Curso de Perito Telemático Forense Contenido Presentación....................................................................................................................... .................................................................................................................................. ........... 4 NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES PROFESIONES ................................................................... .................................................................. 4 El Perito Judicial Telemático............................................................. .......................................................................................................... ............................................. 8 Derechos y deberes del Perito Telemático ............................................................................. ............................................................................. 10 Áreas de actuación de los Peritos Telemáticos ....................................................................... ....................................................................... 13 Capacitación Profesional del Perito Judicial en los Tribunales de España .............................. 14 Acreditación de la capacitación profesional............................................................... ........................................................................ ......... 19 Derecho Informático ................................................................................................................... ................................................................................................................... 20 Contexto legal del perito ......................................................................................................... ......................................................................................................... 20 ¿Qué es un Perito? Peri to? ................................................................................... .................................................................................................................. ............................... 21 ¿Cuándo se nombrará a un perito? .......................................................... ......................................................................................... ............................... 21 El procedimiento de solicitud de un perito ......................................................... ............................................................................. .................... 22 La designación del perito ........................................................................................................ 24 La recusación y la tacha................................................................. tacha........................................................................................................... .......................................... 25 El nombramiento del perito judicial ......................................................... ........................................................................................ ............................... 26 El informe pericial ................................................................................................................... ................................................................................................................... 26 La asistencia a juicio oral .............................................................. ......................................................................................................... ........................................... 27 Reconocimiento in situ.................................................................. ............................................................................................................ .......................................... 27 La valoración del informe............................................................. ........................................................................................................ ........................................... 28 Responsabilidades y derecho del perito ................................................................................. 28 Como extraer y recuperar evidencias digitales y telemáticas .................................................... 30 Código Deontológico ............................................................................................... ................................................................................................................... .................... 33 Utilidades Forenses ............................................................................................................... ..................................................................................................................... ...... 34 Informe Pericial Telemático ........................................................................................................ ........................................................................................................ 40 Guía del Peritaje Informático ...................................................................................................... ...................................................................................................... 43 Introducción ............................................................................................................................ ................................................................................................................... ......... 43 Primera Intervención Pericial P ericial ................................................................... .................................................................................................. ............................... 44 Procedimiento ......................................................................................................................... ......................................................................................................................... 44 Trabajo en nuestro laboratorio Forense Informático ............................................................. 46 Informe Pericial ....................................................................................................................... ....................................................................................................................... 47 Dictamen con Conclusiones .................................................................................................... .................................................................................................... 47 Ratificación .............................................................................................................................. .............................................................................................................................. 48
www.antpji.com
Página 2
Curso de Perito Telemático Forense Contenido Presentación....................................................................................................................... .................................................................................................................................. ........... 4 NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES PROFESIONES ................................................................... .................................................................. 4 El Perito Judicial Telemático............................................................. .......................................................................................................... ............................................. 8 Derechos y deberes del Perito Telemático ............................................................................. ............................................................................. 10 Áreas de actuación de los Peritos Telemáticos ....................................................................... ....................................................................... 13 Capacitación Profesional del Perito Judicial en los Tribunales de España .............................. 14 Acreditación de la capacitación profesional............................................................... ........................................................................ ......... 19 Derecho Informático ................................................................................................................... ................................................................................................................... 20 Contexto legal del perito ......................................................................................................... ......................................................................................................... 20 ¿Qué es un Perito? Peri to? ................................................................................... .................................................................................................................. ............................... 21 ¿Cuándo se nombrará a un perito? .......................................................... ......................................................................................... ............................... 21 El procedimiento de solicitud de un perito ......................................................... ............................................................................. .................... 22 La designación del perito ........................................................................................................ 24 La recusación y la tacha................................................................. tacha........................................................................................................... .......................................... 25 El nombramiento del perito judicial ......................................................... ........................................................................................ ............................... 26 El informe pericial ................................................................................................................... ................................................................................................................... 26 La asistencia a juicio oral .............................................................. ......................................................................................................... ........................................... 27 Reconocimiento in situ.................................................................. ............................................................................................................ .......................................... 27 La valoración del informe............................................................. ........................................................................................................ ........................................... 28 Responsabilidades y derecho del perito ................................................................................. 28 Como extraer y recuperar evidencias digitales y telemáticas .................................................... 30 Código Deontológico ............................................................................................... ................................................................................................................... .................... 33 Utilidades Forenses ............................................................................................................... ..................................................................................................................... ...... 34 Informe Pericial Telemático ........................................................................................................ ........................................................................................................ 40 Guía del Peritaje Informático ...................................................................................................... ...................................................................................................... 43 Introducción ............................................................................................................................ ................................................................................................................... ......... 43 Primera Intervención Pericial P ericial ................................................................... .................................................................................................. ............................... 44 Procedimiento ......................................................................................................................... ......................................................................................................................... 44 Trabajo en nuestro laboratorio Forense Informático ............................................................. 46 Informe Pericial ....................................................................................................................... ....................................................................................................................... 47 Dictamen con Conclusiones .................................................................................................... .................................................................................................... 47 Ratificación .............................................................................................................................. .............................................................................................................................. 48
www.antpji.com
Página 2
Curso de Perito Telemático Forense Como realizar una auditoría a uditoría telemática ..................................................................... ...................................................................................... ................. 49 Como se realiza un peritaje telemático para un cliente ............................................................. 54 Presupuesto del servicio: ........................................................................................................ ........................................................................................................ 54 Aceptación del presupuesto: .................................................................................................. .................................................................................................. 54 AUDITORIA INFORMATICA ...................................................................................................... ...................................................................................................... 54 PERITAJE TELEMÁTICO ............................................................................................................ ............................................................................................................ 54 Declaración ante Tribunales:......................................................... ................................................................................................... .......................................... 55 Guía de buenas prácticas para el peritaje telemático en recuperación de imágenes y documentos ............................................................... ................................................................................................................................ ................................................................. 56 Marketing para Peritos Telemáticos ........................................................................................... ........................................................................................... 65 Plan de Negocio para Peritos Informáticos ............................................................. ................................................................................. .................... 68 1. Resumen Ejecutivo .............................................................................................................. .............................................................................................................. 68 2. Descripción de tu nueva Empresa ................................................................... ....................................................................................... .................... 69 3. Productos y Servicios................................................................. ........................................................................................................... .......................................... 69 4. Plan P lan de Marketing ............................................................................................................... ............................................................................................................... 69 5. Plan de desarrollo .......................................................... ................................................................................................................ ...................................................... 70 6. Plan P lan Operacional ................................................................................................................. 70 7. Administración y Organización ............................................................. ............................................................................................ ............................... 70 8. Plan Financiero ..................................................................................... .................................................................................................................... ............................... 70 9. Financiación .................................................................... ......................................................................................................................... ..................................................... 70 1. Negocios con Futuro ......................................................... ............................................................................................................... ...................................................... 71
www.antpji.com
Página 3
Curso de Perito Telemático Forense Presentación Muchas entidades públicas y privadas e incluso la Administración de Justicia, se van dando cuenta de que la tecnología es una parte cada vez más importante de nuestra vida laboral, social y personal. Pero también este empuje tecnológico es aprovechado por profesionales de la estafa y el engaño cibernético con lo que es imprescindible la figura de detectives tecnológicos, expertos informáticos y telemáticos que asesoren de manera técnica y profesional y que garanticen los derechos, la privacidad de datos y que brinde una protección ante individuos que se amparan ante el anonimato de Internet como es el Perito Telemático. El Perito Telemático es un nuevo perfil profesional, que surge de las nuevas tecnologías y que está especializado en Tics, con una demanda al alza debido al aumento de conflictos, tanto privados como aquellos que deben resolverse mediante juicio, en los que intervienen sistemas informáticos. Este curso ofrece los conocimientos técnicos y legales necesarios para ejercer como Perito Telemático Forense y generar informes periciales con validez legal, en procesos judiciales y extrajudiciales, así como el protocolo pericial y la obtención de evidencias electrónicas. ANTPJI, ha reunido a expertos relacionados con la pericia de la Telemático Forense, ofreciendo un curso intensivo, para Especialistas Telemáticos que deseen ejercer como Peritos Telemáticos, Responsables de Seguridad para conocer el proceso de la Investigación Forense, Auditores de Seguridad que necesitan aumentar sus conocimientos en la Pericia Investigadora, Consultores Informáticos que quieren conocer el proceso de un Dictamen Forense y a cualquier profesional que desea conocer como buscar evidencias con validez judicial o extrajudicial, cuando se ha producido hechos como: un fraude, uso mal intencionado de los ordenadores por empleados o terceros, robo de identidad, correo electrónico, datos personales, números de tarjeta de crédito, bajas fingidas, amenazas o sencillamente se han utilizado datos sensibles o personales para la realización de actividades no autorizadas y en muchos casos delictivos. NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES
Una nueva profesión ha nacido al amparo de las nuevas tecnologías con una gran demanda: es la figura del Perito judicial Telemático. El perito Judicial Telemático o Perito Auditor Forense es un profesional dotado de conocimientos especializados en materia de las nuevas tecnológicas, a través de su capacitación y experiencia, que suministra información u opinión fundada a profesionales, empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. El es el encargado de analizar los diferentes elementos telemáticos, y buscar aquellos datos que puedan constituir la evidencia digital que servirá, de manera contundente, para el esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no están obligados de conocer.
www.antpji.com
Página 4
Curso de Perito Telemático Forense Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados, Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos según lo dispuesto en la leyes. En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informática. Para ejercer como Perito Judicial Telemático en España es indispensable una titulación oficial o por una Asociación Profesional de Peritos Informáticos o Telemáticos, reconocida por el Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia. Su titulación le acredita como encargado experto con amplios conocimientos sobre informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de cualquier índole, que pueda ser imputable como delito. Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles, de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001 de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de 2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss. Cuando un Perito Telemático es nombrado por un Juez, Magistrado o Administración, automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y reglamentos especiales (art. 470 a 480, LOPJ). En el ámbito jurídico, el Perito Judicial Telemático es un profesional nombrado por la autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables conocimientos especializados. El Peritaje Telemático es aportado en función de los conocimientos del Perito Telemático, la localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de su especialización en la realización de todas las pruebas digitales, combinando la auditoria forense y su pericia. El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que circula libremente es utilizado por delincuentes que utilizan la tecnología para facilitar el acometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde
www.antpji.com
Página 5
Curso de Perito Telemático Forense las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecución de delito y el delincuente. La obtención de Información digital (evidencias electrónicas) se constituye en una de las facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los Peritos Telemáticos encargados de la recolección preservación, análisis y presentación de las evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas evidencias, a fin de ser utilizadas posteriormente ante el Tribunal. Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen como valor probatorio de un procedimiento judicial. No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la posesión de la verdad material. De esta manera se confirmará la existencia de la infracción y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, todo esto servirá para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. El objetivo del Perito Telemático es la de recuperar los registros y mensajes de datos existentes dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser usada como prueba ante un tribunal. La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización de las evidencias digitales, que sirven para el esclarecimiento de los caso. El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función, entre ellas están una integridad intachable para determinar neutralmente los hechos sin ninguna preferencia o afición por ninguna de las partes. Debe poseer un perfil técnico, con amplios conocimientos legales con una formación Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentación judicial. Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística; siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia electrónica (información de valor probatorio almacenada o transmitida en forma digital) es una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la exactitud y la confiabilidad de este tipo de evidencia. Se exige además de la formación pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje científico, no cientificista, que permita al profano en esta ciencia comprender el mismo.
www.antpji.com
Página 6
Curso de Perito Telemático Forense Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma importancia no arrojar ninguna duda sobre los medios probatorios tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio o fin para configurar una conducta ilícita. El dictamen del Perito Telemático, es una declaración de ciencia que debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha de valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y desarrollan una línea de investigación forense en informática. Las tareas a desarrollar por el perito telemático no son distintas de la de otros peritos judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigación realizada. Deberes del Perito Telemático: Aceptar el cargo que le es asignado, colaborar con el resto de los peritos o consultores técnicos y declarar ante el juez en el caso de que este lo requiera. Fundamentar sus conclusiones técnicas, expresando claramente los elementos analizados y las técnicas utilizadas para llegar a las mismas. Respetar el código de ética que le impone su profesión. Áreas de actuación de los Peritos Telemáticos: Propiedad industrial: Espionaje / Revelación de secretos. Acceso o copia de ficheros de la empresa, planos, fórmulas, costes, Uso de información: Competencia desleal de un empleado. Vulneración de la intimidad. Lectura de correo electrónico. Despido por causas tecnológicas. Valoraciones de bienes informáticos. Interceptación de telecomunicaciones. Protección de datos personales y datos reservados de personas jurídicas. Apoderamiento y difusión de datos reservados. Manipulación de datos o programas. Valoraciones de bienes informáticos. Hardware, redes y componentes (todos los sistemas). Instalaciones y desarrollos llave en mano. Vulneración de la buena fe contractual. Publicidad engañosa, competencia desleal. Delitos económicos, monetarios y societarios. Delitos contra el mercado o contra los consumidores. Delitos contra la propiedad intelectual. Uso de de software sin licencia. Piratería. Copia y distribución no autorizada de programas de ordenador. Daños mediante la destrucción o alteración de datos. Sabotaje. Estafa, fraudes, conspiración para alterar el precio de las cosas. Pornografía infantil: acceso o posesión, divulgación, edición. Uso indebido de equipos informáticos: daños o uso abusivo. Sin duda, El Perito Judicial Telemático será el profesional más demandado por una sociedad cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual. ANTPJI, se creó hace seis meses con el objetivo de que los técnicos en la ciencia de la Informática valorizaran sus conocimientos, prestando un servicio a la Administración de Justicia y a la sociedad en general, hoy en día el grupo aglutina a más de 80 profesionales con presencia en cinco ciudades españolas y está en cuatro países. Este tipo de iniciativas empresariales que fomentan el autoempleo, la capacitación profesional y el auxilio tecnológico a la sociedad es un ejemplo de cómo quedan aun nichos de mercado sin explotar. Más información en www.antpji.com
www.antpji.com
Página 7
Curso de Perito Telemático Forense El Perito Judicial Telemático El perito Judicial Telemático o Perito Auditor Forense es un profesional dotado de conocimientos especializados en materia de las nuevas tecnológicas, a través de su capacitación y experiencia, que suministra información u opinión fundada a profesionales, empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. El Perito Judicial Telemático es el encargado de analizar los diferentes elementos informáticos, y buscar aquellos datos que puedan constituir la evidencia digital que servirá, de manera contundente, para el esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no están obligados de conocer. Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados, Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos según lo dispuesto en la leyes. En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informática. Para ejercer como Perito Judicial informático en España es indispensable una titulación oficial o por una Asociación Profesional de Peritos Informáticos, reconocida por el Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia. Su titulación le acredita como encargado experto con amplios conocimientos sobre informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de cualquier índole, que pueda ser imputable como delito. Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles, de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001 de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de 2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss.
www.antpji.com
Página 8
Curso de Perito Telemático Forense Cuando un Perito Informático es nombrado por un Juez, Magistrado o Administració n, automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y reglamentos especiales (art. 470 a 480, LOPJ). En el ámbito jurídico, el Perito Judicial Informático es un profesional nombrado por la autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables conocimientos especializados. El Peritaje Informático es aportado en función de los conocimientos del Perito Informático, la localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de su especialización en la realización de todas las pruebas digitales, combinando la auditoria forense y su pericia. El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que circula libremente es usado por delincuentes que utilizan la tecnología para facilitar el cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecución de delito y el delincuente. La obtención de Información digital (evidencias electrónicas) se constituye en una de las facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los Peritos Informáticos encargados de la recolección preservación, análisis y presentación de las evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas evidencias, a fin de ser utilizadas posteriormente ante el Tribunal. Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen como valor probatorio de un procedimiento judicial. No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la posesión de la verdad material. De esta manera se confirmará la existencia de la infracción y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, todo esto servirá para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. El objetivo del Perito Telemático es la de recuperar los registros y mensajes de datos existentes dentro
www.antpji.com
Página 9
Curso de Perito Telemático Forense de un equipo informático, de tal manera que toda esa información digital, pueda ser usada como prueba ante un tribunal. La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización de las evidencias digitales, que sirven para el esclarecimiento de los caso. El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función, entre ellas están una integridad intachable para determinar neutralmente los hechos sin ninguna preferencia o afición por ninguna de las partes. Debe poseer un perfil técnico, con amplios conocimientos legales con una formación Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentación judicial. Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística; siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia electrónica (información de valor probatorio almacenada o transmitida en forma digital) es una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la exactitud y la confiabilidad de este tipo de evidencia. Se exige además de la formación pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje científico, no cientificista, que permita al profano en esta ciencia comprender el mismo. Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma importancia no arrojar ninguna duda sobre los medios probatorios tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio o fin para configurar una conducta ilícita. El dictamen del Perito Judicial Telemático, es una declaración de ciencia que debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha de valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y desarrollan una línea de investigación forense en informática. Las tareas a desarrollar por el perito informático no son distintas de la de otros peritos judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigación realizada.
Derechos y deberes del Perito Telemático Derechos El perito tiene el derecho básico de cobrar honorarios por la elaboración del dictamen, conforme al arancel correspondiente, en su caso. El tema se resuelve de manera satisfactoria en la nueva regulación del proceso civil ya que, frente a la situación anterior, se prevé, de un lado, quién deberá abonar los honorarios del perito designado por el juez y, de otro, la
www.antpji.com
Página 10
Curso de Perito Telemático Forense necesidad de que se realice provisión de fondos al perito nombrado. De esta forma se resuelve el problema práctico de la “adecuada y tempestiva remuneración de los peritos” (Exposición de Motivos de la Ley de Enjuiciamiento Civil, apdo XI). De esta forma, el dictamen que emita el perito de designación judicial será a costa de quien lo haya pedido, sin perjuicio de lo que se pueda acordar posteriormente en materia de costas (art. 339.2.1º LEC). Cuando ambas partes lo hubieran pedido inicialmente, el juez podrá designar, si se muestran conformes, un único perito que emita el informe solicitado. En tal caso, el abono de los honorarios del peritos corresponderá a ambos litigantes por partes iguales, sin perjuicio de lo que pudiera acordarse en materia de costas (art. 339.2.3º LEC). Por tanto, de acuerdo con el art. 241 LEC, las costas y gastos del proceso se irán pagando a medida que se vayan produciendo; todo ello sin perjuicio del derecho que le asiste de repercutir esos gastos en la parte contraria, una vez firme la resolución judicial que ponga fin al proceso a través del procedimiento de apremio, previa su tasación. En lo que se refiere a la provisión de fondo, ésta podrá ser solicitada, a cuenta de la liquidación final, por los peritos de designación judicial en el plazo de los tres días siguientes a su nombramiento. El tribunal decidirá sobre la provisión solicitada y ordenará a la parte o partes que hubieren propuesto la prueba pericial y no tuviesen derecho a la asistencia jurídica gratuita, que procedan a abonar la cantidad fijada en la cuenta de Depósitos y Consignaciones del tribunal en el plazo de cinco días. Transcurrido dicho plazo si no se hubiere procedido al depósito, el perito quedará eximido de emitir el dictamen (art. 342.3 LEC). Deberes El deber primordial de los peritos es el de elaborar y emitir el dictamen correctamente, es decir, aplicando científicamente los conocimientos profesionales y que se requieren para el caso concreto, deber que no se expresaba en la ley anterior (simplemente se aludía a que emitiesen el dictamen “bien, fielmente” y dentro del plazo establecido por el juez) pero que se recoge en la nueva ley procesal en la que se alude a la obligación de prestar juramento o promesa de decir verdad y de actuar con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que pueda perjudicar a cualquiera de la partes (art. 335.2 LEC) y que se deriva también del régimen de responsabilidad que examinaremos con detenimiento a continuación. Para ello tienen la obligación previa de comparecer en juicio y así, acto seguido, jurar o prometer decir verdad, indicando que va a actuar o que ha actuado con la mayor objetividad posible, manifestando que conoce las sanciones penales previstas para el caso de incumpliendo de este deber. De esta forma, una vez designado el perito por el juez y hecho el correspondiente llamamiento, tiene obligación de comparecer para aceptar el cargo, salvo que concurra justa causa que deberá ser alegada en ese momento (art. 342.2 LEC). Solamente cuando el motivo de la causa sea aceptado por el juez, quedará el perito relevado de su obligación de aceptar el nombramiento. Por último, no siempre será necesario proceder a la ratificación posterior del dictamen pericial presentado puesto que la presencia del perito en el juicio queda al criterio del órgano judicial,
www.antpji.com
Página 11
Curso de Perito Telemático Forense pudiendo hacer peticiones en ese sentido las partes (arts. 337.2 y 346 LEC), si bien, el órgano judicial puede acordar en todo caso mediante providencia que considera necesaria la presencia del perito en el juicio o la vista para comprender y valorar mejor el dictamen realizado (art. 346 LEC). En estos casos, cuando se considere necesaria la intervención del perito, éste estará obligado a comparecer en el día señalado para la celebración del acto del juicio en el procedimiento ordinario o la vista del juicio verbal, salvo que le resulte imposible por causa mayor u otro motivo de análoga entidad, en cuyo caso deberá manifestarlo así al juez (art. 183.1 LEC). Si el juez acepta la excusa, decidirá, previa audiencia de las partes, si deja sin efecto el señalamiento del juicio o de la vista y efectúa otro nuevo, o si cita al perito para la práctica de la actividad probatoria fuera del juicio o vista (arts. 183.4 y 430 LEC). Por el contrario, si el juez no considera debidamente acreditada o suficiente la excusa del perito, mantendrá el señalamiento del juicio o vista y se lo hará saber a través de la correspondiente notificación, al tiempo que le requiere para comparecer, bajo apercibimiento de proceder contra él por desobediencia al a autoridad judicial (arts. 183.4 y 292 LEC). A esto se añade además que si el juez, en el momento de resolver sobre la suficiencia de la excusa del perito aprecia que éste actuó con dilación injustificada o sin fundamento, podrá imponerle una multa de hasta cien mil pesetas (art. 183.5 LEC). Los funcionarios públicos que hayan accedido a un cuerpo o escala del grupo A en su condición Perito Judicial, estarán exceptuados de obtener el título de Perito Judicial de los Tribunales de Justicia a los efectos descritos en el artículo 1 de este proyecto de Ley. 2. La actuación del personal contratado y al servicio de las Administraciones Públicas o entidades públicas ante juzgados y Tribunales en el desempeño de las funciones propias del cargo del Perito Judicial, se regirá por lo dispuesto en este proyecto de ley (servicios de asistencia técnica contratada mediante Ley de Contrataciones Públicas al amparo del REAL DECRETO LEGISLATIVO 2/2000, de 16 de junio). Disposición adicional cuarta. Adaptación de las normas colegiales a lo previsto en esta ley. Los colegios profesionales de Peritos Judiciales que puedan crearse adaptarán su normativa a lo previsto por esta ley. Disposición adicional quinta. Accesibilidad. Al objeto de favorecer el acceso de las personas con discapacidad a las profesiones de Perito Judicial, en el diseño y realización de los cursos y evaluaciones a que se refiere el artículo 2.2 del presente proyecto de Ley, se tendrán en cuenta criterios de accesibilidad. Disposición adicional sexta. Consejos autonómicos. Las referencias al Consejo General de Peritos Judiciales, o a sus respectivos Estatutos, contenidas en el articulado de la Ley, se entenderán hechas, en su caso, a los respectivos Consejos autonómicos o a su normativa reguladora, de conformidad con lo que disponga la legislación aplicable. Disposición adicional séptima. Especialista en Pericia Judicial. A los efectos de la presente Ley, la referencia a la especialización de 2º grado se entenderá hecha a la Licenciatura de las diferentes especialidades, cuando así corresponda. Disposición transitoria única. Profesionales colegiados o asociados a la entrada en vigor de la exigencia de título profesional.
www.antpji.com
Página 12
Curso de Perito Telemático Forense 1. Los títulos profesionales regulados en esta norma no serán exigibles a quienes ya estén en posesión de algún título universitario de 2º grado en la especialidad de Pericia Judicial y estuvieran incorporados algún Colegio o Asociación profesional en el momento de la entrada en vigor de la presente ley. 2. Los títulos profesionales regulados en esta Ley tampoco serán exigibles a quienes, sin estar incorporados a un Colegio o Asociación profesional a su entrada en vigor, hubieran estado incorporados antes de su entrada en vigor como ejercientes durante un plazo continuado o discontinuo no inferior en su cómputo total a un año, siempre que concurran en los demás requisitos de acceso y procedan a colegiarse antes de volver a ejercer como tales, y no hubieran causado baja por sanción disciplinaria. Disposición final primera. Título competencial. Las disposiciones contenidas en esta ley, dictadas al amparo del artículo 149.1. Ia, 6a y 30a de la Constitución Española y la Ley Orgánica 5/1980, de 19 de junio, por la que se regula el Estatuto de Centros Escolares, en el número dos, apartado b) de la disposición adicional establecen entre las competencias del Estado la de regular las condiciones para la obtención, expedición y homologación de los títulos académicos y profesionales no universitarios, con validez en todo el territorio español. Disposición final segunda. Habilitación reglamentaria. Se faculta al Gobierno, al Ministro de Justicia, al Ministro de Educación y Ciencia y a los titulares de los Departamentos ministeriales competentes para dictar cuantas disposiciones reglamentarias fueran necesarias para el desarrollo y ejecución de la presente ley. Disposición final tercera. Entrada en vigor de esta ley. Esta Ley entraría en vigor transcurrido 1 año desde su publicación en el Boletín Oficial del Estado.
Áreas de actuación de los Peritos Telemáticos
Propiedad industrial: Espionaje / Revelación de secretos.
Acceso o copia de ficheros de la empresa, planos, fórmulas, costes,
Uso de información: Competencia desleal de un empleado.
Vulneración de la intimidad. Lectura de correo electrónico.
Despido por causas tecnológicas.
Valoraciones de bienes informáticos y Telemáticos.
Interceptación de telecomunicaciones.
Protección de datos personales y datos reservados de personas jurídicas.
Apoderamiento y difusión de datos reservados.
Manipulación de datos o programas.
Valoraciones de bienes informáticos.
Hardware, redes y componentes (todos los sistemas).
Instalaciones y desarrollos llave en mano.
Vulneración de la buena fe contractual.
Publicidad engañosa, competencia desleal.
www.antpji.com
Página 13
Curso de Perito Telemático Forense
Delitos económicos, monetarios y societarios.
Delitos contra el mercado o contra los consumidores.
Delitos contra la propiedad intelectual.
Uso de de software sin licencia. Piratería.
Copia y distribución no autorizada de programas de ordenador.
Daños mediante la destrucción o alteración de datos. Sabotaje.
Estafa, fraudes, conspiración para alterar el precio de las cosas
Pornografía infantil: acceso o posesión, divulgación, edición
Uso indebido de equipos informáticos: daños o uso abusivo.
Sin duda, El Perito Judicial Telemático, será el profesional más demandado por una sociedad cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual.
Capacitación Profesional del Perito Judicial en los Tribunales de España La regulación del régimen de acceso a la profesión del Perito Judicial en España es una exigencia derivada del artículo 9.3, 24 y 103 de la Constitución Española: estos profesionales son Auxiliares (operadores técnico-jurídicos) fundamentales de la justicia, y la calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra Constitución garantiza a la ciudadanía (Según el art.24 CE). La experiencia del Derecho comparado muestra que la actuación ante los Tribunales de Justicia y las demás actividades de Auxilio y asistencia jurídica requieren una acreditación previa de una capacitación profesional específica que va más allá de la obtención de una simple diplomatura o titulación universitaria. Ello justifica la regulación de una especialización profesional complementaria al título universitario en una materia determinada, exigible para desarrollar la actividad de "Perito Judicial" como un operador más, asiente o auxiliar de la justicia ad hoc utilizando la denominación de "Perito Judicial"; exigible para actuar ante los Tribunales de Justicia en calidad de tal. En una Europa que camina hacia una mayor integración, se hace imprescindible la homologación de esta profesión jurídica, en orden a garantizar la fluidez en la circulación y el establecimiento de profesionales, uno de los pilares del mercado único que constituye base esencial de la Unión Europea. Son profesiones aquellas que se caracterizan por la aplicación de conocimientos y técnicas propias de una ciencia o rama del saber para el ejercicio de las cuales es necesario estar en posesión de conocimientos técnicos específicos y, en su caso, cumplir otras condiciones habilitadoras establecidas por la ley. PROFESIÓN: (Real Academia Española) Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribución.
