuación se presenta un
ejemplo de cómo se podrían clasificar y tratar los diferentes tipos de incidentes [14]. Es
importante recalcar que con ésta clasificación solo se pretende dar un ejemplo de cómo
podría manejarse un incidente informático, ya que la última palabra de cómo se debe
atender el incidente la tiene el investigador a cargo del caso en cuestión..
Nivel Incidente Posible Respuesta
• Incidente con Servidor de autenticación
• Incidente con el servidor de cobros/pagos electrónicos
• Sospecha de apropiación de información sensible de clientes o personal de la organización
A lto
• Incidente con servidor WWW • Violación de Perímetro (Incidente
con enrutadores) • Hallazgo de una máquina
comprometida.
Debido a que puede estar comprometida información MUY sensible de la organización y de terceras personas, se recomienda, que físicamente se aíslen de la red los sistemas involucrados (sin apagarlos), y que se inicie inmediatamente la investigación y se recolecte la evidencia más volátil. Si se tiene la certeza de que no se ha comprometido información sensible, se podría realizar una investigación pasiva y encubierta, utilizando dispositivos de monitoreo como sniffers y honeypots, con el fin de conseguir mejor evidencia para descubrir al autor. Es muy posible que esté involucrado personal de la organización.
ISC-2003-1-55
24
io
• Ataques llevándose a cabo desde equipos fuera del dominio de la organización.
• Sobrecarga inusual de la red o de los equipos de cómputo.
• Envío de correo no deseado (SPAM) desde equipos dentro de la organización.
Se recomienda realizar una investigación pasiva y realizar la recolección de la evidencia sin aislar los sistemas involucrados, utilizando dispositivos de monitoreo como sniffers y honeypots, con el fin de conseguir mejor evidencia para descubrir al autor.
B aj
• Detección de firmas de ataques conocidos (Code Red, Nimda)
Aunque en este caso, no se encuentren sistemas comprometidos, no debe ser tomado a la ligera, ya que puede ser un aviso de que puede acercarse un incidente con mayores consecuencias. Se recomienda, por un lado estar alerta, y por otro proteger el sistema, con el fin de evitar que ocurra un incidente informático.
Como segunda instancia, se debe complementar con una “mezcla” de preguntas puntuales y
legales, con el propósito de familiarizarse con el entorno informático y con el incidente en
cuestión. Estas entrevistas deben realizarse al personal de la organización que tenga algún
tipo de relación con el entorno informático. A continuación se presentan algunas preguntas
que pueden servir de guía [10]:
• ¿Qué tipo de registros producen los diferentes departamentos dentro su
organización?
• ¿Sé utilizan computadores para producirlos?
• Describa los sistemas de cómputo utilizados para las siguientes funciones dentro de
su organización: correo electrónico; contabilidad; conectividad a redes; trabajo en
ISC-2003-1-55
25
grupo; recuperación de desastres, copias de seguridad y almacenamiento; bases de
datos; administración de proyectos; manejo de tiempos; procesadores de palabras,
hojas electrónicas, etc.
• ¿Dispone de políticas de buen uso y seguridad para todos los servicios informáticos
que se prestan en su organización?
• ¿Son conocidas estas políticas por el personal de la organización?
• ¿Cómo utilizan estos sistemas el personal de la organización?
• ¿Cómo utilizan el correo electrónico sus empleados?
• ¿Cuales son las personas responsables por la operación, control, mantenimiento,
expansión y seguridad de los equipos informáticos y/o la red de la organización?
• ¿Están definidas estas funciones dentro del organigrama la organización?
• ¿Cómo se reasignan las estaciones de trabajo cuando un empleado deja la
organización?
• ¿Utilizan contratistas externos para realizar el mantenimiento, tanto de software
como de hardware, los sistemas de la organización?
En esta etapa es importante que el investigador pueda realizar una descripción detallada de
la escena del crimen, dando descripciones sobre qué usuarios utilizan qué máquinas y que
papel desempeñan dentro de la organización, a qué puntos de red se encuentran conectadas,
etc., si es posible, también se deben tomar fotografías o grabar videos del lugar, ya que
muchas veces en ellos se encontrarán detalles que posteriormente pueden ser de mucha
utilidad dentro de la investigación, el sentido común es a menudo una herramienta muy
efectiva, pero por supuesto no debe ser la única utilizada por el investigador.
ISC-2003-1-55
26
Al estar familiarizado con el escenario y el incidente en cuestión, el investigador debe
determinar de que manera se llevara a cabo la recolección de la evidencia digital, para esto
debe decidir que camino debe seguir, esto basado en el impacto que pueda causar para la
organización está etapa de la investigación. Para esto, se puede afirmar, que existen 2
enfoques para responder a incidentes informáticos y realizar la recolección de la evidencia
[3], y a criterio y conveniencia del investigador se debe determinar que camino seguir.
