La cadena de Custodia y la Evidencia Digital en Colombia

Page 1

LA CADENA DE CUSTODIA Y LA EVIDENCIA DIGITAL EN COLOMBIA RESUMEN ¿Debido a la poca información acerca de delitos informáticos? – y - ¿cómo se aplica a la ley?, este articulo define la cadena de custodia y la evidencia digital que son componentes importantes para una investigación forense. Palabras Claves: Cadena de Custodia, Evidencia Digital, Análisis Forense, Herramientas forenses. ABSTRACT ¿Due to the low information on computer crimes? – and - ¿how it applies to the law? this article defines the chain of custody and digital evidence that is an important component of an investigation. Keywords: Chain of Custody, Digital Evidence, Forensic Analysis, forensic Tools. Autores: Jhon Orrego – Jonathan Vargas Roa Revisado por: Ingeniero Henry Cortez Contreras ___________________________________________ INTRODUCCIÓN En el campo de la Informática Forense, existen normas para el manejo de los Elementos Material Probatorio (EMP) o Elementos Físicos (EF) las cuales contienen pautas sobre procedimientos que se deben tener en cuenta durante la Identificación, Recolección, Embalaje, Análisis, Documentación. La Cadena de Custodia garantiza la Autenticidad del Valor Probatorio, la técnica de justificar científicamente ante el juez la causa de muerte. Nota: Para Las Evidencias Digitales se emplean Métodos y Técnicas de autenticación a través de software específico que puede determinar un análisis de contenido y trazabilidad del EMP. 1. Cadena de Custodia La Cadena de Custodia es el Procedimiento de Trazabilidad de todas las pruebas que se obtienen durante las distintas etapas del proceso que se lleva por parte de la “Fiscalía General de la Nación”. Generalmente, las Evidencias son obtenidas por los cuerpos y fuerzas de Seguridad del Estado, y posteriormente, son examinadas y analizadas por Analistas Forense en Seguridad de la Información. [i]

Existe en Colombia un Manual de Procedimientos para la Cadena de Custodia, donde se describe los lineamientos para el manejo de y tratamiento de los EMP. El siguiente link se puede descargar el Manual de Procedimientos para Cadena de Custodia (ii): A continuación, se describe la forma en que la evidencia digital es utilizada dentro de este concepto. 2. Algunos conceptos sobre Evidencia Digital Existen varias definiciones de evidencia digital, pero la más conocida y referenciada en los textos es: i. Aplica a cualquier información en formato digital que pueda establecer una relación entre un delito y su autor siempre y cuando tenga el siguiente elemento: autenticidad, precisión y suficiencia con relación a un evento determinado[iii]: a. Autenticidad: sugiere que dicha evidencia ha sido generada y registrada en los lugares relacionados con el caso, específicamente en la escena del posible ilícito. es la característica que resalta la no alterabilidad de los medios originales. [iv] b. Confiabilidad o Precisión: establece si efectivamente los medios probatorios aportados provienen de fuentes creíbles y verificables.

14 de febrero de 2018

1


serviría para responder distintos cuestionamientos que pretenden demostrar que los registros electrónicos poseen una forma confiable para ser recolectados, identificados y verificados: ¿cómo se diseñó la estrategia de registro y su almacenamiento? ¿cómo se registran, recogen y analizan? la confiabilidad de la evidencia está en función de la manera en que se sincronice el registro de las acciones efectuadas por los usuarios y un registro íntegro de los mismos. [iv] c. Suficiencia: se refiere a la presencia de toda la evidencia necesaria para adelantar el caso. al igual que las anteriores características, es un factor determinante de éxito en las investigaciones que se siguen en procesos judiciales. el desarrollo de esta característica implica el afianzamiento y manejo de destrezas de correlación de eventos en registros. [iv] d. Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio indica que la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico. [iv]. En el año de 1999 en la conferencia internacional de crímenes de alta Tecnología y Computación forense donde la IOCE (INTERNACIONAL ORGANIZATION OF COMPUTER EVIDENCE) convocó a una reunión de trabajo en el cual se revisaron los trabajos realizados por el reino unido y así mismo, los borradores del grupo Standard and Principles SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE (SWEDGE). [iv] ii. Establece como la “información de valor probatorio almacenada o transmitida en forma digital [iv], la evidencia digital incluye, por ejemplo, la evidencia en computadores, videos, sonidos, teléfonos celulares, máquinas de fax o cualquier dispositivo electrónico. lo más relevante en los medios electrónicos en los que se soporta la evidencia digital son la vía requerida para presentar pruebas de los hechos ocurridos en sistemas o dispositivos electrónicos. [v] iii. Un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con

herramienta Casey). [vi]

técnica

especiales.