www.antpji.com
Página 14
Curso de Perito Telemático Forense Teniendo en cuenta que la necesaria capacitación profesional de estos operadores jurídicos (Peritos Judiciales) en el ejercicio de sus funciones deben garantizar la tutela judicial efectiva, esto ha sido una reivindicación constante de los representantes profesionales en algunos de los Congresos celebrados por los Peritos Judiciales .El reconocimiento a efectos profesionales de la formación práctica adicional al título profesional en una especialidad permite coordinar e integrar el proceso con el sistema de estudios universitarios, con el que, sin embargo, y con pleno respeto a la autonomía universitaria y a su regulación sectorial, no se interfiere. Ahora bien, tal y como prevé ya la regulación universitaria, no puede prescindirse en este caso del establecimiento de criterios a los que deberán sujetarse los estudios universitarios a los efectos de posibilitar el acceso a la obtención de los títulos profesionales que se regulan según la actual ley de titulaciones universitarias (Ley Orgánica 6/2001, de 21 de Diciembre, de Universidades; art. 1.2 apartados a,b,c y 34.3). A tal fin es necesaria una acreditación de los contenidos formativos conjuntamente por el Ministerio de Justicia y el Ministerio de Educación y Ciencia (Real Decreto 1564/1982, de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición y homologación de los títulos académicos y profesionales no universitarios), con la decisiva exigencia de prácticas externas, profesorado especialmente cualificado para la impartición de esta formación específica de contenido práctico, etc. Por otra parte, el modelo no puede obviar la realidad de la existencia de numerosas y prestigiosas Escuelas de Práctica Jurídica para Peritos, cuya integración en el sistema descrito se produce por su necesario concierto con las Universidades. (Actualmente Universidad de Alcalá de Henares y la Universidad Autónoma de Barcelona, están impartiendo titulaciones específicas).En todo caso, para garantizar de forma objetiva la capacitación profesional del "Especialista en Pericia Judicial" así formado, se incluye al final del período formativo Práctico una evaluación de naturaleza general, creando a tal fin una Comisión plural con importante representación de los sectores universitarios y profesionales afectados. Entrando ya en el análisis del articulado, cabe destacar que se regula el título acreditativo de aptitud profesional, "Perito Judicial de los Tribunales de Justicia"(Al igual que el de Procurador de los Tribunales de Justicia). La Ley no interfiere, más allá de constituir estos títulos, en los presupuestos de ejercicio profesional con los de cualquier otra titulación oficial. Como establece el capítulo II, la formación que nos ocupa podrá ser impartida por las Universidades, si bien no puede olvidarse que estamos ante un título profesional, de manera que, como ya se ha indicado, a efectos de admitir los correspondientes programas de estudios como suficientes para la capacitación profesional, y sin que ello interfiera en su validez académica, éstos cursos serán acreditados conjuntamente por el Ministerio de Justicia y el Ministerio de Educación y Ciencia. Ello otorga una gran flexibilidad al modelo y respeta al máximo la autonomía universitaria, pues permite que las Universidades decidan qué configuración tendrán estos estudios en cada, sin interferir en la posibilidad de que, además las Universidades organicen otros estudios jurídicos de postgrado con la validez académica que les otorgue la normativa sectorial vigente. Asimismo se reconoce la validez de la formación práctica impartida en las Escuelas de Formación y Práctica Jurídica de Peritos Judiciales y demás centros que puedan ser homologados por las Corporaciones profesionales, dentro de los convenios antes referidos, como reconocimiento a la labor de preparación de los profesionales. En cuanto a la evaluación
www.antpji.com
Página 15
Curso de Perito Telemático Forense final se refiere, si bien la misma, para garantizar la objetividad, será única en todo el territorio nacional, razones de operatividad aconsejan su descentralización, con la creación de una comisión evaluadora para el territorio de cada Comunidad Autónoma donde tengan su sede los Centros Centros que impartan esta formación práctica. práctica. En cuanto a las Disposiciones que complementan el texto, debe destacarse el establecimiento de un periodo de "vacatio legis" para la entrada en vigor de esta norma, durante el que no se exigirán el título profesional de Perito Judicial de los tribunales para colegiarse y ejercer la respectiva profesión, valorándose la experiencia adquirida en el ejercicio de su actividad mediante certificado por Secretario Judicial de los procedimientos procedimientos en que ha intervenido en los últimos últimos 5 años como mínimo. Asimismo, se ha resuelto la cuestión de aquellos que ejercen la Pericia Forense desde desde otra función para cuyo desempeño desempeño han superado pruebas selectivas acreditativas de capacitación jurídica, respecto de los cuales carecería de sentido sentido someterlos a un proceso formativo y a una evaluación reiterativa si deciden pasar a desempeñar la profesión del Perito Judicial. La competencia estatal está amparada en el artículo 14, 149.1. 1.a, 6.a y 30.a de la Constitución, por lo que las previsiones de esta Ley serán de aplicación en todo el territorio nacional. Los Peritos Judiciales son Auxiliares fundamentales en la impartición de justicia, y la l a calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra Constitución garantiza a la ciudadanía. Complementando lo ya dispuesto al efecto en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en la Ley 1/1996, de 10 de enero, de Asistencia Jurídica Gratuita, que consagran la función del perito judicial, a los que reserva su actuación, de modo que a los mismos corresponde garantizar la asistencia al ciudadano mediante la prueba prueba pericial en el proceso, proceso, de forma forma obligatoria cuando cuando así lo exija la norma procesal y, en todo caso, como derecho a la defensa expresamente reconocido por la Constitución. La intervención del Perito Judicial, conforme al concepto amplio de tutela judicial efectiva. 2. La experiencia del Derecho comparado muestra que la actuación ante los tribunales de justicia y las demás actividades de asistencia técnica jurídica requieren la acreditación previa de una capacitación profesional que va más allá de la obtención de una titulación universitaria. Ello justifica la regulación de un título profesional complementario al título universitario de una ciencia determinada: el título profesional de Perito Judicial, exigible para prestar asistencia jurídica utilizando la l a denominación de Perito Judicial de los tribunales de justicia; exigible para actuar ante los tribunales en calidad de tal. 3. La obtención del título profesional de Perito Judicial de los tribunales de justicia en la forma determinada por este estudio de proposición de proyecto de Ley es necesaria para el desempeño desempeño de la asistencia Técnica en aquellos aquellos procesos judiciales y extrajudiciales en los que la normativa normativa vigente imponga imponga o faculte la intervención del Perito Judicial y/o extrajudicial y, en todo caso, para prestar asistencia o asesoramiento en derecho utilizando utilizando la denominación de Perito Judicial; todo ello sin perjuicio del cumplimiento de cualesquiera otros requisitos exigidos por la normativa vigente para el ejercicio de la Pericia Forense. 4. La obtención del título profesional profesional de Perito Judicial Judicial de los tribunales de justicia en la forma determinada por esta Ley es necesaria para desempeñar desempeñar la representación legal de las partes en los procesos judiciales en calidad de Perito Judicial, realizando los actos de cooperación con la Administración de Justicia que la ley les autorice, así como para utilizar la denominación de Perito judicial, judicial, sin perjuicio del cumplimiento cumplimiento de de
www.antpji.com
Página 16
Curso de Perito Telemático Forense cualesquiera otros requisitos exigidos por la normativa vigente para la actuación ante los tribunales de justicia. 5. La obtención de los títulos profesionales de Perito Judicial de los tribunales de justicia será requisito imprescindible para la colegiación en los correspondientes Colegios profesional que puedan crearse para tal fin. Artículo 2. Acreditación de aptitud profesional. 1. Tendrán derecho a obtener el título profesional de Perito Judicial de los tribunales de justicia, las personas que se encuentren en posesión de algún título universitario de segundo grado como "Especialista Universitario en Pericia Judicial" , o del Título de Grado que lo sustituya de acuerdo con las previsiones contenidas en los artículos 34.3, 38 y 88 de la Ley Orgánica 6/2001, de 21 de diciembre de Universidades y su Normativa de desarrollo y que acrediten su capacitación profesional mediante la superación de la correspondiente formación especializada y la evaluación regulada por esta Ley. La formación especializada necesaria para poder acceder a las evaluaciones conducentes a la obtención de estos títulos es una formación reglada y de carácter oficial que se adquirirá a través de la realización de cursos de formación acreditados conjuntamente conjuntamente por el Ministerio de Justicia y el Ministerio de Educación y Ciencia a través del procedimiento que reglamentariamente se establezca. 3. Los títulos profesionales regulados en esta ley serán expedidos por el Ministerio de Justicia y/o de Educación y Ciencia ((Real Decreto 1564/1982, de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición y homologación de los títulos académicos y profesionales no universitarios). Real Decreto 942/2003, de 18 de julio, por el que se determinan las condiciones condiciones básicas que deben deben reunir las pruebas para la obtención de los títulos de Técnico y Técnico Superior de Formación Profesional Específica. La Ley Orgánica 5/2002, de 19 de junio, de las Cualificaciones y de de la Formación Profesional, establece en su artículo 8 que los títulos de formación profesional tienen carácter oficial y validez en todo el territorio nacional y que acreditan las correspondientes cualificaciones profesionales a quienes los hayan obtenido. Asimismo establece, que la evaluación y la acreditación de las competencias competencias profesionales adquiridas a través de la experiencia laboral o de vías no formales de formación, tendrá como referente el Catálogo Nacional de Cualificaciones Profesionales y que el reconocimiento de las competencias profesionales así evaluadas, cuando no completen las cualificaciones recogidas en algún título de formación profesional, se realizará a través de una acreditación parcial acumulable con la finalidad, finalidad, en su caso, de de completar la formación conducente a la obtención del correspondiente título. Los cursos c ursos de formación para Peritos Judiciales podrán ser organizados e impartidos por Universidades públicas o privadas, Escuelas de Práctica Jurídica Jurídica y otros centros de formación práctica profesional. 2. Todos estos centros deberán establecer al efecto los convenios a los que se hace referencia referencia en el presente presente capítulo. Artículo 4. Formación Universitaria. 1. Los cursos de formación para "Peritos Judiciales" podrán ser organizados e impartidos por Universidades públicas o privadas, de acuerdo con la normativa reguladora de la enseñanza universitaria de postgrado (art. 34.3 Ley Orgánica de Universidades) y, en su caso,
www.antpji.com
Página 17
Curso de Perito Telemático Forense dentro del régimen de precios públicos, y deberán ser acreditados, a propuesta de éstas (81.3.c. de la Ley Orgánica 6/2001, de 21 de diciembre). Esta acreditación se otorgará sin perjuicio de las autorizaciones y aprobaciones a probaciones exigidas por la normativa educativa a los efectos de la validez y titulación académica de los referidos cursos. 2. Constituirán requisitos indispensables para la acreditación de los referidos cursos que éstos comprendan la realización de un periodo periodo de prácticas externas en los términos del artículo 6, y que incluyan la realización realización de la evaluación regulada en el capítulo III. 3. Reglamentariamente se establecerá el procedimiento y los requisitos que deberán cumplir tales cursos para su acreditación periódica en lo referente a su contenido y duración, así como a la titulación y cualificación del profesorado, de modo que quede garantizada la presencia de la mitad, al menos, de profesionales colegiados. La duración de los cursos será de un mínimo de 27 créditos (Título de Especialista), más los créditos necesarios para la realización de las prácticas externas referidas en el artículo 6. Artículo 5. Escuelas concertadas de práctica jurídica y otras enseñanzas. 1.Las Escuelas de Práctica Jurídica que puedan crearse c rearse por los Colegios o Asociaciones de reconocido prestigio de Peritos Judiciales que hayan sido homologados por el Consejo General de Peritos Judiciales conforme a su normativa reguladora podrán organizar e impartir cursos que permitan acceder a la evaluación regulada regulada en el artículo 7, siempre que los citados cursos sean acreditados por los Ministerios de Justicia y/o de Educación y Ciencia en la forma que reglamentariamente se determine. 2. También podrán impartir cursos que permitan acceder a la evaluación regulada en el artículo 7 otros centros de formación práctica profesional para Titulados en Especialistas en Pericia Judicial por distintas Universidades, siempre que los citados cursos sean acreditados conjuntamente por los Ministerios de Justicia y/o de Educación y Ciencia en la forma que reglamentariamente se determine. 3. Para que se pueda proceder a la acreditación y reconocimiento de sus sus cursos a los efectos de la determinación de su programa, contenido, profesorado y demás circunstancias, las Escuelas de práctica jurídica y otros centros referidos en este artículo deberán haber celebrado un convenio con una Universidad, pública o privada, por el que se garantice el cumplimiento de las exigencias generales previstas en el artículo 4 para los cursos de formación. Asimismo, deberán prever la realización de un periodo de prácticas externas en Pericia Jurídica, según estén orientados a la formación profesional de los Peritos Judiciales, en los términos del artículo siguiente, y la realización de la evaluación regulada en el capítulo III. Artículo 6. Prácticas externas. 1. Las prácticas externas en actividades propias del ejercicio profesional del Perito Judicial, con los requisitos que reglamentariamente se determinen, deberán constituir un tercio, como máximo, del contenido formativo formativo de los cursos cursos a que se refieren refieren los artículos precedentes, precedentes, quedando como parte integrante de los mismos. En ningún caso implicarán relación laboral o de servicios.
www.antpji.com
Página 18
Curso de Perito Telemático Forense 2. Las prácticas se realizarán bajo la tutela de un Perito Judicial, según se dirijan a la formación para el ejercicio de la Pericia judicial. Los tutores serán Peritos Judiciales con un ejercicio profesional superior a cinco años. Los respectivos Estatutos Generales del Perito Judicial reglamentarán los demás requisitos para el desempeño de la tutoría, así como los derechos y obligaciones del tutor, cuya infracción dará lugar a responsabilidad disciplinaria. 3. En los supuestos regulados en los artículos 4 y 5.2, deberá haberse celebrado un convenio entre la Universidad o Centro formativo y al menos un Colegio Profesional o Asociación de reconocido prestigio de Peritos Judiciales, que establezca la fijación del programa de prácticas y la designación de los correspondientes tutores, el número máximo de alumnos que podrá asignarse a cada tutor, los lugares o instituciones donde se efectuarán las prácticas, así como los mecanismos de control del ejercicio de éstas, dentro de los requisitos fijados reglamentariamente.
Acreditación de la capacitación profesional Artículo 7. Evaluación. 1. La evaluación de la aptitud profesional, que culmina el proceso de capacitación profesional, tiene por objeto acreditar, de modo objetivo, formación práctica suficiente para el ejercicio de la profesión de Perito Judicial, así como el conocimiento de las respectivas normas deontológicas y profesionales. Las comisiones para la evaluación de la aptitud profesional serán convocadas por el Ministerio de Justicia y/o el Ministerio de Educación y Ciencia, oídas las Comunidades Autónomas, el Consejo de Coordinación Universitaria y el Consejo General de Peritos Judiciales. Reglamentariamente se establecerá la composición de la comisión evaluadora para el acceso a Perito Judicial de los tribunales de Justicia, que serán únicas para los cursos realizados en el territorio de una misma Comunidad Autónoma, asegurando la participación en ellas de representantes del Ministerio de Justicia y/o del Ministerio de Educación y Ciencia, y de miembros designados a propuesta de la respectiva Comunidad Autónoma. Tanto la evaluación para el acceso profesional del Perito Judicial tendrá contenido único para todo el territorio español en cada convocatoria. 4. Reglamentariamente se determinará el procedimiento por el cual el Ministerio de Justicia fijará el contenido concreto de cada evaluación, con participación de las Universidades organizadoras de los cursos, del Consejo General de los Perito Judiciales Españoles. 5. Las convocatorias tendrán una periodicidad mínima anual y no podrán establecer un número limitado de plazas. 6. Reglamentariamente se regulará el procedimiento de convocatoria, lugares y forma de celebración de la evaluación, publicación y comunicación de los resultados y demás requisitos necesarios para su realización. Asimismo, se regularán los programas y sistema de evaluación, de los Peritos Judiciales, de acuerdo con la capacitación necesaria para el desempeño de la profesión. Disposición adicional primera. Libertad de establecimiento. El ejercicio permanente en España de la profesión del Perito Judicial con título profesional obtenido en otro Estado miembro de la Unión Europea o del Acuerdo sobre el Espacio
www.antpji.com
Página 19
Curso de Perito Telemático Forense Económico Europeo se regulará por su legislación específica. Disposición adicional segunda. Informe en Derecho. Lo previsto en esta Ley no constituye obstáculo para que los peritos Licenciados o Graduados en alguna ciencia o práctica sin título profesional de Perito Judicial de los tribunales de Justicia puedan informar jurídicamente en aquellos supuestos en que no esté legalmente reservado al Perito Judicial de los tribunales de Justicia. 2. Dichos peritos Licenciados, Graduados o Diplomados podrán inscribirse como tales Licenciados, Graduados o Diplomados como especialistas en Pericia Judicial en los Colegios de Peritos Judiciales en los términos que deberán establecerse en el Estatuto General del Perito Judicial.
Derecho Informático Aspectos legales y jurídicos del Perito Judicial
Contexto legal del perito Como en cualquier estudio legal que a la ley española se refiera, en primer lugar debemos acudir, a la carta magna, nuestra constitución del año 1978, en esta constitución nos encontramos, en lo referente al proceso judicial, el artículo 24, que hace referencia a la tutela judicial efectiva y dice así: Artículo 24. 1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces y tribunales en el ejercicio de sus derechos e intereses legítimos, sin que, en ningún caso, pueda producirse indefensión. 2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia. En lo que afecta al tema que estamos tratando hoy debemos fijarnos en la siguiente expresión: a utilizar los medios de prueba pertinentes para su defensa. Es aquí donde nuestro ordenamiento jurídico otorga calidad de derecho fundamental a la tutela judicial efectiva, y como parte integrante de la misma al derecho a presentar los medios de prueba pertinentes para la defensa de sus intereses. Como medio de prueba relevante en este día nos encontramos con la prueba pericial, como uno de los medios probatorios, junto con muchos otros, para la estrategia procesal de defensa o acusación. Una vez visto el marco constitucional debemos establecer ahora cuales son las leyes que regulan de forma más especifica la figura del perito judicial.
www.antpji.com
Página 20
Curso de Perito Telemático Forense Así tenemos que hacer parada obligatoria en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que regula la figura del perito judicial y la pericia, entre sus artículos 340 y 352. Del mismo modo debemos recalar en la Ley de enjuiciamiento Criminal, que regula el informe pericial entre sus artículos 456 a 485. La diferencia entre las leyes de enjuiciamiento civil y criminal es el ámbito de cada una de el las. Mientras que la ley de enjuiciamiento criminal se dedica a lo que conocemos como derecho penal, es decir su ámbito de acción es el Código Penal, las faltas y delitos que un individuo puede cometer y que, en última instancia, pueden llevarle a prisión, la Ley de Enjuiciamiento civil, se dedica por el contrario al ámbito civil, o lo que es lo mismo, a aquellos conflictos entre particulares, ya sean personas físicas o jurídicas, que no constituyen ninguna falta o delito pero que si pueden conllevar responsabilidades de otro tipo, en especial dinerarias.
¿Qué es un Perito? El perito judicial o perito forense es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los juzgados o tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. En concreto la Ley de Enjuiciamiento Civil, en su artículo 340, exige en referencia a los peritos, las siguientes condiciones:
Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre personas entendidas en aquellas materias. Podrá asimismo solicitarse dictamen de Academias e instituciones culturales y científicas que se ocupen del estudio de las materias correspondientes al objeto de la pericia. También podrán emitir dictamen sobre cuestiones específicas las personas jurídicas legalmente habilitadas para ello.
Mientras que la Ley de Enjuiciamiento Criminal, mucho más escueta, nos dice que podrán ser peritos tanto aquellos que tienen un título oficial como los que no, si bien los primeros tendrán preferencia sobre los segundos.
¿Cuándo se nombrará a un perito? Se nombrará a un perito, en un procedimiento civil, cuando sean necesarios conocimientos científicos, artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en la ley, que se emita dictamen por perito designado por el tribunal. Mientras que en un procedimiento penal el Juez acordará el informe pericial cuando, para conocer o apreciar algún hecho o circunstancia importante en el sumario, fuesen necesarios o convenientes conocimientos científicos o artísticos.
www.antpji.com
Página 21
Curso de Perito Telemático Forense Como podemos ver el perito suministra al juez el peritaje u opinión fundada de una persona especializada en determinadas ramas del conocimiento que el juez no está obligado a dominar, a efecto de suministrarle argumentos o razones para la formación de su convencimiento.
El procedimiento de solicitud de un perito El procedimiento de peritaje puede iniciarse de dos formas: 1. De oficio: En cuyo caso el juez o tribunal es quien considera necesaria la intervención de uno o varios peritos. Bien sea a iniciativa propia o porque una de las partes le solicite que lo haga. 2. A instancia de parte: Cuando una de las partes interesadas en el proceso es quien aporta el informe pericial. En el procedimiento civil el informe pericial a instancia de parte puede presentarse en el mismo momento de la demanda. De esta forma los dictámenes de que los litigantes dispongan, elaborados por peritos por ellos designados, y que estimen necesarios o convenientes para la defensa de sus derechos, habrán de aportarlos con la demanda o con la contestación, si ésta hubiere de realizarse en forma escrita. Los dictámenes se formularán por escrito, acompañados, en su caso, de los demás documentos, instrumentos o materiales adecuados para exponer el parecer del perito sobre lo que haya sido objeto de la pericia. Si no fuese posible o conveniente aportar estos materiales e instrumentos, el escrito de dictamen contendrá sobre ellos las indicaciones suficientes. Podrán, asimismo, acompañarse al dictamen los documentos que se estimen adecuados para su más acertada valoración. Se entenderá que al demandante le es posible aportar con la demanda dictámenes escritos elaborados por perito por él designado, si no justifica cumplidamente que la defensa de su derecho no ha permitido demorar la interposición de aquélla hasta la obtención del dictamen. En los juicios con contestación a la demanda por escrito, el demandado que no pueda aportar dictámenes escritos con aquella contestación a la demanda deberá justificar la imposibilidad de pedirlos y obtenerlos dentro del plazo para contestar. Si no les fuese posible a las partes aportar dictámenes elaborados por peritos por ellas designados, junto con la demanda o contestación, expresarán los dictámenes de que pretendan valerse, que hayan de aportar, para su traslado a la parte contraria, en cuanto dispongan de ellos, y en todo caso con carácter previo al juicio ordinario o vista en verbal. Una vez aportados los dictámenes, las partes habrán de manifestar si desean que los peritos autores de los dictámenes comparezcan en el juicio o, en su caso, en la vista del juicio verbal, expresando si deberán exponer o explicar el dictamen o responder a preguntas, objeciones o propuestas de rectificación o intervenir de cualquier otra forma útil para entender y valorar el dictamen en relación con lo que sea objeto del pleito.
www.antpji.com
Página 22
Curso de Perito Telemático Forense Del mismo modo la necesidad de la intervención pericial puede observarse durante la realización del juicio oral o después de la contestación a la demanda, dándose trámite en este caso para la entrega del informe y la oportuna participación del perito en la fase oral. Para el caso de peritos designados por el juez debemos distinguir varios casos. En primer lugar y si cualquiera de las partes fuese titular del derecho de asistencia jurídica gratuita, no tendrán que aportar con la demanda o la contestación el dictamen pericial, sino simplemente anunciarlo, a los efectos de que se proceda a la designación judicial de perito, conforme a lo que se establece en la Ley de Asistencia Jurídica Gratuita. Por otro lado tanto el demandante o como demandado, podrán solicitar en sus respectivos escritos iníciales que se proceda a la designación judicial de perito, si entienden conveniente o necesario para sus intereses la emisión de informe pericial. En tal caso, el Tribunal procederá a la designación, siempre que considere pertinente y útil el dictamen pericial solicitado. Dicho dictamen será a costa de quien lo haya pedido, sin perjuicio de lo que pudiere acordarse en materia de costas. Cuando ambas partes la hubiesen pedido inicialmente, el Tribunal podrá designar, si aquéllas se muestran conformes, un único perito que emita el informe solicitado. En tal caso, el abono de los honorarios del perito corresponderá realizarlo a ambos litigantes por partes iguales, sin perjuicio de lo que pudiere acordarse en materia de costas. En el juicio ordinario, si, a consecuencia de las alegaciones o pretensiones complementarias permitidas en la audiencia, las partes solicitasen, la designación por el tribunal de un perito que dictamine, lo acordará éste así, siempre que considere pertinente y útil el dictamen, y ambas partes se muestren conformes en el objeto de la pericia y en aceptar el dictamen del perito que el tribunal nombre. Lo mismo podrá hacer el tribunal cuando se trate de juicio verbal y las partes solicitasen designación de perito. Por su parte, y respecto al proceso penal, la Ley de Enjuiciamiento Criminal es más escueta en cuanto a la regulación del procedimiento pericial. En este caso los peritos podrán ser nombrados igualmente:
De Oficio por el propio tribunal, en este caso el nombramiento se realizará por el titular del juzgado y se hará saber a los peritos por medio de oficio, o incluso, si la urgencia del caso lo exige, podrá hacerse el llamamiento verbalmente de orden del Juez. En este caso nadie podrá negarse a acudir al llamamiento del Juez para desempeñar un servicio pericial, si no estuviere legítimamente impedido. Tenemos que aclarar aquí que aquellos que presten informe como peritos en virtud de orden judicial tendrán derecho a reclamar los honorarios e indemnizaciones que les correspondan.
www.antpji.com
Página 23
Curso de Perito Telemático Forense
Así mismo, y al igual que en el procedimiento civil, la pericia podrá solicitarse a instancia de parte. Tanto por el querellante como por el procesado, que tendrán derecho a nombrar a su costa un perito que intervenga en el acto pericial.
Si los querellantes o los procesados fuesen varios, se pondrán respectivamente de acuerdo entre sí para hacer el nombramiento. Estos peritos deberán ser titulados, a no ser que no los hubiere de esta clase en el partido o demarcación, en cuyo caso podrán ser nombrados sin título. Las partes manifestarán al Juez el nombre del perito y ofrecerán al hacer esta manifestación los comprobantes de tener la cualidad de tal perito la persona designada.
La designación del perito En el caso del proceso civil, y para el caso de la designación del perito por parte del órgano jurisdiccional, en el mes de enero de cada año se solicitará de los distintos Colegios profesionales o, en su defecto, de entidades análogas, así como de las Academias e instituciones culturales y científicas el envío de una lista de colegiados o asociados dispuestos a actuar como peritos. La primera designación de cada lista se efectuará por sorteo realizado en presencia del Secretario Judicial, y a partir de ella se efectuarán las siguientes designaciones por orden correlativo. Igualmente y para cuando haya de designarse perito a persona sin título oficial, práctica o entendida en la materia, previa citación de las partes, se realizará la designación por este procedimiento, usándose para ello una lista de personas que cada año se solicitará de sindicatos, asociaciones y entidades apropiadas. Si, por razón de la singularidad de la materia de dictamen, únicamente se dispusiera del nombre de una persona entendida o práctica, se recabará de las partes su consentimiento y sólo si todas lo otorgan se designará perito a esa persona. Seguidamente el secretario judicial comunicará esta decisión al perito titular, requiriéndole para que manifieste si acepta el cargo. En caso afirmativo, se efectuará el nombramiento y el perito hará, en la forma en que se disponga, la manifestación bajo juramento o promesa. Si el perito designado adujere justa causa que le impidiera la aceptación, y el Secretario judicial la considerara suficiente, este será sustituido por el siguiente de la lista, y así sucesivamente, hasta que se pudiere efectuar el nombramiento. Es importante conocer que el perito designado podrá solicitar, en los tres días siguientes a su nombramiento, la provisión de fondos que considere necesaria, la cual correrá a cuenta de su liquidación final. El Secretario judicial decidirá sobre la provisión solicitada y ordenará a la parte o partes que hubiesen propuesto la prueba pericial y no tuviesen derecho a la asistencia jurídica gratuita, que procedan a abonar la cantidad fijada en la Cuenta de Depósitos y Consignaciones del Tribunal. En caso de que no se deposite en tiempo y forma esa cantidad, el perito quedará eximido de emitir el dictamen, sin que pueda procederse a una nueva designación.
www.antpji.com
Página 24
Curso de Perito Telemático Forense En contraposición, y si el dictamen pericial se aporta en la demanda o contestación a la demanda directamente por el demandante o el demandado, el perito será el que ellos seleccionen, si bien deberán probar en juicio la validez de su designación, en caso de que la otra parte o el juzgado así se lo soliciten. En cuanto al procedimiento penal una vez seleccionado el perito, como veíamos anteriormente, por orden directa del juzgado, el Secretario judicial lo notificará inmediatamente al Ministerio Fiscal, al actor particular y al procesado. En caso de que el informe pericial se aporte por una de las partes se seguirán las mismas normas que en el proceso civil.
La recusación y la tacha Es importante detenernos en este punto en la recusación y la tacha, cuando alguno de los implicados tiene algo que oponer a la designación de un perito en concreto. En primer lugar cabe decir que solo podrán ser objeto de recusación los peritos designados judicialmente. En cambio, los peritos no recusables podrán ser objeto de tacha cuando concurra en ellos alguna de las siguientes circunstancias: 1. Ser cónyuge o pariente por consanguinidad o afinidad, dentro del cuarto grado civil de una de las partes o de sus abogados o procuradores. 2. Tener interés directo o indirecto en el asunto o en otro semejante. 3. Estar o haber estado en situación de dependencia o de comunidad o contraposición de intereses con alguna de las partes o con sus abogados o procuradores. 4. Amistad íntima o enemistad con cualquiera de las partes o sus procuradores o abogados. 5. Cualquier otra circunstancia, debidamente acreditada, que les haga desmerecer en el concepto profesional. Al formular tachas de peritos, se podrá proponer la prueba conducente a justificarlas. Igualmente cualquier parte interesada podrá dirigirse al tribunal a fin de negar o contradecir la tacha, aportando los documentos que consideren pertinentes. Si la tacha menoscabara la consideración profesional o personal del perito, éste podrá solicitar del tribunal que declare que la tacha carece de fundamento. En este punto el tribunal podrá emitir declaración de falta de fundamento de la tacha, o por el contrario apreciarla conforme a derecho con lo que el informe pericial carecerá de valor y no se tendrá en cuenta. En el caso de la recusación, peritos nombrados a instancia de parte, no podrán prestar informe pericial acerca del delito, cualquiera que sea la persona ofendida, los que no estarían obligados a declarar como testigos. En concreto son causa de recusación de los peritos:
www.antpji.com
Página 25
Curso de Perito Telemático Forense 1. El parentesco de consanguinidad o de afinidad dentro del cuarto grado con el querellante o con el reo. 2. El interés directo o indirecto en la causa o en otra semejante. 3. La amistad íntima o enemistad manifiesta. Tenemos que destacar que el perito que, hallándose comprendido en alguno de los casos de dicho artículo, preste el informe sin poner antes esa circunstancia en conocimiento del Juez incurrirá en la multa e incluso en responsabilidad criminal. El procedimiento consistirá en que el actor o el procesado que intente recusar al perito o peritos nombrados por el Juez deberán hacerlo por escrito antes de empezar la diligencia pericial, expresando la causa de la recusación y las pruebas que ofrezca. El juez examinará los documentos que produzca el recusante y oirá a los testigos que presente en el acto, resolviendo lo que estime justo respecto de la recusación. Si hubiera lugar a ella, suspenderá el acto pericial por el tiempo estrictamente necesario para nombrar el perito que haya de sustituir al recusado hacérselo saber y constituirse el nombrado en el lugar correspondiente. Si por el contrario no la admite, se procederá a continuar con la pericia.
El nombramiento del perito judicial En el proceso penal y antes de darse principio al acto pericial, todos los peritos, tanto los nombrados por el Juez como los que lo hubieren sido por las partes, prestarán juramento, de proceder bien y fielmente en sus operaciones y de no proponerse otro fin más que el de descubrir y declarar la verdad. Así mismo la Ley de Enjuiciamiento civil nos dice que al emitir el dictamen, todo perito deberá manifestar, bajo juramento o promesa decir verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podría incurrir si incumpliere su deber como perito.
El informe pericial El Juez manifestará clara y determinadamente a los peritos el objeto de su informe, cuando este se emita por petición suya. En cualquier caso el informe pericial comprenderá, como mínimo: 1. Descripción de la persona o cosa que sea objeto del informe, y del estado o modo en que se halle. 2. Relación detallada de todas las operaciones practicadas por los peritos y de su resultado.
www.antpji.com
Página 26
Curso de Perito Telemático Forense 3. Las conclusiones que en vista de tales datos formulen los peritos, conforme a los principios y reglas de su ciencia o arte.
La asistencia a juicio oral Tanto el juzgado como las partes podrán solicitar la asistencia a juicio del perito. En caso de solicitud en este sentido el tribunal sólo denegará las solicitudes de intervención que, por su finalidad y contenido, hayan de estimarse impertinentes o inútiles, o cuando existiera un deber de confidencialidad derivado de la intervención del perito en un procedimiento de mediación anterior entre las partes. En especial, las partes y sus defensores podrán pedir:
La exposición completa del dictamen, cuando esa exposición requiera la realización de otras operaciones, complementarias del escrito aportado, mediante el empleo de los documentos, materiales y cualesquiera otros elementos. La explicación del dictamen o de alguno o algunos de sus puntos, cuyo significado no se considerase suficientemente expresivo a los efectos de la prueba. Las respuestas a preguntas y objeciones, sobre método, premisas, conclusiones y otros aspectos del dictamen. Las respuestas a solicitudes de ampliación del dictamen, por si pudiera llevarse a cabo en el mismo acto y a efectos de conocer la opinión del perito sobre la posibilidad y utilidad de la ampliación, así como del plazo necesario para llevarla a cabo. La crítica del dictamen de que se trate por el perito de la parte contrari a. La formulación de las tachas que pudieren afectar al perito.
Del mismo modo el tribunal podrá por su propia iniciativa o por reclamación de las partes presentes o de sus defensores, hacer a los peritos, cuando produzcan sus conclusiones, las preguntas que estime pertinentes y pedirles las aclaraciones necesarias. Hemos de tener en cuenta que las contestaciones de los peritos se considerarán como parte de su informe.
Reconocimiento in situ La pericia también puede consistir en el desplazamiento del perito o los peritos a un lugar para examinar una cosa o situación concreta. Cuando la emisión del dictamen requiera, en el proceso civil, de este reconocimiento de lugares, objetos o personas, las partes y sus defensores podrán presenciarlo, si con ello no se impide o estorba la labor del perito y se puede garantizar el acierto e imparcialidad del dictamen. Si alguna de las partes solicita estar presente, el tribunal decidirá lo que proceda y, en caso de admitir esa presencia, ordenará al perito que dé aviso directamente a las partes del día, hora y lugar en que aquellas operaciones se llevarán a cabo.
www.antpji.com
Página 27
Curso de Perito Telemático Forense En el caso del proceso penal, al acto pericial podrán concurrir, el querellante, con su representación, y el procesado con la suya, aun cuando este preso, en cuyo caso se adoptarán las precauciones oportunas. El acto pericial será presidido por el Juez instructor o, en virtud: de su delegación, por el Juez municipal o funcionario de Policía judicial. Del mismo modo las partes que asistieren a las operaciones o reconocimientos podrán someter a los peritos las observaciones que estimen convenientes, haciéndose constar todas en la diligencia. De este reconocimiento in situ se redactará igualmente un informe pericial que se presentará ante el órgano jurisdiccional competente.
La valoración del informe Finalmente y en cuanto a la valoración del informe pericial, la Ley de Enjuiciamiento Civil nos dice que “El tribunal valorará los dictámenes periciales según las reglas de la sana crítica.” Es decir, la valoración del informe quedará en manos del juez o tribunal, si bien siempre su valor probatorio será mucho más alto que el de una prueba testifical, al tratarse en este caso de expertos acreditados e independientes. Lo cual nos lleva en la práctica a que el informe del perito, y su asistencia a la fase oral, sea una de las pruebas determinantes para inclinar la balanza en uno u otro sentido.
Responsabilidades y derecho del perito Antes de despedirnos debemos realizar parada obligada en las responsabilidades que el perito acarrea como tal. A este respecto debemos fijarnos en varios aspectos diferenciados para establecer las oportunas responsabilidades del perito: 1.
La primera de ellas es su nombramiento: Como hemos visto en puntos anteriores el perito judicial designado por un juzgado, en el proceso penal, no podrá negarse a realizar la pericia, salvo que exista justa causa para ello. Lo que viene siendo, que exista una imposibilidad manifiesta y real de realizar la misma. En caso de inexistencia de esta y persistencia en la negativa el perito deberá asumir la imposición de una multa, que variaría entre los 200 a los 5.000 euros, y si persistiere en su resistencia será conducido en el primer caso a la presencia del Juez instructor por los agentes de la autoridad, y perseguido por el delito de obstrucción a la justicia tipificado en el artículo 463.1 del Código Penal o el de desobediencia grave a la autoridad. En el caso del procedimiento civil se nos dice que si el perito designado alega justa causa que le impidiere la aceptación, y el Secretario judicial la considera suficiente, será sustituido por el siguiente de la lista, y así sucesivamente, hasta que se pueda efectuar el nombramiento.
www.antpji.com
Página 28
Curso de Perito Telemático Forense 2.
3.
La segunda de estas responsabilidad radica en la existencia de una causa de recusación o tacha: Si el perito, aun conociendo esta incompatibilidad continua adelante con su labor como perito judicial, sin avisar al juez de la misma podrá imponérsele una multa de 200 a 5.000 euros, a no ser que el hecho de lugar a responsabilidad criminal. La tercera de las responsabilidades del perito es la de actuar lealmente y no faltar a su juramento, consistente como hemos visto en: a. “proceder bien y fielmente en sus operaciones y no proponerse otro fin más que el de descubrir y declarar la verdad.” (LECrim) b. “Actuar con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conocer las sanciones penales en las que podría incurrir si incumple su deber como perito”.(LEC)
El incumplimiento de estas obligaciones es el caso más grave de responsabilidad en que puede incurrir un perito, ya que puede ser constitutivo de actitudes tipificadas como delito en nuestro Código Penal. Paso a leeros los artículos en concreto que regulan la cuestión:
Artículo 458. 1. El testigo que faltare a la verdad en su testimonio en causa judicial, será castigado con las penas de prisión de seis meses a dos años y multa de tres a seis meses. 2. Si el falso testimonio se diera en contra del reo en causa criminal por delito, las penas serán de prisión de uno a tres años y multa de seis a doce meses. Si a consecuencia del testimonio hubiera recaído sentencia condenatoria, se impondrán las penas superiores en grado. 3. Las mismas penas se impondrán si el falso testimonio tuviera lugar ante Tribunales Internacionales que, en virtud de Tratados debidamente ratificados conforme a la Constitución Española, ejerzan competencias derivadas de ella, o se realizara en España al declarar en virtud de comisión rogatoria remitida por un Tribunal extranjero. Artículo 459. Las penas de los artículos precedentes se impondrán en su mitad superior a los peritos o intérpretes que faltaren a la verdad maliciosamente en su dictamen o traducción, los cuales serán, además, castigados con la pena de inhabilitación especial para profesión u oficio, empleo o cargo público, por tiempo de seis a doce años. Artículo 460. Cuando el testigo, perito o intérprete, sin faltar sustancialmente a la verdad, la alterare con reticencias, inexactitudes o silenciando hechos o datos relevantes que le fueran conocidos, será castigado con la pena de multa de seis a doce meses y, en su caso, de suspensión de empleo o cargo público, profesión u oficio, de seis meses a tres años.
www.antpji.com
Página 29
Curso de Perito Telemático Forense Artículo 462. Quedará exento de pena el que, habiendo prestado un falso testimonio en causa criminal, se retracte en tiempo y forma, manifestando la verdad para que surta efecto antes de que se dicte sentencia en el proceso de que se trate. Si a consecuencia del falso testimonio, se hubiese producido la privación de libertad, se impondrán las penas correspondientes inferiores en grado. Como vemos el asunto de la responsabilidad, civil y criminal, de un perito no es asunto baladí, y por tanto el perito judicial ha de extremar siempre su compromiso con la exactitud, la veracidad y la imparcialidad en el ejercicio de sus funciones ante los órganos jurisdiccionales. Finalmente y como derechos de los peritos, a parte de los relacionados con el cobro de sus oportunos honorarios, hemos de mencionar el artículo 485 de La Ley de Enjuiciamiento Criminal, que nos dice que el Juez facilitará a los peritos los medios materiales necesarios para practicar la diligencia que les encomiende, reclamándolos de la Administración pública, o de autoridades de las que sea necesario. Estableciendo de esta forma el derecho del perito a tener todas las facilidades necesarias para llevar a cabo su tarea de la mejor forma posible.