El primero de ellos consiste en proteger el sistema o los sistemas involucrados
inmediatamente después de que suceda un incidente, es decir, cortar todos los accesos
locales y remotos al sistema en cuestión, con el fin de realizar la recolección de los
registros dejados por el autor del hecho. Esto con el fin de identificar cuál fue el ataque
utilizado y cuál fue la falla que permitió que el incidente sucediera. Una vez se haya
recolectado la información se debe reestablecer el estado normal del sistema lo más pronto
posible para que los usuarios puedan seguir utilizando sus servicios. A pesar de que esta
estrategia permite reestablecer rápidamente la utilización del sistema comprometido,
minimizando así el impacto que puede tener en una organización la suspensión de este
servicio, no siempre es el mejor camino a tomar desde el punto de vista de la investigación
forense, ya que no se toma el tiempo suficiente para recolectar lo necesario y además se
puede cambiar el estado del sistema al tomar estas medidas, implicando que la evidencia no
cumpla con alguno(s) de los requerimientos descritos en el numeral 2 (Admisibilidad,
precisión, completitud). Otro problema presentado por esta estrategia es que los autores del
hecho pueden percatarse rápidamente que han sido detectados y tomarán acciones para
borrar sus rastros y evitar ser identificados. Sin embargo, en muchas investigaciones éste es
ISC-2003-1-55
27
el único camino a seguir, ya que el sistema que se este investigando puede ser de misión
crítica dentro de la organización (Servidor de salida a Internet) y sea imperativo tenerlo
disponible en el menor tiempo posible.
La segunda opción a considerar, luego de identificar el o los sistemas a investigar, consiste
en dejar inicialmente los computadores implicados intactos y tomar medidas pasivas que,
aunque no corrigen los problemas inmediatamente, permiten hacer un análisis certero del
estado del sistema y de sus componentes en el momento de la recolección. Adicionalmente,
este esquema permite al investigador utilizar otros dispositivos o herramientas, tales como
sniffers, sistemas de detección de intrusos, etc., que le ayuden a recolectar nuevas pruebas
que le permitan o bien identificar al autor del delito o tener más argumentos para
enjuiciarlo y condenarlo.
Al realizar la planeación puede determinarse que, a pesar de existir un incidente
informático, el impacto de realizar una investigación al respecto puede ser muy costoso con
respecto al causado por el incidente en cuestión. Por lo tanto, a criterio del personal
administrativo de la organización afectada, se debe decidir si se sigue adelante o no, por
supuesto con la guía y el consejo del investigador.
ISC-2003-1-55
28
La Recolección de la Evidencia Digital
Una vez entendida las características de la evidencia digital, es fundamental conocer cuáles
son los procedimientos a seguir y qué cosas se deben evitar en el momento de realizar la
recolección de ésta.
Debido a que muchas veces no es posible tener los sistemas involucrados en una audiencia
o en su análisis durante la investigación y, como se mencionó anteriormente, como
consecuencia de la naturaleza volátil de los medios de almacenamiento digital, se
recomienda cuando sea posible tomar una copia idéntica (Bit a Bit) de su contenido, la cual
pueda representar al sistema en cuestión y que además sea sobre la cual se trabaje durante
toda la investigación. A este tipo de copia se le denomina "duplicado forense"[5] y es
realizada por medio de herramientas especiales que permiten no solo copiar el contenido
“visible” del dispositivo de almacenamiento, es decir, la información que un usuario común
podría ver con las herramientas estándar del sistema operativo, sino también recolectar la
información de las áreas del disco que no están siendo utilizadas, esto incluye los sectores
que se encuentran disponibles para escritura, los que no están siendo utilizados por ninguna
partición y el espacio sobrante de cuando la información que se escribe en un bloque1 es
menor que el tamaño de este, a esto se le denomina espacio “Slack” y es comparable a
cuando se esta llenando con agua una cubeta de hielo y el agua no es suficiente para llenar
todos los compartimientos totalmente, el espacio “slack” es análogo al espacio no utilizado
dentro del compartimiento que se lleno parcialmente.
1 Un bloque es la unidad mínima de almacenamiento que poseen los dispositivos de almacenamiento.
ISC-2003-1-55
29
Por otra parte, no siempre es posible o necesario realizar un duplicado forense de todos los
dispositivos, ya que, o bien la cantidad de información que se encuentra en los medios de
almacenamiento involucrados en el incidente supera considerablemente a la capacidad que
poseen los investigadores (La base de datos de los afiliados del seguro social), o
simplemente por que no es necesario realizar una copia tan rigurosa debido a que la
evidencia puede ser recolectada inclusive utilizando la herramientas de búsqueda estándar
del sistema operativo. La cantidad de información que se debe recolectar deber ser decidida
por el investigador durante la etapa de planeación.
Es importante mencionar, que no toda la información que se examine y/o recolecte necesita
ser admisible como evidencia, por el contrario, mucha de esta información es utilizada para,
a través de ella, descubrir evidencia admisible [10].