(Eoghan

2.1. Características Evidencia Digital La Evidencia Digital es el insumo vital para los investigadores forenses en cada una de las fases del proceso investigativo y técnico (Hallazgo, Recolección, Almacenaje, Análisis y Preservación). Para esta labor el perito forense se apoya en software especial que le permite obtener la evidencia digital sin contaminarla. La Evidencia características:

Digital

posee

las

siguientes

a. Es volátil se puede perder en cualquier momento ej. Al momento de apagar el equipo de esta forma se perderá la información que está almacenada en la RAM o CACHE del equipo. b. Es anónima: No se puede saber con exactitud, ¿Dónde está la Evidencia Digital? c. Es duplicable: Puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original, esto se hace comúnmente para no manipular la original y evitar el riesgo de dañar la Evidencia. d. Es alterable y modificable: Actualmente con las herramientas existentes es fácil comprobar la evidencia digital con su original y determinar si ésta ha alterada o modificada por mínimos o insignificante que sean los cambios realizados. e. Es eliminable: es muy fácil de eliminarla, aun cuando un registro es borrado del disco duro del computador, y este ha sido formateado por varias ocasiones, es posible recuperarlo. Cuando los involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios. Estas características advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito Otras características permiten definir protocolos que conserven la Evidencia Digital en todas las fases proceso investigativo y técnico, lo que conlleva a definir estándares y procedimientos que garanticen el buen manejo de la evidencia y un análisis certero para que los jueces les sirva de

14 de febrero de 2018

2


evidencia objetiva en la toma de decisiones frente a un hecho punible. 2.2. Clasificación La Evidencia Digital puede originarse en: 2.2.1. Registros generados por Computador: Aquellos, que son concebidos como efecto de la programación de un computador tal como se muestra en la figura 1 lado derecho.

2.2.3. Registros híbridos que incluyen tanto los generados por computador como los almacenados en el equipo: Los registros híbridos son los que combinan afirmaciones humanas y Log’s. Para que estos sirvan como prueba deben cumplir los dos requisitos anteriores. Figura 3: Ejemplos registros híbridos (Documentos Office).

Figura 1: Ejemplo registros generados por computador (código binario).

Fuente: Figura toamada de https://www.google.com.co/search?biw=1600&bih=794&tbm=isch&sa =1&q=programas&oq=programas&gs_l=psyab.3..0i67k1l4.59746.60824.0.60911.9.9.0.0.0.0.147.649.0j5.5.0....0...1. 1.64.psy-ab..4.5.649...0.5iOWiNkFcpU

2.3. Manipulación Requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital. [vii]. Fuente: Figuras tomadas de la web: https://www.taringa.net/posts/cienciaeducacion/18915611/Programacion-Aprende-a-formatear-el-codigolince.html

2.2.2. Registros no generados sino simplemente almacenados por o en computadores: Son aquellos creados por una persona y son almacenados en el computador. Figura 2: Ejemplo de registros no generados sino almacenados por el computador (Programas de instalación).

Fuente: Figura tomada de la web: http://www.admision.uson.mx/demo_examen.php

a. Hacer uso de medios forenses estériles (para copias de información). b. Mantener y controlar la integridad del medio original. Esto significa, que, a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia. c. Cuando sea necesario que una persona que tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense. d. Las copias de los datos obtenidas deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión. e. Siempre que la Evidencia Digital este en poder de algún individuo, éste será responsable de todas las acciones tomadas con respecto a ella, mientras esté en su poder. Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital serán quienes deben garantizar el cumplimiento de los principios anteriores.