Como extraer y recuperar evidencias digitales y telemáticas Metadatos (del griego μετα, meta, «después de» y latín datum, «lo que se da», «dato»), literalmente «sobre datos», son datos que describen otros datos. Los metadatos son datos que caracterizan a un fichero que contiene ciertos tipos de datos, de modo que a través de los metadatos podemos conocer características de un fichero como el autor, revisiones del documento, etc. Los metadatos pueden tener varias aplicaciones como:
En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos. En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta. En el análisis forense informático, la extracción de los metadatos es una disciplina que se emplea frecuentemente en procesos judiciales. En determinados eventos criminales, una carpeta, archivo, imagen, mensaje, correo… son evidencias digitales y/o telemáticas que incriminen o eximan a un acusado en la comisión de un delito, y por tanto, es importante analizar los metadatos que contenga el dispositivo para poder obtener de ellas evidencias suficientes que sustenten una acusación o una defensa ante un juez.
www.antpji.com
Página 30
Curso de Perito Telemático Forense Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación… Los metadatos contienen toda la información del archivo, fecha, hora, autor, geoposicion, modificación del archivo… En fotografías digitales, la cámara captura las imágenes y va guardando en forma de metadatos, información de cómo fue tomada la fotografía: fecha, hora, diafragma, velocidad, uso de flash, modo de captura, entre otros datos, uno de ellos próximo a llegar: geoposicionamiento satelital. De esto nos podemos dar cuenta fácilmente cuando subimos las fotografías a un servicio de almacenamiento web, como Flickr, si quieres haz la prueba y verifica los metadatos fotográficos de muchas imágenes y podrás darte cuenta que el "dato" es la imagen y el resto son los "metadatos", es decir, la información sobre la fotografía. En una canción en formato MP3, el "dato" es el sonido que estamos acostumbrados a escuchar, y los metadatos es toda aquella información extra, como título de la obra, álbum, año, autor, carátula, género, etc. Windows Media Player (y otros reproductores) muestra los metadatos de una canción, entre ellos la carátula del disco que estamos escuchando. Por supuesto, las páginas web no podrían ser ajenas a este esquema y tienen datos (que es lo que normalmente un usuario visualiza) pero también metadatos (que desafortunadamente no es tan visible, aunque a la larga tan importante como los datos). En las páginas web los datos se ven por un usuario normal. Los metadatos están de cierta forma ocultos en el código fuente. Si enfocamos la obtención de metadatos al mundo de la fotografía digital, podemos en algunos casos obtener incluso la geolocalización de la obtención de la imagen en concreto. Para ello utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif). Queda clara la importancia de mantener en la fotografía únicamente información que deseamos que sea pública, para evitar que circule información “oculta” a primera vista y que no deseamos ofrecer. Herramientas como Metagoofil o la foca están enfocadas a la obtención de los metadatos, lo que puede ser el primer paso de un análisis más exhaustivo, que dé pie a posteriores etapas en un proceso de investigación técnica. Como no puede ser de otra manera, la recomendación es eliminar aquellos metadatos innecesarios que impliquen información privada que en cierta manera nos hace vulnerables, ya sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a través de imágenes. La información básica de imagen suele ser la fecha de toma de la imagen, el fabricante de la cámara y el modelo de cámara utilizado. Esta información se puede deducir mediante la invocación de las propiedades de una imagen. Cualquier sistema operativo lo permite (en
www.antpji.com
Página 31
Curso de Perito Telemático Forense Windows, por ejemplo, haciendo botón derecho --> propiedades sobre una imagen). Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos imagen a imagen, y que además, permiten extraer mucha más información. También veremos como cuando se toma una fotografía, existen muchos más datos que se graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la fecha, el fabricante y el modelo no bastan, y quizás sea necesario deducir, por ejemplo, si dos imágenes han sido tomadas con la misma cámara o no. Un análisis de metadatos puede proporcionarnos esta información. Para la extracción de metadatos de archivos existen numerosos métodos. Unos son más sencillos de interpretar y otros producen resultados más complejos. A la hora de realizar una pericial informática, uno de los primeros pasos a dar es la recopilación de la mayor cantidad de información “útil” del objeto de la pericia, lo que en el ámbito de la seguridad denominamos como “information gathering”. Dentro de esta fase, podemos incluir el análisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo pdf, odt, jpg, etc… En cuanto a las herramientas de extracción de metadatos, y aunque hay en Internet múltiples recursos al respecto: RDFMetadata, Benubird PDF, Mi TeC Exe Explorer, Format Factory Portable, EMS My SQL Manager.. y el que más utilizo el de nuestro socio la Foca Forense, cuyo funcionamiento es muy sencillo. Por nombrar algunas de estas herramientas de adquisición de metadatos útiles están:
hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y está disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD. ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/KonicaMinolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux. Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través de google, y analizar los metadatos de los archivos. Para obtener información y realizar un ataque o un test de intrusión. Esta escrita en python. Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas. FOCA 3.2 Free es una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que
www.antpji.com
Página 32
Curso de Perito Telemático Forense eso. Para el análisis de metadatos en ficheros ofimáticos puedes utilizar una versión online de la FOCA. Gracias a esta herramienta, podemos extraer en primer lugar los datos para obtener la información contenida en los metadatos de un fichero. De esta manera podemos obtener información como nombres de usuarios, nombres de equipos, rutas del equipo donde se ha creado/modificado un fichero, etc. Podemos observar los datos que podemos obtener de un fichero “.doc” que no ha sido previamente “limpiado”, entre los cuales cabe destacar rutas de unidades de red, nombres de usuarios, nombre del registrador de la aplicación, aplicación con la que está creado el documento y su versión, etc. Es muy importante y debemos de prestar mucha atención a los metadatos, sobre todo si el documento va a ser públicamente accesible.
Código Deontológico 1. Ejerceré la profesión de Perito Informático con dignidad, lealtad y cientifismo, colaborando siempre con la Justicia y concediéndole la importancia que merece, siendo plenamente consciente de la responsabilidad que supone emitir un informe o dictamen. 2. Defenderé siempre la Informática como ciencia especializada en la obtención de evidencias electrónicas al servicio de la Justicia, para ello no permitiré que se desprestigie por falta de cientifismo y menos por falta de ética. 3. Como Perito Informático continuaré capacitación, mediante una formación continua y actualizando mis conocimientos, manteniéndome informado de manera puntual de los últimos adelantes de que se produzcan en el ámbito de las Nuevas Tecnologías. 4. Pediré ayuda a la Junta Directiva de la Asociación cuando existiera alguna duda en mi dictamen, a fin de que puedan orientarme de manera profesional orientarme; sometiéndome al arbitrio de la Junta Directiva cuando existiera un conflicto o contradicción en un dictamen. 5. Seré objetivo en mis criterios y no me dejaré llevar por la subjetividad emotiva en la elaboración de un dictamen a pesar de la información recibida sobre el caso. 6. Conservaré siempre mi ética profesional. No aceptaré jamás ni indicaciones, bienes o promesas para emitir un dictamen tendencioso, confuso o con interés preconcebido y contrario a la Justicia. 7. Ajustaré mis honorarios a la dificultad del caso, horas empleadas, gastos que origine, según los baremos que establezca la Asociación, si bien no dejaré de auxiliar a la Justicia por razón de precio, aceptando siempre que me sea posible las designaciones para intervenir por turno de oficio en los casos que procedan. 8. Expondré siempre la verdad en mis dictámenes, según mi leal saber y entender, con la máxima claridad posible a fin de que pueda comprenderse bien el motivo de las conclusiones. Caso de faltar voluntariamente a la verdad aceptaré la decisión de la Junta en cuanto a mi expulsión de la Asociación.
www.antpji.com
Página 33
Curso de Perito Telemático Forense 9. Respetaré la dignidad del ser humano, sus derechos y libertad personal, guardando estricta neutralidad, sin desviar mi recto juicio profesional por motivos discriminatorios, ya sean de raza, sexo, religión, clase social, ideas políticas o prejuicio de cualquier clase. 10. Me solidarizo con el espíritu de hermandad que tutela la "ASOCIACIÓN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMATICOS", evitando la deslealtad y competencia ilícita hacia mis compañeros. Asimismo respetaré la clientela de mis colegas, sin apoderarme previo conocimiento de la misma. En el caso de que me fuera solicitado un dictamen respecto del contenido u objeto de otro realizado por un miembro de la Asociación, previamente a la emisión del mismo daré la oportunidad al autor del dictamen previo de aclarar aquello que crea conveniente, sin que esto suponga ninguna limitación a mis obligaciones de independencia, objetividad y veracidad, y respetando, en todo caso, la identidad y derechos de mi cliente.
Utilidades Forenses Esta es una selección de software para intervenciones informáticas forenses que es útil compartir. Sirven para analizar ordenadores, correos, dispositivos móviles, buscar malware, localizar archivos borrados, encontrar evidencias…. Programa Advanced Prefetch Analyser Agent Ransack
Fabricante Hallan Hay Mythicsoft
Analyze MFT
David Kovar
Audit Viewer
Mandiant
Autopsy
Brian Carrier
Backtrack
Backtrack
Bitpim
Bitpim
Descripción Lee los ficheros prefetch de Windows. Busca múltiples ficheros usando Perl Regex Permite realizar “Parses” de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Visualizador utilizado en combinación con Memoryze Reconocida herramienta grafica para entornos Linux. Suite de 'Penetration testing' y seguridad para la realización de auditorías de seguridad. Analiza dispositivos móviles como LG, Sanyo, etc.
Caine
ChromeAnalysis
University of Modena e Reggio Emilia forensicsoftware Nirsoft
ChromeCacheView DCode
Digital Detective
Defraser
Varios
www.antpji.com
Live CD, con numerosas utilidades y herramientas. Herramienta que permite el análisis del histórico de internet del famoso Google Cromé Lee los ficheros de la cache de Google Cromé y visualiza en una lista lo que se encuentra almacenado. Convierte varios tipos de fechas y tiempos. Detecta ficheros multimedia en espacios
Página 34
Curso de Perito Telemático Forense Digital Forensics Framework
ArxSys
DumpIt
MoonSols
EDB Viewer
Lepide Software
EnCase
Guidance
Encrypted Disk Detector
JAD software
Potente herramienta de reconocido prestigio internacional. Vale para todo en el ámbito forense.
Comprueba discos físicos en busca de ficheros o volúmenes cifrados con TrueCrypt, PGP, o Bitlocker. Ryuuji Extrae datos (metadatos) Exif de Yoshimoto fotografías digitales. Shirouzu Hiroaki Uno de los más rápidos en copiar y/o borrar, permite utilizar SHA-1. Utilizado para copia masiva de datos con muy buenos resultados Ridgecrop Habilita la capacidad de almacenamiento de discos formateados en FAT32 Informatica64 Herramienta para fingerprinting e información gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos
Exif Reader FastCopy
FAT32 Format Foca
Forensic Viewer
'unallocated'. Framework que permite el análisis de volúmenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos. Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.
Image Sanderson Forensics
Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.
ForensicUserInfo
Woanware
Extrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.
FoxAnalysis
forensicsoftware
Herramienta que permite el análisis del histórico de internet de firefox.
FTK Imager
AccessData
Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa
Gmail Parser
Woanware
Obtiene de ficheros HTML información que se ha 'cacheado' al utilizar 'artefactos' de Gmail
www.antpji.com
Página 35
Curso de Perito Telemático Forense HashMyFiles
Nirsoft
Calcula hashes MD5 y SHA.
Highlighter
Mandiant
Examina ficheros log usando texto, gráficos o histogramas.
IECacheView
Nirsoft
Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.
IECookiesView
Nirsoft
Extrae detalles de las cookies de Internet Explorer.
IEHistoryView
Nirsoft
Extrae las visitas recientes de las URL's de Internet Explorer.
IEPassView
Nirsoft
Extrae las passwords de Internet Explorer en las versiones 4 a 8.
KaZAlyser
Sanderson Forensics
Extrae información del famoso programa P2P KAZA.
Live View
CERT
Permite al analista examinar y 'arrancar' imágenes en formato dd y VMware. También muy útil
LiveContactsView
Nirsoft
Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.
Mail Viewer
MiTeC
Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.
Memoryze
Mandiant
Adquiere y analiza imágenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos.
MFTview
Sanderson Forensics
Muestra y decodifica contenidos extraídos en ficheros MTF.
MobaLiveCD
Mobatek
Ejecuta un ISO Linux desde Windows sin tener que reiniciar. Basado en QEMU. Para utilizar servidores FTP sin tener que tocar Windows.
MobilEdit
MobilEdit
Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.
Motorola Tools
www.antpji.com
"Flash & Backup" - actualiza el firmware y "MExplorer" - administrador de archivos pequeños, fáciles de usar y gratis
Página 36
Curso de Perito Telemático Forense MozillaCacheView
Nirsoft
Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.
MozillaCookieView
Nirsoft
Extrae detalles de las cookies de Mozilla.
MozillaHistoryView
Nirsoft
Herramienta que permite el análisis del historico de internet de Mozilla.
MyLastSearch
Nirsoft
Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)
Netdetector
Niksun
Analizador de red y detector de intrusiones
Netwitness Investigator
Netwitness
Analizador de paquetes de red. Increíblemente bueno.
NetworkMiner
Netresec
Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.
Notepad ++
Notepad ++
Ya jamás volveré al notepad clásico después de utilizar este Notepad.
OperaCacheView
Nirsoft
Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.
OperaPassView
Nirsoft
Desencripta las password del fichero 'wand.dat' de Opera.
Oxygen
Oxygen
Herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.
P2 eXplorer
Paraben
Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.
P2 Shuttle Free
Paraben
Suite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.
Paraben Forensics
Paraben
Al igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.
PasswordFox
Nirsoft
Extrae usuario y contraseñas almacenadas en Mozilla Firefox.
www.antpji.com
Página 37
Curso de Perito Telemático Forense Process Monitor
Microsoft
Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta
PST Viewer
Lepide Software
Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.
PsTools
Microsoft
Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.
recuva
Piriform
Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad
Registry Decoder
Digital Forensics Para la adquisición, análisis e informe del Solutions contenido del registro.
RegRipper
Harlan Carvey
Herramienta de correlación y extracción de evidencias forenses del registro.
Regshot
Regshot
Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware. Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux
rstudio
Shadow Explorer
Shadow Explorer
Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware.
SIFT
SANS
VMware Appliance de SANS configurado con multiples herramientas para el análisis forense.
SkypeLogView
Nirsoft
Analizador del famoso Skype
Snort
Snort
El mas versatil y magnifico detector de intrusos.
SQLite Manager
Mrinal Tarakant Tripathy
Strings
Microsoft
Structred Viewer
Storage MiTec
www.antpji.com
Kant, add-on en Firefox que permite ver contenidos de bases de datos SQLite.
No puedo vivir sin el. Busca contenido de texto en ficheros. Visualiza y maneja estructuras basadas en ficheros MS OLE.
Página 38
Curso de Perito Telemático Forense Suite Getdata
getdata
Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y análisis de datos.
Triana Tools
Informatica64
Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos
Ubuntu guide
How-To Geek
Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc.
UFED
Cellebrite
Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso
Unhide
Security default
USB Device Forensics
Woanware
Detalles de las unidades USB que se han conectado a un equipo.
USB Write Blocker
DSi
Habilita la posibilidad de escribir o bloquear puertos USB.
USBDeview
Nirsoft
Habilita la posibilidad de escribir o bloquear puertos USB.
UserAssist
Didier Stevens
Muestra una lista de programas que se han ejecutado incluyendo última ejecución, número de veces y fechas y horas.
VHD Tool
Microsoft
Convierte discos e imágenes al formato VHD que se puede montar en Windows.
VideoTriage
QCC
Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película.
Volatility Framework
Volatile Systems
Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.
Web Historian
Mandiant
Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el histórico de navegación.
www.antpji.com
By Si quieres detectar procesos 'raros' este es tu software
Página 39
Curso de Perito Telemático Forense WindowsFile Analyzer
MiTeC
Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk.
Windows Forensic Troy Larson Environment
Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a Windows PE).
Wireshark
Wireshark
Algo que decir de esta maravillosa herramienta?
Xplico
xplico
Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP.
Informe Pericial Telemático Estructura de un Informe Pericial Informático. PORTADA
Titulo del informe Número de Expediente
TABLA DE CONTENIDOS INFORMACIÓN IDENTIFICATIVA
ASUNTO Nombre
TITULO DE LA PERICIA
Descripción
www.antpji.com
Página 40
Curso de Perito Telemático Forense BREVE DESCRIPCIÓN DEL MOTIVO DE LA PERICIA
CLIENTE PETICIONARIO Nombre Representado por Teléfono
e-mail
Dirección
CONTACTO INICIAL Fecha
Hora / Duración
Vía
PROFESIONAL ANTPJI Titular Nombre
.
Teléfono
e-mail
Soporte Nombre Teléfono
e-mail
Domicilio Social
INFORMACIÓN DECLARATIVA Declaración de Abstención y Tachas
El firmante del presente informe o dictamen, en lo concerniente a los temas y alcance tratados, Así como las partes y terceros involucrados o afectadas por el mismo y conocidos hasta este momento, en base a los expresados en el art. 105 de la Ley de Enjuiciamiento Civil y el art. 219 De la Ley Orgánica del Poder Judicial, DECLARA, DECLARA, a priori y en la fecha de elaboración del informe, desconocer causa o motivo alguno por la que deba de abstenerse de la realización del presente informe. Y en base al art. 343 de la Ley de Enjuiciamiento Civil,
www.antpji.com
Página 41
Curso de Perito Telemático Forense DECLARA, DECLARA, a priori y en la fecha de elaboración del informe, conocer causa o motivo alguno por el cual el perito pueda ser tachado por Tercero interesado o Parte en un proceso judicial derivado de las acciones posteriores llevadas a cabo con el presente informe o dictamen judicial. Declaración o Juramento de Promesa
El perito firmante del presente informe o dictamen, en lo concerniente a los temas y el alcance tratados en el mismo, y en base a lo expresado en art. 335 de la Ley de Enjuiciamiento Civil, DECLARA, DECLARA, decir la verdad y haber actuado con la mayor objetividad e imparcialidad posible tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a tercero o parte solicitante del informe y conoce las responsabilidades civiles, penales, disciplinarias y asociativas que comporta la aceptación de la elaboración de un informe o dictamen judicial. Asimismo, bajo su única responsabilidad, DECLARA, DECLARA, que lo expresado y reflejado en el presente informe o dictamen pericial está basado en los hechos, información y circunstancias que se han podido constatar, por medio de los conocimientos propios y la experiencia adquirida a lo largo de la trayectoria profesional, quedando las conclusiones siempre sujetas y abiertas a la consideración co nsideración de nuevas informaciones, exámenes y aportaciones o de un mejor criterio u opinión que pudiese ser aportado.
INFORMACIÓN DESCRIPTIVA
Antedecedentes del asunto Asunto que se expone
INFORMACIÓN APORTADA / UTILIZADA Se menciona toda la información aportada por el cliente, y la que hemos utilizado para la elaboración de la pericia así como su tratamiento para realizar el informe. DICTAMEN Y CONCLUSIONES ANEXOS
www.antpji.com
Página 42
Curso de Perito Telemático Forense
Guía del Peritaje Informático Introducción Esta guía tiene como objeto el difundir un protocolo común, y homogeneizar la realización de peritajes informáticos, especialmente los orientados a recuperar documentos e imágenes. Para la elaboración de un dictamen, es necesario la obtención de evidencias electrónicas de los equipos informáticos, tanto los que existen como los que han sido borrados o eliminados y que pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia. No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han solicitado nuestra pericia que pueden tener una relevancia jurídica informando de su contenido y no otros. Debemos de:
www.antpji.com
Página 43
Curso de Perito Telemático Forense
Mantener segura la “cadena de custodia” asegurando la nulidad del proceso En nuestra intervención, deberemos de seleccionar los elementos relevantes, descartando los demás equipos tecnológicos, previo examen inicial Detallar los pasos en nuestra intervención al igual que el uso de programas y herramientas que hemos utilizado en nuestra pericia. Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas No alterar los elementos informáticos originales, trabajando con copias clónicas. Realizar el informe pericial, repasándolo varias veces, antes de la entrega al cliente, analizando todos los posibles errores en su confección. Cuanto más claro e irrefutable sea el dictamen, la ratificación en juicio será menor, aunque muchas veces sea preciso nuestra presencia en el juicio.
Primera Intervención Pericial Cuando realicéis la primera intervención, deberéis de estar atentos a lo que hay a vuestro alrededor, quien maneja los equipos informáticos, empleados, personal externo, proveedores… identificar al informático o responsable del departamento informático, quien es el encargado de la seguridad informática, cuantas personas acceden a la empresa desde la red como el web máster, proveedores de servicios, comercia les, directivos… Especial atención a los aparatos y equipos tecnológicos como:
Equipos informáticos, tanto equipos de sobremesa como portátiles Servidores Smartphone Tablet Agendas electrónicas E-Book PDA Pen drives Discos Duros Reproductores MP3 Dispositivos USB Grabadores de Tarjetas Magnéticas Discos Ópticos CDs y DVS, eliminando los grabados por los fabricantes Programas de instalación Teléfonos móviles Impresoras Fotocopiadoras...
Procedimiento Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la reseña y ficha del señalando en el momento que fueron encontrado en el lugar de la intervención y con
www.antpji.com
Página 44
Curso de Perito Telemático Forense las características técnicas de cada elemento, tanto si están en funcionamiento como apagados
Equipo Marca Modelo Numero de Serie
www.antpji.com
Página 45
Curso de Perito Telemático Forense Es importante que nadie en el momento de nuestra intervención, manipulen los equipos con el objeto de que alguien introduzca algún archivo que invalide el peritaje y si se ha de proceder al apagado de algún equipo, retiraremos la corriente eléctrica, para no perder ficheros temporales significativos. De esta manera no dará lugar a conjeturas acerca del proceso de la cadena de custodia en el peritaje inicial. Nuestra actuación en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague consistirá en la copia de los discos duros, memorias y similares mediante las docking station de grabación y utilizando las herramientas y programas forense que utilizamos normalmente. Si en nuestra intervención, normalmente judicial hay que intervenir los equipos, deberemos de realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la siguiente manera:
Ordenadores de sobremesa: Comprobamos si las lectoras tienen algún disco óptico, si hay algún pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos al apagado el ordenador, desenchufando directamente de la corriente para no perder archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los discos duros. Ordenadores Portátiles: comprobamos si hay algún disco óptico en la lectora, si i hay alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batería y procedemos a la extracción del disco duro, sabiendo que algunos equipos portátiles tienen dos discos duros. Discos Ópticos: anotaremos el número de serie que está en el orificio central Todos los discos tanto rígidos como ópticos han de ser firmados y guardados en bolsas antiestáticas
Todos los demás equipos tecnológicos de la intervención deberán inventariarse, firmarse y guardarse en bolsas antiestáticas por separado, con sus cargadores correspondientes.
Trabajo en nuestro laboratorio Forense Informático Aconsejo la utilización de una cámara videograbadora que nos servirá a nosotros para saber todo el proceso que hemos realizada, y nos ayudara a corregir los errores habituales. Nuestra mesa de trabajo a de estar aséptica y contar con las herramientas, programas y ordenadores que tendrán diferentes sistemas operativos. Procederemos a las lecturas de los discos rígidos, ópticos, pendrives y demás elementos; con los distintos soportes operativos, ordenadores, docking station y elementos que componen nuestro laboratorio forense informático. Realizaremos una recuperación de posibles archivos borrados, para localizar archivos potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y recuperado en el informe, explicando el método por el que se a obtenido, indicando los programas y las herramientas. Aquellos archivos que no podamos leer por tener archivos dañados, encriptación, daño físico o similar se enviaran a la cámara de vacío de los laboratorios de recuperación de datos.
www.antpji.com
Página 46
Curso de Perito Telemático Forense Para la localización de archivos en los discos clonados, necesitaremos discos limpios y sistemas auto arrancables para no alterar ningún dato que pudiera invalidar la prueba pericial. Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas, etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados para evitar la manipulación futura. Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con detenimiento carpetas y subcarpetas, y antes de la eliminación de cada uno de ellos, mirar las propiedades y su peso, ya que pueden estar ocultos o encriptados. Además de la transcripción escrita, indicando la ruta completa del archivo, fecha de creación del fichero, usuario del equipo informático y su localización, hay que imprimir un pantallazo, con indicación única del archivo, carpeta o dato encargado en la pericia. Es habitual el uso de remotos para la realización de actos delictivos, con lo que si en los archivos aparece la manipulación de archivos desde otra ip distinta al ordenador de la pericia, reseñar la ip manipuladora. Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el que se habría normalmente, es recomendable el block de notas o utilizar un sistema independiente como Linux.
Informe Pericial El informe pericial es una primera valoración por el perito que se entrega generalmente al consejero jurídico del cliente, para poder examinar las evidencias electrónicas halladas y dirimir como se va a llevar el proceso en vista a las pruebas obtenidas. Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no tecnicista los datos obtenidos.
Dictamen con Conclusiones Cuando recibimos la contestación del asesor legal y el visto bueno del cliente que nos realizado la provisión de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisión de un dictamen de la pericia encargada con las conclusiones finales. En dicho dictamen, se indican que componentes informáticos, se han encontrado los ficheros relevantes y el resumen de su contenido de la evidencia digital, referenciándose en el informe como evidencia electrónica relevante. Todos los dictámenes han de tener una excelente caligrafía con lo que el ordenador es una opción recomendable, cuidando la revisión de faltas ortográficas, no escatimando en cuanto a la presentación, numero de hojas ni discos ópticos en donde están las evidencias electrónicas vinculantes al esclarecimiento del caso. En nuestro dictamen tiene que constar:
Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos personales, identificándose con el carnet profesional)
www.antpji.com
Página 47
Curso de Perito Telemático Forense
Número de diligencias y Juzgado Objeto de la Pericia Identificación del Perito Si pertenece a alguna Organización o Colegio Profesional Inventario de los equipos analizados con sus fichas técnicas y la procedencia de los mismos Herramientas y programas utilizados Informe imparcial de las evidencias obtenidas, describiendo desde la recepción de equipos hasta la obtención de las evidencias electrónicas relevantes, describiendo el protocolo utilizado en la cadena de custodia, copias y obtención de datos, detallando las características de los equipos que forman la pericia, enumerando los equipos informáticos y los ficheros y datos enumerados. No olvidaros de firmar el dictamen con vuestros datos profesionales y teléfono de contacto
Se devuelven todos los materiales informáticos intervenidos y guardamos una copia del dictamen pericial que nos servirá de archivo y de refresco para una posible ratificación de nuestra pericia en un juicio. También es conveniente realizar una copia de los discos ópticos relevantes y los discos rígidos.
Ratificación Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelación suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos ordenados y enumerados. Nuestra actuación en el juicio es básicamente la de ratificarnos en el dictamen realizado, pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrónicas halladas. Con lo que es muy importante la presentación de un dictamen con la letra legible, con indicación de todo el protocolo y la enumeración de equipos en los que hemos realizado la pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al oír el dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que el trabajo se multiplica y mermara nuestra reputación.
www.antpji.com
Página 48
Curso de Perito Telemático Forense Como realizar una auditoría telemática Antiguamente la comprobación de la gestión, control y actividad económica-financiera de las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditoría financiera. La implantación de sistemas informáticos, deja anulado estos sistemas, debido a que hay que no pueden detectar las entradas y salidas generadas y si habían sido objeto o no de manipulación. Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como externos. Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos: Equipos instalados, servidores, programas, sistemas operativos… Procedimientos instalados Análisis de Seguridad en los equipos y en la red Análisis de la eficiencia de los Sistemas y Programas informáticos Gestión de los sistemas instalados Optimización del Parque Informático (Software y Hardware) Verificación del cumplimiento de la Normativa vigente LOPD Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores. Protocolo de Seguridad ante una amenaza tecnológica Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Una Auditoria de Seguridad conlleva: Amenazas y elementos de Seguridad de entrada y salida de datos. Aspectos Gerenciales Análisis de Riesgos Identificación de amenazas. Seguridad en Internet
www.antpji.com
Página 49
Curso de Perito Telemático Forense Control de Sistemas y Programas instalados Protocolo de Riesgos, Seguridad, Seguros, Programas instalados… Protocolo ante perdidas, fraude y ciberataques Planes de Contingencia y Recuperación de Desastres Seguridad Física Seguridad de Datos y Programas Plan de Seguridad Políticas de Seguridad Medidas de Seguridad (Directivas, Preventivas y Correctivas) Cadena de Custodia LOPD
Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan de Auditoria Informática que oriente sobre la planificación de un sistema seguro y un plan de emergencia ante posibles desastres; implementando una metodología a seguir en caso de que ocurra alguna vulnerabilidad. Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el control interno y evitar situaciones no deseadas. Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contraataque. Los servicios de auditoría pueden ser de distinta índole: • Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno • Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores • Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral. • Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. • Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades.
www.antpji.com
Página 50
Curso de Perito Telemático Forense • Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado. • Auditoria de Seguridad ante la amenaza de un ataque cibernético, extorsión empresarial cibernética y creación de un gabinete y protocolo de actuación ante cualquier ataque, chantaje o fuga de datos. • Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de buenas prácticas que garanticen la seguridad de los sistemas.
Existen estándares base para auditorias informáticas como: COBIT (objetivos de Control de la Tecnológica de la Información) ISO 17799 ISO 27001 ISO 27002 Normas NFPA75 TIA 942 ISACA
ANBASO (Certificación propia de ANTPJI para Software) ANBAET(Certificación propia de ANTPJI para Hardware) No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informático a la hora de implantar un modelo de Auditoria de Seguridad Informática sería el siguiente: Estudio General, evaluando la empresa, el personal, equipos y programas Observación de los sistemas implantados y realización de cuestionarios y entrevistas, sobre todo al personal que tenga acceso a documentación o datos sensibles. Elabora gráficos estadísticos y flujogramas. Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis de código de programas, Datos de prueba, Datos de prueba integrados, Análisis de bitácoras, Simulación paralela) Enumera los equipos, redes, protocolos Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados Identifica y confirma todos los sistemas operáticos instalado Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y fallas (OJO con el factor humano)
www.antpji.com
Página 51
Curso de Perito Telemático Forense
Diseña controles y medidas correctivas en las actividades y recursos dentro de la empresa. Conciencia sobre la normativa y legislación vigente Realiza un completo Análisis de Riesgos. Realiza un informe completo sobre la implantación de la Auditoria de Seguridad, implantación de medidas preventivas y protocolo de Seguridad a instalar Emite un certificado de Seguridad de Auditoria Informática Visitas cada tres meses para la comprobación de la aplicación de las normas. Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y personas. Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando al personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con un lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un ataque externo. Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas organizacionales. Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control que se indiquen según el número de empleados y facturación de la empresa. El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque. No solo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento, al igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches, actualizaciones de software, adquisición de nuevos productos tanto en software como hardware. Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables de personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales y la forma de superarlos.
www.antpji.com
Página 52
Curso de Perito Telemático Forense No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos, sino con un número de personas desconocidas que van a utilizar el resultado de nuestro trabajo como base para tomar decisiones. Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos El informe inicial de Auditoria de Seguridad Informática ha de contener: • Tipo de Auditoria a instalar (Ámbito, Aplicación, y Planificación de la misma) • Riesgos actuales • Seguridad física y lógica del Centro Tecnológico (Central, Servidores) • Auditoria de dirección y personal autorizado a integrar en la Auditoria • Auditoria del desarrollo del negocio (Física, Forense y Financiera) • Base de Datos ( LOPD, normativa, irregularidades, correos personales) • Implantación de medidas de seguridad • Análisis de Negocio Electrónico y administración de la WEB • Aplicación de técnicas y procedimientos de auditoría forense. • Aplicación de nuevas tecnologías en equipos o programas en la Empresa. • Aplicación de los sistemas instalados ante incidentes Protocolo de Seguridad ante ataques cibernéticos
Curso de gestión de conocimiento al personal sobre: Amenazas y problemas en el uso de las tecnológicas de información Conceptos de Seguridad Control de Confidencialidad Correos Redes sociales Privacidad Instalación de programas Medidas de control ante un ataque Normas de seguridad a instalar en la empresa Normativa de seguridad SCII Sistema de Control Informático Interno Riesgos y control de los mismos
www.antpji.com
Página 53
Curso de Perito Telemático Forense Como se realiza un peritaje telemático para un cliente ANTPJI ofrece un servicio integral de Asesoramiento Técnico gratuito para poder solucionar sus dudas o problemas en cuanto a Delitos Informáticos, Consultoría Informática, Auditoria de Seguridad Informática o Peritaje telemático. El protocolo de actuación empieza con la toma de contacto bien por correo electrónico
[email protected] o de manera telefónica, donde atenderemos su consulta. A continuación ha de rellenar la solicitud de un Perito Telemático que puede realizarlo desde nuestra web www.antpji.com En esta primera toma de contacto el cliente en solitario o con su asesor laboral y el Perito Telemático llevara a cabo un análisis de la situación inicial con la información facilitada por el propio cliente donde se determinaran los objetivos de la consulta o investigación y se establecerá el procedimiento a seguir para la extracción de las evidencias electrónicas determinantes para la labor y se estiman los costos y tiempos de ejecución.
Presupuesto del servicio: Tras el análisis inicial, se realiza un presupuesto del servicio que incluye la tarificación de las acciones llevadas a cabo para la Auditoria de Seguridad Informática o para la obtención de evidencias informáticas. Se realiza una valoración inicial, detallando las partidas referentes a horas realizadas, desplazamientos, labores técnicas del laboratorio forense, redacción y elaboración de informes, actuación de otros profesionales… para que el cliente sepa de manera transparente la operatividad del proceso y los costos del mismo.