Independientemente del camino que se tome para realizar el proceso de recolección, la
evidencia siempre debe ser recolectada de lo más a lo menos volátil. A continuación se
presenta una posible clasificación según el orden de volatilidad [14]:
Tiempo de vida Categoría Tipo de
almacenamiento Importancia forense
Registros De mínima utilidad. Con solo analizarlos cambia su estado.
Almacenamiento del CPU
Cache De poca utilidad si se captura como una entidad independiente pero debe ser capturada como parte de la imagen de la memoria del sistema.
A lg
un os
c ic
lo s
j
Video RAM Se pueden capturar lo último que se desplegó en la pantalla.
ISC-2003-1-55
30
Almacenamiento del sistema
RAM Incluye información sobre los procesos en ejecución y del estado del kernel. Fácil de capturar pero el hecho de hacerlo hace que cambie. Requiere conocimiento especializado para poder reconstruirla completamente, pero no se requiere mucho conocimiento para hacer una búsqueda de palabras clave.
Estado de la Red Ayuda a determinar si se instaló y se encuentra activa una puerta trasera. También debe analizado para analizar la actividad de la red.
H as
ta q
ue s
e ap
ag ue
Algunos procesos pueden ser evidencia de actividades no autorizadas. Deben examinarse los archivos binarios correspondientes apara asegurarse que no son caballos de Troya
Espacio de intercambio (Swap)
Es la parte de la memoria virtual que se encuentra en el disco duro. Esta información es tan importante como la memoria RAM para analizar qué está sucediendo en un punto del tiempo particular.
Directorios de Cola (Queue)
Incluye información sobre los procesos que se están ejecutando y las actividades que no se han completado. Puede incluir el correo saliente y trabajos de impresión que se encuentran en espera.
Directorios Temporales
Por lo general sirven como directorios de trabajo para todo el sistema. Se espera que periódicamente sean limpiados por lo que son un lugar apropiado para dejar información que no se necesitará en el futuro. Por lo tanto, pueden ser una fuente de información que no se encuentra en ninguna otro parte del sistema.
H as
ta q
ue s
e so
br es
cr ib
o o
se b
or ra
fí si
ca m
en te
Medios Fijos (Discos duros)
Directorios de registros (Logs)
Crucial para reconstruir eventos. La información más vieja es eventualmente sobrescrita o borrada. De lo contrario crecerían hasta ocupar todo el espacio disponible en el dispositivo.
ISC-2003-1-55
31
Directorios de usuario, aplicaciones, librerías y configuración
Toda parte del sistema que no sea considerada Directorio de Logs, Cola o Temporal incluye archivos que pueden estar indefinidamente en el sistema. Sin embargo, alguien con permisos de escritura puede borrarlos o cambiarlos en cualquier momento.
Discos Flexibles (Floppy)
Cada vez su utilización es menor, sin embargo pueden ser fuentes de información útil para la investigación. Los discos de alta capacidad (ZIP, Jazz, etc.) también son utilizados para hacer copias de respaldo.
Cintas Son fuentes confiables de almacenamiento, en especial de contenidos históricos del sistema archivos. Si las cintas existen previamente a un incidente, pueden ser utilizadas para acotar el periodo de tiempo durante el cual sucedió.
CD-ROM/RW Son un buen medio para almacenar copias de seguridad que serán actualizadas periódicamente o para transportar archivos relativamente grandes.
Medios removibles
CD-ROM/R Son un excelente lugar para almacenar archivos de Log ya que solo están limitados a ser escritos una sola vez, sin embargo pueden tener varias sesiones, lo que permite que el espacio no utilizado pueda serlo en otro momento.
H as
ta q
ue s
e de
st ru
ye n
fís ic
am en
te Salida Papeles Impresos Difíciles de analizar cuando hay
muchos, ya que no se pueden realizar búsquedas automáticas sobre ellos. Son el mecanismo de almacenamiento con más tiempo de vida.
ISC-2003-1-55
32
Herramientas para la recolección
Las herramientas utilizadas en una investigación forense juegan un papel clave en el
proceso de recolección de evidencia, ya que de ellas dependerá en parte la calidad y validez
de ésta, como consecuencia, estas deben ser escogidas con igual o mayor rigurosidad que
los procedimientos que se aplicarán al utilizarlas. Por esta razón, deben estar debidamente
certificadas y reconocidas, ya que de ellas también depende la validez de la evidencia
recolectada. También es importante que el conjunto de herramientas tenga la posibilidad de
trabajar sobre la mayor cantidad de sistemas operativos que sea posible, debido a que el
investigador debe estar preparado a realizar su análisis prácticamente en cualquier
escenario.
Adicionalmente, los medios (Discos duros, CDs, etc.) que se utilicen para almacenar la
información recolectada deben tener en cuenta el tipo de formato (geometría) de los medios
fuentes, con el fin de alinear correctamente la información en el medio recolector y así no
sea afectado el resultado. Además es relevante en el proceso que los medios recolectores
sean estériles, es decir, en un estado tal que no contenga ningún tipo información (ni
fragmentos de ella) anterior a la recolección, esto con el fin de garantizar su integridad y
carácter original. No es necesario que sean nuevos pero si deben tener las mismas
características de un medio que no haya sido utilizado, con el fin de que la evidencia no sea
contaminada con datos que se encuentren de escrituras anteriores.