14 de febrero de 2018

3


3. Tipos de Analisis Forense. Los tipos de analisis forense son caracteristicas que poseen las herramientas forenses a la hora de realizar el analisis en los digferentes entornos digitales 3.1. Analisis de Contenido Son tecnicas que poseen cada herramienta especifica para poder ver el contenido que se encuentra en dispositivos electronicos o cualquier medio de almacenamiento. 3.2. Analisis de Autenticidad Consiste en obtener la evidencia digital y poder mantenerla autentica por medio de varias tecnicas de comprobacion de datos, una de ellas es el algoritmo de comprobación que establece la autenticidad por medio de tecnicas como: SHA3, MD5. 3.3. Analisis de Trazabilidad Consiste en establecer mediamnte técnicas forenses, las operaciones efectuadas sobre evidencia digital en estudio sobre la cual están evaluando eventos tales como Borrar, Eliminar, Modificar y tranferir información sensible etc,. Esta técnica aplicada a la Evidencia Digital permite establecer algún delito cometido sobre la informaciomn sensible. Para este tipo de analisis se utilizan las herramientas como: Autopsy. Después de investigar ¿cuáles son los métodos de investigación forense? se dispuso a realizar un Manual para el Manejo de la Evidencia Digital el cual está dirigido aquellas personas no idóneas en la informática, con el propósito de describir las vulnerabilidades que se pueden presentar en sus dispositivos electrónicos, y, ¿cómo se debe actuar si se presenta un caso de robo, fraude, alteración o cualquier otro delito que sea aplicable a la Ley 1273 de 2009 – “Ley de la Protección de la Información y de los datos”. [vii] Algunas prevenciones al denunciante y recomendaciones al momento de suceder el hecho en que sus equipos se vean involucrados en algún de los casos descritos en el Manual para el Manejo de la Evidencia Digital. • ¿Qué delitos se pueden presentar? • ¿Cómo se debe actual en el momento del caso?

4. Manual para el Manejo de la Evidencia Digital. En las fases del proceso de investigación se encontró por los diferentes actores involucrados formularios los cuales: Un primero documento a diligenciar es el “Reporte de Iniciación, el cual es diligenciado por la primera persona en llegar a al lugar de los hechos, enseguida es completado por la policía judicial donde se registra la información obtenida por personas ajenas al hecho, la cual pude ser relevante a lo sucedido como por ejemplo una llamada telefónica anónima. Después de tener una idea más clara de lo sucedido se diligencia el análisis del lugar de los hechos, aquí se registran tanto físicos y lógicos. En el lugar de los hechos se pude encontrar Evidencia física como evidencia lógica que requiere protegerse y preservarse; hace parte de esta evidencia las imágenes fotográficas que se realizan al lugar de los hechos (Señalización y numeración). En el Manual para el Manejo de la Evidencia Digital [viii] se encuentra: 4.1. Actividad Relatar Hechos: En esta sección Específica los diferentes delitos que se puede cometerse en diferentes dispositivos electrónicos (Sistemas de Cómputo, Dispositivos de Almacenamiento, Dispositivos de Mano, Dispositivos Periféricos, Dispositivos Redes de Computo) se hace el enlace a un documento en donde hay una descripción general y específica, posibles pruebas de evidencia digital. A su vez especifica una posible situación o escenario dando un ejemplo ilustrativo como apoyo al caso en referencia. Esto permite al lector una mayor comprensión del hecho ocurrido. Enseguida describen las prevenciones al denunciante que deben tener en cuenta al caso que suceda al hecho y a las recomendaciones a tener en cuenta para conservar la evidencia. Luego ¿Cómo se debe actuar si se presenta el caso? En cada dispositivo, se encontrará con una posible situación o escenario, encontrara un Caso por ejemplo “Robo de Computadores en locales Comerciales” se describe el caso ilustrándola y

14 de febrero de 2018

4


para un apoyo del caso se hace un enlace a un video el cual representa el Caso, para que el usuario final entienda mejor que debe hacer en caso de que se presente, se hacen unas prevenciones al denunciante las cuales menciona como debemos tener en cuenta para que no suceda, las recomendaciones al momento de presentarse el hecho que describen como debemos actual si se presenta el caso en el lugar de los hechos. 4.2. Actividad Identificar Evidencias Digitales: Para todos los dispositivos Los pasos generales para identificar la evidencia digital en los dispositivos electrónicos. Se debe tener en cuenta las actividades descritas para el Manual para el Manejo de la Evidencia Digital estos pasos pueden variar de acuerdo a la tipicidad del caso estableciéndose tareas específicas que permite realizar una efectiva identificación de la evidencia en la escena del crimen 4.2.1. Sistemas de Cómputo Describe dos pasos previos antes de la revisión e identificar de los elementos o dispositivos electrónico. 4.2.2. Dispositivos de Almacenamiento El lenguaje descrito en esta sección es técnico debido a que los métodos empleados son de responsabilidad y cuidado del informático forense o técnico asignado 4.2.3. Dispositivos de Mano Describe el tratamiento de evidencia digital en equipo tales como Celulares, tabletas electrónicas, entre otros, los cuales pueden verse afectados en un Caso. 4.2.4. Dispositivos Periféricos Los dispositivos periféricos son grandes contenedor de evidencias digitales pero la mayoría de las personas los desconocen esto, por ejemplo ¿Cómo extraer evidencia digital de una impresora o un escáner?