Aceptación del presupuesto: El cliente recibe el presupuesto y si está conforme, lo devuelve firmado y sellado, dando comienzo a la siguiente fase.
AUDITORIA INFORMATICA Tras la toma de contacto, se procede a la visita en donde se encuentran los equipos informáticos para detectar las posibles deficiencias , realizándose un test de penetración, por donde puede haber problemas en cuanto a la Seguridad Informática. El Perito telemático realiza un análisis exhaustivo de dichos elementos, para posteriormente elaborar un manual de seguridad, estableciendo una formación del personal implicado en los procesos de seguridad informática o que manejen datos sensibles tanto internos como externos. Finalizado la Auditoria de Seguridad, el perito informático redactara el informe final y establecerá un calendario de mantenimiento de Seguridad.
PERITAJE TELEMÁTICO Desarrollo de la investigación y elaboración del Informe:
www.antpji.com
Página 54
Curso de Perito Telemático Forense Tras la toma de contacto, se procede a efectuar la recogida de evidencias electrónicas, asegurando la cadena de custodia con el fin de que no existan motivos de anulación por manipulación de los equipos tecnológicos que puedan intervenir en la investigación (equipos informáticos, teléfonos, Smartphone, discos de almacenamiento…) Posteriormente los datos obtenidos serán trasladados al Laboratorio Forense Telemático, donde el Perito realizara un informe inicial que entregara antes de 78 horas al al cliente y en donde constara la transcripción del proceso, la metodología empleada en la extracción de la evidencia digital, las herramientas y programas utilizados, así como todos los test realizados para la elaboración y análisis final. Finalizado el análisis, el perito informático comienza a redactar el informe pericial que presentará ante los Tribunales de Justicia.
Declaración ante Tribunales: En caso de que sea necesario, el perito informático de ANTPJI que ha elaborado el informe, testificará ante los Tribunales de Justicia para aportar las conclusiones de la investigación. Los Tribunales de Justicia aceptan la metodología empleada por los técnicos de ANTPJI, ya que los procesos de examen realizados en el laboratorio, no alteran la información almacenada en los soportes informáticos, garantizando así la conservación de la evidencia electrónica en perfecto estado. Además, el cuidadoso protocolo de Peritaje Informático desarrollado por ANTPJI garantiza la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su adquisición hasta su presentación ante los tribunales.
www.antpji.com
Página 55
Curso de Perito Telemático Forense Guía de buenas prácticas para el peritaje telemático en recuperación de imágenes y documentos Esta guía de buenas prácticas tiene como objeto el difundir un protocolo común, y homogeneizar la realización de peritajes informáticos, especialmente los orientados a recuperar documentos e imágenes. Estas buenas prácticas son el resultado de variadas experiencias en la realización de pericias Informáticas, así como de la consulta de documentación referente al tema. Son una plasmación de los códigos de práctica y conducta de la Asociación Nacional de Peritos Judiciales Informáticos. El ámbito del peritaje informático en recuperación de imágenes y documentos está orientado a extraer de equipos informáticos intervenidos aquellos ficheros que puedan ser relevantes, muchas veces en un contexto de ámbito penal, aunque también puede seguirse, exactamente el mismo procedimiento, para el ámbito civil u otros. La lógica del peritaje de este tipo está basada en presentar el contenido de ficheros que puedan tener relevancia jurídica, informando de su significado y características. Esos ficheros deben haberse mantenido en una "cadena de custodia", por lo que se detallarán los pasos desde que se intervienen o reciben los equipos informáticos, hasta que se presentan los ficheros relevantes. El peritaje ha de poder ser repetido, por lo que no se pueden alterar los elementos informáticos originales, trabajándose siempre sobre copias clónicas. La mayoría de estos peritajes están referidos a ordenadores de usuario con sistema operativo Windows. Para efectuar peritajes en equipos servidores y/o en otros sistemas operativos. Seguiremos un protocolo estandarizado con las adaptaciones que requiera el informe, cliente o entorno; pero básicamente serán cuatro pasos: 1. 2.
3. 4.
Intervención. Se intervienen los elementos informáticos.(Conveniente la presencia de un notario) Examen y revisión visual, descartándose los elementos informáticos irrelevantes y se preparan los demás, inventariándose e indicándose su ficha técnica, localización, estado y datos relevantes. Exploración de ficheros. Se localizan, imprimen y describen los ficheros informáticos relevantes. Informe pericial. Se confecciona el informe, y se cierra el peritaje.
Siguiendo estas precauciones, el peritaje se explicará por sí mismo, y el perito simplemente se remitirá a lo ya expuesto en su peritaje. Cuanto más claro e irrefutable el peritaje, menos presencia posterior del perito.
www.antpji.com
Página 56
Curso de Perito Telemático Forense
1.- INTERVENCION En la entrada a los locales donde estén los equipos informáticos, se deberá acudir provisto de: Ordenador portátil Cámara fotográfica Vídeo, rotulador para CD Destornilladores varios Estación de clonado de discos La máquina fotográfica será utilizada para obtener imágenes de las pantallas de los ordenadores, en el caso de que estuvieran en funcionamiento. También se fotografiarán los equipos. No se deberá permitir que nadie toque los ordenadores encendidos bajo ningún concepto. La forma de apagar los ordenadores es directamente quitándoles la energía eléctrica. Esto se debe a que, en un apagado ordenado, parte de los ficheros temporales, que pudieran ser significativos, serían automáticamente borrados. Tampoco se tiene la garantía de que, en el proceso de apagado, no se borren o introduzcan intencionadamente ficheros, lo que podría invalidar el peritaje. De esta manera, apagando los equipos sin ninguna manipulación, no ha lugar a ningún tipo de conjetura sobre la cadena de custodia. Un perito profesional informático podría, antes de apagar, extraer una imagen pericial del estado de los procesos en ejecución mediante herramientas periciales del tipo de Forensic and Incident Response Environment. Si se quitase algún cable antes de apagar, quizá se disparase un auto apagado, lo que se debe evitar. Los elementos a peritar en una intervención son fundamentalmente los soportes de datos. Los siguientes elementos informáticos no son Relevantes a efectos de pericias informáticas: Pantallas de ordenador Teclados y ratones Impresoras Equipos de telecomunicaciones Cables CD o DVD grabado en fábrica Aquellos equipos que no almacenen datos De todos estos elementos lo único que se debe hacer es inventariarlos, para poder señalar en su momento que fueron encontrados en intervención. Físicamente, su peritación no aportaría ninguna luz. En impresoras, no hay un método eficiente para individualizar una en concreto "huella" en el papel, por lo que no son relevantes en peritajes informáticos.
www.antpji.com
y fotografiarlos, el lugar de la el caso de las a través de su
Página 57
Curso de Perito Telemático Forense
Se deberán intervenir los siguientes elementos informáticos: Ordenadores (sobremesa, portátiles y agendas PDA) Discos ópticos -CD y DVD- (excepto los grabados en fábrica) Discos flexibles -disquetesDiscos duros de ordenador Unidades de almacenamiento externas (PenDrive, Reproductores MP3, Disco s, Memorias, dispositivos USB…) Teléfonos móviles (almacenan datos, mensajes, agendas e información relevante) Todo tipo de soporte de almacenamiento permanente de datos en general. Los lectores grabadores de tarjetas magnéticas (si existiesen) se intervendrán, por ser equipos que habitualmente carecen de uso fuera de la manipulación de tarjetas. Todos los soportes de datos deberán ser inventariados. Los discos duros tienen número de serie. Los discos ópticos suelen tener un número de serie en la parte transparente del orificio central. Los discos flexibles tienen números de serie frecuentemente repetidos, y eso cuando los tienen. Una alternativa es firmar con un rotulador de CD todos los discos ópticos y discos flexibles intervenidos. Los ordenadores portátiles deben ser intervenidos, por la dificultad que entraña extraer sus sistemas de almacenamiento en el mismo lugar de la intervención. En los ordenadores de sobremesa se recomienda extraer e intervenir sus sistemas de almacenamiento. La carcasa, CPU, placas, memoria RAM y otros componentes del ordenador no tienen interés a efectos de pericias informáticas. Sólo los sistemas de almacenamiento permanente de datos son relevantes. Para extraer los sistemas de almacenamiento de datos de un ordenador de sobremesa, normalmente solo se necesita un destornillador de estrella y seguir las siguientes instrucciones: 1. 2. 3. 4. 5. 6. 7. 8.
Apagar el ordenador Quitar la carcasa Desconectar el cable de datos (normalmente IDE) y de alimentación del disco duro Quitar los tornillos al disco duro Extraer el disco duro SIN TOCAR LOS CIRCUITOS (peligro de daños) Firmar el disco duro Guardar el disco duro en un sobre antiestático o de papel Una vez extraído el o los discos duros, se volverá a conectar el ordenador, para abrir el lector de CD y extraer algún CD, DVD o disquete que hubiera dentro 9. Inventariar los números de serie del ordenador y de los elementos extraídos y fotografiarlos
www.antpji.com
Página 58
Curso de Perito Telemático Forense 2.- REVISION PRELIMINAR Discos flexibles y ópticos Los discos flexibles y ópticos pueden leerse en cualquier ordenador personal. Se tomará la precaución de mover la pestaña en los discos flexibles para que queden en posición de “solo lectura”. Tomadas estas precauciones, los discos ópticos y flexibles pueden explorarse en cualquier ordenador personal, abriendo los ficheros sin miedo a alterar el soporte original. En caso de que un disco de errores de lectura, o esté deteriorado, se le hará una copia clónica, intentando recuperar los sectores defectuosos, y solo se utilizará la copia clonada. Para hacer una copia clónica de un disco flexible, es valido cualquier clonador de CDs, utilizo una regrabadora de DVD y el Nero, hay otros programas que saltan el antycopi como el Clon Oves o similar. Si los sectores defectuosos lo son por daños en el medio físico, da igual que la copia clónica tenga ese sector dañado de la misma manera o de cualquier otra. Lo importante es que la copia clónica del disco óptico sea completa. Discos Duros La precaución es evitar cualquier modificación del disco duro. Al abrir un fichero, muchos programas crean un fichero temporal en la misma carpeta. Esto altera el disco duro original, y no es una buena práctica. Arrancar un ordenador hace que se modifiquen y escriban múltiples ficheros, por lo que se ha de evitar siempre. Se recomienda clonar el disco duro intervenido y explorar la copia clonada. Con esto se evita modificar en lo más mínimo el disco duro intervenido, lo que podría invalidarle como prueba pericial. Para hacer una copia clónica de un disco duro, se necesita un disco duro virgen, un ordenador de sobremesa, y cualquier programa de copia de discos auto arrancable desde disquete -que no intervenga para nada el sistema operativo del disco duro-, como puede ser Drive Image o Knoppix STD. El disco duro copia ha de estar limpio de cualquier tipo de dato previo. Se recomienda un disco duro de fábrica a estrenar. Si se quiere reutilizar algún disco duro, previamente habrá que hacerle un formateo completo a bajo nivel, rellenándolo de ceros binarios. El objetivo es evitar que sectores existentes en el disco duro que va a recibir la copia, puedan aparecer como pertenecientes al disco duro intervenido. La copia ha de ser clónica, incluyendo todos los sectores, para evitar que ficheros en borrado lógico queden sin copiar. La partición del disco duro intervenido y la de la copia han de tener, por tanto, el mismo tamaño.
www.antpji.com
Página 59
Curso de Perito Telemático Forense Es admisible que la partición en la copia no sea primaria, sino secundaria o extendida, para poder poner varios discos duros intervenidos dentro de un solo disco duro de copia físico. El disco duro copia se etiquetará con las indicaciones de los discos duros originales intervenidos. Los discos originales intervenidos no se tocarán más. Soportes de datos de Lectura/Escritura En cualquier soporte de datos que admita escritura, se utilizará la misma estrategia que en los discos duros, esto es, se clonarán a un soporte de datos virgen del mismo tipo. Ordenador portátil Para obtener una copia de los datos de un portátil existen varias soluciones. Si el portátil dispone de grabadora de CDs, se arrancará el portátil con un programa con sistema operativo integrado (no arrancar desde el disco duro) y se obtendrá una imagen del disco duro en un disco óptico. El disco óptico se volcará a su vez, a través de un ordenador de sobremesa a un disco duro virgen. Otra opción es extraer el disco duro del portátil, y con un adaptador conectarlo a un ordenador personal, para entonces copiarlo a un disco duro virgen. En todo caso, nunca se debe arrancar el ordenador portátil desde su disco duro, pues lo alteraría. Si estáis familiarizados con Linux o unidades virtuales o incluso es válida la utilización del Hiren Boot 8 o 9. Ficheros borrados Una vez realizada una exploración de los ficheros existentes, se deberá utilizar un programa de recuperación de ficheros borrados (como el programa Revive) para localizar potenciales ficheros relevantes que hubiesen sido borrados. El los discos ópticos, se puede grabar a continuación de lo ya grabado, haciendo inaccesible lo anterior, también se deberán revisar estas grabaciones previas, si existiesen. En caso de incluir un fichero borrado y recuperado en el informe pericial, deberá explicarse prolijamente el método por el que se ha obtenido. 3.- EXPLORACION DE FICHEROS Imágenes Las imágenes, sobre todo las referentes a falsificaciones, tienen una característica fundamental: para tener cierta calidad han de tener bastante tamaño. El procedimiento más sencillo para localizar las imágenes de un medio es el programa estándar de exploración de Windows. Se utilizará la búsqueda, seleccionando opciones de búsqueda para que el tamaño mínimo del fichero a buscar sea superior a un tamaño determinado, por ejemplo 100 KB.
www.antpji.com
Página 60
Curso de Perito Telemático Forense Teniendo en cuenta que la gran mayoría de los ficheros en un ordenador son de pequeño tamaño, seleccionar todos los ficheros superiores a un límite determinado reduce enormemente el número de ficheros. Una vez seleccionados los ficheros superiores a un tamaño, se procede a revisar los resultados, clasificándolos por fecha, opor carpeta o por tipo. Normalmente la experiencia indica que los ficheros relevantes se suelen encontrar en los directorios normales de usuario, por ejemplo en “Mis documentos”. Para mirar antecedentes y procedencia, podéis utilizar el programa FOCCA, que os indicara muchos registros de los que necesitáis. Las técnicas de esteganografía, basadas en ocultar una imagen relevante dentro de otra imagen de apariencia anodina, no suelen estar al alcance de personas sin sólidos conocimientos informáticos, por lo que, salvo en casos muy concretos, no se realizarán análisis esteganográficos. Un caso particular es la localización de imágenes en Internet. Normalmente, los ficheros de un ordenador, a efectos periciales, se pueden dividir en aquellos referidos a Internet y aquellos no referidos a Internet. Una buena práctica, si se dispone de tiempo y recursos, especialmente en aquellos discos duros que contienen un gran número de imágenes, es copiar la información de Internet a una partición y el resto a otra partición, explorando entonces cada partición por separado. Una forma de realizar esta copia es clonar el disco duro y luego,desde el explorador de Windows cortar y pegar el directorio de Internet (dentro de las carpetas del sistema operativo Windows) a otra participación en el disco copia. Hay que tener en cuenta que los ficheros de Internet, especialmente los gráficos, tienen tamaños menores que los ficheros distribuidos en soporte físico. En temas de fotografías de menores, es en los ficheros del directorio de Internet el sitio más probable donde encontrar ficheros relevantes. También en el directorio de Internet es más probable localizar ficheros de imágenes relevantes que identifiquen actividades a las que el usuario del ordenador se ha dedicado. Por ejemplo gestiones bancarias o de otro tipo donde va a figurar el nombre y la identificación del usuario. Esto es muy interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un usuario determinado. Un programa muy útil para la localización de imágenes es el que busca y muestra todas las imágenes de una carpeta o de un soporte determinado, selecciona aquellas que contienen imágenes, y las presenta como miniaturas en pantalla.
www.antpji.com
Página 61
Curso de Perito Telemático Forense El programa ACDsee es paradigmático en este aspecto. Con un programa de este tipo se pueden recuperar, por ejemplo, todas las imágenes contenidas en el directorio de Internet y presentarlas en pantalla como miniaturas, inclusive clasificadas por tamaño. De esta manera se puede revisar rápidamente miles de imágenes. Por cada imagen relevante seleccionada se procederá de la siguiente manera: 1. Se obtendrá una "foto" del directorio donde estaba el fichero. Esto se puede hacer mediante el explorador de Windows hasta localizar el fichero. Luego se "fotografía" la pantalla pulsando simultáneamente las teclas “alt” y “impr pant” y, en un documento de Word, pulsar el botón derecho del ratón y seleccionar “pegar”. La "foto" quedará pegada en el documento Word. 2. Se copiará la imagen “imágenes relevantes”.
a
un directorio
de trabajo, que podemos denominar
3. Se imprimirá cada imagen con un pie que consista en la ruta completa del fichero. Para ello se utilizará un buen programa de tratamiento de imágenes, como Photoshop o PhotoPaint. En el caso de falsificación de billetes o documentos con números de serie, se hará una ampliación digital de los números de serie. El objetivo es revisar si los números de serie, especialmente los últimos dígitos han sido manipulados. Es habitual encontrar una misma imagen que da lugar a distintas falsificaciones por el procedimiento de alterar el número de serie. También revisar formularios sellados en blanco, por si hubiesen sido manipulados para borrar lo escrito y dejar los campos en blanco. Documentos La exploración de documentos no tiene relación con la exploración de imágenes. Los ficheros de documentos son de tamaños muy variados, y también pueden estar en cualquier sitio. La buena práctica indica que los ficheros con documentos suelen estar en las carpetas de usuario, y además con las extensiones habituales (.doc .xls .txt . pdf .rtf .htm y similares). Por tanto es muy útil el explorador de Windows, buscando en el disco duro completo por tipo de fichero.
Es importante localizar ficheros relevantes que identifiquen al usuario del ordenador, especialmente los ficheros donde figuren el nombre y los datos del usuario. Esto es muy
www.antpji.com
Página 62
Curso de Perito Telemático Forense interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un usuario determinado. Hay gran cantidad de ficheros de distribución que pueden dificultar la búsqueda de ficheros relevantes. habitualmente, con una simple clasificación por fecha, se detecta rápidamente cuales son los ficheros de distribución de un producto determinado, ya que suelen tener todos la misma fecha. Para ver el contenido de un fichero que no tiene una extensión reconocida, y no es de un gran tamaño, una opción muy rápida es abrirlo con el programa de utilidad “bloc de notas”. Programas Desde el punto de vista pericial, es también importante determinar qué programas se han utilizado en un ordenador. No es lo mismo que el ordenador disponga exclusivamente de los programas de tratamiento de imágenes que vienen ya instalados con el sistema operativo, a que se encuentre toda una panoplia de software de exploración, de tratamiento y de impresión de imágenes, sobre todo si también se encuentran imágenes relevantes. Aun que cada uno de estos programas no tiene relevancia independiente, el conjunto de un elenco de programas de tratamiento de imágenes con ficheros con imágenes de falsificaciones si que puede tener relevancia. Los efectos de la relevancia no han de ser determinados por el Perito, que deberá ceñirse a indicar si los medios técnicos, programas y ficheros forman un conjunto apto para el tratamiento de imágenes. Un caso especial son los programas utilizados para la falsificación de tarjetas magnéticas. Se suelen reconocer porque están escritos en Visual Basic (extensión .vba). Abierto el fichero con el bloc de notas, se pueden ver los comentarios del programa que indicarán su uso. Por su propia naturaleza, no hay software de difusión masiva para el manejo de lectores grabadores de tarjetas magnéticas, que sea accesible al público en general, por lo que es habitual el desarrollo de programas "ad hoc". Es muy conveniente relacionar el programa con los lectores de tarjetas magnéticas intervenidos, ya que cada programa suele tener opciones para el manejo de unos determinados modelos de lectores grabadores de tarjetas. 4.- INFORME PERICIAL Los informes periciales suelen seguir la misma pauta cuando se refieren a similares asuntos. Se adjunta un informe tipo utilizado en informes periciales referentes a falsificación de billetes.
www.antpji.com
Página 63
Curso de Perito Telemático Forense Portada Los apartados más relevantes son los siguientes: Deberá orientarse a identificar clara y rápidamente el contenido del informe pericial. Donde se ha hecho el peritaje, la referencia y a quien va destinado (normalmente identificando Juzgado y diligencias). Los datos de la portada se resumirán y repetirán como pie de página a lo largo del peritaje. Peritos Identificación del Perito o los Peritos. En los peritajes de índole penal, es muy común omitir el nombre y apellidos del Perito y sustituirlo por un número de identificación, como puede ser un número de colegiado. Antecedentes Es un inventario de los equipos intervenidos y de su procedencia. Prueba pericial Se describen los pasos dados desde la recepción de los equipos intervenidos hasta la obtención de los ficheros relevantes. Se debe indicar el código o códigos de conducta o de buenas prácticas que se han seguido. Por ejemplo el código deontológico, de práctica y conducta de ANTPJI. Se describe los pasos realizados para la obtención de discos copia. Se detallan las características técnicas de los elementos informáticos intervenidos. Se enumeran los ficheros relevantes encontrados, y los equipos informáticos donde fueron hallados. Ficheros relevantes Se describe, para cada fichero relevante encontrado, el contenido que le hace relevante. En los casos de falsificación, este apartado suele ser cumplimentado por un experto pericial en falsificaciones. Conclusiones Se indica en que componentes informáticos se han encontrado ficheros relevantes, y un resumen del contenido que les hace relevantes, inclusive enlazando con datos de identificación de usuario que se hubieran encontrado. Este apartado es generalmente un resumen del apartado de ficheros relevantes.
www.antpji.com
Página 64
Curso de Perito Telemático Forense
Firma Se inventarían los elementos informáticos relevantes que quedan como resultado de la prueba pericial, y que se remiten con el informe, esto es, todos los soportes de almacenamiento donde se han encontrado ficheros relevantes. Es muy conveniente grabar los ficheros relevantes y el propio informe pericial en un CD, (grabarlo con sesión “cerrada” para que no se pueda manipular), que permitirá acceder con facilidad a los ficheros relevantes. En otra relación, se devuelven los elementos informáticos que no hayan resultado relevantes. El Perito no debe quedarse con ningún elemento informático intervenido. Debe devolverlos todos, señalando y distinguiendo aquellos elementos informáticos que contienen elementos relevantes de aquellos donde no se han encontrado elementos relevantes. Anexos I: equipos peritados Se incluirán las fotografías de los equipos peritados, así como de las imágenes de las carpetas donde se encontraron los ficheros relevantes. Anexo II: ficheros relevantes Se incluirá el contenido de cada fichero relevante con la ruta completa donde fue encontrado. Conservación de elementos periciales Una vez realizado el informe pericial se deben conservar los siguientes elementos en poder del Perito: 1.
Copia del informe pericial
2.
Copia del CD con los ficheros relevantes y el informe pericial
3.
Disco duro copia utilizado en la realización del peritaje.
Si por algún motivo el disco duro copia se alteró durante la realización del peritaje, deberá volver a clonarse de nuevo, para su conservación.
Marketing para Peritos Telemáticos No eres ni el primero, ni serás el último. Cuando recibimos el titulo de Perito Judicial Telemático, todos tratamos de posicionar nuestra nueva actividad, por lo general, miramos lo
www.antpji.com
Página 65
Curso de Perito Telemático Forense que están haciendo los colegas y trata de copiar lo mejor que puede. Miramos artículos, web y blog de otros Peritos Informáticos o incluso de otras disciplinas. Lo primero que tienes que hacer es ser consciente de que la Organización a la que perteneces, se preocupa de que tu nueva actividad sea lo más lucrativa posible con el objetivo de que hables bien de la misma y sirva para otros profesionales, ya que no tiene contemplado una partida ni mensual ni anual en cuanto a publicidad. Su reconocido respeto tan solo ha de crearse gracias al boca a boca de sus asociados, clientes y proveedores. No olvidar que el Presidente de la Organización, dejo su agencia de publicidad, tras pasar por varios medios de comunicación tanto en prensa escrita, radio y televisión como director de marketing y se decanto por las Nuevas Tecnologías con el objetivo de ayudar a informáticos buscando la manera de una capacitación profesional. Voy a tratar de dar unas pinceladas para que tu imaginación haga el resto. El marketing y el saber venderse es fundamental con lo que tenemos que comunicar nuestro nuevo status laboral, y repartir tarjetas, iniciar contactos con personas que pueda serles útil nuestra nueva capacitación como abogados, fiscales, empresas y profesionales autónomos. No debemos de olvidar el publicitarnos en portales gratuitos como www.porticolegal.com y crear un blog e incluso una página web en donde sabemos que el coste económico es asumible y la creación de una página no excede de los 100 €. Las facultades no forman a sus alumnos sobre el mercado, las pautas de comunicación interna o externa, las relaciones con los medios, el acercamiento a clientes, gerencia sobre departamentos de responsabilidad informática, tributos, estudios de calidad, de responsabilidad social… En la Organización en la que te encuentras, te ofreceremos herramientas que te permitirán hacer desde un Plan básico de Empresa, como otras herramientas para que puedas planificar y gestionar mejor tu nueva actividad, porque sabemos que la fortaleza de de un servicio de Auditoría y Peritaje Informático, está en el Capital Humano que lo brinda, sumado a un conocimiento continuo y actualizado agregado al saber de un colectivo que trabaja en lo mismo y esa sinergia creada da como resultado una conocimiento superior a la mayoría de profesionales. No pretendemos que seas un Perito Informático cualquiera, sino que tus clientes vean la diferencia entre otros Peritos Profesionales y tú.
Te ayudaremos con la imagen corporativa, con el visado de informes, pericias, dictámenes… segmentar el mercado al que te vas a dedicar, ordenar los esfuerzos, proporcionándote todo el material que necesites y alinear los costos, para asegurarnos el éxito en tu nueva andadura profesional. Te ofrecemos algunos consejos, cumpliendo la norma y la ética de la profesión para que promuevas la atención personalizada de tus clientes, el seguimiento de sus necesidades y las
www.antpji.com
Página 66
Curso de Perito Telemático Forense ventas cruzadas. No hay que esperar la llamada del teléfono, sino salir para ofrecer nuestros servicios, porque hay mucha gente que los necesita y no conocen nuestro teléfono. No es una parrafada, pero cada día llama más gente a la Organización buscando Peritos y agradeciéndonos nuestra existencia porque no sabían a dónde dirigir se. PRIMEROS PASOS Como hemos apuntado empezaremos a trabajar sobre un listado de ac ciones y herramientas: Imagen Corporativa. Tarjetas, Hojas con membrete, Papelera personalizada. (Enviamos modelos) Blog (Dedicarle media hora diaria) New Lester (Compartamos Plataformas del conocimiento con otros colegas e intercambiemos datos) Pagina Web (Diseñemos algo ágil y funcional) Presencia en las redes sociales (No olvidemos el dicho que si no estamos en la Red, no existimos, y todos sabemos que no hay coste en publicitarnos en facebook, twiter, redes profesionales como Linkendin, Xing…) Organización de seminarios, desayunos o congresos. (La organización, te apoyara en estas actividades con su experiencia y merchandaising) Publicidad en medios de comunicación técnicos o generales. (No se trata de gastar dinero en publicidad, sino en ofrecerse como especialistas en informáticas a revistas del barrio, profesionales, cadenas de radio e incluso de televisión, y en donde sabemos que la retribución económica es escasa, pero se puede intercambiar con publicidad) Participación Académica (Estamos en un escalón superior y es necesario el compartir nuestro conocimiento con escuelas de FP, academias o similar en donde verán un profesional y el retorno de la inversión de nuestro tiempo repercutirá en breve con ventas cruzadas….Es cierto que podemos dar unas clases gratis, pero también es cierto que llevamos el mantenimiento de los equipos, la auditoria de seguridad, la implantación de la LOPD… Y e aprendido mucho de los alumnos de FP) Actividades como ponentes o asesores en cámaras empresariales o espacios sociales como Juntas de Distrito,Ayuntamientos, Institutos de Arbitraje…
Networking on y off line. Responsabilidad Social Corporativa, colaborando con ONGs (Aunque no creáis, la red hablara de vosotros y cuando hagáis alguna acción que beneficie a un grupo determinado en riesgo de exclusión o marginado por la brecha digital, el reconocimiento será mayor)
www.antpji.com
Página 67
Curso de Perito Telemático Forense Meditar el nicho de mercado que tenemos y en donde no está presente los aparatos tecnológicos y por ende la informática que nosotros dominamos, y es muy cierto, la gente tiene muchas dudas sobre la seguridad en general, no hablemos de la seguridad en equipos informáticos. Muchas veces he oído a otros compañeros porque salía más que ellos en medios de comunicación. La respuesta era fácil, cuando firmaba una columna o un artículo en una revista o en un diario, ellos desconocían que semanas antes había enviado decenas de cartas y artículos y que según la ley sagrada del marketing REPETICION es igual a REPUTACION, de cada diez acciones de ventas que se realizan una se materializa seguro y si encima nos esforzamos en perfeccionarla el resultado es más que satisfactorio. Mucha gente ha seguido mis consejos y doctrinas de los artículos y otros me han criticado con diferentes argumentos ya que también ellos son “expertos”, olvidando que mi objetivo se había cumplido de manera doble, porque al margen de quien llevara razón, sabían quién era yo desde ese instante que me replicaban. Meditarlo porque estas apariciones en los medios de comunicación adquieren un valor muy fundamental sobre todo para vuestros clientes actuales o futuros que les hace sentir que eligieron bien al seleccionaros, porque es una voz autorizada para opinar en la materia de la que me representa o en la que e confiado la seguridad de mis equipos informáticos y eso nos coloca en un lugar privilegiado convirtiéndose en publicidad del de boca a boca. Nunca olvidéis cuidar la imagen, ni la vuestra ni la del Gabinete, ni de vuestros colaboradores y si un día estamos mal, escribirlo en un papel y tirarlo por el retrete todos los problemas, salir con una sonrisa de oreja a oreja y veréis como el día nos trae logros fructíferos. Conozco muchos informáticos, algunos muy buenos que no consiguen trabajos, no por su no conocimiento en la materia, sino porque no cuidan su imagen o usan un lenguaje técnico que aleja al profano olvidando que es nuestro cliente y que cuanto más nos entienda, mas trabajo nos dará. No inventar, no utilizar vocablos informáticos para salir al paso de problemas que nos plantean, solo hay que interactuar como personas sin olvidar que somos especialistas de una ciencia en la que hay un universo por descubrir.
Plan de Negocio para Peritos Informáticos 1. Resumen Ejecutivo Escribe una breve reseña de tu empresa, como Perito Judicial Informático, que hace, quién eres, qué vas a hacer, cuánto necesitas, en qué mercado y cuáles son tus proyecciones.
www.antpji.com
Página 68
Curso de Perito Telemático Forense 2. Descripción de tu nueva Empresa Misión, en que te vas a especializar, promociones, pagina web, publicidad..: Historia Mercado y Productos Objetivos Situación Actual
3. Productos y Servicios Descripción Producción: Asesoramiento: Nuevos productos
4. Plan de Marketing Análisis del Mercado: No hay muchos Peritos Judiciales en la actualidad. Aprovecha ese nicho de mercado existente Investigación del Mercado: Proyecciones: Tendencias Análisis de la competencia
Mi Empresa
Factor
Fortaleza Debilidad
Competidor A
Competidor B
Cliente
Producto Precio Cualidad Selección Servicio Fiabilidad Estabilidad Experiencia Reputación Locación Apariencia Método de Política de Publicidad Imágen Estrategia de Marketing Demografía Proyección de Ventas
www.antpji.com
Página 69
Curso de Perito Telemático Forense Mes
2014
2015
2016
2017
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
5. Plan de desarrollo Estado Actual Planes de desarrollo Expansión Cronograma Riesgos
6. Plan Operacional Locación: Seguros: Ambiente Legal Producción:
7. Administración y Organización Personal: Personal Externo: Outsoursing
8. Plan Financiero 9. Financiación
www.antpji.com
Página 70
Curso de Perito Telemático Forense 1. Negocios con Futuro Escribe los 5 negocios o actividades relacionados con el Peritaje Informático a los que les ves más futuro en los próximos 5 años 1. 2. 3. 4. 5.
2. Lo que más me gusta hacer Escribe las 5 actividades que más te gusta hacer en la Informática 1. 2. 3. 4. 5. 2. Lo que mejor hago Escribe las 5 actividades que sabes hacer 1 2. 3. 4. 5.
Qué producto o Servicio ofrezco? A qué mercado me voy a dedicar
www.antpji.com
Página 71
Curso de Perito Telemático Forense Qué productos o servicios ofrecerle a mis clientes como valor agregado? Qué productos o servicios puedo crear como Fast Cash Product para generar dinero rápido? Cliente Ideal Cómo es?: Recuerda que los abogados tienen ya clientes y que necesitan de tu dictamen. Dónde lo busco?: Empresas, Colegios Profesionales, eres Perito y Tasador también Qué Estrategia voy a implementar para alcanzar más clientes ideales: Cuándo la voy a implementar: Cómo voy a medir los resultados?: Cómo es tu Marca Qué colores usas? Cómo es tu logotipo? Cómo quieres que sea tu imagen? Proposición Única de Ventas Cuál es mi PUV?: Proposición Única de Ventas Cuál es mi PUV?: En Materia de Peritaje Informático, Auditoria Forense, Ciberdelitos o similar.. a cuantos cursos has ido? Seminarios? Qué vas a hacer para mejorar tu situación?: Cuándo?: Nuestro éxito, es tu éxito por eso te damos las claves del éxito en esta aventura que te has Propuesto y en la que cosecharas momentos gratificantes. Todos tenemos derecho al éxito, solo por ser humanos, y el que logres tus metas solo dependerá de tus creencias. Ya has dado el primer paso asociándote a ANTPJI. Eres uno de los que han visto que hay una oportunidad de triunfar, hay un nicho de mercado sin cubrir actualmente y has sabido aprovecharlo.