ISC-2003-1-55
33
Las características mínimas que deben cumplir las aplicaciones (herramientas) forenses
para que la evidencia recolectada y/o analizada por ellas sea confiable son las siguientes
[5]:
• Deben tener la capacidad de extraer una imagen bit a bit de la información en el
medio de almacenamiento. Todo byte debe ser copiado de la fuente, desde el
comienzo hasta el final de ella sin importar si hay fragmentos en blanco.
• Deben tener un manejo robusto de errores de lectura. Si el proceso de copia falla al
leer un sector del medio fuente, este puede ser pasado por alto siempre y cuando se
utilice en medio destino una marca del mismo tamaño y en la misma ubicación que
identifique el sector que no pudo leerse, adicionalmente estas fallas deben ser
documentadas.
• La aplicación no debe cambiar de ninguna manera el medio original.
• La aplicación debe tener la habilidad de realizar pruebas y análisis de una manera
científica. Estos resultados deben poder ser reproducibles y verificables por una
tercera persona.
Teniendo en cuenta estas consideraciones, se debe entonces definir las funcionalidades
necesarias para realizar la recolección. Con el conjunto de herramientas el investigador
debe estar en capacidad de [5]:
ISC-2003-1-55
34
• Examinar la memoria (gdb, memstat): La memoria RAM de un computador puede
mostrar al investigador toda la información que estaba siendo utilizada y procesada
en el momento del incidente.
• Examinar procesos (ps, top): Esto muestra los programas que se estaban ejecutando
después del incidente, esto le puede dar una idea al investigador de qué tareas se
encontraba realizando el implicado durante el incidente.
• Examinar el estado del sistema y de la red (showrev, lsof, fuser, ifconfig, route, arp,
netstat): Al revisar las conexiones de red, se pueden encontrar pistas del origen del
incidente y con esto determinar si fue realizado por alguien externo, si se envió
información confidencial, etc.
• Realizar duplicados forenses (dd, SafeBack,): Esto consiste en hacer una replica
exacta de los dispositivos de almacenamiento permanente del computador
implicado.
• Scripts y aplicaciones para automatizar la recolección. (Coroner Toolkit, EnCase,
Dibs): Esto se hace con el fin de que siempre se siga el mismo procedimiento en las
tareas que se realizan recurrentemente en las investigaciones (copias bit a bit,
transferencias de información, etc.)
Como se mencionó anteriormente, el procedimiento de recolección de la evidencia debe
hacerse con un orden estricto partiendo de la información con mayor grado a la de menor
grado de volatilidad. Algo que debe quedar a criterio del investigador es si es correcto
apagar/reiniciar el sistema relacionado con el delito que se investiga, ya que, al hacer esto
se perderá información que puede ser valiosa en el momento de correlacionar la evidencia
ISC-2003-1-55
35
recolectada (el contenido de la memoria, que archivos están abiertos, el estado de las
conexiones de red, los procesos que se están ejecutando, los usuarios que están dentro del
sistema, etc.), por esta razón se recomienda, mientras sea posible, generar una imagen del
estado del sistema previa a que este sea apagado.
ISC-2003-1-55
36
Preservación y Aseguramiento de la Evidencia Digital
“Una vez reconocida, la evidencia digital debe ser preservada en su estado original. Se
debe tener en mente, que la ley requiere que la evidencia sea auténtica y sin alteraciones”
[6]. Es de vital importancia que el investigador documente detalladamente todos los
procedimientos y describa herramientas que utilice, debido a que la evidencia puede perder
totalmente su validez en un proceso legal. Ya que, si existen dudas, vacíos y/o
inconsistencias debidas a una mala documentación, la contraparte podría alegar que pudo
existir mal manejo de la evidencia y con esto declararla inexequible durante el proceso
legal.
Durante el proceso de recolección y de análisis de la evidencia digital, es deber del
investigador utilizar algún método para mantener y verificar su integridad, ya que un punto
clave en la preservación de evidencia digital es que se recolecte sin alterarla.
Adicionalmente, se busca que ésta se mantenga libre de cambios durante el proceso legal e
investigativo, ya que, de esto depende en gran parte el rumbo que tomen éstos.
“Message Digest” y Firmas digitales
Una forma utilizada para garantizar la integridad de la evidencia es a través del uso de
algoritmos conocidos como “Message Digest Algorithms”, como por ejemplo md51 y sha1,
a grandes rasgos, son algoritmos a los que se les da como argumento una entrada digital
arbitraria (típicamente un archivo), con la cual producen una salida numérica única para
1 http://www.rsasecurity.com/rsalabs/faq/3-6-6.html
ISC-2003-1-55
37
ésta, es decir, un buen algoritmo de este tipo debe producir la misma salida para una
entrada dada, y adicionalmente producir salidas diferentes para entradas diferentes, por lo
tanto, una copia exacta producirá la misma salida que el mensaje original, pero si éste tiene
la más mínima modificación, la respuesta será notablemente diferente. Este tipo de
algoritmos, proveen un método cercano a la individualización, por consiguiente se pueden
considerar el análogo informático de las huellas digitales y/o el ADN.