4.2.5. Dispositivos Redes de Cómputo. Es importante saber que las grandes organizaciones cuentan con redes privadas que pueden generar un gran valor en cuanto a la información sensible que se genera día a día. Debido a lo anterior los usuarios mal intencionados vulneran los sistemas informáticos y, además, por los descuidos de los usuarios los cuales dejan sus secciones abiertas sin ninguna protección. A parte de los Sistemas de información también es importante verificar la información registrada por los dispositivos que se encuentra conectados a la red, ya que esta pude ser reconstruida y analizada cuando se presenten ataques o rastreos por algún intruso que desea obtener información relevante (Ataques DoS, DDoS[ix], mal uso de los recursos de la organización, comportamientos anómalos). 5. Actividad Recolectar y Embalar Evidencias Digitales Un aspecto muy importante de la recolección y el embalaje en la evidencia digital es la preservación e integridad de las pruebas. Por ello es importante que estas pruebas no se alteren o contamine en el lugar de los hechos. El procedimiento puede cambiar desacuerdo al país donde se estén manejando, pero existen guías básicas que pueden ayudar a la investigación forense. 6. Actividad Analizar y Documentar Evidencias Digitales Esta fase esta orienta al personal técnico o especializado donde una vez se disponga de las Evidencias Digitales recopiladas y almacenadas de forma adecuada se pasa a la actividad del análisis de la evidencia digital cuyo objetivo es de reconstruir los datos borrados o alterados, determinado la trazabilidad de cada hecho presentado, ejemplo: borrado, alteración o copia de datos en el momento de descubrirse el ataque sobre dicho archivo. Este análisis se terminará cuando se conozca ¿Cómo se produjo el ataque? - ¿Quién o quiénes lo llevaron a cabo? - ¿Bajo qué circunstancias se produjeron? - ¿Cuál era el objetivo del ataque? – y ¿Qué daños se causaron?, entre otros.

14 de febrero de 2018

5


7.

Actividad Presentación de las Evidencias Digitales

En esta actividad se presentan toda la información de la evidencia digital obtenida en la actividad de análisis, este reporte debe contener los siguientes aspectos: • •

Resultado de los análisis. ¿Cómo y por qué fueron utilizadas las diferentes herramientas y procedimientos para recolectar y analizar la información?

Lo anterior permitirá la sustentación del trabajo realizado, se debe tener en cuenta en la audiencia de juicio oral la presentación del informe, la técnica empleada para el tratamiento de la evidencia de tal forma que el juez, los fiscales y los abogados entiendan y comprendan del resultado del informe pericial. 8.

Actividad Network Forensics

Para todos los dispositivos Red forense Consiste en supervisar el tráfico de la red y determinar si hay una anomalía en el tráfico y determinar si indica un ataque. Si es así, también se determina la naturaleza del ataque.

En el marco de la operación “Tantalio” se estableció la identificación de varios usuarios activos en grupos de aplicaciones de mensajería instantánea, dedicados al intercambio, divulgación, transmisión y descarga de contenidos de abuso sexual infantil de manera aislada en diferentes países de américa latina (Argentina, Chile, 323+ Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, México, Paraguay y Perú) en Europa (Alemania, España, Italia, Portugal y Reino Unido). 10. Documental delitos informáticos Atrapados en la RED, la caza Policial de los depredadores infantiles. Internet se ha convertido en la herramienta perfecta para los pederastas. Ya no tienen que acudir a parques y piscinas para saciar sus obsesiones, sólo deshacerse de todo el material pornográfico infantil que se encuentra en la red. Mediante técnicas avanzadas de rastreo e investigación de imágenes se ha conseguido detener a miles de pederastas en el mundo y salvar a muchos niños del abuso sistemático al que eran sometidos. [xi] 11. Infografías Ciberseguridad

El tráfico de red es capturado, conservado, analizado y un incidente Respuesta se invoca inmediatamente. Aunque no existe una definición oficial, el término se utiliza comúnmente para describir el Analisis de la información recopilada en las redes activas de diversas detecciones de intrusos. 9.

Casos importantes Informáticos

sobre

Delitos

Colombia Operación TANTALIO[x]. La Policía Nacional de Colombia, el Centro Cibernético Policial en coordinación con la Fiscalía General de la Nación y gracias al efectivo intercambio de información con la Policía de España y las agencias de EUROPOL e INTERPOL, lograron la captura de seis personas en diferentes ciudades de Colombia.