Anexo I: Normativa ISO 27001 Y 27002 TÍTULO Criterios generales para la elaboración de informes y dictámenes periciales
www.antpji.com
Página 72
Curso de Perito Telemático Forense CORRESPONDENCIA
OBSERVACIONES
ANTECEDENTES
Esta norma ha sido elaborada por el comité técnico AEN/CTN 197 Informes Periciales
cuya
Secretaría
desempeña
el
COL•LEGI
D’ENGINYERS
TÈCNICS
INDUSTRIALS DE BARCELONA en nombre y representación del CONSEJO GENERAL DE PERITOS E INGENIEROS TÉCNICOS INDUSTRIALES. 0
INTRODUCCIÓN
El creciente número de actuaciones periciales profesionales, lleva a la necesidad de establecer una garantía para asegurar que aquellas son adecuadas al uso a que se destinan. 1
OBJETO Y CAMPO DE APLICACIÓN
Esta norma tiene por objeto el establecimiento de las consideraciones generales que permitan precisar los requisitos formales de las características de informes y dictámenes
periciales,
sin
determinar
los
métodos
y procesos específicos para la
elaboración de los mismos. Las normas específicas que se desarrollarán bajo el marco de esta norma serán de aplicación para determinadas actividades profesionales y podrán complementar los aspectos generales contenidos en esta norma.
2
NORMAS PARA CONSULTA
Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará a la última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran referenciados sin fecha.
www.antpji.com
Página 73
Curso de Perito Telemático Forense
UNE-EN ISO 9000 Sistemas de gestión de la calidad. Fundamentos y vocabulario (ISO 9000:2005)
UNE 50132 Documentación. Numeración de las divisiones y subdivisiones en los documentos escritos.
3
DEFINICIONES
Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma UNE-EN ISO 9000 junto con los siguientes. En el caso de posible conflicto entre las definiciones contenidas en esta norma con las incluidas en las normas anteriormente mencionadas, prevalece la definición dada en esta norma 1.1
Código o referencia de identificación:
Conjunto de caracteres alfanuméricos que identifican un informe o dictamen pericial. Debe existir una correspondencia unívoca entre el código o la referencia de identificación y el informe correspondiente, de forma que no pueda haber en un mismo emisor otro informe pericial u otro dictamen que dispongan de la misma identificación. 1.2
Dato de partida:
Cualquier cantidad, magnitud, característica, relación, parámetro, criterio, hipótesis o requisito empleado en los documentos técnicos del informe o dictamen pericial, externo a éstos y cuyo conocimiento y aplicación es necesario y obligatorio para el desarrollo del informe o dictamen pericial. 3.3
Dictamen pericial: Opinión técnica y experta que se emite sobre hechos o cosas.
4
REQUISITOS GENERALES
4.1
Título
Todo informe y dictamen pericial deben tener un título que los identifique de forma clara e inequívoca. 4.2
Documento
Todo informe o dictamen pericial debe constar de la siguiente estructura básica:
www.antpji.com
Página 74
Curso de Perito Telemático Forense
Identificación,
Índice;
Cuerpo del informe; y cuando corresponda
Documentos anejos.
4.3
Paginación
En todas las páginas del informe o dictamen pericial debe figurar el código o referencia de identificación, el número de página y el número total de páginas 5
IDENTIFICACIÓN
5.1
Generalidades
Es el elemento que contiene los datos necesarios para identificar el informe o dictamen pericial. 5.2
Contenido
El informe o dictamen pericial debe iniciarse con la siguiente información:
El título y su código o referencia de identificación.
El nombre del Organismo u Organismos a los que se dirige el informe o dictamen pericial y el número de expediente o procedimiento, si lo hubiera.
El nombre y apellidos del perito, su titulación, y, en su caso, colegio o entidad a la que pertenece, Documento Nacional
de
Identidad
(DNI),
domicilio
profesional, teléfono, fax, correo electrónico y cualquier otro identificador profesional que pudiera existir, salvo aquellos cuya revelación
no sea
legalmente procedente.
El nombre, apellidos y Documento Nacional de Identidad (DNI) del solicitante del informe o dictamen pericial, sea en nombre propio o en representación de otra persona física o jurídica, cuyos datos también figurarán y cualquier otro identificador que pudiera existir, cuya revelación sea legalmente procedente.
En el caso en que el objeto del informe o dictamen pericial contemple un emplazamiento geográfico concreto, se debe definir dicho emplazamiento (dirección y población) y, si procede, sus coordenadas UTM (Universal Transverse Mercator).
www.antpji.com
Página 75
Curso de Perito Telemático Forense
Cuando proceda, nombre y apellidos del letrado y del procurador del solicitante.
6
La fecha de emisión del informe o dictamen pericial. DECLARACIÓN DE TACHAS
En este capítulo se establece, cuando proceda, que el perito puede aplicar el sistema de tachas o hacer constar su imparcialidad. 7
JURAMENTO O PROMESA
En este capítulo se establece, cuando proceda, que al emitir su dictamen, el perito manifiesta bajo juramento o promesa de decir verdad, que actuará con veracidad y con la mayor objetividad posible, que ha tomado y tomará en consideración todo aquello que sea susceptible de favorecer o causar un perjuicio a cualquiera de las partes y que conoce las sanciones penales en que puede incurrir en el caso de incumplir su deber como perito. 8
ÍNDICE GENERAL
8.1
Generalidades
El índice general del informe o dictamen pericial tiene como misión el facilitar la localización de todos y cada uno de los capítulos y apartados. 8.2
Contenido
El índice debe indicar el número de página en que se inicia cada uno de los capítulos y apartados del informe o dictamen pericial. 9
CUERPO DEL INFORME O DICTAMEN PERICIAL
9.1
Generalidades
El cuerpo del informe o dictamen pericial es el documento principal de su estructura y asume la función de presentar y justificar las conclusiones. El cuerpo del informe o dictamen pericial debe ser claramente comprensible por todos los interesados, especialmente en lo que se refiere a sus objetivos, las investigaciones realizadas y las razones que han conducido a las conclusiones adoptadas. 9.2
Contenido
www.antpji.com
Página 76
Curso de Perito Telemático Forense En los puntos siguientes se indica la numeración, de acuerdo con la norma UNE 50132, título y contenido de cada uno de los capítulos y apartados en los que se compone el cuerpo del informe o dictamen pericial: 1
OBJETO
En este capítulo del cuerpo del informe o dictamen pericial se debe indicar su finalidad. 2
ALCANCE
En este capítulo del cuerpo del informe o dictamen pericial se deben indicar las cuestiones planteadas por el solicitante. 3
ANTECEDENTES
En este capítulo se deben indicar los hechos, cosas, sucesos o asuntos que se hayan producido con anterioridad al inicio del informe o dictamen pericial y que estén en conocimiento del perito. 4
CONSIDERACIONES PRELIMINARES
En este capítulo se deben enumerar todos aquellos aspectos necesarios para la comprensión de la investigación y la metodología empleada. Se podrá incluir, en caso necesario, los criterios y técnicas utilizadas para garantizar la representatividad de la muestra objeto del informe o dictamen pericial. 5
DOCUMENTOS DE REFERENCIA
Este capítulo debe recoger el conjunto de disposiciones normativas, otras normas de no obligado cumplimiento, la buena práctica profesional y la bibliografía que se han tenido en cuenta, y que hayan sido citados en el informe o dictamen pericial. 6
TERMINOLOGÍA Y ABREVIATURAS
En este capítulo se deben relacionar todas las definiciones de palabras técnicas, así como el desarrollo y significado de todas las abreviaturas o siglas que se hayan utilizado en el informe o dictamen pericial. 7
ANÁLISIS
www.antpji.com
Página 77
Curso de Perito Telemático Forense En este capítulo del cuerpo del informe o dictamen pericial se deben describir las bases y datos de partida establecidos por el solicitante y los que se deriven de:
La legislación, reglamentación y normativa aplicables;
La investigación realizada encaminada a la definición de las conclusiones
Las referencias, documentos, muestras y procedimientos de toma y conservación de las mismas que puedan fundamentar las conclusiones del informe o dictamen pericial;
También se deben indicar los distintos razonamientos estudiados, qué caminos se han seguido para llegar a ellos, las ventajas e inconvenientes de cada uno y cuál es la justificación de las conclusiones. 8
CONCLUSIONES
En este capítulo del cuerpo del informe o dictamen pericial se debe establecer de forma inequívoca la interpretación técnica y experta resumida que se emite sobre los extremos que constan en el capítulo Alcance. Se podrán añadir consideraciones adicionales que a juicio del perito maticen las conclusiones. 10
ANEXOS
10.1
Generalidades
Los anejos forman parte inseparable de la estructura del informe o dictamen pericial, y deben estar recogidos en el índice general. Asimismo deben estar identificados de manera correlativa y paginada de forma inequívoca 10.2
Contenido
Como anexo, el perito puede incluir las referencias, documentos, muestras y procedimientos
de
toma
y conservación de las mismas que puedan fundamentar las
conclusiones del informe o dictamen pericial.
www.antpji.com
Página 78
Curso de Perito Telemático Forense
Juan Luis García Rambla
www.antpji.com
Página 79
Curso de Perito Telemático Forense
Un forense llevado a juicio
[ www.antpji.com
] Página 80
Juan Luis García Rambla A JUICIO CursoUN deFORENSE Perito LLEVADO Telemático Forense
”Hay ciertas pistas en la escena de un
crimen que por su naturaleza nadie puede recoger o examinar ¿cómo se recoge el Amor, la Ira, el Odio, el Miedo…? son cosas que hay que saber buscar” Dr. James T Reese.
1
Juan Luis García Rambla A JUICIO CursoUN deFORENSE PeritoLLEVADO Telemático Forense
http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.es
2
Juan Luis García Rambla A JUICIO Curso UN deFORENSE Perito LLEVADO Telemático Forense
Indice
Capítulo 1 – El análisis forense .............................................. 5 Capítulo 2 – La importancia de las evidencias........................ 8 Capítulo 3 – El procedimiento de copiado de discos .............12 Capítulo 4 – La cadena de custodia ......................................24 Capítulo 5 – Las buenas prácticas en el análisis. ..................28 Capítulo 6 – El informe pericial .............................................34 Capítulo 7 – Prueba anticipada en un proceso civil ...............40 Capítulo 8 – Un juicio civil ....................................................43 Capítulo 9 – Claves de un forense en juicio ...........................47
3
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Prólogo A diario los medios de comunicación nos informan de noticias relacionadas con filtraciones, abusos o ataques relacionados con la tecnología y la informática. Esta realidad es cada vez más evidente y no es más que la punta del iceberg. Junto a estos casos juzgados socialmente, se dan otros miles de ellos que se dirimen en una sala y son conocidos sólo por unos pocos, los afectados. Pero sin embargo, para esta gran mayoría de ciudadanos tienen una transcendencia mucho mayor que aquellos casos con un gran impacto social y mediático. El esclarecimiento de esta situaciones, que pueden acarrear consecuencias mayores, incluida la privación de libertad para los afectados, son tareas de muy pocos y realmente críticas. Evidentemente no se trata de cuestiones que puedan tomarse a la ligera y deben ir acompañadas de investigaciones rigurosas y de los procedimientos adecuados. Cualquier investigación forense se encuentra rodeada de un cierto “misticismo”. También es así en esta ocasión, cuando la información manejada es fundamentalmente tecnológica. Sin embargo, no debemos olvidar que aunque la carga técnica es importante, existen también en este tipo de escenarios muchos detalles que se encuentran alejados de una visión puramente informática de la situación que se está analizando. Todo ello resulta aún más acusado cuando el caso forense tiene posibilidades de derivar finalmente en un proceso judicial. Ante estas circunstancias es frecuente que el parapeto tecnológico detrás del cual se protegen muchos consultores desaparezca, dejando paso a situaciones donde los profesionales de la informática no se encuentran cómodos. En un proceso judicial, el técnico ya no se encuentra en su elemento, no es el “juez” ni quién tiene el control de la situación. Es simplemente una parte más dentro del proceso e incluso, aunque no sea la persona enjuiciada, puede llegar a sentirse juzgado en su labor profesional. Situaciones que técnicamente se dan como definitivas en un entorno profesional informático pueden ser cuestionadas en una vista judicial. El especialista forense digital debe por lo tanto conjugar su pericia técnica con la capacidad para enfrentarse a temas para los que no se encuentra tan preparado profesionalmente. El éxito depende de muchos factores de los que a menudo el perito es un mero espectador. A lo largo de esta publicación, Juan Luis García Rambla Director Técnico del Área de Seguridad de Sidertia Solutions S. L., realizará el análisis de un proceso forense digital completo. Incorporando en él, desde los apartados más técnicos, que incluyen herramientas y procedimientos, hasta aspectos legales que podrían llegar a ser determinantes en un juicio en el que un profesional de la informática interviene en calidad de perito.
4
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
En este documento técnico Juan Luis aporta no sólo su conocimiento en la materia sino fundamentalmente su experiencia, procedente de la directa intervención en casos forenses bien como perito informático bien como coordinador de equipos de analistas forenses. Nos aporta su visión particular de la cuestión, pero sin lugar a dudas la información suministrada permitirá al perito llegar al proceso judicial con un mayor porcentaje de posibilidades de éxito. La publicación será de especial utilidad para aquellos que inician sus pasos en el delicado mundo del análisis forense, pero también ofrece una visión interesante para aquellos analistas experimentados que nunca han participado en un proceso judicial. Juan Antonio Calles García
5
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 1 – El análisis forense Como especialidad dentro del ámbito de la seguridad informática el análisis forense digital puede aportar al profesional resultados plenamente gratificantes, pero también situaciones realmente desagradables. Escenarios de actuación en principio sencillos, pueden complicarse hasta límites insospechados. A todo esto se suma una circunstancia difícil de digerir, especialmente para un informático, la subjetividad. Por muy técnicos que sean los resultados obtenidos, por metódicos que lleguen a ser los procedimientos y claras las conclusiones técnicas, todo el proceso no deja de estar cargado de cierta subjetividad. Es más, en un determinado momento la decisión final será adoptada por alguien que presenta lógicas limitaciones técnicas para apreciar lo dispuesto en un informe pericial informático. Desde su inicio un análisis forense digital debe responder a la pregunta ¿es posible que las conclusiones lleguen a un proceso judicial? Inicialmente, esta cuestión puede parecer poco relevante para un análisis técnico. Sin embargo, esta impresión cambia radicalmente al entrar en calidad de perito en la sala donde se desarrolla el proceso. Probablemente, en el desarrollo del mismo, el tipo de preguntas a las que se enfrente el informático no serán tan claras y directas como las que en sus labores técnicas contesta habitualmente. Y por qué no decirlo, en muchas ocasiones éstas serán directamente malintencionadas e incluso retorcidas. Una mala respuesta puede llegar a desbaratar judicialmente una buena labor de análisis digital. En estos momentos es cuando se aprecia lo determinante que es haber realizado correctamente el análisis desde sus inicios. De este modo la duda, la inseguridad y falta de claridad en la respuesta serán infrecuentes. La frustración de que estaba “casi” todo bien y de que por lo menos “lo intentamos” será inusual si la labor técnica de análisis ha sido la adecuada. Enfrentarse a un caso forense implica tener que anticipar inicialmente la posibilidad de lleg ar a juicio. A menudo, y en función del escenario, es posible que ese hecho no se observe en un principio, pero tal y como se desencadenen los acontecimientos pueda llegar a darse. Expongamos a continuación un hipotético caso y que sin embargo recoge situaciones que no son inusuales en la realidad y que ilustran la posibilidad de que un análisis técnico
6
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
desemboque en un proceso judicial. El equipo de trabajo de un directivo comienza a hacer “cosas raras”. En consecuencia se decide realizar un análisis del mismo y averiguar que está ocurriendo. Se detecta la presencia de un malware. En ese momento son múltiples las cuestiones a abordar: ¿por qué el antivirus no lo ha detectado?, ¿pueden otros ordenadores estar afectados?, ¿cómo eliminarlo? Sin embargo, en el transcurso del análisis digital no sólo se detecta al elemento malicioso, sino que está provocando una fuga de información. Se localiza quién ha sido el actor (denominación judicial, para ir entrando en materia) culpable de la acción maliciosa y a qué tipo de información ha tenido acceso. Se trata de otro empleado de la compañía que ha sustraído información crítica respecto de la política corporativa de recursos humanos. La empresa afectada ¿no querría llevarle a juicio o despedirlo de forma procedente? Probablemente sí. Frecuentemente en los casos forenses se sabe cuáles son los inicios de la investigación digital, pero no cuál puede ser su final. Por ello es interesante conocer si el promotor de la investigación tiene de partida la intención de llevar el caso a los juzgados. En múltiples ocasiones los interesados desestimarán esta posibilidad. Sin embargo, es posible que no sean conscientes de las circunstancias reales y al disponer progresivamente de mayor información sus intenciones iniciales se pueden modificar. Es recomendable por lo tanto desde un primer momento indicar que ante la posibilidad ineludible de que el análisis pueda finalizar en una fase judicial, la recogida de evidencias debe realizarse teniendo esta circunstancia en consecuencia o al menos en caso de no hacerlo comunicárselo a los interesados. En todo momento se debe hablar de posibilidades. El desarrollo de una investigación digital correcta en sus procedimientos y conclusiones, no asegura el éxito de la misma. En un juicio la decisión final se dirime en un momento y localización puntual. En ocasiones sólo la habilidad y experiencia de unos y otros hacen que la balanza se incline hacia uno u otro lado. No hay que olvidar que el desarrollo de la recogida de evidencias y de todo el análisis atendiendo de forma rigurosa a los procedimientos adecuados demanda una mayor dedicación y en el mundo profesional el tiempo es dinero. En cada escenario es necesario valorar si la inversión económica, el porcentaje de posibilidades de éxito y el propio desgaste del proceso hacen recomendable el inicio del mismo. En ocasiones lo idóneo será desestimar la realización del peritaje. Tras valorar los anteriores factores no es inusual en casos laborales que una organización puede llegar a la conclusión de que le es más conveniente afrontar un despido improcedente que iniciar una investigación. Es necesario tener presente aquellos análisis que pueden derivar en un juicio, deben ser atendidos con mayor pulcritud y rigor procedimental para que las conclusiones obtenidas a
7
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
partir de las evidencias, sean válidas, creíbles y lo más importante “rotundas” e irrefutables sea cuáles fueren los argumentos utilizados. Aquellas actuaciones cuyo objetivo no es atender a un proceso judicial, sino obtener una determinada información, permiten una mayor flexibilidad, reduciendo con ello los tiempos dedicados a la recogida y tratamiento de evidencias. La tendencia habitual es hacer uso de procedimientos, que siendo más o menos reglados pueden resultar algo imprecisos o inapropiados para tener valor judicial. Póngase un ejemplo. Para tareas de adquisición de evidencias un especialista puede operar haciendo uso de las normas marcadas en la RFC 3227 “Guía para la recogida y almacenamiento de evidencias”. Pero actualmente en España, aplicar esta norma de forma escrupulosa puede ser una temeridad, fundamentalmente porque rompe el principio de que “antes de tocar cualquier evidencia, prevalece la rigurosa recogida de la misma”. El escenario nunca debe alterarse. Esta circunstancia puede llegar incluso a eliminar la validez de la evidencia. En otros países, más avanzados judicialmente en materia de procedimientos forenses informáticos y que incluso disponen de leyes y regulaciones para ello, esta RFC pueda tener su validez. Sin embargo, en otros muchos, como es el caso de España, es mucho más importante poder acreditar la no alteración de evidencias que cualquier otra cuestión. Dicho de forma más coloquial, para el perito es crítico poder afirmar en cualquier caso “cuando yo llegué, esto ya estaba así ”. En caso contrario, las pruebas pueden ser recusadas por posible alteración de las mismas en el análisis. Aunque la imparcialidad del perito es obligatoria por ley, finalmente sus servicios son contratados habitualmente por una de las partes y se diluye por lo tanto esa esencia de independencia asociada a su labor. Si es claro que independientemente de cómo se desarrolle el caso, éste no acabará en un juicio, el nivel de exigencias y pulcritud se relaja dejando paso a la efectividad en el análisis Todas estas claves se irán valorando a lo largo de esta publicación. Ser consciente en todo momento de la importancia del proceso que se tiene entre manos, anticiparse a las cuestiones a abordar antes de hacerlo y conocer las herramientas necesarias para ello. Pero especialmente, cómo abordar la “dichosa experiencia” que un juicio supone para cualquiera, pero especialmente para un informático, que además tiene una labor crítica en las actuaciones judiciales.
8
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 2 – La importancia de las evidencias Uno de los aspectos fundamentales a la hora de afrontar un análisis forense digital, constituye la necesidad de contar con evidencias válidas. A priori, todas aquellas correctamente recogidas potencialmente lo son, pero una mala práctica puede llegar a invalidarlas. Hay que tener presente a lo largo de todo el proceso que el perito debe poder defender y contar con el principio de independencia. Sin lugar a dudas la información proporcionada por el afectado es vital. Sin embargo, su visión de los acontecimientos puede condicionar en exceso al perito, provocando incluso que su impulso e interés por llegar a la realidad de los hechos le haga actuar a éste sobre el equipo e infraestructuras afectadas sin respetar el procedimiento adecuado para ello. Es un riesgo fundamental en el inicio de un análisis digital luchar contra ese impulso. Cuando se sospecha que sobre un determinado equipo se ha realizado una acción perniciosa y que por lo tanto debe ser objeto de análisis, la prudencia es fundamental. Inicialmente debe asumirse que es posible que contenga evidencias interesantes y que por ello es necesario tratarlo como un sistema con información importante y sensible para el caso. No hacerlo así y “caer en la tentación” de actuar sobre él precipitadamente, permite en caso de juicio poder alegar que las evidencias pueden haber sido manipuladas con el objetivo de favorecer o incriminar a alguien. Este es también habitualmente un argumento frecuentemente utilizado en análisis contra periciales. Y si no debe tocarse el equipo ¿qué ha de hacerse? A día de hoy no hay nada reglado en este sentido, pero existen una serie de buenas prácticas y normas no escritas cuya aplicación es recomendable. Si el equipo está encendido es una buena opción obtener una fotografía de la pantalla y apagarlo. Puesto que pudiera haber información importante relativa a ficheros temporales o incluso en sistemas Windows, el propio fichero de paginación de memoria, podría optarse por apagar el equipo por la vía rápida, cortando el suministro de energía. En este procedimiento, la pérdida más importante la constituye la información de conectividad de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo de escenario al que hay que enfrentarse para adoptar la decisión adecuada. Si esa información resulta vital, sería imprescindible contar con testigos que pudieran refrendar las acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna acción
9
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
enfocada a manipular datos, sólo a extraerlos. No obstante, siempre habrá que tener prevista una respuesta en la vista judicial para una defensa de las acciones realizadas. La presencia de testigos es una cuestión a considerar en procesos comprometidos. Formulados a través de reglamentaciones de uso de medios corporativos o protocolos de seguridad internos, muchas organizaciones cuentan entre sus procedimientos con mecanismos que hacen uso de testigos para la intervención de equipos, en muchas ocasiones herederos de acciones tales como el registro de una taquilla. Para estos casos, suele requerirse que todo el proceso de recogida de las evidencias sea llevado a cabo con la presencia de una persona del comité sindical y el propio afectado, o en su defecto dos personas de la organización, totalmente independientes a las circunstancias del caso. Estos procedimientos ofrecen la seguridad, sobre todo de cara a procesos judiciales, de que, habiéndose realizado una serie de acciones específicas, testigos concretos pueden refrendar los hechos. Estas acciones se tratan de forma muy análoga al hecho de la apertura de una taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores. Aunque con una orientación diferente, sirva como ejemplo una sentencia de noviembre del 2000 de la Sala de lo Social en Málaga del Tribunal Superior de Justicia de Andalucía, en la que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le intervino y copió todos sus correos y ficheros personales, aún en presencia del comité de empresa. La sentencia se inclina en este apartado por el criterio empresarial, a pesar de que la sentencia en cuestión da la razón al trabajador, pero sólo por el hecho de que no se justificó el registro tal y como obliga el artículo 18 del Estatuto de los Trabajadores. La resolución afirma implícitamente, que el mencionado artículo 18 autoriza el registro en la terminal de ordenador que utiliza el trabajador. A todos los efectos, un equipo se asimila a la taquilla, basándose en que el ordenador es un instrumento de trabajo propiedad de la empresa. Por lo tanto, no deberá ser utilizado con otros fines diferentes que la realización de la propia actividad laboral. Sin embargo nunca deberá obviarse el hecho de que en un juicio la palabra y la interpretación última es siempre tarea del juez atendiendo para ello a su criterio, interpretando las leyes y aplicándolas según su entender. Por lo tanto cualquiera de los procesos efectuados y las acciones llevadas a cabo son validadas y refrendadas exclusivamente por su señoría. Pero finalmente teniendo en consideración lo expuesto hasta el momento, llegará la hora de adquirir las evidencias como fase crítica del proceso. En este momento vuelve a aparecer la cuestión fundamental, ¿cuál es el procedimiento adecuado? De nuevo la respuesta es compleja, no existe un procedimiento único, así como tampoco existen unas herramientas
10
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
“validadas” y que sirvan específicamente a efectos judiciales. Como ya se ha indicado, en muchos países de la Unión Europea, entre ellos España, no existe una legislación para el análisis forense digital. Por ello no puede expresarse de forma taxativa qué proceso es el adecuado ni cuáles son las herramientas necesarias y cómo deben utilizarse. Básicamente hay que dar respuestas a una serie de preguntas fundamentales: 1. ¿Cuál es el escenario ante el que hay que enfrentarse? 2. ¿Qué quiere analizarse: un fichero, un directorio, un disco o todo un sistema? 3. ¿De cuánto tiempo se dispone para hacer la adquisición de las evidencias? 4. ¿Dónde se almacenarán las evidencias? 5. ¿Cuántas copias deben realizarse? Sin lugar a dudas, una operación crítica para el analista forense es la copia. Normalmente los escenarios a los que se enfrentará demandarán procesos complejos y voluminosos de copiado de información, haciendo incluso uso para ello de distintos medios. La propia configuración del equipo analizado, desconocer la ubicación específica de los ficheros o su ubicación en múltiples medios de almacenamiento, son algunas de las circunstancias posibles que pueden complicar la realización de la copia. Muy probablemente el tiempo invertido será alto y el coste en recursos también. El proceso de copiado de un disco o de determinados ficheros debe de garantizar las siguientes condiciones: -
Las copias realizadas deben ser idénticas al origen y por lo tanto entre ellas también.
-
Bajo ningún concepto el origen de datos debe ser alterado. Tampoco el destino. En este caso la copia queda inutilizada para el proceso de análisis y deberá repetirse. Si no se hiciese así todo el proceso de análisis podría quedar invalidado.
-
El copiado debe ser completo, incluyendo el supuesto espacio libre. Muchas veces es posible que aparezca allí información interesante, especialmente si se ha hecho uso de herramientas antiforenses.
-
Debe aplicarse una función hash sobre la información adquirida con objeto de obtener su huella digital.
Este último aspecto es fundamental. A través de él se garantiza que las conclusiones a las que se llega tras el análisis de las copias realizadas de las evidencias, parten de un disco o ficheros idénticos al original y por lo tanto no ha habido una manipulación de los mismos tras las copias binarias realizadas.
11
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Inicialmente es necesario determinar cuántas copias deben realizarse. Es recomendable un mínimo de dos adicionales al original. Una de ellas destinada al analista forense, la otra a la empresa implicada o al afectado por el caso, para dar continuidad al trabajo, y finalmente el original que deberá salvaguardarse como elemento crítico. Para esto último son varias las posibilidades. En caso de denuncia se podrá presentar junto a ésta, quedar depositada en un notario o bien almacenada por la organización o persona afectada con las garantías de seguridad debidas. Es fundamental tener en cuenta su importancia de cara al posterior juicio. El hash garantizará que el disco no ha sido manipulado y este aspecto es fundamental. Permite reproducir las pruebas originales ante la posible realización de análisis contrapericiales. Para la obtención del hash existen multitud de algoritmos, se recomienda el uso de al menos SHA-1 (Secure Hash Algorithm) para ello. Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la función dd para el copiado. Esta se realiza bien por la clonación del disco físico o las unidades lógicas, o bien generando un único fichero de imagen que pueda ser tratado directamente por las herramientas forenses. Para ello existen elementos hardware que permiten realizar estos procesos de forma cómoda, precisa y con altas garantías. Aunque no es la solución más económica, si es la que ofrece mayor profesionalidad y seguridad a un analista forense. No obstante hay que tener en cuenta la diversidad de tipos de discos existentes en el mercado. Su evolución llega a suponer que un determinado hardware adquirido podría no ser válido para un proceso de copia, al no disponer de los accesorios adecuados para recuperar un modelo de disco específico. No obstante existen conversores que facilitan la labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo del tiempo. A modo de ejemplo se presentan a continuación algunos enlaces orientativos sobre dispositivos existentes en el mercado que permiten las operaciones de adquisición de evidencias. -
Logicube (http://www.logicube.com/)
-
ICS (http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm)
-
Data
Device
International
(http://www.datadev.com/hard-drive-forensics-dod-
approved-data-security-erase.html)
12
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 3 – El procedimiento de copiado de discos Ya se ha tratado en el capítulo anterior la importancia de llevar a efecto un procedimiento adecuado para la adquisición de evidencias. Se citaba el equipamiento hardware como la opción más profesional e idónea para realizar los procesos de copiado necesarios. Sin embargo, existen como alternativa, soluciones basadas en software que pueden encargarse de esta fase fundamental en todo análisis forense. La mayor parte de ellas hacen uso de la función dd , existente en entornos Unix y Linux, para la copia de un número determinado de bytes o de bloques. En esta publicación se citan y muestran las opciones proporcionadas por las suites forenses Helix y Caine. La suite Helix de e-fense (http://www.e-fense.com/), ha evolucionado en el tiempo, nació con una inspiración diferente, sobre todo en lo que se refiere al aspecto económico. Era una solución de libre distribución y ofrecía funcionalidades para realizar análisis Live Forensics sobre sistemas Microsoft y Post Mortem, a través de un arranque sobre distribución Linux. Totalmente gratuito, tanto en el análisis Live Forensics como Post Mortem, proporcionaba mecanismos para la realización de copias de evidencias digitales que podrían ser utilizadas en los casos forenses. Para los no iniciados en el análisis forense, se realiza a continuación una breve descripción de las tipologías mencionadas en el párrafo anterior. El análisis Live Forensics presenta como premisa la obtención de evidencias y análisis de un equipo mientras el sistema operativo se encuentra iniciado. Resulta especialmente interesante en escenarios como los de identificación de aplicaciones con código malicioso o de ataques que se producen en red. Hay que tener especial cuidado con este tipo de análisis, puesto que existe una alta posibilidad de alterar las evidencias. Por lo tanto, será especialmente crítico el haber realizado una copia binaria adecuada antes de iniciar el peritaje. Por otra parte el análisis Post Mortem se realiza sin arrancar el sistema operativo del equipo a analizar. Es la tipología más frecuentemente utilizada puesto que el riesgo de modificación de evidencias es muy bajo. Es especialmente útil en búsqueda de datos, análisis de registros o reconstrucción de ficheros eliminados por citar algunos ejemplos significativos. Múltiples herramientas forenses basan su funcionalidad en este tipo de investigación. A día de hoy las distribuciones de este producto presentan un coste, sin embargo todavía es posible localizar en Internet versiones de la suite que como la 1.9 o la 2008 R1 pueden ser
13
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
utilizadas para la adquisición de evidencias. Basadas en la distribución de Linux Knoppix , pueden utilizar su funcionalidad de Live-CD para la adquisición de discos. Las distintas versiones presentan diferencias, no sólo en su presentación sino también en las aplicaciones proporcionadas para la ejecución de procedimientos forenses. La versión 1.9 a diferencia de la posterior 2008 R1, aportaba una funcionalidad adicional a través de la aplicación Air . A continuación se muestran dos imágenes con el la interfaz de cada una de las versiones.
Imagen. 1.- Helix versión 1.9. Como es posible apreciar las diferencias aparecen tanto en el aspecto visual, como en las herramientas aportadas por cada una de las versiones.
14
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Imagen. 2.- Helix versión 2008 R1.
15
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Ambas versiones incluyen una las aplicaciones más utilizadas para la realización de operaciones de copia, Adepto. Esta aplicación permite dos modos diferentes de emplear la funcionalidad dd para la adquisición de evidencias: -
Adquisición en un único fichero dd, volcando en el mismo todo el contenido del disco seleccionado.
-
Realización de una clonación del disco, generando una copia idéntica del disco seleccionado.
La siguiente imagen muestra la operación de la adquisición de disco haciendo uso de la aplicación Adepto. Dentro de las opciones significativas que se pueden observar, se encuentra la posibilidad de indicar ruta de destino donde volcar la información. Para ello, podrá hacerse uso de una ruta local, una conexión de red tipo Netbios o incluso una salida de datos a través de Netcat sobre la dirección IP y puerto especificado.
Imagen. 3.- Adquisición de disco. Como se ha comentado en capítulos anteriores, es un elemento fundamental en el proceso la opción de poder obtener el hash de las evidencias originales. Esta funcionalidad permitirá verificar, en cualquier momento tras la realización de copias, que origen y destino son 16
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
idénticos, dando así plena validez a la prueba y a los procesos de análisis que hagan uso de ella, así como a las conclusiones a las que pueda llegarse. Es recomendable modificar el algoritmo predeterminado de cálculo del hash, MD5. La utilización en su lugar de al menos SHA1 mejora sensiblemente el nivel de seguridad de la operación. Algunas de las motivaciones de esta modificación se recogen en el siguiente artículo del blog “Legalidad Informática”: http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html
Queda por lo tanto de este modo garantizado que el analista forense no ha realizado manipulación alguna de las pruebas desde el momento en que se realiza la adquisición de las mismas. Claro está que éste no puede extender esta garantía de no alteración con anterioridad a su intervención. No es inusual que los afectados o bien personal informático en su representación, sí que hayan modificado las evidencias originales, de forma más o menos malintencionada dependiendo del caso. Sólo el posterior análisis dará respuesta a esta incertidumbre propia de toda investigación. Partiendo de la ya mencionada aplicación dd, otras metodologías de posible uso como DCFLDD y AFF presentan características avanzadas en las prácticas de adquisición de evidencias forenses. El primero de estos métodos fue desarrollado por el departamento de los EEUU, Defense Computer Forensics Lab. El segundo denominado Advanced Forensics Format , fue diseñado como un mecanismo más avanzado que el formato dd estándar, siendo más flexible y permitiendo el almacenamiento extensivo de metadatos, además de requerir menor espacio de disco que otros formatos propietarios existentes en el mercado, como el propio de EnCase. Teniendo en consideración el tipo de implementación, es recomendable decantarse por la metodología DCFLDD. El segundo de los métodos de adquisición es el proporcionado por Adepto, una de las herramientas fundamentales de la suite Helix , y basado en la posibilidad de clonación completa de un disco, manteniendo tanto la información como su estructura física, de tal forma que la copia será un calco del disco origen. En esta circunstancia también se realizará una función hash del mismo, que será mostrada a través del sistema Log que proporciona la propia herramienta. Como es posible observar en la siguiente imagen, también a través del menú de Restauración/Clonado de Adepto, se ofrece la alternativa de restaurar un fichero tipo dd bien sobre un disco o bien sobre otro fichero imagen. De tal forma que se verifique nuevamente la idoneidad del procedimiento mediante función hash del origen y del destino.