A pesar que los algoritmos recién mencionados garantizan que la evidencia se mantenga
integra y libre de cambios, ¿Quién garantiza la autenticidad de la respuesta de éstos?, es
decir, es necesario poder identificar plenamente a la persona responsable de la generación
de los códigos de integridad de la evidencia, para esto se debe realizar un proceso de
firmado digital, el cual esencialmente indica que cierto individuo (confiable) fue el que
realizó la acción de calcular el código único para cada trozo de evidencia. En resumen, un
algoritmo de “Message Digest” garantiza integridad, mientras que uno de firma digital
garantiza la autenticidad de la información [6].
La Cadena de custodia
Como se ha mencionado a lo largo del artículo, el proceso de recolección, análisis y
presentación de la evidencia digital es algo muy delicado, que debe ser llevado a cabo
dentro de un ámbito legal. Con el propósito de que la evidencia recolectada sea válida en
una corte, es necesario garantizar que ésta no sufra modificación alguna durante el tiempo
que dure el proceso forense de la información.
ISC-2003-1-55
38
Para este fin se utiliza una documentación conocida como la cadena de custodia, la cual
tiene como objetivo llevar registro de donde y en qué condiciones se encuentra la
evidencia. Parte de este procedimiento de documentación son las marcas de evidencia
(evidence tags) [5], que son, en pocas palabras, los registros de las personas por las que ha
pasado la evidencia. Por cada medio que sea investigado se crea una marca que contiene la
siguiente información:
• Numero de caso.
• Firma de la persona que posee la información.
• Información de quien tenía la información anteriormente, o por quien fue provista.
• Número de Serie, modelo y marca (en caso de tratarse de hardware)
• Exhaustiva descripción de la evidencia
• Información de quien recibe
• La fecha de recibo.
• Razón por la cual fue la evidencia dada a otra persona.
Adicionalmente, cada vez que se realice una transacción con la evidencia, ésta debe quedar
registrada dentro de las marcas de evidencia. Esto con el propósito de garantizar que a lo
largo del proceso de investigación la evidencia no sea modificada o en dado caso que se
descubra algún tipo de alteración, se pueda determinar su causa y su autor. Es importante
ISC-2003-1-55
39
resaltar que si se pasa por alto algún paso de la cadena de custodia, la evidencia se puede
hacer inexequible ante una corte.
ISC-2003-1-55
40
El Análisis de la Evidencia Digital
Una vez se ha realizado la recolección de la evidencia digital y el investigador se ha
familiarizado con el incidente, el entorno informático y organizacional en donde ocurrieron
los hechos, el paso a seguir consiste en la reconstrucción del incidente en cuestión.
Al igual que en el proceso de recolección, es de vital importancia contar con los recursos
tecnológicos y humanos adecuados para realizar el análisis.
Es utópico pretender que el investigador sea un experto técnico en todos los sistemas
operativos, aplicaciones, protocolos de comunicaciones, dispositivos de hardware, etc. Por
el contrario, el valor del investigador yace en su conocimiento y percepción del entorno
tecnológico actual, incluyendo su funcionamiento, sus límites y sus áreas vulnerables [15].
A partir de este conocimiento, debe apoyarse en especialistas experimentados y confiables,
que lo asistan en las labores técnicas especificas, como por ejemplo la recuperación de
archivos de un dispositivo con un formato determinado, el análisis por medio de la
utilización de técnicas de ingeniería reversa de un virus informático, o la recuperación de
información de un dispositivo móvil como un celular o un PDA.
Una regla de oro en la informática forense que siempre se debe tener en mente, es que en la
medida de lo posible no se debe trabajar sobre los medios originales [6], ya que se corre el
riesgo de alterar o eliminar los datos que se encuentra en ellos, teniendo como consecuencia
la posible pérdida de información valiosa para la investigación, y adicionalmente la pérdida
de integridad y validez legal de la evidencia recolectada. Por esta razón se recomienda,
ISC-2003-1-55
41
realizar por lo menos 2 copias de seguridad (Backups) de los medios originales y trabajar
sobre una de ellas, y así, si se comete un error que altere la información, se pueda
minimizar el impacto en la investigación realizando de nuevo un duplicado a partir de la
otra copia [14].
Como se ha mencionado varias veces a lo largo de este escrito, debido a que cada
investigación es diferente, no es posible definir una metodología específica para realizar el
análisis de la evidencia digital, ya que es muy diferente el enfoque que se da a una
investigación de un fraude por medio de correo electrónico, de un caso de pornografía
infantil o de una intrusión no autorizada a un sistema de información a través de Internet.