Tomada https://caivirtual.policia.gov.co/ciberseguridad/casosoperativos

de:

14 de febrero de 2018

6


12. Conclusiones 12.1. El Manual para el Manejo de la Evidencia Digital que se elaboró producto de la investigación está enfocada a personas no idóneas con el propósito que realicen una buena utilización y aplicación en caso que se le presente en su lugar de trabajo o en su casa hechos como: robo de información, borrado de la información o pérdida de un elemento electrónico donde hay información sensible. 12.2. Es importante entender lo que puede suceder en una escena de los hechos donde se ven conjugados Evidencias Digitales y Evidencias Físicas, las Evidencias Digitales por su connotación no son vistas las tiene que ver un informático forense o técnico especial por tanto el usuario no idóneo no reconoce ese tipo de evidencias y en el manual esta descrito como darle tratamiento en caso que se presente el hecho y ¿Como ayudarlo a preservarla? 12.3. Tener en cuenta las recomendaciones dadas en el manual, ¿cómo conserva esa Evidencia Digital? y tener claro hasta - ¿dónde va mi responsabilidad como denunciante o damnificado del hecho? y hasta - ¿dónde va la responsabilidad del informático forense? - ¿quién es el que la ayuda a preservar? y - ¿quién es la lleva para que sea analizada este tipo de información? 12.4. Un elemento muy importante con la evidencia digital se hacen análisis de Trazabilidad, análisis de Contenido, Análisis de Autenticidad: a. Análisis de Contenido hace relación a lo que en un dispositivo o medio de almacenamiento ahí, si se preservo igual a lo que es el original b. Análisis Trazabilidad cuando ahí alteración en una información poder saber que se alteró, que se copió ya sea o que se borró. c. Análisis Autenticidad lo que se busca es que la información que se registra o que se tenga un medio de almacenamiento sea autentica a la que estoy dando a conocer al informático forense puede presentarse en una fotografía en un archivo por lo tanto existen herramientas que ayudan apoyar al informático forense para mirar estos tres tipos de análisis.

13. Referencias [i]. Cadena de Custodia en el Análisis Forense. Implementación de un Marco de Gestión de la Evidencia Digital. (5 de septiembre de 2014), ISBN: 978-84-9717-323-0. Recuperado. 15 de enero de 2016, de https://web.ua.es/en/recsi2014/documentos/papers /cadena-de-custodia-en-el-analisis-forenseimplementacion-de-un-marco-de-gestion-de-laevidencia-digital.pdf [ii]. Manual de Procedimientos para Cadena de Custodia. (1 de febrero de 2012), ISBN 958-975428-7. Recuperado. 15 de noviembre de 2015, de https://www.fiscalia.gov.co/colombia/wpcontent/uploads/2012/01/manualcadena2.pdf [ii]. Cano Martínez, J.J. (2010). El peritaje informático y la evidencia digital en Colombia. Recuperado el 20 de Diciembre de 2016 [iii]. Cano José, Jeimy. Evidencia Digital: Conceptos y Retos. Grupo de estudios en Internet, comercio electrónico y telecomunicaciones e Informática. Universidad de Los Andes. Facultad de Derecho. Editorial Legis. Primera Edición. 2005. Bogotá. Pag. 186 [iv]. Cano, Jeimy José. Admisibilidad de la Evidencia Digital: Algunos elementos de revisión y análisis. Revista de Derecho Informático, no. 061. agosto de 2003. http://www.alfa-redi.org/rdiarticulo.shtml?x=1304. tomado el 1 de feb. de 18. [v]. La evidencia Digital. (26 de Mayo de 2011), Carlos Américo Ramos Heredia. Tomado de, https://hipotesisacusatoria.blogia.com/2011/052601-la-evidenciadigital.php [vi]. Informática Forense. (26 de Septiembre de 2016). Recuperado de, www.ecured.cu/Informática_Forense [vii]. Congreso de la Republica de Colombia. (5 de Enero de 2009). Ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “de la protección de la información y de los datos”. Recuperado el 10 de octubre de 2016 de Ministerio de Tecnologías de la Información y las Comunicaciones.: http://www.mintic.gov.co/portal/604/articles3705_documento.pdf

14 de febrero de 2018

7


[viii]. Plataforma de Visualización Digital ISSU. Manual para el Manejo de la Evidencia Digital Manual. Recuperado de, https://issuu.com/cdevproc/docs/manualmanejo ed [ix]. DoS: Capa de Infraestructura. (09 de abril de 2015). David Cantón. Recuperado de, https://www.certsi.es/blog/dos-capainfraestructura [x]. Operación TANTALIO. (20 de abril de 2017). Internet no hay nada anónimo. Recuperado de, https://www.policia.gov.co/noticia/en-internet-nohay-nada-ónimo. [xi]. Atrapados en la Red la caza policial de los depredadores infantiles (2012) [Película] https://www.youtube.com/watch?v=t75Zrhhe5a0

14 de febrero de 2018

8


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.