17
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Imagen. 4.- Clonación de un disco En ambas circunstancias es importante tener en consideración una serie de detalles: -
El tamaño de disco es relativamente importante. Los discos origen y destino no deben presentar las mismas características, ni ser idénticos en tamaño, pero al menos el disco destino deberá ser superior en tamaño al de origen.
-
Los discos implicados en el proceso de copia no deben ser idénticos en formato. Un disco tipo IDE puede volcarse sobre otro SATA o éste último sobre un disco USB. Para ello es posible utilizar componentes hardware que permiten la conversión y conexión de diferentes tipos de unidades de disco a USB. Aunque es un método bastante más lento e inseguro que el uso de una clonadora convencional, resulta bastante más económico, permitiendo además tratar todos los discos como externos y controlar de este modo la identificación de unidades.
-
Puede parecer obvio y realmente lo es, pero la experiencia indica que es útil recordar que en todo proceso de clonación es imprescindible identificar con claridad disco origen y destino. No sería la primera ocasión en que tras la realización de la copia el analista comprueba que origen y destino presentan exclusivamente los ceros que existirían en la supuesta unidad que iba a ser utilizada originalmente como destino.
18
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
-
Es indispensable que el disco destino no disponga de ningún dato previo. Con ello se evitaría que en el espacio no copiado se encontraran por ejemplo datos de otros casos, con el consiguiente problema de mezcla de evidencias. Sería peculiar ver como el analista intenta desentramar relaciones existentes entre diferentes casos motivado todo ello por el cruce de las evidencias, además de que éstas pueden quedar comprometidas como pruebas del caso. Se tratará posteriormente qué metodología es posible aplicar para que un disco quede limpio de trazas previas.
La utilización de un método u otro de copiado, dependerá fundamentalmente del tipo de escenario al que se enfrente el analista, el tipo de pruebas que sea necesario efectuar y las herramientas con las que se cuente para el análisis. Por ejemplo, en un análisis de malware donde hay un componente muy importante de análisis activo sería necesario realizar un clonado de disco. Sin embargo si se va a realizar un rastreo en busca de una determinada cadena de caracteres o un documento concreto, el método adecuado podría ser la generación de un fichero único de imagen. El tiempo de adquisición de una evidencia dependerá de múltiples factores: el espacio a copiar o clonar, la velocidad de los discos, el soporte, el tipo de hash a realizar o si se va a incorporar una verificación de copias son, junto a otros factores, elementos que influyen directamente sobre el tiempo de copiado. Para el que nunca haya realizado una adquisición de este tipo es necesario tener en consideración que se trata de un proceso bastante lento. Como mínimo, para un disco duro convencional y sin que se produzcan errores, estaremos hablando de unas cuantas horas. Una aportación importante proporcionada por la herramienta Adepto es que finalizado el proceso, ésta nos suministrará un fichero de suma importancia en el procedimiento forense, el fichero de cadena de custodia. Este será objeto de tratamiento posterior, pero resulta fundamental como parte de la información que deberá acompañar a cualquier evidencia digital que sea presentada en un proceso judicial. Otra suite interesante para la adquisición de evidencias y análisis forenses es CAINE (http://www.caine-live.net/). Computer Aided Investigative Environment es un conjunto de herramientas de libre distribución, agrupadas en una suite GNU/Linux Live basada en la distribución UBUNTU. Es de origen italiano y se encuentra dirigida como Product Manager por Nanni Bassetti. CAINE ofrece un conjunto de herramientas, que al igual que en el caso de Helix, opera en modalidad tipo Live-CD. Aporta algunas aplicaciones para interactuar con discos y poder realizar también la adquisición de los mismos.
19
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Imagen 5. Utilidades forenses de CAINE V 2.5.1 Para la adquisición de evidencias, la aplicación más destacada con la que cuenta la suite CAINE es AIR ( Automated Imaged and Restore). Con ella es posible adquirir discos y realizar algunas operaciones interesantes y habituales en los procedimientos forenses, como es la limpieza de los discos sobre los que realizar el volcado de información. Tal y como muestra la Imagen 6, a pesar de las diferencias de interfaz y las particularidades de cada herramienta, en esencia AIR aporta funcionalidades muy similares a las suministradas por la aplicación Adepto, comentada previamente.
20
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Imagen. 6.- Aplicación AIR.
21
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Los procesos que se llevan a cabo en todas las herramientas de este tipo son similares, debiendo establecerse los orígenes y destinos, bien de ficheros o bien de dispositivos completos. En todas ellas, se puede proceder a la adquisición de un fichero tipo dd o a la realización de un clonado de disco. En la realización de estos procesos debe tenerse también en cuenta la comprobación del hash como operación fundamental. Al contrario que en el caso de Adepto, la aplicación AIR no genera el fichero de cadena de custodia y por lo tanto esta operación deberá efectuarse manualmente, tal y como se mostrará en el siguiente capítulo de esta publicación. AIR dispone de una interesante función para asegurar la limpieza de discos, Disk Wiping. A través de este proceso se vuelcan sobre un disco seleccionado como destino, datos de tipo 0 que serán identificados como origen de los datos, eliminando de este modo cualquier información anterior.
Imagen 7.- Funcionalidad para realizar Disk Wiping. Tal y como se comentó en páginas previas, esta operación de limpieza constituye un procedimiento indispensable para garantizar la higiene en el tratamiento y posterior análisis de las evidencias de cada caso. De esta forma, existe la certeza de que un disco contendrá información exclusiva de un caso, no quedando rastro de información alojada anteriormente 22
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
en el dispositivo. Como hemos visto, esta circunstancia es especialmente importante ante la existencia en un disco de espacio supuestamente no utilizado. No es inusual que muchos analistas se planteen exclusivamente el análisis del espacio particionado. Sin embargo el no particionado puede contener información perfectamente válida. No debe olvidarse que la eliminación de las particiones de un disco a través de los procedimientos utilizados habitualmente, no elimina la información que pueda residir en el espacio no particionado. Cuando un disco es clonado físicamente, se duplica también el espacio no particionado. De este modo, ante la necesidad de recuperación de ficheros eliminados, que puede darse en determinados procesos forenses, ésta puede efectuarse tanto en el espacio particionado como en aquel que no lo está. Es importante que el disco sobre el que se va a volcar información tenga condiciones lógicas similares al de origen. De este modo, aunque no es obligatorio, sí muy recomendable que si la tecnología del dispositivo origen es USB, IDE o cualquier otra, ésta se corresponda con la del disco destino. Este aspecto resulta crítico en análisis tipo Live Forensics, para evitar la aparición de problemas a la hora de arrancar el sistema operativo y reconocer y trabajar con el disco. Como es posible apreciar en la Imagen 8, se ha seleccionado como origen el conjunto de bits ZERO y como destino la unidad SDA. Tras aceptar el mensaje de advertencia que aparecerá en pantalla, se iniciará la operación.
Imagen. 8.- Inicio del proceso de eliminación de datos 23
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
La revisión de éste proceso podrá realizarse aprovechando el módulo de estado que proporciona la herramienta AIR. En la siguiente imagen, éste muestra información sobre el volcado de bits 0 sobre el disco SDA. Como ya se indicaba para la adquisición de evidencias, estos procesos de copiado son lentos y requieren de un tiempo considerable para ser completados. Esta circunstancia debe tenerse en consideración en la asignación de tiempos que el analista realice para este tipo de operaciones. No olvidemos que en la mayoría de las ocasiones éstas se desarrollan en las instalaciones de los clientes o afectados. En estos escenarios es recomendable contar de partida con discos “limpios”. Los procesos de copiado resultarán por si mismos tediosos, requiriéndose en muchas ocasiones por procedimiento la presencia de varias personas, con lo que es más que aconsejable evitar demoras adicionales provocadas por la necesidad de realizar la limpieza de discos “in situ” con antelación a la adquisición de evidencias propiamente dicha.
Imagen. 9.- Estado del proceso El proceso mostrado de Disk Wiping, no debe confundirse con el de eliminación segura de información, del que se habla en otras ocasiones. Este último trata de garantizar la no recuperación de la información que hubiese estado alojada en un disco. Para ello se requiere de la realización de varias pasadas de bits de 1 y 0, asegurando de este modo que una información no será recuperable bajo ninguna circunstancia, ni siquiera haciendo uso de elementos hardware altamente especializados. En el caso del proceso de Disk Wiping, éste es más ligero, siendo sólo necesario realizar una pasada de bits 1.
24
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Aunque el proceso de eliminación segura de información puede realizarse con AIR, resulta más aconsejable hacer uso de soluciones que han sido específicamente diseñadas con este propósito. Sirva de ejemplo el conjunto de aplicaciones DBAN (http://www.dban.org/), cuyo uso se encuentra ampliamente extendido a nivel mundial en diversidad de grandes empresas y organizaciones para la realización de este tipo de acciones de borrado seguro de información. Una aplicación para el tratamiento de discos aparentemente más simple, al menos es lo que a su aspecto se refiere, es Guymager . Esta forma parte de la suite CAINE , mencionada ya en repetidas ocasiones en esta publicación, y aporta también la funcionalidad de adquirir y clonar discos mediante una interface realmente sencilla de manejar.
Imagen. 10.- Guymager Sin embargo la aparente sencillez no debe asociarse necesariamente a la falta de potencia o efectividad. Al seleccionar la opción “ Adquirir imagen o clonar dispositivo” será posible introducir un gran número de parámetros y seleccionar diversidad de opciones para la realización del proceso en unas determinadas condiciones. Esto amplía considerablemente las capacidades de la aplicación, haciéndola mucho más versátil que las anteriormente citadas. La siguiente figura muestra las opciones que la herramienta Guymager aporta para la adquisición del fichero imagen. Son varias las posibilidades. No sólo mediante la función dd , tal y como se ha mostrado hasta ahora, sino también generando un fichero de formato 25
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
nativo utilizado por software de análisis forense, EnCase. De igual modo, será posible suministrar a la evidencia información relevante para su identificación, incluyendo datos asociados al caso objeto de investigación o al analista responsable de la operación.
Imagen. 11.- Adquisición de discos Se ha mostrado en este capítulo la importancia de una correcta adquisición de evidencias, así como algunas de las metodologías para llevarla a efecto. Evidentemente, son múltiples las posibilidades válidas. Sin embargo es crítico para el buen desarrollo de la investigación que en todos los casos la “higiene de las pruebas” sea la máxima observada por el procedimiento utilizado. Es necesario dar al proceso de copiado de evidencias el tempo adecuado. A pesar de la presión externa y circunstancial de la investigación, que los afectados pueden incluso incrementar, el analista debe ser coherente con su labor profesional, valorando cada aspecto con rigor y siendo consecuente con la responsabilidad que adquiere. En las operaciones de copiado es la persona clave que dispone del conocimiento, especialización y capacitación necesaria. Debe por lo tanto, abstraerse de cualquier presión externa, que con objeto de acelerar los procesos, pueda influir negativamente en el rigor de la operación. 26
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 4 – La cadena de custodia Ha quedado claro en los capítulos anteriores que el fundamento para llegar a un proceso judicial en una buena posición como perito, es garantizar la consistencia de las evidencias digitales adquiridas. Desde un punto de vista formal esto se consigue mediante la utilización de un procedimiento válido que garantice la no alteración de las pruebas. En esta misma línea, la posterior custodia rigurosa y documentada de las evidencias será otro aspecto que afianzará la garantía de no alteración, crítica para el proceso. En este cuarto capitulo se aportará información relacionada con este aspecto. No existe en España una regulación específica para procedimentar y garantizar la custodia de pruebas, aunque sí en otros países del ámbito europeo. Sin embargo, se prevé de forma inminente la aparición de la norma que regulará y garantizará la custodia de las pruebas policiales. El encargado de su elaboración ha sido el Instituto Universitario de Investigación en Ciencias Policiales. Actualmente existen protocolos internos pero no unificados. Esta norma deberá tenerse en consideración para las diferentes unidades de cuerpos de seguridad del estado. Sin embargo aunque puede ser tomada como referencia, no afectará a aquellos análisis y peritajes que sean realizados en el ámbito privado. Sin embargo, aunque no exista oficialización del procedimiento, está ampliamente aceptada la figura de la cadena de custodia como norma de facto para dar garantías al proceso de mantenimiento de las evidencias. La cadena de custodia asegura en cualquier investigación, sea o no informática, que las pruebas aportadas y las conclusiones a las que se llega partiendo de las evidencias, son consistentes y válidas, no habiendo sido alteradas para ningún fin con posterioridad al momento de su adquisición. A lo largo de la investigación es necesaria la cesión tanto de las evidencias como de las copias garantizadas de las mismas, fundamentalmente entre distintos peritos, pero también entre personas u organizaciones involucradas en el proceso. Sobre ellos recaerá en cada momento el compromiso de mantenimiento de las pruebas. Es por ello que la cadena de custodia deber recoger en todo momento: ¿quién es el depositario?, ¿durante qué espacio temporal lo es? y ¿cuál es la razón por la que la evidencia queda bajo su custodia? La cadena de custodia permite identificar con claridad quién ha estado en posesión de las evidencias antes de que éstas sean utilizadas en instancias judiciales, permitiendo que cualquier depositario de las mismas pueda ser citado judicialmente si las evidencias
27
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
quedaran en entredicho durante el proceso. Este hecho atiende habitualmente a posibles errores respecto de los procedimientos utilizados durante el peritaje. Queda recogido en la Ley 1/2000 de Enjuiciamiento Civil el objeto y finalidad del dictamen de peritos a través de su artículo 335: “Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad.
1. Cuando sean necesarios conocimientos científicos artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en esta Ley, que se emita dictamen por perito designado en el Tribunal. 2. Al emitir el dictamen todo perito deberá manifestar, bajo juramento o promesa de decir la verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podrá incurrir si incumpliere su deber como perito .” La custodia de las pruebas, se convierte por lo tanto en un procedimiento fundamental que permite al perito garantizar la independencia y objetividad en la elaboración de sus conclusiones, sin haber realizado manipulación de las evidencias para favorecer a alguna de las partes. Teniendo en consideración lo anterior, es necesario incorporar un fichero de cadena de custodia para cada evidencia existente. En el caso de los procedimientos que se llevan a cabo en Sidertia Solutions, compañía en la que desarrollo mi labor profesional, también las copias adquiridas se acompañan de su correspondiente fichero para dar mayor consistencia a la investigación. De este modo, cuando un analista recibe un disco previamente copiado del original, para a su vez realizar otra copia que le permita efectuar acciones de análisis de datos deberá proceder también a formalizar el fichero de cadena de custodia correspondiente. Gracias a ello, será posible también tener identificada y controlada la copia de trabajo generada, que contiene la misma información que será tratada como evidencia en el juicio. No es posible mencionar la existencia de un único modelo de fichero de cadena de custodia homologado y de uso generalizado. Es posible localizar en la red diversidad de formularios que pueden ser válidos. En otras ocasiones son las propias herramientas de adquisición de evidencias las que proporcionan sus propios modelos. Pero incluso es factible la generación del fichero de forma manual si este recoge la información necesaria. Haciendo uso de
28
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
cualquiera de las posibilidades mencionadas, lo importante es contar con algún archivo de cadena de custodia asociado a la evidencia y que contenga la información de identificación imprescindible. A continuación se muestra el formulario generado por la herramienta Adepto, que ha sido objeto de análisis en capítulos anteriores de este documento.
Imagen. 12.- Funcionalidad de cadena de custodia Haciendo uso de la funcionalidad que aporta el módulo de cadena de custodia en Adepto, es posible generar un fichero PDF conteniendo la información correspondiente al procedimiento realizado y que permitirá acompañar a la prueba desde su adquisición. La siguiente imagen permite apreciar el archivo generado por Adepto tras la operación de 29
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
adquisición del disco. En él se incorporan los datos que dan validez al procedimiento y que
30
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
han sido proporcionados al iniciar la herramienta. De igual modo, se adjunta de forma automática información como la identificación del disco y las opciones empleadas para la adquisición.
Img. 13.- Fichero de cadena de custodia de Adepto. Una vez generado el fichero de cadena de custodia, éste debe acompañar siempre a la propia evidencia. La transferencia de la misma de un perito a otro, conlleva el cambio de la custodia y por lo tanto también la actualización y traspaso del fichero. Para su formalización deben suministrarse los datos requeridos, incluyendo el motivo por el que se realiza la transferencia de la evidencia. No es inusual que un profesional sea el encargado de realizar la adquisición, mientras que el proceso de análisis de las pruebas es realizado por un segundo analista. El fichero de cadena de custodia no implica en esencia más que un formalismo, pero como tal es parte esencial del proceso. Es posible que nunca sea requerido en el proceso judicial, pero en algún caso puede ser crítico para afrontar las dudas y desconfianzas sobre las pruebas que alguna de las partes puede intentar fomentar en su beneficio.
31
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 5 – Las buenas prácticas en el análisis. Llegados a este punto, el analista cuenta con las evidencias del caso, que además han debido ser recogidas a través de los procedimientos y buenas prácticas comentadas en capítulos anteriores. Ha llegado pues el momento de iniciar el análisis propiamente dicho. No es objetivo de este manual realizar un exhaustivo estudio de cómo analizar evidencias digitales. Este aspecto daría lugar a un estudio de mayor calado técnico y cuyo contenido sería indudablemente más extenso. Sí se pretende sin embargo ofrecer toda una serie de buenas prácticas y consideraciones generales, que permitan, teniéndolas en consideración, la obtención de unos correctos resultados en el proceso de análisis. Evidentemente será necesario valorar que cada escenario presenta sus peculiaridades y no todos pueden analizarse de la misma forma. Las diferencias son significativas de unas situaciones a otras. Poco tiene que ver un caso donde es necesario localizar en un equipo una conversación mantenida a través de Messenger, con otros donde existen indicios de accesos ilícitos a cuentas de correo electrónico corporativo o donde se intenta detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial. Los posibles ejemplos objeto de análisis pericial y sus diferencias podrían completar un listado interminable. ¿Porqué no decirlo? El término “forense” conlleva un cierto aire de misterio que puede resultar atractivo. Se asocia a la idea de investigación y descubrimiento y esto también ocurre en el ámbito de la informática. Sin embargo, en la mayoría de las ocasiones, las tareas de análisis no resultan nada edificantes, sino más bien todo lo contrario. Pueden incluso llegar a ser tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. Muchos de los casos forenses que finalizan en un proceso judicial, demandan como tareas fundamentales el análisis de interminables log (registros de actividad) o la búsqueda de cadenas de carácteres entre el gran volumen de ficheros que pueden estar alojados en un determinado servidor o equipo de trabajo. Labores habitualmente poco gratificantes. Es cierto que hay otros muchos tipos de actividades forenses más atractivas que las citadas anteriormente, sin embargo es inusual que las investigaciones basadas exclusivamente en estás técnicas deriven en un juicio. Los casos relacionados con aplicaciones maliciosas, los análisis de memoria, el descubrimiento de técnicas antiforenses o de ocultación (esteganografía) son algunos ejemplos de los muchos posibles. No debe obviarse que la
32
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
información y conclusiones a las que el perito debe llegar tienen que ser rotundas y difícilmente refutables y éstas interesantes técnicas no suelen aportar el nivel de certeza requerido. Frente a lo anterior, lo habitual es que sean aquellas investigaciones donde sea necesario analizar correos, ficheros de registros o ficheros de datos los que terminen en un proceso judicial. En definitiva hay que hablar de interpretaciones, ante lo cual serán los datos más simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto de peritos como abogados. Frente a lo anterior, lo habitual es que sean los procedimientos de análisis de correos, logs o ficheros los que aporten datos de valor para una investigación que tenga un fin judicial. En definitiva estamos hablando de interpretaciones, ante lo cual serán los datos más simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto de peritos como abogados. Planteemos un ejemplo ilustrativo de lo anterior, la necesidad de explicar a un juez que a través de la identificación de una dirección de memoria se tiene constancia de la manipulación de un proceso del sistema que interfiere en las pulsaciones del teclado. Además dicha manipulación se produjo por la instalación de una aplicación que aunque en el registro del sistema aparezca realizada por el usuario demandante, se estima que en realidad fue llevada a efecto por el demandado, mediante una intrusión en el sistema a través de una vulnerabilidad en la máquina virtual de Java del equipo del demandante. Como es fácil deducir la posibilidad de transmitir esta información a un juez es una labor casi imposible. Regularmente, y más en la coyuntura económica actual, son muchos los casos relacionados con despidos que buscan una causa justificada que los convierta en procedentes. De igual modo la gran competitividad hace que sean numerosas las investigaciones por espionaje industrial o robo de propiedad intelectual. Pues bien, este tipo de casos se resuelven habitualmente escarbando entre los registros de los sistemas o en ficheros de datos. En la actualidad, los casos de investigación forense suelen presentar desde sus inicios objetivos concretos. No suelen ser habituales los análisis realizados en función de la posibilidad de estar afectado por una aplicación maliciosa o sospechas similares poco definidas. Cuando se adopta la decisión de iniciar un proceso, que además puede desembocar en un juicio, es porque existe una clara sospecha o al menos indicios razonables como punto de partida de la investigación. Los análisis realizados con ausencia de objetivos concretos, además de ser más complejos y costosos en el tiempo, suelen dar resultados poco tangibles y en muchas ocasiones incluso denotan falta de coherencia en la sospecha.
33
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Adicionalmente estos resultados finales no suelen satisfacer al cliente, que ha visto “fantasmas donde no los hay”, y que no es inusual que ante ello presente dificultades para abonar los servicios prestados. En el momento de afrontar el análisis de evidencias, deberán tenerse en consideración una serie de criterios y obtener del cliente unos datos fundamentales para la investigación: -
Definición de la línea temporal. Es crítico en cualquier análisis definir tiempos, tanto para acotar temporalmente la investigación como para definir las conclusiones siguiendo para ello patrones claramente definidos. Muchas de las conclusiones a las que se puede llegar se apoyarán en información de fechas y horas.
-
Búsqueda de elementos o palabras clave. En ocasiones los indicios no estarán definidos con claridad, pero resulta totalmente indispensable tener una orientación respecto de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y que suponen un buen punto de origen para desarrollar el análisis. Sin estos datos es realmente complicado realizar una investigación rápida y fructífera.
-
¿Quién es quién? Es vital conocer los máximos datos posibles de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenarios son determinantes. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí “alias” de las personas involucradas. Definir un cuadro relacional puede resultar esclarecedor en este tipo de circunstancias. No sería el primer caso en el que tras una investigación pueden salir a la luz relaciones personales, incluso sentimentales, desconocidas hasta el momento por la persona u organización que había solicitado la investigación.
El analista en su labor de investigación debe tener en todo momento amplitud de miras y evitar la posible pérdida de evidencias por haber circunscrito la investigación al marco operativo e indicios originales exclusivamente. Nunca debería descartarse la posibilidad de incorporar nuevas evidencias a un escenario. Cuando la existencia de un caso pasa a ser pública de forma inevitable ante acciones que no pueden efectuarse con discreción, como son la retirada de un ordenador o la comunicación a los investigados, es habitual la eliminación de evidencias por parte de los afectados. En este sentido y en la medida de lo posible, es importante haber sido previsor, planteando al cliente una estrategia de adquisición de evidencias de mayor alcance del que podría considerarse inicialmente. Es por ello que ante la existencia de algún tipo de sospecha, aunque no totalmente fundada sobre una persona, debería procederse a clonar el disco de su equipo desde el momento inicial. De
34
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
este modo si en el desarrollo la investigación fuese necesario, sería posible realizar un análisis posterior del disco recogido. No debe olvidarse que este aspecto puede resultar especialmente conflictivo. Poner en guardia o crear supuestos sospechosos de personas que a larga pudieran no estar involucrados en el caso, genera una desestabilidad palpable en el ambiente laboral. Situación nada deseable en ninguna organización. Por ello, es importante desde un primer momento valorar con el cliente las prioridades, definiendo hasta que punto la correcta adquisición y preservación de las evidencias prevalece sobre el resto de circunstancias. A la hora de analizar un disco, las búsquedas realizadas sobre el mismo deben ser exhaustivas, incluyendo la localización de información que inicialmente podría parecer inexistente. Mas allá de los escenarios donde se han implementado técnicas antiforense, muchos casos requieren de la recuperación de ficheros eliminados. No es inusual que el “sospechoso” haya podido tener la precaución de eliminar ficheros o datos que puedan ser contraproducentes para él. Incluso, si dispone de las capacidades para ello, puede que la eliminación de información haya sido irreversible. La recuperación de ficheros eliminados es una tarea que implica mucho tiempo y a veces los resultados no son positivos o difíciles de gestionar para fines judiciales. A pesar de ello, su recuperación puede aportar al menos indicios importantes para la línea de investigación. Medio fichero es mejor que nada. Herramientas forenses tales como EnCase o FTK (Forensic ToolKit), cuentan con módulos para realizar búsquedas de ficheros eliminados y sobre ellos poder localizar palabras o frases clave. La dificultad aquí estriba en hacer creíble la prueba de cara al juicio. Otro aspecto fundamental en la fase de análisis de muchos casos forenses, es la detección de patrones de conducta más o menos definidos. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representan ejemplos de patrones que pueden ser fáciles de rastrear. En un caso abordado recientemente, una cuenta que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación válidos, aunque totalmente diferentes (dominio\usuario y usuario@dominio). Analizar patrones, a priori puede resultar algo complejo, sin embargo haciendo uso de tablas de relación adecuadas esta labor puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva del matemático y economista John Forbes Nash que inspiró la novela y posteriormente la película “Una mente maravillosa”. Sin
35
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
embargo, sí es interesante para un forense disponer de ciertas capacidades de razonamiento analítico. Son muchos los casos en los que gracias a ellas, salen a la luz determinados patrones que dan pie en la elaboración de conclusiones bien fundamentadas. Por otra parte, la experiencia muestra que convenientemente introducidas en el juicio, los patrones de comportamiento constituyen un elemento esencial para poder conducir de forma efectiva las alegaciones y conclusiones que se presentan ante el Juez. Es interesante contrastar los patrones obtenidos con el cliente. En ocasiones se llegará a apreciaciones realmente valiosas para la investigación. Pongamos un sencillo ejemplo de esta afirmación. En un determinado escenario laboral, todos los días se producen determinadas conexiones a recursos corporativos desde un mismo equipo. Sin embargo en determinadas fechas de la línea temporal de investigación puede observarse que esto no sucede así, lo cuál hace sospechar que en esos días la persona que opera desde el equipo en cuestión no desarrolló su labor habitual. Tras contrastar con la organización la inexistencia en esos días de alguna cuestión que justifique estas excepciones, es evidente que en las fechas señaladas sucedió algo “distinto a lo habitual” y que puede ser sintomático de los comportamientos anómalos que la investigación intenta localizar. Estos datos podrán ser introducidos en el informe como parte esencial de las conclusiones derivadas. No obstante hay que matizar que un informe pericial nunca puede encontrarse condicionado por el cliente y mucho menos, parcial o totalmente, elaborado por él. Será tarea del analista solicitar determinada información y por lo tanto atendiendo a su criterio como perito introducirla en el informe en un término u otro. Este contraste de información con el cliente puede aportar valor a la investigación en algún otro sentido además del ya indicado. Retomemos el escenario anterior para ilustrar esta afirmación y pongámonos en la situación de que a diferencia de lo expuesto, el cambio en el patrón de comportamiento del profesional investigado en determinadas fechas sí responde a causas justificadas, como pueden ser visitas médicas. El analista dispone de esta información tras su comunicación con la organización cliente. Estos resultados por lo tanto afianzan la veracidad de las evidencias utilizadas, puesto que los resultados obtenidos por el investigador no eran conocidos por él de antemano y sin embargo se ha detectado claramente un cambio en el patrón de comportamiento habitual, a pesar de estar en este caso totalmente justificado. Aprovéchese este breve ejemplo para recalcar que en cualquier caso el analista tendrá que ser muy cuidadoso con el tratamiento de aquellos datos que puedan resultar invasivos de la intimidad de las personas afectadas, pudiendo tener con ello consecuencias nada deseables
36
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
ante una posible violación de la intimidad o de los datos personales de las personas objeto de investigación. Evidentemente es crítico ser extremadamente escrupuloso en la realización del análisis e inevitablemente esto implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos sin desdeñar por ello alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se reflejará indefectiblemente sobre el informe resultante de la labor de peritaje. Es importante anotar cualquier apreciación relativa a información obtenida directamente o a partir del cruce de resultados. No hay que confiar nunca en las capacidades de memoria personales, puesto que ante la avalancha de información es posible la pérdida de detalles relevantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres o cualquier dato o impresión que pueda considerarse de interés. Las herramientas son elementos fundamentales para el desarrollo de tareas de análisis, pero ni mucho menos lo más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas no utilizadas de forma adecuada serán de escasa o nula utilidad. La experiencia ha mostrado lo potentes que pueden llegar a ser aplicaciones sencillas utilizadas por manos expertas. No existen varitas ni teclas mágicas para afrontar en un caso la fase de análisis. Cada uno de ellas presenta sus peculiaridades y es muy importante desprenderse desde un principio de prejuicios y conclusiones preconcebidas. El asesino no siempre es el mayordomo. No debe olvidarse tampoco, que en ocasiones la visión profesional de un tercero puede dar aire fresco a la investigación en momentos de bloqueo de ésta.
37
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 6 – El informe pericial El informe pericial constituye, sino el más importante, uno de los elementos esenciales en un caso forense. En definitiva es el único lugar donde se recoge el resultado y la información de todo el proceso. Hay que tener presente que por muy buenos que hayan sido los procedimientos llevados a cabo, las técnicas empleadas y los resultados obtenidos, si no se reflejan correctamente en un documento, no tendrán valor alguno. Al final, al igual que en un proyecto de auditoría, el valor del trabajo reside en el documento y será éste el elemento de juicio fundamental respecto de la labor del analista forense. Un informe de estas características presenta sus peculiaridades y hay que tener presente que aunque la carga técnica resulta importante, su objetivo final es transmitir información a personas que en muchas ocasiones no tienen una relación directa con la informática. Son meros usuarios tecnológicos. Por lo tanto, sin desdeñar los datos técnicos fundamento de la investigación, el profesional que lo realiza debe tener en consideración en todo momento a quién va dirigido, siendo para él un reto hacerlo inteligible a estas personas, sin que ello implique una pérdida de rigor en la información presentada. Obviamente, será necesario evitar la tentación de que el informe sea una muestra de las amplias capacidades informáticas del perito. Evidentemente no es éste su objetivo. Un informe pericial ininteligible pierde todo su valor de cara al juicio. Es más, el propio abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y comprender la información esencial contenida en él. Para un neófito en informática, comprender aspectos tan básicos como el concepto de dirección IP, puede suponer un problema. En la elaboración del informe pericial, el analista deberá aplicar en ocasiones una cierta dosis de pedagogía para facilitar su comprensión. Es necesario tener presente en la elaboración de este documento final del peritaje la condición de independencia del perito. Aunque existirá una tendencia inevitable a reflejar cierta parcialidad en las conclusiones, ésta no debe condicionar la elaboración del informe, que en ningún caso debe recoger otra información que no sea la realidad de los resultados obtenidos en la investigación. Un informe debe presentar una línea maestra bien definida. No pueden plantearse unos objetivos de inicio y que sin embargo en el desarrollo del informe pericial la información recogida se dirija a otras cuestiones no asociables a su resolución. Es necesario ser
38
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
consecuente y evitar en todo término que el informe presente hilos sueltos o cuestiones no resueltas adecuadamente. Este hecho podría arrojar dudas sobre la validez de la totalidad del documento. El informe forense debe atender a un tempo en su desarrollo, que se vea articulado a través de una estructura de documento claramente definida. En este sentido, pueden ser varias los modelos y apartados incorporados en el informe. Una posible estructura valida puede ser la que se presenta a continuación: -
Antecedentes.
-
Evidencias.
-
Análisis y tratamiento.
-
Resultados.
-
Conclusiones y recomendaciones.