Sin embargo, se puede afirmar, que el proceso de análisis podría dividirse en 4 etapas (Fig.
3) [5, 6, 14], que van desde a recuperación de la información, que en gran medida está
relacionada con el proceso de recolección, hasta la correlación de los diferentes elementos
recolectados con la finalidad de reconstruir el escenario donde ocurrieron los hechos, por
supuesto esto último no siempre es posible debido a la volatilidad de este tipo de evidencia
y a que la escena del crimen puede encontrase distribuida en diferentes jurisdicciones.
Recuperación y
reconstrucción Filtrado
individualización Correlación
Fig. 3
Como ejemplo práctico del proceso de análisis, en el anexo, al final de este documento se
presenta un caso de estudio en el que se analiza una serie de accesos no autorizados a la red
ISC-2003-1-55
42
de una organización, éste análisis fue realizado durante el curso de Introducción a la
Informática Forense, dictado en la Universidad de los Andes por el Dr. Jeimy Cano. Se
recomienda al lector complementar la lectura actual con este anexo, en especial la sección
actual, con el fin de aclarar posibles vacíos en la parte de análisis de la evidencia digital.
Uno de los aspectos más desafiantes en la informática forense, es la recuperación y
reconstrucción de la evidencia digital, ya que este proceso requiere que eficientemente se
busque el contenido de diferentes medios de almacenamiento, con el fin de identificar
evidencia relevante que éstos puedan contener [15], como por ejemplo archivos,
fragmentos de estos, información eliminada, espacio no utilizado, etc. Debido a que puede
existir la posibilidad de encontrarse información oculta en el sistema examinado, la cual
puede haber sido escondida intencionalmente, el investigador siempre debe asumir que
puede existir información no visible dentro del medio [14], pero teniendo en cuenta que
este no es siempre el caso1, por lo tanto, es necesario contar con las herramientas
tecnológicas y humanas adecuadas para realizar este tipo de procedimientos, ya que, de lo
contrario se podría pasar por alto información relevante para la investigación.
Los detalles y la complejidad de la recuperación y reconstrucción de la evidencia digital
dependen principalmente del tipo de evidencia que se haya recolectado, el tipo de sistema
involucrado, y la configuración del hardware y software que éste posea. Por ejemplo, es
diferente realizar el procedimiento de recuperación en una estación de trabajo o un
1 El caso que se estudia en el anexo no requirió de la búsqueda de información oculta en el sistema afectado, ya que la investigación se centro en el análisis del acceso no autorizado al sistema a partir de los logs producidos por diferentes aplicaciones y sistemas de seguridad y monitoreo que se encontraban instaladas en ese computador.
ISC-2003-1-55
43
computador casero con el sistema operativo Windows, que en un sistema multiusuario (i.e.
un servidor de correo electrónico) que utilice alguna variante de Unix, esto se debe
principalmente a que, por un lado la actividad en el sistema multiusuario es mucho mayor,
lo que conlleva a que se realicen permanentemente operaciones de entrada/salida en los
dispositivos de almacenamiento, cosa que aumenta el grado de volatilidad de la evidencia;
por otro lado, dependiendo del sistema operativo que utilice el computador las operaciones
de borrado, creación y de manejo y formato de los dispositivos de almacenamiento puede
cambiar sustancialmente entre uno y otro. Otro gran obstáculo que se puede presentar
durante la investigación, es encontrarse con información cifrada, ya que en muchos de los
casos sólo será posible tener acceso a ella si se dispone de la contraseña o llave que permite
visualizarla. A pesar de que muchas veces la protección con encripción y contraseñas de la
información se llevó a cabo con la utilización de algoritmos débiles, los cuales pueden ser
"rotos" de una manera relativamente sencilla, actualmente la tecnología de cifrado posee
algoritmos con un alto grado de confiabilidad que para ser vencidos requerirían de muchos
años o incluso siglos de cálculos en un computador.
Una vez se ha recuperado o se ha encontrado información que podría ser relevante, es
necesario realizar un proceso de filtrado que permita extraer la información directamente
relacionada con el incidente, ya que en muchos casos el volumen y el formato de la
información puedan superar ampliamente su relevancia, por lo tanto, se debe realizar un
procedimiento de limpieza que por una parte conserve la integridad de la información
recolectada y por otro que represente en su totalidad el escenario analizado. Un buen
ejemplo de la necesidad de realizar este procedimiento, es el caso de análisis que se
presenta como anexo a este documento, ya que, debido a que se trató de un ataque a un
ISC-2003-1-55
44
sistema que prestaba servicios varios en Internet (WWW y correo electrónico
especialmente), el tamaño de los archivos de registro (logs) analizados era
considerablemente grande, cada log presenta cientos de líneas, la lectura de cada una de
ellas en busca de información relevante es una tarea muy difícil para un ser humano y
contenía en su mayor parte información sobre conexiones autenticas a sus servicios, por
esta razón fue necesario primero identificar los actores que participaron en el incidente, los
cuales son direcciones IP, esto se realizó, a partir de una revisión superficial de los logs, en
especial los de la aplicación de detección de intrusos SNORT, ya que esta se limita a
registrar los eventos sospechosos en la red. Con base en esta identificación, posteriormente
se llevo a cabo un proceso de filtrado que extrajo únicamente la información relacionada
con el incidente, en este caso las entradas en las que aparecían las direcciones IP de los
equipos involucrados, a pesar de que existen aplicaciones especiales para realizar análisis
de logs, tales como Webtrends y Analog, en este caso se utilizó una hoja de cálculo para
realizar el procedimiento.