Los antecedentes suponen la mejor forma para iniciar el informe. Estos deben recoger tanto los objetivos del caso forense, como las reuniones e informaciones iniciales suministradas al analista. Es importante definir los motivos por los que se ponen en contacto con nosotros para iniciar el proceso, definiendo así el alcance del mismo. Estos objetivos constituyen la línea maestra de la investigación y las conclusiones deben ser fiel reflejo de haberlos resuelto, en un sentido o en otro. Es importante también exponer a través de los antecedentes las líneas temporales que el análisis debe observar y en que medida se relacionan con el caso. Como ya se indicó en repetidas ocasiones en capítulos anteriores, el segundo de los apartados es realmente crítico. Se trata de la presentación de las evidencia digitales asociadas al caso. Hay que recordar que son el elemento fundamental del trabajo de investigación y por lo tanto de la posterior elaboración del informe. Su identificación, recogida y almacenamiento son determinantes para esta tarea documental. Los procedimientos empleados deben reflejarse con claridad, garantizando siempre que se han llevado a efecto las buenas prácticas necesarias, evitando cualquier manipulación o alteración de las evidencias Es muy recomendable que las evidencias aparezcan enumeradas en el informe, facilitando además sobre ellas toda la información posible: cuál es su origen y cuál la motivación de su obtención, cómo han sido tratadas, qué cantidad de copias se han realizado de las mismas, quién las ha recogido, almacenado y analizado y cualquier otra información disponible que el analista considere oportuno incorporar en el informe. Sería importante definir también en el
39
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
informe, cuando sea factible, los fundamentos existentes que demuestren la no manipulación de las pruebas. Por ejemplo a través de la firma tomada de las mismas. Ante la existencia en un determinado caso de evidencias delicadas en lo concerniente a su modo de adquisición, es recomendable motivar en el informe el porqué de la metodología empleada, ahondando en las precauciones que se han tomado y su importancia con respecto al caso. Si determinadas evidencias han sido adquiridas una vez iniciada la investigación, deberá también indicarse esta circunstancia, así como el motivo que la provoca. Un escenario ilustrativo de esto sería aquel en que tras unas pruebas iniciales se detectan indicios de una conversación mantenida desde un determinado equipo. En consecuencia, se procede a realizar un análisis del mismo adquiriendo para ello su disco duro. Los resultados y conclusiones deberán derivarse en todo momento de las evidencias presentadas. Aquellas afirmaciones que figuren en el informe sin un sustento en las evidencias, serán tomadas como una elucubración y por lo tanto su valor puede ser puesto en entredicho. La valoración del perito es válida mientras demuestre su imparcialidad, pero con las evidencias bien definidas se afianza siempre esta posición. El tratamiento de las evidencias digitales adquiridas es el siguiente punto que el informe pericial debe recoger. El análisis de las mismas proporcionará datos a partir de los cuales se puedan establecer relaciones que a su vez deriven en conclusiones. El factor fundamental para la exposición de éstas debe ser el de causa-efecto. Es interesante atender en este sentido al “principio de intercambios” formulado por Locard, que aunque aplicable fundamentalmente a indicios y evidencias físicas, puede ser tenido en consideración también para las de tipo digital. Este principio afirma que "siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto". En el caso de que el analista detecte la existencia de patrones de comportamiento, éstos deberán citarse como un aspecto importante a la hora de elaborar las conclusiones. El análisis debe ser escrupuloso, metódico y cuidadoso en su ejecución. La falta de método se reflejará en gran medida en el informe, produciendo unos resultados muy difíciles de consolidar e hilvanar. El informe pericial en su apartado de análisis debe ir proporcionando paulatinamente los resultados, dosificándolos en su justa medida y preparando con ello los elementos finales del documento. Por otra parte, será este apartado el que habitualmente se encuentre más cargado de tecnicismos. En muchas ocasiones, esta circunstancia es interesante contrarrestarla con la generación de un anexo, en forma de glosario de términos, que facilite
40
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
la compresión del informe, haciéndolo más asequible a posibles lectores que no dispongan de una base de conocimientos informáticos suficiente. También deben ser presentados como anexos aquellos resultados del análisis que siendo importantes puedan ser repetitivos en exceso, provocando con ello una perdida de efectividad en la presentación del informe pericial. Un ejemplo de ello pueden ser los resultados obtenidos del análisis de múltiples logs y que es recomendable que se condensen en una serie de tablas descriptivas en este apartado del informe. Adicionalmente, toda la información tratada puede recogerse en un anexo que sea referenciado en el documento. No debe olvidarse que en ocasiones el exceso de información puede desembocar en desinformación o falta de claridad. Siempre que sea necesaria, podrá establecerse la correlación existente entre los distintos análisis. Sin embargo no es recomendable anticiparse con ello a las conclusiones. En caso de considerarse importante adelantar en este apartado alguna información o relación concluyente, ésta deberá volverse a exponer en las conclusiones, aunque pueda parecer reiterativo. Es factible que determinadas personas, especialmente aquellas con un perfil menos técnico, sólo revisen los resultados y conclusiones del documento. La información de análisis recogida en el informe debe reflejar la pericia del investigador como factor determinante. También la eficacia de los métodos y aplicaciones empleadas, pero siempre dando paso a la labor pericial como elemento fundamental. Esto en España es aún más acusado dado que no existen herramientas homologadas, ni claro está aquellas cuyo empleo garantice un éxito de cara al juicio. La exposición de resultados es una continuación de la fase documental de análisis. Aquí se define y presenta toda la información obtenida y que pude ser relevante para el caso. Aunque la correlación de datos es una más propia de las conclusiones, en este apartado del informe inevitablemente se irá adelantando información en este sentido. Sin embargo, los datos deben ser fríos y mostrar el fiel reflejo del análisis. Deben prestarse al hilo conductor de la investigación, reflejando y realzando los más significativos frente a los menos importantes. El perito debe tener en consideración todos ellos, sean o no favorables, obligando fundamentalmente por su condición profesional de imparcialidad, pero también valorando la posible ejecución de una investigación contrapericial. En la medida de lo posible, la presentación de resultados debe ser acorde a la línea temporal definida en los antecedentes y que junto con otros elementos muestra el hilo conductor del caso. Información sensible, particularidades, referencias y un largo etcétera de elementos deberán ser parte también de la presentación de los hechos.
41
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Las conclusiones son uno de los apartados finales del informe, sin embargo muy probablemente será el punto que se lea en primera instancia. Incluso puede darse el caso de que en aquellos documentos especialmente voluminosos se presenten como uno de los apartados iniciales, a modo de informe ejecutivo. La labor del analista, fundamental en la elaboración de cualquier elemento del informe, es especialmente determinante a la hora de elaborar las conclusiones. Es en este punto donde, independientemente de las metodologías o herramientas utilizadas, será la experiencia, el buen hacer o la capacidad de análisis y síntesis del analista los factores críticos en el establecimiento de las conclusiones del proceso de investigación. La importancia del apartado de conclusiones respecto de la toma de decisiones en cada caso es absoluta. Es a partir de este punto principalmente desde el que se adoptará la decisión final de considerar a los implicados como inocentes o por el contrario pasar a iniciar una acción judicial. Es el momento de reflejar relaciones, de presentar las pruebas en toda su crudeza, de defender los patrones detectados que indican conductas maliciosas reiteradas, condicionando con ello la gravedad final de las acciones. No debe olvidarse que para las empresas y organizaciones no será lo mismo la detección de un hecho aislado que una conducta maliciosa reiterativa. Por todo lo anterior, es recomendable que el analista se abstraiga de las circunstancias externas del caso, olvidándose de las consecuencias posteriores que las conclusiones de su labor pueden acarrear. En definitiva, las conclusiones son la síntesis y el desenlace del caso. Un mayor número de ellas no implica necesariamente un mejor trabajo. En ocasiones la exposición de datos inconexos y faltos de sentido puede distraer al lector del informe de las conclusiones principales, resultando con ello negativo de cara al juicio y facilitando, por su falta de concreción, la posibilidad de desmontar la labor pericial realizada. Pocos argumentos y bien planteados serán mejores que un mayor número de ellos pero desdibujados. Adicionalmente a los anexos que cada informe forense demande en función de las líneas de investigación desarrolladas, es muy recomendable que en el documento figure un anexo específico que recoja la pericia, experiencia y capacitación del perito. Con ello se reforzará la veracidad, profesionalidad y valor de la información recogida en el informe. Hay que tener presente que quién suscriba el documento pericial se encuentra obligado, si fuese necesario, a prestar declaración en el juicio en calidad de testigo pericial. Un informe pericial forense podría recoger en su contenido la necesidad de disponer de información que no era inicialmente demandada y cuya obtención posterior podría ser positiva para el esclarecimiento del caso. Debe existir para ello, una causa que lo justifique y que haya podido surgir en el propio desarrollo de la investigación. Un ejemplo clarificador de
42
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
esta circunstancia puede ser la aparición de IP públicas, cuya identificación sólo se encuentra en posesión de los proveedores de Internet. No es objetivo del analista elucubrar sobre las posibilidades que pueden aportar estos datos, sino simplemente reflejar que gracias a ellos podría ser posible corroborar o ampliar de una u otra forma las conclusiones. Para todos aquellos que tengan interés en disponer de un ejemplo de informe pericial de carácter “oficial”, en el siguiente enlace es posible acceder al elaborado por la Interpol sobre los ordenadores y equipos informáticos de las FARC decomisados en Colombia. http://static.eluniversal.com/2008/05/15/infointerpol.pdf
43
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 7 – Prueba anticipada en un proceso civil En determinadas circunstancias, un análisis forense puede llegar a un punto muerto o bien a unas conclusiones irrelevantes dado que la información necesaria se encuentra en manos de un tercero, fuera del alcance del investigador. Un escenario ilustrativo de esto podría ser el mencionado en el capítulo anterior, relacionado con la aparición de direcciones IP públicas en los registros de actividad de un servidor investigado. En esta situación sólo el proveedor de servicios de Internet conoce a quién han podido ser adjudicadas estas direcciones en una fecha y hora concretas. En ocasiones la ausencia de esta información ha provocado que se desestimen evidencias ante la creencia de que no es posible su obtención. La obtención de estos datos puede resultar totalmente determinante, permitiendo motivar un hecho o incriminar a una persona concreta en el proceso de investigación. Puesto que bajo ninguna circunstancia el analista tiene acceso a la información y elucubrar sobre posibilidades, aunque factible, no tiene validez en el juicio, será por lo tanto necesario solicitar la información. En este sentido es importante tener en consideración la volatilidad de estos datos. El proveedor de Internet desechará los registros relativos a las conexiones de sus abonados con el paso del tiempo. Por ésta y otras razones, es una buena práctica agilizar todo lo posible su solicitud. Este procedimiento se denomina solicitud de prueba anticipada. Su base se encuentra en la protección del derecho fundamental a la prueba. Dado que existe el riego de que una prueba pudiera no practicarse porque para ello es necesario esperar a que llegue la fase de procedimientos del juicio, es posible requerir el adelantamiento de la prueba. De este modo, aunque el proceso judicial no haya sido iniciado podrá solicitarse que se practique el proceso de solicitud anticipada. La Ley 1/2000 de Enjuiciamiento Civil a través de su sección IV que comprende los artículos del 293 al 298 recoge precisamente el ordenamiento de la prueba anticipada. Dicho proceso puede ser invocado por cualquiera de las partes, debiendo ser motivado y solicitado al tribunal que está llevando el caso siempre con anterioridad al inicio del juicio. El escrito de solicitud es remitido por el abogado que llevará el caso ante el juzgado correspondiente, mediante una súplica de oficio. Es recomendable que el escrito sea revisado por el analista forense. Aunque está claro que el lenguaje judicial se encuentra
44
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
fuera del alcance del investigador, se hace necesario asesorar al abogado y evitar con ello incurrir en errores técnicos que hagan imposible atender a la súplica. Adicionalmente a otras peticiones que puedan ser cursadas mediante este procedimiento, las de ámbito informático más habituales son las relacionadas con solicitud de datos de actividad a los proveedores de Internet y telefonía. Necesidades de información asociada a direcciones IP públicas o envíos de SMS, uso de dispositivos Smartphone o identificación de correos electrónicos, son algunas de las múltiples circunstancias que hacen necesaria la solicitud de información a un tercero. El procedimiento de solicitud de prueba anticipada se ve favorecido si se acompaña del máximo de información posible, facilitando con ello su ejecución. Si por ejemplo, se solicita información de direcciones IP es recomendable que en la petición figure el proveedor o proveedores asociados a las mismas, además de la línea temporal de conexión claramente indicada. De esta forma la solicitud al juzgado puede ser encaminada de la forma correcta, facilitando además la labor de éste. En este sentido, es útil recordar las posibles discrepancias que pueden tener los ficheros de log, con las horas locales reales donde opera el proveedor correspondiente. Un analista en el desarrollo de su labor de investigación debe huir en todo momento de ideas preconcebidas. Estas incluso pueden venir fomentadas ante la repetición habitual de un determinado patrón de comportamiento en el desarrollo del análisis. Sin embargo, cuando el patrón excepcionalmente deja de cumplirse, la duda sobre la validez de la evidencia puede surgir en el analista pudiendo llegar por ello incluso a desestimar la prueba. Ilustremos este planteamiento con un posible caso. El analista identifica que el autor de los hechos se conecta a una misma hora y desde su casa regularmente. Por el contrario y de forma puntual en determinadas fechas, las conexiones realizadas en una misma franja horaria proceden de direcciones IP pertenecientes a distintos proveedores. Esta excepcionalidad respecto del patrón de comportamiento habitual, genera ciertas dudas en el analista sobre la validez de las evidencias. Esto evidentemente es un error de apreciación, producido fundamentalmente por presuponer que el investigado realiza siempre las conexiones desde su casa. Sin embargo se dan muchas circunstancias para que este hecho sea factible: -
Diferentes actores implicados.
-
Un único actor operando desde distintas ubicaciones, por ejemplo desde su casa y la de un familiar o amigo.
45
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
-
Un único actor utilizando diferentes tecnologías. Por ejemplo, uso de ADSL y smartphone por el que se conecta a través de su equipo, implicando con ello a diferentes proveedores.
Escenarios como los que se acaban de describir de forma somera en lo puntos anteriores pueden aportar información de valor para la investigación. De todos modos, tal y como se ha indicado en párrafos anteriores, para llegar a conclusiones definitivas debe esperarse a la resolución de la prueba anticipada. Este tipo de pruebas suelen ser determinantes en el desenlace de un juicio y por lo tanto hay que hacer todo lo factible para su obtención. Es indudable que ante una información que solo puede aportar un tercero, como que en una fecha concreta una IP está asociada directamente a uno de los actores del caso, cobra importancia extrema en el juicio. La imparcialidad total del tercero, al no conocer ni estar involucrado en la causa, hace que la prueba tome mucha fuerza, si el abogado la utiliza apropiadamente. Por lo tanto la súplica deberá realizarse con la debida anticipación para que las pruebas lleguen a tiempo a la vista. El resultado obtenido de la solicitud de prueba anticipada puede llegar a condicionar totalmente la estrategia en el juicio
46
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 8 – Un juicio civil Tras la labor realizada, llega el punto final y definitivo del proceso. Es necesario tener en consideración que aun habiéndose realizado una labor profesional de valor, cualquier investigación forense digital que desemboque en un juicio se dirimirá en éste de forma definitiva. Anteriormente, la empresa, organización o persona afectada habrá utilizado el informe pericial fruto de la investigación como elemento fundamental a la hora de adoptar decisiones, pero el resultado definitivo del peritaje se obtendrá al finalizar el proceso judicial. Como paso previo a la vista, es necesario preparar junto a los abogados la estrategia que se va a adoptar para la misma. El perito aportará su perspectiva e importantes apreciaciones técnicas que pueden ser hilo conductor de las preguntas que el abogado le formulará en la vista. La preparación de ésta será también de utilidad para intentar anticiparse a las cuestiones que puedan plantearse por parte del abogado de la otra parte. Finalmente, su labor de asesoramiento técnico será también considerada para preparar la testificación de la parte contraria. Sin una preparación adecuada, incluso habiendo realizado una buena labor pericial, el juicio se puede convertir en una auténtica lotería. Una testificación ambigua, poco veraz, no sólo no aportará al desarrollo favorable del proceso judicial, sino que puede llegar a ser abiertamente contraproducente. En un juicio civil, el abogado preparará una nota judicial que presentará en la vista y donde la información pericial tiene una importancia significativa. A modo de informe ejecutivo, en ella se describen los conceptos y conclusiones más importantes que acompañados de los fundamentos legales, permitirán llegar al objetivo perseguido, atender o desestimar una demanda. El perito deberá colaborar técnicamente en su elaboración. El día de la vista el perito deberá asistir a la misma con la correspondiente documentación identificativa, DNI preferiblemente. Este quedará fuera, a la espera de ser llamado en calidad de testigo pericial. De esta forma y como cualquier otro testigo, se logra que se mantenga ajeno lo que está sucediendo en la vista, siendo por lo tanto y llegado el caso, su intervención mucho más objetiva. En un proceso convencional cada parte presentará sus testigos, participando en primer lugar los que presenta el demandado y en segundo los de la parte demandante.
47
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Habitualmente y por cuestiones de estrategia de la parte que presenta el peritaje, el perito suele ser el último de los testigos en declarar, para centrar sobre su testimonio y labor de análisis las correspondientes conclusiones. Sin embargo, en ningún momento debe olvidarse su carácter totalmente imparcial y su deber de independencia. Tras entrar en la sala, habiendo entregado previamente su documento identificativo, el juez se dirige al él, para identificarlo y comunicarle su deber de prestar la verdad y no dar falso testimonio. Hay que tener en consideración, que en caso de faltar a la verdad, el perito podría ser sancionado con pena de multa o incluso privación de libertad. En la vista, se le hará entrega del informe pericial presentado como prueba, que deberá reconocer como suyo. Lo tendrá a su disposición para las aclaraciones o referencias a él que puedan ser necesarias, ante cualquier planteamiento que pudiera darse en las preguntas que se le formulen. En primer lugar será interrogado por el abogado de la parte por la que se presenta y en segunda instancia intervendrá la parte contraria. La intervención de ésta es fundamental puesto que habitualmente su estrategia será mermar la credibilidad del perito, su testimonio o el informe pericial presentado. Finalmente es el juez el que le planteará aquellas cuestiones que considere oportunas. La intervención del perito, debido a la relevancia de la información que aporta, se presenta siempre como una de los momentos críticos de la vista judicial y suele ser tenida en gran consideración por parte del juez. Como ya se indicaba en el capítulo inicial de esta publicación, el informático que desarrolla labores de peritaje se encuentra en una vista judicial fuera de su espacio natural. Por regla general, ningún perito en sus primeras comparecencias suele estar preparado para la situación que debe afrontar. Mantenerse sereno, en la medida de lo posible, es la clave fundamental. Los nervios no permiten visualizar con claridad la situación, exponer las conclusiones de forma veraz, pudiendo incluso errar en las apreciaciones como consecuencia de la tensión del momento. Los abogados sin embargo, se enfrentan a esta situación con la mayor de las normalidades posibles, están en su espacio profesional y lo controlan, por lo tanto debería dejárseles a ellos el manejar las situaciones. Considerando lo anterior, es útil tener en consideración una serie de cuestiones relacionadas con la intervención del perito informático en la vista judicial: -
Del perito se espera que disponga de la capacidad para analizar los hechos y aportar su experiencia profesional. Esto difiere del resto de los testigos, dado que éstos sólo declaran en función de los hechos que conocen.
48
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
-
Hay que estar preparado para las preguntas que pueda plantear la otra parte. No entrar bajo ninguna circunstancia en enfrentamientos, puesto que harían dudar del buen hacer y la imparcialidad pericial. Responder simplemente de forma profesional, sencilla y veraz. Por ello es importante valorar antes del inicio del juicio aquellas preguntas que pudiera formular la otra parte, anticipando así las respuestas y evitando con ello cometer errores o aparecer en la vista de forma dubitativa.
-
Aunque un perito es requerido por su capacitación técnica, habitualmente el público al que se dirige no tiene este perfil y por lo tanto deberá ser comedido en la carga técnica de sus respuestas. Cuanto más sencilla y comprensible sea su exposición, mayor claridad aportará al juez para su toma de decisiones.
-
A pesar de que muchas preguntas presentarán como objetivo respuestas simples de afirmación o negación, en todo momento podrán hacerse tantas consideraciones como se considere oportuno. En múltiples ocasiones, estas aclaraciones evitarán caer en aquellas “trampas” que pudiesen conllevar respuestas tajantes de sí o no.
-
Ante una pregunta dudosa, es recomendable solicitar que se replantee de nuevo si no ha sido comprendida. Esto es siempre preferible a dar una respuesta rápida e inadecuada al no haber entendido correctamente la pregunta.
-
Hay que tener presente que es posible suministrar como respuestas un “no recuerdo” o “no lo se”. Como perito, no es exigible disponer de conocimientos sobre absolutamente todo, sino simplemente no faltar a la verdad.
-
Hay que esperar preguntas o incluso afirmaciones que cuestionen el proceso de análisis pericial o las conclusiones emitidas en el informe. Ante todo profesionalidad, suministrando las aclaraciones necesarias para evitar la sensación de duda, pero nunca entrando en conflicto.
-
Un aspecto clave suele ser el de las preguntas orientadas a poner en entredicho el tratamiento de las evidencias digitales. Si no existe otra posible defensa, la otra parte podría intentar en su estrategia desmontar la pericia, esgrimiendo para ello manipulación de las pruebas. Si los procedimientos han sido bien llevados, será solo un trámite que incluso podrá reafirmar el valor y la veracidad de la labor forense.
-
Ante preguntas realizadas sobre el informe pericial, especialmente si hace tiempo que se realizó, es preferible acudir al mismo y volver a leerlo que dar una respuesta precipitada y contraria al propio documento.
49
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Finalizado su testimonio, el perito podrá presenciar el resto del juicio, debiendo mantener en todo momento la compostura. En la exposición final de conclusiones, los abogados pueden proporcionar información contraria al informe pericial o intentar desvirtuar la actuación del perito en la práctica de las pruebas. A pesar de ello, debe mantenerse la calma en todo momento. Hay que tener en consideración la profesionalidad de los jueces, habituados a las estrategias de los abogados. Los juicios se graban, se dispone del informe pericial así como de toda la información aportada en el juicio como pueden ser las pruebas anticipadas. Todo ello ayudará al juez a emitir su sentencia. Finalizado el juicio y quedando visto para dictamen, todos los testigos, incluidos lógicamente los peritos, procederán a la firma correspondiente que ratifica sus testimonios. Ahora no queda más que esperar un tiempo a que el juez emita su sentencia. No cabe duda que un juicio constituye una experiencia enriquecedora para cualquier analista forense digital. Ayuda de forma muy especial a comprender la importancia de los procedimientos. Mejora la forma y capacitación para entender y elaborar informes. Cuestiones que inicialmente se consideran muy importantes en los informes, pierden relevancia en el juicio y sin embargo, ocurre lo contrario con otros aspectos a los que originalmente no se les había dado mucha importancia. Cada juicio es diferente y la intervención de cada profesional, juez, abogado o el propio perito hacen impredecible su resultado final. En ocasiones se pasará por la frustración de una sentencia contraria cuando todo estaba a favor. Pero es parte de un proceso donde en la mejor de las situaciones habrá un 99% de p osibilidades de éxito, nunca la absoluta certeza de ello.
50
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
Capítulo 9 – Claves de un forense en juicio Tal y como se ha mostrado en los capítulos anteriores, un analista forense debe seguir en su labor de investigación unos procesos muy concretos y en ocasiones complejos, siendo necesario en todo momento un alto nivel de rigor profesional en su desarrollo. Como ya se ha recogido en esta publicación, en España no existen fundamentos regulatorios para la realización de los procedimientos en unos términos concretos, sin embargo debe de atenderse en su ejecución a una serie de buenas prácticas que garanticen, cuando se llega al proceso judicial, la confianza en unos hechos veraces, probables y reproducibles, basados en evidencias que en ningún momento han sido manipuladas. Este último capítulo, se dedicará a repasar todo el procedimiento que permite defender con garantías un informe pericial en un juicio, así como otros aspectos importantes a tener en consideración dentro del ámbito legal. En definitiva se trata de recoger aquellos elementos fundamentales que se ha abordado en mayor detalle en capítulos anteriores: -
Paso I. Obtener información previa sobre el caso. Antes incluso de iniciar la recogida de evidencias, el analista debe ser conocedor de las circunstancias del escenario en el que se han desarrollado los hechos, así como disponer de la máxima información posible sobre ellos. Para esto es necesario acudir a todos aquellos que pudieran proporcionarla. La complejidad del escenario determinará también la cantidad de evidencias a recuperar y tratar. Cuanto mayor sea el volumen de información inicial obtenida, menor será el número de problemas posteriores derivados de la falta de datos o de la inconexión de los mismos.
-
Paso II. Obtención de evidencias. Es determinante la recuperación rigurosa y la firma de las evidencias asociadas a cada caso, generando además los ficheros de cadena de custodia correspondientes. De forma especial en nuestro país, la no alteración bajo ningún concepto de las pruebas y la garantía por lo tanto de su valor pericial son la máxima fundamental a observar en los procesos de recuperación de evidencias. Este mismo concepto deberá regir el almacenamiento seguro de las pruebas recogidas que pudieran posteriormente ser utilizadas en un juicio.
-
Paso III. Identificar datos relevantes y la línea temporal de la investigación. Es estratégico identificar los datos importantes en función de las circunstancias de cada caso: nombres, direcciones, correos, números de teléfono, ficheros, etc. Con ello se
51
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
facilitará la posibilidad de realizar búsquedas eficaces. De igual modo, debe definirse la línea temporal que se tendrá en consideración para el desarrollo de la investigación pericial. Esto permitirá articular una investigación basada en un pr oceso secuencial, manejable y que facilite la elaboración de un informe eficaz. -
Paso IV. Ordenar y relacionar los datos obtenidos a partir de las evidencias del caso. Teniendo siempre en consideración la garantía de independencia del perito y la incapacidad para ocultar cualquier dato aunque sea negativo para la parte por la que ha sido contratado. Las conclusiones deben exponerse sin ningún tipo de injerencias si el pericial quiere tener el valor que le corresponde en el juicio. No se debe despreciar tampoco la posibilidad de que pueda realizarse un contrapericial que destape datos que hayan podido ocultarse, con el consiguiente efecto negativo, tanto para la parte como para el propio perito.
-
Paso V. Generación del informe pericial. El objetivo es construir un informe escrupuloso, técnico pero legible y con unas conclusiones sólidas que permitan arrojar luz sobre el caso. Deberán evitarse las verdades a medias y cualquier apreciación dudosa emitida a través de prejuicios obtenidos en los pasos previos. Como ya se ha expuesto en el capítulo correspondiente, un elemento muy importante del informe consiste en reflejar las garantías observadas en el proceso y que permiten dar absoluta veracidad a las evidencias.
-
Paso VI. Práctica de prueba anticipada. Toda vez que el informe esté concluido y se tenga en consideración la posibilidad de llegar a juicio, se deberá aconsejar al abogado, la práctica de la prueba anticipada cuando las circunstancias así lo requieran.
-
Paso VII. Asesoramiento técnico. Es necesario apoyar al abogado técnicamente en la estrategia a llevar en el juicio para la defensa de la labor e informe pericial, así como en la preparación de la nota que deberá presentarse para la vista. De igual modo, deberán definirse con antelación aquellas preguntas claves que permitan presentar las conclusiones del informe más importantes.
-
Paso VIII. Intervención en la vista judicial. En el juicio, el perito desempeña un papel clave. La otra parte en todo momento intentará desmontar los argumentos técnicos que presente, pero también buscará desacreditar su figura, poniendo en duda su imparcialidad. Sabe que cualquier atisbo de duda en este sentido, provocará que pruebas e informes técnicos tengan menor relevancia sobre el veredicto final. La compostura será un punto esencial, no debiendo entrar en confrontación con la otra parte, aunque a veces conseguirlo resulte complicado. Y finalmente, si bien en el
52
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
informe pericial se presenta la necesidad de incorporar una argumentación técnica sólida, en la vista judicial es necesario simplificar al máximo la exposición, de la forma más clara y concisa posible para su entendimiento, sin dejar por ello de respetar la realidad en todo momento. Otro aspecto clave a tener en consideración es la legitimidad de determinadas prácticas de acceso a la información de los investigados en un caso forense. Es frecuente la duda respecto de la realización de determinadas prácticas de investigación, como puede ser el acceso a las cuentas de correo que proporciona la organización a un usuario y donde residen las evidencias necesarias para el esclarecimiento de un caso. En este tipo de escenarios, la línea que delimita la protección de los datos personales no se encuentra claramente definida. Existen lagunas interpretativas entre la protección en el ámbito estrictamente personal y la que goza la propia empresa para hacer un uso razonable de los medios que proporciona. La existencia en las compañías de un buen documento de uso de medios tecnológicos y del que los trabajadores se encuentran adecuadamente informados, facilita considerablemente la situación. Sin embargo la ausencia de éste, deja la interpretación totalmente abierta a la decisión judicial. En este sentido existen sentencias en una y otra dirección. Hay que recordar que la justicia en España se basa en la interpretación de la ley y esta puede orientarse en distintos sentidos. En una regulación de uso de medios sólida, el documento correspondiente establecerá con claridad que la compañía podrá ejercer el control del uso de los mecanismos que a efectos profesionales se faciliten al trabajador, tal y como recoge el Estatuto de los Trabajadores. Con ello se legitima la posibilidad de controlar el uso de Internet, el mantenimiento de estadísticas o el acceso a las cuenta de correo electrónico, junto a otros aspectos relacionados con la actividad ejercida con medios corporativos por parte de los profesionales. Sin este documento, como se ha indicado, la situación es mucho más compleja y deberá hilarse muy fino, puesto que la experiencia demuestra que circunstancias similares pueden finalizar en dos sentencias totalmente antagónicas. Sirva de ejemplo las que se recogen a continuación. En el primero de ellos se estima una demanda por despido improcedente al considerar violación de la intimidad el acceso al correo electrónico de un trabajador en el transcurso de la investigación pericial (http://www.bufetalmeida.com/64/violacion-de-correo-electronicode-trabajadores-despido-improcedente.html). Se proporciona a continuación un extracto de la sentencia que recoge este proceder.
53
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
“ Del anterior relato de los hechos se dimana que, en el marco del conflicto laboral al que
tantas veces se ha hecho alusión y, además, en paralelo a la interposición por la actora de la papeleta de conciliación para la extinción contractual, el empresario encargó a una empresa especializada un análisis (monitorización) de los contenidos del ordenador de la actora, con especial referencia a sus archivos personales (es este último un extremo que queda diáfano al acto del juicio, ante la clara respuesta dada por el perito compareciente a instancias de la empresa a pregunta de este magistrado). A estos efectos, dicha persona -por órdenes de la empresa- entró en archivos de correo electrónico de la demandante, sacó copia y se aportaron como prueba documental. Hay que decir que algunos de dichos correos son de carácter íntimo y personal (especialmente los que figuran numerados como 129 y 136 del ramo de prueba de la demandada). Dichas consideraciones han de comportar la valoración de si estas pruebas son contrarias a derechos constitucionales y, más en concreto, a lo establecido en el art. 18.3 de nuestra "norma normarum". En el caso de que se diera una respuesta positiva a esta cuestión, las pruebas practicadas resultarían inhábiles, en aplicación de lo contemplado en el art. 11.1 LOPJ. Séptimo.- Como se puede desprender del anterior relato fáctico -en el que no se ha nombrado en este extremo- este juzgador ha llegado a la conclusión de que dicha prueba es contraria al derecho fundamental al secreto de las comunicaciones -consagrado en el art. 18.3 CE, ya citado-.” En contraposición al anterior, puede citarse también el famoso caso de Deutsche Bank, donde se recurrió una sentencia en suplicación ante el Tribunal Superior de Justicia de Cataluña, por un uso abusivo por parte de un trabajador del correo electrónico para fines personales, que había desembocado finalmente en despido. Se citan a continuación algunos párrafos significativos de la sentencia. “d octrina jurisprudencial ha venido señalando (en aplicación al art. 54.2d ET) como esta
causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar
54
Juan Luis García Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemático
el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que deben observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 mayo 1985).” “ En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen
una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado arts. 54.2.d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo, así – con independencia de su concreto coste económico-temporal- un deber básico que, además de inherente `a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo – ex art. 5ª ET-, parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores” Sin embargo, a pesar del fallo favorable a la empresa, posteriormente se realizó por parte de la persona despedida una demanda contra cuatro directivos por el delito de descubrimiento y revelación de secretos. Como ha sido posible apreciar a lo largo de esta publicación, las situaciones y escenarios propios de una investigación forense son muchos y diversos, con el agravante de poder llegar a complicarse en ocasiones hasta límites insospechados. Recientemente en conversación con un abogado especializado en este tipo de casos, éste me transmitía sus impresiones que me parecen un adecuado final para esta publicación: “Cuanto más experiencia adquiero, mayor es mi incertidumbre por la cantidad de situaciones que he llegado a ver y que me generan la sensación de no saber nunca con certeza como va a finalizar un caso”.
55
Curso de Perito Telemático Forense Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO
Un forense llevado a juicio
Juan Luis García Rambla Juan Luis García Rambla, es en la actualidad el Director del Departamento de Seguridad TIC de Sidertia, donde se encuadra el área de análisis forense digital de la compañía. Profesional de contrastada experiencia y reconocimiento en el sector de la seguridad informática, ha desarrollado su actividad a lo largo de más de 18 años en el ámbito tanto civil como militar. Su participación directa y la coordinación de gran número de casos forenses, así como sus intervenciones como perito informático en juicios de índole civil, le aportan un conocimiento práctico inestimable para la investigación forense. Complementa su sólido perfil técnico con un componente de conocimiento legal de alto valor. Dispone de su propio Blog: “Legalidad Informática”. Galardonado como Microsoft MVP durante siete años consecutivos en diferentes categorías vinculadas a la seguridad, publica regularmente artículos en revistas y medios especializados. Es autor de tres libros, a los que ahora suma esta nueva publicación, cuya lectura sin lugar a dudas, aportará información de valor tanto a los profesionales de la tecnología como a aquellos vinculados al mundo legal y de la investigación.
“Un forense llevado a Juicio” es una herramienta de inestimable utilidad a la hora de abordar un análisis forense digital que finalice en un proceso judicial. En este tipo de escenarios se mezclan dos áreas profesionales tan dispares como la tecnología informática y el mundo legal, donde el seguimiento de normativas y procedimientos estrictos es determinante. Una buena labor técnica puede desaprovecharse en un juicio al no haber atendido a buenas prácticas no escritas pero que se consideran virtualmente regladas. Este breve manual aporta la experiencia y el conocimiento de su autor en aspectos fundamentales a la hora de enfocar y desarrollar labores periciales informáticas. La adecuada recogida de las evidencias digitales, la correcta elaboración de un convincente informe para su presentación a juicio son algunos de estos aspectos. Junto a ellos, la publicación muestra los errores más comunes que deben ser evitados o por el contrario las buenas prácticas que permiten llegar a la vista judicial con las garantías de haber realizado una buena labor profesional.
52
Curso de Perito Telemático Forense
Curso de Perito Telemático Forense Análisis de Dispositivos Móviles De todos es sabido que los teléfonos móviles cada vez son más parecidos a un ordenador común. La punta de lanza de esta tendencia está encabezada por las dos plataformas más evolucionadas en el marco de la telefonía móvil. Hablamos de Android e Iphone. La plataforma Android tiene un núcleo basado en Linux, mientras que el núcleo de los Iphone está basado en BSD. Ambos sistemas operativos son viejos conocidos en el mundo de los ordenadores tradicionales, por lo que existe una menor diferencia entre un ordenador al uso y un teléfono móvil. De hecho, el iphone 4G actual presenta unas características muy similares, si no superiores, al iMac de hace tan solo 10 años.