Una vez se han descartado los datos que no tienen ninguna relevancia con la investigación,
se debe iniciar el proceso de clasificación, comparación e individualización de la evidencia.
“La clasificación de la evidencia digital, es el proceso por el cual se buscan características
que pueden ser utilizadas para describirla en términos generales y distinguirla de
especimenes similares” [6]. La clasificación de la evidencia digital es útil al reconstruir un
delito porque puede proveer detalles adicionales, es decir, cuando se combinan estos
detalles pueden guiar al investigador hacia evidencia adicional, e inclusive hacia el mismo
sospechoso del hecho en cuestión. La evidencia digital puede ser clasificada, comparada e
ISC-2003-1-55
45
individualizada de diferentes maneras, las cuales deben ser utilizadas a criterio del
investigador basado en la evidencia que se haya recolectado hasta el momento [6]:
• Contenido: Un e-mail, por ejemplo, puede ser clasificado por su contenido como
SPAM, y puede ser invidualizado a partir del contenido de sus encabezados,
información que por lo general no es visible para el usuario. Por ejemplo, por su
dirección de origen.
• Función: El investigador puede examinar cómo funciona un programa para
clasificarlo y algunas veces individualizarlo. Por ejemplo, un programa que
inesperadamente transfiere información valiosa desde un computador confiable a
una locación remota podría ser clasificado como un caballo de Troya y puede ser
individualizado por la localización remota a la que transfiere la información.
• Características: los nombres de archivo, extensiones e inclusive los encabezados
internos que identifican los diferentes formatos de archivo que existen pueden ser
de utilidad en la clasificación de la evidencia digital.
La comparación también es un aspecto clave en el proceso de análisis, ya que, comparar la
evidencia con un espécimen de control puede resaltar aspectos únicos de esta
(características individuales) [6]. Por ejemplo, cuando surge un nuevo virus informático y
se ha propagado lo suficiente, al poco tiempo empiezan a surgir variantes del mismo, las
cuales, a pesar de contener la esencia del programa original, añaden nuevas características
que dificultan su detección. Es por esto, que el realizar un buen proceso de clasificación y
comparación se facilita el análisis de éste tipo de programas, de la misma manera los
ISC-2003-1-55
46
nuevos ataques y vulnerabilidades que se explotan en las diferentes aplicaciones existentes
generalmente se basan en técnicas previamente publicadas. De aquí yace la importancia
dentro de las investigaciones forenses, de realizar un proceso riguroso de clasificación,
comparación e individualización de la evidencia digital.
Para finalizar, es necesario reconstruir el escenario en el que ocurrieron los hechos a partir
de la correlación de los diferentes elementos recolectados como evidencia. No solo basta
con establecer que un sistema fue comprometido o fue utilizado para cometer un delito, por
el contrario es necesario conocer a fondo los detalles del incidente, ya que con una
reconstrucción imprecisa es muy difícil determinar que fue lo que ocurrió realmente y muy
seguramente nunca se puedan esclarecer los hechos. Es importante que el investigador no
sea totalmente dependiente de la evidencia digital, ya que esta puede no corresponder
totalmente con la realidad, por ejemplo, que una persona diga en un correo electrónico que
es el autor de un asesinato, no quiere decir que realmente lo haya cometido [6].
Como se mencionó anteriormente, una de las características de los delitos informáticos es
que la escena del crimen puede estar distribuida en diferentes sistemas, que por supuesto,
pueden estar localizados físicamente en jurisdicciones diferentes, lo que en muchos casos
dificulta y/o termina prematuramente una investigación ya que no es posible tener acceso a
evidencia que podría ser clave para conocer el cuando, como, donde y por qué del
incidente.
Según algunos investigadores de la unidad de delitos informáticos del DAS, éste es uno de
los mayores obstáculos que se presentan al realizar una investigación, adicionalmente,
ISC-2003-1-55
47
muchos de los delitos de alta tecnología, a pesar de ser cometidos desde sistemas
localizados en Colombia, se realizan desde “Cafés Internet”, en los cuales, debido a la falta
de regulación, el alto grado de anonimato y la alta actividad que presentan estos sistemas
hacen que la evidencia digital que se encuentra en éstos tenga un tiempo de vida muy corto
y por consiguiente la investigación solo pueda llegar hasta ese punto.
Como en el caso que se presenta en el anexo 1, la mayoría de las veces los relojes de los
sistemas involucrados en un hecho punible no se encuentran sincronizados, teniendo como
consecuencia, dificultar la identificación los eventos que ocurrieron simultáneamente en
ellos. Para aminorar el impacto que puede presentar esté problema en la investigación, es
necesario tomar el tiempo de uno de los sistemas involucrados como referencia y a partir de
éste calcular las diferencias temporales que posean los demás.
ISC-2003-1-55
48
La Presentación de la Evidencia Digital
Hasta este punto se ha tratado a la evidencia digital en su forma natural electrónica, sin
embargo, es necesario convertirla en algo que pueda ser revisado e interpretado en una
corte, lo cual típicamente es una impresión en papel. Pero, ¿cómo se puede garantizar la
neutralidad de este tipo de presentación?, a pesar de que no existe una respuesta única a
esta pregunta, debido a las enormes diferencias que existen entre cada incidente, Sommers
[9], en el documento “Downloads, Logs and Captures: Evidence from Cyberspace”,
especifica que en la mayoría de los casos puede ser apropiado ofrecer 2 posibilidades. Una
“de bajo nivel” en la que se muestre la información tal como es sin ningún tipo de
anotación y modificación. Y otra “editada”, en la que se encuentre solo la información
relevante y que explique que se hizo con ella y por que. Con este enfoque, es posible
realizar una inspección cruzada en la que la copia de bajo nivel es la encargada de sustentar
técnicamente los argumentos presentados en la parte editada y comentada.
Actualmente la legislación colombiana, no da unas pautas generales en los códigos de
procedimientos de cómo debe ser presentada la evidencia recolectada de un sistema de
cómputo, lo cual es una de las razones que dificultan condenar las conductas relacionadas
con incidentes informáticos y/o relacionados con la informática, adicionalmente, el
desconocimiento de los aspectos técnicos básicos y del lenguaje utilizado en este tipo de
casos por parte de los funcionarios judiciales, dificulta aún mas la penalización de estos
hechos. Por lo tanto, es de vital importancia que en el informe de análisis de la evidencia
que se presenta ante la ley, se explique cuáles son los datos importantes, aclarar los
informes oscuros, evitar al máximo los tecnicismos y hacer que las conclusiones sacadas
ISC-2003-1-55
49
quepan en un cuadro significativo que simultáneamente presente completamente el
escenario y, que por si mismo (en la medida de lo posible), responda a las preguntas que
puedan surgir durante el juicio.
ISC-2003-1-55
50
Conclusiones
A pesar de que a la fecha, en Colombia los delitos informático no han sido un tema de
especial atención por parte de las instituciones gubernamentales y de las fuerzas de
seguridad del estado, es de conocimiento general que los delitos informáticos o
relacionados con la informática han ido aumentado poco a poco (en Colombia) a medida
que se ha popularizado Internet, sin embargo, no existe una estadística oficial que
demuestre estos hechos. Esto se debe principalmente, a que las organizaciones que se ven
afectadas por estos incidentes no presentan ningún tipo de acción legal, entre otras cosas,
por temor a que su imagen ante el mercado se vea afectada, y adicionalmente no se cuenta
con las herramientas jurídicas necesarias, ni con el conocimiento necesario por parte de los
jueces y fiscales para llevar cualquiera de estos casos exitosamente a un tribunal para su
posterior condena.
Por estas razones, “es necesario que el gobierno tome las medidas legales y técnicas
necesarias para incluir en los actuales códigos conceptos tales como documento
informático, firma electrónica, delitos informáticos, normas que protejan el derecho a la
intimidad, etc. Tal como se comenzó a hacer con la ley de comercio electrónico (L. 527 \
99), que acogió algunas de estas nociones”. [8].
El uso de la tecnología puede jugar un papel fundamental en el sistema judicial. Cómo se
mencionó anteriormente, las características que posee la evidencia en los crímenes de alta
tecnología, obliga a los investigadores a utilizar procedimientos y metodologías muchas
veces más rigurosos que los de los crímenes tradicionales. Adicionalmente, se requiere de
ISC-2003-1-55
51
una preparación técnica especializada para realizar éstos procedimientos. Según Kruse y
Heiser [14], todo investigador de delitos informáticos debe recordar los siguientes consejos:
• No apresurarse.
• Autenticar la copia.
• Preservar el original.
Por lo tanto, se debe fomentar en las agencias de seguridad del estado la creación de
equipos de investigaciones de delitos de alta tecnología, con el conocimiento técnico
necesario, para, de manera competente, examinar los equipos de cómputo involucrados en
una investigación. Esto a partir de mecanismos de capacitación y especialización técnica y
jurídica en las agencias de seguridad del estado, fiscalías y demás instituciones donde la
informática juegue un papel importante dentro de su labor, donde se incluya la utilización
de metodologías técnicas adecuadas y herramientas jurídicas robustas en el proceso de
recolección aseguramiento, y presentación de la evidencia dig