Fuente original: http://arstechnica.com/civis/viewtopic.php?f=19&t=1114049 Aterrizando en el mundo del análisis forense de dispositivos móviles, en absoluto se trata de un tema novedoso, aunque sí es cierto que dichos servicios se reclaman cada vez más, con una asiduidad directamente proporcional al avance de la tecnología utilizada por nuestros terminales. Hecho comprensible, puesto que a mayor capacidad/funcionalidad para gestionar nuestra información sensible, mayor es la probabilidad de que un dispositivo móvil de estas características se convierta en una evidencia digital. Sin más dilación, en el presente post vamos a definir algunas guías que permitan conducir adecuadamente un análisis forense sobre un dispositivo móvil. Introducción a la tecnología Flash
Sin ánimo de profundizar el tema, será importante comprender que se trata de memoria no volátil, la cual puede ser borrada y reprogramada por medios electrónicos. Este tipo de memoria es ideal para ser utilizada por terminales móviles actuales. De hecho, eso es lo que hacen. Por lo general, la memoria NOR es utilizada para soportar el firmware del terminal móvil, mientras que la memoria NAND suele utilizarse como unidad de almacenamiento. Con esto se pretende decir que si
Curso de Perito Telemático Forense buscamos alguna evidencia de carácter personal (emails, SMS, fotografías, etc), muy probablemente se encuentre en la NAND. De todos modos, siempre es interesante echar un vistazo a la memoria NOR, especialmente en la zona no ocupada por el firmware, ya que determinadas plataformas móviles las utilizan para almacenar cierta información. La memoria NAND está compuesta de Páginas, que a su vez conforman Bloques, que a su vez conforman Zonas.
Estructura lógica de memorias NAND Resumiendo mucho, y desde un punto de vista lógico, una página de memoria NAND es muy similar a un sector de un disco duro, y al igual que éstos su tamaño es múltiplo de 512 bytes*. Desde un punto de vista físico, la memoria NAND puede ser escrita byte a byte, aunque para borrar información la cosa cambia. Para borrar información físicamente, debe borrarse todo un bloque. Es sumamente fácil detectar bloques borrados, puesto que representa una cantidad ingente (tantos como ocupe el bloque) de 1’s.
*Anteriormente hemos dicho que una página tiene un tamaño múltiplo de 512 bytes, y esto requiere una explicación: Desde un punto de vista físico, una página se compone de datos y de un payload, llamado SPARE , que contiene información relativa al estado de los datos. Esto significa que el tamaño total de la página será mayor de lo esperado. Conocer este hecho será de vital importancia para conducir con éxito el proceso de adquisición, y posterior análisis de los datos. Esto se verá más claro en el apartado “Preparación previa a la búsqueda de evidencias”. Adquisición de datos
La adquisición de los datos, a partir del soporte físico, puede realizarse utilizando cualquiera de las siguientes técnicas: Herramientas de flasheo
La utilización de herramientas suele ser la vía más fácil, y no invasiva, de las tres técnicas posibles. El problema reside en que dichas herramientas dependen fuertemente del dispositivo móvil desde el cual se desea realizar la adquisición de datos. Otro tipo de limitación suele ser la imposibilidad de recuperar la totalidad de la información residente en el dispositivo. Este tipo de herramientas no suelen estar diseñadas, de forma expresa, para ser utilizadas en un procedimiento forense, aunque el investigador puede llegar a utilizarlas si fuese oportuno. Tampoco existen garantías de que existan dichas herramientas para todos los posibles dispositivos móviles.
Curso de Perito Telemático Forense Todo examinador deberá conocer, y haber testeado la herramienta utilizada en otro dispositivos móvil igual a la evidencia, el grado de modificación que puede realizar sobre la memoria flash. De hecho, es muy frecuente que este tipo de herramientas realicen modificaciones que puedan contaminar las evidencias. A modo de ejemplo, se muestra la aplicación de Sarasoft, la cual puede ayudar al investigador en el proceso de adquisición de información:
Tool de flasheo por Sarasoft JTAG
En el caso en que la adquisición de los datos no haya podido producirse, de forma satisfactoria, mediante la utilización de herramientas de flasheo, puede llegarse a utilizar el puerto JTAG. Un puerto JTAG, y dependiendo del dispositivo móvil, suele utilizarse para la realización de testeos por el fabricante, y de forma muy particular para realizar tareas de debugging. Dicho puerto JTAG podría llegar a ser utilizado para acceder a la memoria flash del dispositivo móvil, lo cual sería algo muy positivo para un examinador forense. A continuación se muestra un acceso, vía el puerto JTAG, a un Samsung Omnia i900:
Curso de Perito Telemático Forense
Conexión al puerto JTAG de un Samsung Omnia i900 Como sospechareis, este proceso depende fuertemente de las especificaciones del hardware. De todos modos, y siempre dentro de un proceso de adquisición forense, es preferible realizar la adquisición mediante este método, puesto que a diferencia de la utilización de herramientas de flasheo, la adquisición vía puerto JTAG reduce la posibilidad de escrituras inadvertidas en la memoria flash, reduciendo riesgo de contaminación de las evidencias digitales. Extracción directa desde el chip de memoria
El tercer, y más intrusivo, método para realizar una adquisición de evidencias digitales en dispositivos móviles es la extracción física de la memoria flash. Para esto se recomienda la utilización de aire caliente, lo cual facilita la extracción y posterior limpieza de los pins de la memoria flash. Un dispositivo de este tipo puede adquirirse por algo menos de 200 dólares en ebay:
Curso de Perito Telemático Forense
Desoldadora de aire caliente Una vez el chip está debidamente extraído y sus pines limpiados, mediante una lectora, se puede proceder a realizar un volcado completo de la memoria flash, la cual se deberá configurar con ciertas especificaciones técnicas del chip, tales como tamaño del bus de direcciones o tamaño del bus de datos. Para esto último, se recomienda un programador universal y diferentes adaptadores, en función del formato del chip que se desee analizar. Un programador universal suele ser un dispositivo bastante caro, aunque en ebay se pueden encontrar autenticas maravillas:
Reprogramadora Universal Es fácil encontrar en ebay adaptadores por menos de 100 euros.
Curso de Perito Telemático Forense
Zócalo de adaptación de encapsulado TSOP (el mas comúnmente utilizado en memorias FLASH) para una reprogramadora universal. Como puede observarse, este tercer método es bastante intrusivo y requiere de cierto desembolso económico. No obstante, cuando el dispositivo móvil no es funcional o está destruido, es la única forma de realizar una adquisición coherente de los datos. Preparación previa a la búsqueda de evidencias
Una vez realizada la adquisición de datos, y dependiendo del método de adquisición utilizado debemos asegurarnos de filtrar la información relativa al SPARE , la cual contiene información relativa al estado de los datos. Vamos a generar una imagen limpia (sin SPARE ) a partir de la imagen obtenida del proceso de adquisición: view sourceprint?
1.cosmic@bartolo:/tmp$ ./unspare 2.Modo de empleo: ./unspare
3. 4.cosmic@bartolo:/tmp$ ./unspare image_adqui.bin imagen_limpia.img 512 16 5.cosmic@bartolo:/tmp$ ls -als image_raw.bin imagen_datos.img 6.65604 -rw-r--r-- 1 cosmic cosmic 67108864 2010-08-04 18:11 imagen_limpia.img 7.67656 -rwxr-xr-x 1 cosmic cosmic 69206016 2010-08-04 18:11 image_adqui.bin
Para esto hemos utilizado una herramienta, llamada unspare, cuyo código fuente se distribuye a continuación:
Curso de Perito Telemático Forense view sourceprint?
01./*************************************/ 02./***** unspare by blueliv 2010 *******/ 03./*************************************/ 04.#include 05.#include 06. 07.main (int argc, char** argv) { 08.FILE *flash_image_file; 09.FILE *data_file; 10.FILE *spare_file; 11.unsigned char *buffer; 12.int n,max_size,data_size,spare_size; 13. 14.if (argc<5) { 15.printf("Modo de empleo: %s \n",argv[0]); 16.exit(0); 17.} 18. 19.flash_image_file = fopen(argv[1], "rb"); 20.data_file = fopen(argv[2], "wb"); 21.spare_file = fopen(argv[3], "wb"); 22.data_size=atoi(argv[3]); 23.spare_size=atoi(argv[4]); 24.max_size=data_size+spare_size; 25.buffer=malloc(sizeof(char)*max_size); 26.if (!buffer) { 27.printf ("Error reservando memoria"); 28.exit(0); 29.} 30.if (flash_image_file) { 31.while (!feof(flash_image_file)) { 32.n=fread(buffer, max_size, 1, flash_image_file); 33.if (n!=0) { 34.n=fwrite(buffer, data_size, 1, data_file); 35.fwrite(buffer+data_size, spare_size, 1, spare_file); 36.} 37.} 38.} 39.else { 40.printf ("Error abriendo fichero\n"); 41.} 42.}
A partir de este momento disponemos de una imagen limpia, equivalente a la que podría haberse obtenido mediante la herramienta dd sobre un disco duro, por lo que desde este momento, y sobre la imagen limpia obtenida, aplicarían todas las técnicas conocidas para realizar un análisis postmortem estándar, máxime cuando por norma general los dispositivos móviles suelen utilizar particiones FAT32, FAT16 o FAT12.
Curso de Perito Telemático Forense Para aquellos que deseen profundizar en materia de análisis forenses de dispositivos móviles, a continuación os dejo con una serie de referencias de especial interés: NIST – Guidelines on PDA Forensics
http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf NIST – PDA Forensics Tools: An Overview and Analysis
http://www.csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf NIST – Cell Phone Forensic Tools: An Overview and Analysis
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf Interpol – Good Practice Guide for Mobile Phone Seizure & Examination
http://www.holmes.nl/MPF/Principles.doc http://www.holmes.nl/MPF/FlowChartForensicMobilePhoneExamination.htm NIST – Guidelines on Cell Phone Forensics
http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf
bluelog un salto en valor Author Archives: Jose Antonio Lancharro
Rescontruyendo datos mediante el ingenio – Análisis forense en dispositivos móviles (II) Jose Antonio Lancharro Bervel
22
Sep 2010
Existen situaciones en las que un investigador forense necesita sobrepasar las limitaciones técnicas intrínsecas a las herramientas existentes en la actualidad. Un claro ejemplo de esto sucede cuando el investigador necesita interpretar datos que contiene un teléfono móvil, los cuales pueden sufrir una fuerte fragmentación y, además, las entradas de la FAT también pueden estar completamente destruídas. El presente artículo es una continuación del artículo Análisis forense en dispositivos móviles (I) , en dónde repasamos diferentes métodos para realizar una adquisición de los datos contenidos en la memoria flash de dispositivos móviles. Para trabajar con datos tangibles, pongamos como ejemplo de
Curso de Perito Telemático Forense adquisición un volcado de memoria NAND, descargable desde aquí . Dicho volcado de memoria corresponde al reto forense del 2010, realizado por la Digital Forensics Research Conference . leer más »
Compártelo:
Etiquetas: dispositivos móviles , forensics deja un comentarioleer más »
De cómo evadir las restricciones de seguridad establecidas en un kiosko Jose Antonio Lancharro Bervel
14
Ago 2010
Se define como kiosco aquella máquina, puesta a disposición pública, para que usuarios utilicen los servicios ofrecidos por la empresa que facilita su acceso.
Seguro que muchos habéis visto algún kiosko similar, ofreciendo diversos servicios a través de Internet, ya sea en aeropuertos, estaciones de tren o incluso en oficinas bancarias. Dichos kioskos suelen presentar una serie de restricciones de seguridad, mediante las cuales se trata de acotar las funcionalidades que desde dicho sistema se puedan realizar, ofreciendo como interface con el usuario únicamente un navegador, sin posibilidad aparente de que éste pueda interactuar con el sistema subyacente. En el presente artículo se presentarán una serie de técnicas, las cuales pueden ser utilizadas para evadir los controles de seguridad dispuestos en el kiosko, logrando en muchos casos interactuar libremente con el sistema operativo, e incluso escalar privilegios dentro del mismo.
Curso de Perito Telemático Forense
Obtención de herramientas instaladas en el kiosko
En el caso en que el navegador proporcionado por el kiosko sea Internet Explorer, podemos utilizar el manejador res:// para inferir la existencia o no de binarios, y por lo tanto enumerar el software instalado. Para realizar dicha comprobación, deberemos ejecutar, desde la barra de direcciones, el siguiente código javascript, o similar: view sourceprint?
1.javascript:var aux = new Image();aux.src="res://<;strong>c:\\windows\\Microsoft.NET\\Framework\\v1.0.3 705\\mscormmc.dll/#2/#10";if (aux.height != 30) { alert("El binario existe"); } else { alert("El binario N0 existe"); }
El valor del objeto Image, en nuestro ejemplo llamado aux, por defecto tiene los siguientes atributos: aux.height=30 y aux.width=28. En el caso en que exista el fichero, dichos valores por defecto serán modificados, y por lo tanto podremos inferir si el fichero existe:
Constatación de la existencia del binario c:\windows\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll Obtención de información sobre el navegador proporcionado por el kiosko
Con frecuencia, las políticas establecidas en el kiosko no permiten la consulta directa de cierta información relativa al mismo, como por ejemplo una consulta de la versión del navegador utilizado. Para evadir dicho control y obtener el nombre del navegador, versión, plataforma utilizada y useragent, podríamos ejecutar el siguiente código javascript, desde el campo de direcciones del navegador proporcionado por el kiosko. view sourceprint?
1.javascript: alert(navigator.appName+","+navigator.appVersion+","+navigator.platform+","+n avigator.userAgent);
Curso de Perito Telemático Forense
Revelación de variables del navegador Por otro lado, y apoyándonos en un servidor web controlable por el auditor, podemos acceder a una URL que contenga el siguiente código, con el objeto de averigurar la IP pública del kiosko: view sourceprint?
01. 02. 03. 04. 05.IP del kiosko: | print($_SERVER['REMOTE_ADDR']);$hostname=gethostbyaddr($_SERVER['REMOTE_ADDR' ]);print(" : $hostname"); ?> | 06.
07.
08. 09.
Revelación de la dirección IP con la que el kiosko sale a Internet
Curso de Perito Telemático Forense
Me parece muy bien, pero ¿Cómo puedo acceder al sistema de ficheros?
Para aquellos kioskos que, sí o sí, has de interactuar únicamente con el navegador, la forma más fácil de poder pegarle un vistazo a lo que hay debajo es la siguiente: Ejecutemos el siguiente código javascript desde el campo de direcciones del navegador: view sourceprint?
1.javascript:document.execCommand("SaveAs");
Con lo que obtendremos un dialog que nos debería permitir navegar por el sistema de ficheros:
Obtención de un dialog, mediante el cual po der explorar el sistema de ficheros Como plan alternativo, y en el caso en que el código javascript anterior no hubiese resultado exitoso, es posible abrir un dialog desde un componente flash ubicado en un servidor Web controlado por el auditor:
Y ahora… ¿Algún modo para ejecutar otros programas residentes en el kiosko?
Curso de Perito Telemático Forense Sí. La forma más rápida es utilizar una serie de manejadores, que el navegador puede tener vinculados al software que se desea ejecutar. Algunos de estos manejadores pueden ser: callto://
Telnet://
gopher://
NNTP://
Hcp://
Ldap://
Rlogin://
Search-ms://
Mailto://
Ejecución de software no contemplado para uso público desde el kiosko ¿Otros modos de abuso? Por supuesto…
Desde el momento en que cualquier usuario puede conectarse a su propio servidor Web, se abre un amplio abanico de posibilidades que, sin un adecuado bastionado del kiosko, pueden facilitar diversos vectores de abuso. Un vector de abuso puede ser la ejecución de applets dispuestos por el usuario, los cuales se ejecutará en el kiosko. Como ejemplo de este vector de abuso, se puede disponer de una shell de python, posibilitando a atacantes el desarrollo y ejecución cualquier tipo de programa realizado en python, java e incluso interactuación con el sistema.
Curso de Perito Telemático Forense
Consola proporcionada por jython habilitada en el kiosko Una vía más directa es la utilización de applets firmados para ejecutar cualquier aplicación del sistema:
Ejecución del bloc de notas desde un applet Del mismo modo con el que pueden ejecutarse comandos del sistema desde un applet hecho en java, con su debida firma, pueden ejecutarse comandos del sistema utilizando ActiveX o incluso aplicaciones desarrolladas en .Net. Ejecución de binarios, albergados en un s ervidor web controlado por el usuario del k iosko. Dichos binarios podrían ser ejecutados tras la descarga directa, encapsulados en un fichero .zip o incluso dispuestos mediante un objeto flash.
Curso de Perito Telemático Forense
Descarga de zip, extracción de binario y ejecución del mismo En kioskos, con frecuencia se encuentran establecidas ciertas directivas de grupo que impiden la ejecución de una shell, como puede ser:
Opción DisableCMD habilitada En tal caso, para poder visualizar correctamente la shell deberemos parchearla para que no tenga en cuenta la directiva de grupo anteriormente mencionada, o bien utilizar una shell previamente desbloqueada. Una vez obtenida una shell de sistema, completamente operativa, se posibilita que el intruso pueda elevar privilegios o incluso que la intrusión se propague hacia otros entornos, como pueda ser una red de kioskos, o incluso instalar cualquier tipo de malware en los mismos. Por todos estos motivos, no está de más hacer hincapié en la importancia de bastionado exhaustivo de sistemas tan expuetos a diferentes amenazas como pueden ser los kioskos.
Curso de Perito Telemático Forense Todas estas técnicas y herramientas, entre otras, están dispuestas en una suite orientada a auditar kioskos llamada ikat, de Paul Craig, cuya versión 3 es accesible desde http://ikat.ha.cked.net, las cuales pueden ayudarnos a determinar el nivel de seguridad no sólo de kioskos, sino de cierto perfil de estaciones de trabajo e incluso entornos Citrix, cuyas técnicas de análisis, y dependiendo de la configuración, pueden ser análogas a las aquí enumeradas.
Curso de Perito Telemático Forense Aplicaciones móviles que se pueden utilizar en las primeras etapas de un PenTest Generalmente cuando vemos a una persona con un iPad o iPhone en sus manos pensamos que está revisando su correo, leyendo algunas noticias, twitteando, navegando por Facebook o jugando al AngryBirds, no es una actitud que levante sospechas como la de estar con una notebook y algunas terminales o ventanitas extrañas abiertas. Y lo cierto es que desde una tablet o smartphone se puede recolectar mucha información de una red y realizar varios ataques contra ella. Obviamente no se tiene la misma potencia que la notebook, pero se pueden realizar muchas cosas y pasar desapercibidos. La siguiente es una recopilación de aplicaciones para iOS de Apple como herramientas de pentesting Es simplemente un ejemplo sobre las distintas etapas de un test de penetración y mencionando para cada una de ellas varias apps. Fing (descarga para iOS y Android – gratis): permite enumerar todos los equipos de una red inalámbrica incluyendo dispositivos como routers e impresoras. Permite ver IPs, MACs, fabricantes y escanear puertos para detectar servicios disponibles. Es muy útil para determinar rápidamente cómo está compuesta una red. Net Tools (descarga para iOS y Android – gratis): es una herramienta que facilita varias tareas como la de realizar traceroutes, whois, reverse lookups, etc. MobileTerminal (descarga para iOS desde Cydia – gratis): como el nombre lo indica, permite acceder a una terminal para trabajar directamente con el dispositivo y aplicaciones como Netcat o Nmap, este último es un escáner como Fing muy utilizado durante los pentesting pero mucho mejor y más completo. Mac2Wpkey (descarga para iOS desde Cydia y Android - gratis): detecta modems Huawei y genera la contraseña WEP/WPA por defecto a partir de la dirección MAC. En relación al tema de las contraseñas, también les recomiendo el sitio routerpasswords.com para ver las claves por defecto de todos los routers. Routerpwn (descarga para iOS y Android – gratis): hace algún tiempo la recomendé en SpamLoco, permite detectar vulnerabilidades conocidas en los routers y explotarlas. iWeb PRO (descarga para iOS desde Cydia – de pago): realiza ataques de fuerza bruta para obtener claves de distintos modems. Una alternativa para Android puede ser Router Keygen. Pirni Pro (descarga desde Cydia – de pago): útil para sniffear la red. Nessus (descarga para iOS y Android – gratis): permite escanear equipos y detectar vulnerabilidades.
Curso de Perito Telemático Forense Estas son algunas de las aplicaciones útiles para recolectar mucha información desde una tableta o móvil. Pero también se pueden realizar ataques e instalar herramientas como SET (Social Engineering Toolkit), Metasploit, entre otras.
Curso de Perito Telemático Forense Borra de Facebook tu contenido comprometido ¿Te disfrazaste de Super-Ratón el año pasado y ahora te avergüenzas de haber subido la foto a Facebook? ¿Escribiste un chiste verde en tu muro y lo quieres borrar pero no lo encuentras? ¿Tu ciclista favorito te ha decepcionado y quieres quitar cualquier referencia a él de tu Facebook? El actual motor de búsqueda de Facebook no facilita para nada la tarea de encontrar contenidos que hayas publicado en tu página personal. Por suerte, existe una aplicación de Facebook llamada FaceWash. Con FaceWash puedes buscar y borrar fácilmente aquel contenido que, por los motivos que sean, ya no quieres seguir compartiendo con el mundo. ¿Cómo funciona? Sigue leyendo... Accede a FaceWash y haz clic en Get started Haz clic en Ir a la aplicación y dale permisos a la aplicación para que pueda acceder a tu biografía. (Nota: si haces clic en Omitir, FaceWash podrá acceder a todas las partes de tu biografía excepto a los comentarios publicados por otros) Haz clic en Start. La primera vez que lo ejecutes, FaceWash buscará en tu biografía palabras genéricas que pueden ser comprometidas (sexo, culo, etcétera...). Esta función no es muy práctica. Lo mejor viene cuando introduces algún témino en el campo de búsqueda. Escribe el nombre de alguna, algún lugar, alguna fecha o el comentario de alguien que quieras borrar. Por ejemplo, en este caso quiero borrar una foto de cuando era pequeño en la que mi hermano llevaba una sudadera de Mickey Mouse para olvidar. Así que escribo "Mickey Mouse" y rápidamente Facewash encuentra la susodicha foto. Para eliminar la foto, sólo tienes que hacer clic en el enlace resaltado y FaceWash te llevará directamente al contenido en tu página de Facebook, desde donde podrás eliminarlo para siempre: Nota: FaceWash no es infalible. Recuerda que para que encuentre un contenido, éste debe contener los términos de búsqueda que hayas introducido, escritos del mismo modo. ¿Hay mucho contenido que quieres borrar de tu Facebook?
Curso de Perito Telemático Forense ¿Cómo construir su propio laboratorio forense digital? Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de bajo costo forense. Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han pisoteado la evidencia digital como un oficial de policía novato en su primera escena del crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en la corte, o peor, el sospechoso sabe que está siendo investigado. Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito, usted puede construir fácilmente su propio equipo básico de laboratorio forense que le permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante, recuperar una valiosa evidencia para todas sus investigaciones. Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la computadora o el disco rígido del sospechoso. En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora, desde el punto de análisis forense, genera un cambio en el disco rígido. Estos son los dos pasos críticos que debe tener en cuenta desde el inicio: - En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energéticamente hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar. - En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rígido del sospechoso mientras se encuentre buscando de evidencias. Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil momento en la corte. Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas, Guía de bolsillo. Con esas normas en claro, nada le impide realizar la construcción de una configuración básica de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la misma) y la revisión de la misma para la obtención de evidencias. El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente, encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las
Curso de Perito Telemático Forense empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40 GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede ayudarle de forma rápida y fácil cómo extraer la unidad. Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar o construir. Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios. Personalmente uso Logicube’s Portable Forensic Lab (http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades portátiles de unos pocos cientos de dólares que funcionan muy bien también. Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su configuración/registro, puede lograr la imagen de datos como un profesional. Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser recomendable si usted no está familiarizado con la tecnología de la computadora.) Haga clic en el botón Inicio y escriba Regedit y pulse Intro. Navegue a través de HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control. Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva clave FORENSICWRITEBLOCK. Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword. Llame al nuevo Dword WriteProtect. Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y pulse Aceptar. Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a cero.) Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento de copia de archivos fallará.
Curso de Perito Telemático Forense Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un momento posterior por usted o por un tercero y llevar a cabo la información a la corte. Para hacer una imagen forense, descargue Accessdata’s FTK Imager 2.6.1 (http://accessdata.com/) En el mercado forense forense hay muchos programas de código abierto, software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia. FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando “Agregar evidencia”. En esta función, Imagen Imagen actúa tanto como el Explorador de Windows, pero le mostrará muchos archivos borrados marcados con una X. Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata, Accessdata , ofrecen soluciones de software que organizan los documentos del sospechoso, correos electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas; crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte técnico excelente. Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia. Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted emplea en conectar los puntos y el ordenarlos de de manera inteligente a través de de una gran cantidad volumen de información.
Curso de Perito Telemático Forense Las 10 mejores apps para blindar tu móvil o tableta
En movilidad, se creía erróneamente que las aplicaciones de seguridad eran superfluas, cuando lo cierto es que ahora nuestros dispositivos móviles son un blanco perfecto par a ataques. Veamos cómo protegerlos. La seguridad, cuando se aplica a los terminales móviles, puede tener muchas acepciones que no necesariamente se identifican con el antivirus tradicional para PC. El hecho de que las aplicaciones estén centralizadas en una tienda bajo la supervisión y gestión del proveedor de la plataforma móvil (Google, Microsoft, BlackBerry o Apple) hace que sea más complicado su uso como vehículo para portar malware. Aun así, hay ocasiones en las que este control no es perfecto y se cuelan en los móviles o tabletas de los usuarios programas que hacen un uso inapropiado de los recursos del dispositivo, por ejemplo para enviar SMS premium o servicios no contratados que pueden suponer un gasto inesperado para el usuario.
La propuesta de los expertos
Curso de Perito Telemático Forense
Kaspersky Mobile Security La solución de seguridad para movilidad de Kaspersky incluye, en su versión de pago, todo un repertorio de funcionalidades orientadas a blindar el terminal contra posibles fisuras, desde lagestión de listas blancas y negras de llamadas hasta el filtrado de mensajes SMS. También tiene funcionalidades antirrobo, como la geolocalización, el aviso de cambio de SIM o elborrado selectivo de datos, todo ello mediante SMS. Para algunas funcionalidades, también se usa el correo electrónico. Muy útil es también la opción para ocultar las listas de llamadas y los SMS o contactos que desee el usuario. El antivirus empieza a cobrar relevancia en plataformas como Android, donde no siempre se puede asegurar la integridad de una aplicación. Dispone de una versión de prueba gratuita, así como de un servicio de suscripción anual, que es la que ofrece todas las funcionalidades sin restricciones.
Curso de Perito Telemático Forense
Android Lost Esta aplicación se encuentra disponible solo para el sistema operativo Android, pero es una de las «navajas suizas» de la seguridad en el terminal móvil. La solución está orientada especialmente a situaciones en las que se ha producido la pérdida o robo del móvil o tableta y tiene funcionalidades tan exclusivas como la grabación de audio en segundo plano, lacaptura de fotos con ambas cámaras del terminal o el acceso mediante servidor web a todos los archivos. Y todo ello de un modo tal que quien se haya apropiado del teléfono no se dará ni cuenta, porque incluso existe la opción de borrar remotamente el icono de la aplicación en el escritorio. La geolocalización o la gestión de mensajes que se pueden enviar a quien lo haya encontrado o robado están entre lo mejor y más versátil de cuantas soluciones para seguridad se pueden encontrar actualmente en el mercado, incluyendo las de pago.
BlackBerry Protect Esta firma siempre se ha caracterizado siempre por ser una compañía que ha estado volcada completamente en la seguridad, y su propuesta Protect no es una excepción a la norma. Además de disponer de herramientas para localizar mediante un sonido el terminal, enviar mensajes remotamente o geolocalizarlo en caso de robo o pérdida, ofrece una buena gestión de los datos, de modo que se puede programar la ejecución de una copia de seguridad bajo demanda y, así, es posible borrar del dispositivo con la tranquilidad de saber que los datos importantes están a salvo en la Nube. Posteriormente, esta copia de seguridad podrá restaurarse en un nuevo
Curso de Perito Telemático Forense terminal llegado el caso. Por si fuera poco, brinda la oportunidad de gestionar varios terminales diferentes desde la misma página web a la que se accede con el ID de BlackBerry.
Encuentra mi iPhone En los dispositivos de Apple, una de las mayores amenazas que hay es la de que te roben el flamante terminal, ya sea un iPhone o un iPad. Para esos casos, Apple dispone del servicio denominado Encuentra mi iPhone, que ahora viene integrado dentro del paraguas de iCloud. Es factible programar la app para que emita un sonido en el terminal, así como ubicarlo geográficamente, bloquearlo o borrar la información que contiene. Gracias al servicio iCloud, lo habitual será que todos los datos estén almacenados en la Nube, lo que es una auténtica garantía en caso de que se pierda el dispositivo, aunque se echa de menos un modo para activar la copia de seguridad bajo demanda o para poner en marcha la cámara en remoto con el fin de que se puedan hacer fotos. El servicio, como ya hemos comentado, depende de la cuenta de iCloud con la que se tenga configurado el dispositivo.
Curso de Perito Telemático Forense
Encuentra mi teléfono Microsoft tampoco es ajena a que el terminal se pueda extraviar o ser robado. Su servicio ofrece una funcionalidad básica para la localización y gestión, como el borrado remoto o el bloqueo. También se puede hacer sonar para localizarlo, aunque carece de funcionalidades importantes, como la gestión de copias de seguridad bajo demanda. Además, la gestión se realiza mediante SMS, de modo que, si se quita la SIM, el sistema dejará de ser práctico. Si se tienen varios terminales, desde https://www.windowsphone.com/es-es/my/find es posible gestionarlos. Sería deseable que se pudiese hacer a través de SkyDrive o gestionar las cámaras para hacer fotos del entorno del terminal. En lo que se refiere a antivirus, Windows Phoneparece ser una plataforma segura e inmune al malware, al menos a día de hoy.
Curso de Perito Telemático Forense
Google Latitude Dentro de los servicios de Google, hay algunos que permiten implementar políticas de seguridad aplicables en el día a día. Latitude, por ejemplo, posibilita ver la ubicación de tus contactos en tiempo real. A pesar de las connotaciones sobre privacidad que se derivan de la exhibición de este tipo de información, lo cierto es que, para grupos cerrados de familiares, profesionales o amigos, es una buena herramienta. Por ejemplo, si tenemos personas que dependan de nosotros, permite saber con bastante fiabilidad dónde están, con todo lo que ello tiene de control de aquellos que dependen de un familiar o un responsable. En el ámbito delocio, y de relaciones de confianza, es una forma simpática y útil de localizar a los amigos en un momento dado. En cualquier caso, es una herramienta gratuita y muy intuitiva y fácil de usar que puede configurarse con todo nivel de detalle para que solo aquellos que tú quieres vean tu ubicación.
Curso de Perito Telemático Forense
iOnRoad Smarter Driver Los terminales móviles empiezan a encontrar aplicación en otros nichos como el de la seguridad en la conducción. Ubicando el dispositivo enfrente del parabrisas, mirando a la carretera, y mediante aplicaciones de Realidad Aumentada, es posible conseguir que el móvil nos avise si estamos moviéndonos fuera del carril o calcular con bastante precisión la distancia que nos separa de otro vehículos, y todo ello mediante avisos sonoros y señales en pantalla. Es de especial interés en viajes largos, de modo que se consigue un plus de atención al volante, siempre que se tenga la precaución de no fiarse totalmente de sus indicaciones, que hay que tomar como un refuerzo para la atención. Además, puede gestionar música, así como grabar los trayectos y capturar imágenes dependiendo de las situaciones que hayamos programado o que determinemos de forma periódica.
Curso de Perito Telemático Forense
Ford Sync Dentro de la seguridad en el automóvil, Ford ha conseguido integrar el uso del móvil con lossistemas del vehículo, de modo que no solo se usa el smartphone como repositorio de contenidos multimedia para el sistema de entretenimiento a bordo, sino que también se usa para realizar la gestión por voz de algunas funcionalidades o se enlaza con otros sistemas del coche para implementar un sistema de llamadas de emergencia automáticas en caso de que se dispare el airbag o se pare la bomba de combustible. Este sistema realiza una llamada a través del móvil a un número de emergencias y permite que los ocupantes hablen a través del sistema de manos libres, así como proporciona datos sobre la ubicación del vehículo. Ford cuenta con la tecnología Sync en algunos de sus modelos, y es una tendencia que se propaga rápidamente en el sector del automóvil. Su precio depende de la configuración y del vehículo.
Curso de Perito Telemático Forense
McAfee Mobile Security Esta propuesta es una de las más completas del panorama de la seguridad para móviles, como podemos comprobar en su versión gratuita, que no está limitada en funcionalidades, aunque sí en tiempo (solo se dispone de siete días para probarlo y decidir si se contrata el servicio anual o no). En caso de contratarlo, contarás con un completo sistema de gestión del terminal tanto a escala local como en remoto, que abarca, desde la gestión de llamadas hasta la protección frente a la desinstalación de la aplicación, pasando por la administración de copias de seguridad y la restauración de datos, una cualidad que lo diferencia de otras soluciones donde este apartado no está resuelto. Por supuesto, también cuenta con antivirus, aunque, en la práctica, de momento solo tiene una aplicación real en dispositivos con plataformas Android.
Curso de Perito Telemático Forense
Completa, pero con pocas funciones gratuitas
Norton Mobile Security Symantec es otro de los grandes de la seguridad que cuenta con una solución específica para móviles. En este caso, se puede descargar una versión gratuita, pero con funcionalidades limitadas. Con esta herramienta, podrás usar alarmas sonoras, realizar borrados remotos ogeolocalizar mediante SMS, realizar un bloqueo y hasta hacer fotografías usando las cámaras de los terminales. Además, tendrás herramientas de bloqueo de llamadas no deseadas y SMS que no quieras recibir. La parte dedicada a la gestión remota es especialmente atractiva en lo que concierne a hacer fotos, aunque la gestión de copia de seguridad de los datos no está resuelta desde la aplicación propiamente dicha.