18 abr 2012

Un Forense llevado a juicio (II de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


La importancia de las evidencias

Uno de los aspectos fundamentales a la hora de afrontar un forense, constituye la necesidad de contar con unas evidencias válidas. Todas las evidencias son inicialmente válidas pero una mala práctica puede llegar a invalidarlas. Hay que tener presente en todo el procedimiento: el perito debe gozar y establecer de base el principio de independencia.

Aunque la información que proporciona el afectado es vital, hay que saber que a veces nos condiciona a ver las cosas de una manera y podemos perder esa visión esencial para hacer bien las cosas. Como técnicos que somos el primer impulso ante un comentario suele ser querer ver lo que pasa, pero eso implica tocar el equipo sin haber llevado a cabo las acciones oportunas.

Supongamos un equipo del cual se sospecha que se haya realizado una acción perniciosa, este se encuentra encendido y con evidencias interesantes que pudiera tener almacenadas. Desconocemos si las tiene o no, y quizás el primer impulso es verificarlo, pero esto constituiría el primer error. La opción más lógica es asumir que las evidencias están ahí (aunque pudiera ser posible que no) y tratarlo como un sistema con información importante y sensible para el caso. Tocar de antemano puede implicar que en caso de juicio alguien podría alegar que pudiéramos haber manipulado las evidencias (no hay que perder de vista que este argumento lo podemos usar también en un contrapericial) para favorecer o incriminar a alguien.

Y si no podemos tocar el equipo ¿qué hacemos? A día de hoy no hay nada reglado en este sentido, pero existen una serie de normas no escritas que son las aplicadas habitualmente. Si el equipo está encendido es buena opción sacar una fotografía de la pantalla y apagarlo. Puesto que pudiera haber información importante relativa a ficheros temporales o en el caso de sistemas Windows fichero de paginación, podríamos optar por apagar el equipo por vía rápida: eliminar el suministro de energía. La pérdida más importante la constituye la información de conectividad de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo de escenario al que nos enfrentamos. Si esa información resulta vital, sería imprescindible contar con testigos que pudieran refrendar las acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna acción enfocada a manipular datos, solo extraerlos (no obstante habrá que tener previsto respuesta en el juicio para una defensa de las acciones hechas).

El tema de los testigos es algo que no solo en caso de llegar a tocar el equipo se debe realizar sino en todo un proceso que pueda se comprometido. Muchas organizaciones cuentan entre sus procedimientos (formulados a través de usos de medios o bien de protocolos de seguridad internos). Para estos casos suele requerirse que todo el proceso sea llevada a cabo con la presencia de una persona del comité y el afectado, o dos personas de departamentos independientes, … Estos procedimientos ofrecen la seguridad (sobre todo de cara al juicio) de que hay unas acciones  y unos testigos que así lo afirmen. De hecho se trata de forma muy análoga estos procesos al hecho de la apertura de una taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores.

Aunque con una orientación diferente sirva como ejemplo una sentencia de noviembre de 2000 de la Sala de lo Social en Málaga del Tribunal Superior de Justicia de Andalucía, en la que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le intervino y copió todos sus correos y ficheros personales, aún en presencia del comité de empresa. La sentencia se inclina por el criterio empresarial, (a pesar de que la sentencia en cuestión da la razón al trabajador, pero solo por el hecho de que no se justificó el registro como obliga el artículo 18). La resolución afirma, aún implícitamente, que el artículo 18 del Estatuto de los Trabajadores autoriza el registro en la terminal de ordenador que utiliza el trabajador. A todos los efectos un equipo se asimila a la taquilla, basándose en que el ordenador es un instrumento de trabajo propiedad de la empresa. Por lo tanto no deberá ser utilizado con otros fines diferentes que la realización de la propia actividad laboral.

No obstante nunca hay que olvidar que en el caso de un juicio la palabra y la interpretación última la tiene el juez y ahí la cosa no siempre está tan clara.

Teniendo esto presente es hora de adquirir las evidencias, ¿Cuál es el procedimiento adecuado? Como muchas otras veces, no hay un único procedimiento, ni unas herramientas “validadas”. Nuevamente hay que tener presente que en España (y en muchos países de la Unión Europea) no hay una legislación para el análisis forense, por lo tanto no puede indicarse que tal proceso es el bueno y qué herramientas han sido validadas y cuáles no. Básicamente hay que plantearse los siguientes elementos

  • ¿Cuál es el escenario en el que nos encontramos?
  • ¿Qué quiere analizarse: un fichero, un directorio, un disco o todo un sistema?
  • Todo proceso llevará su tiempo, ¿de cuánto dispongo para hacer la adquisición?
  • ¿Dónde se almacenarán las evidencias?
  • ¿Cuántas copias deben realizarse?

Normalmente los escenarios, requieren la copia de uno o más discos duros (bien por la importancia del sistema operativo, o por saber de la existencia de ficheros pero no conocer dónde se ubican).  Con lo cual, habitualmente tendremos presente esa circunstancia. Esto no puede tomarse a la ligera (copiar todo lo existente) puesto que el tiempo invertido será alto y el coste en recursos también. Este proceso de copiado de un disco (o de determinados ficheros) no puede hacerse de cualquier manera, hay que garantizar:

  • Que las copias deben ser idénticas (bit a bit) y sin ninguna alteración del origen.
  • Deberá copiarse también el supuesto espacio libre. Muchas veces aparece allí información interesante, sobre todo en circunstancia de uso de herramientas antiforense.
  • Deberá aplicarse una función hash que garantice que el origen y el destino es idéntico.

Esto último es vital porque garantiza que las conclusiones a las que se lleguen de las evidencias adquiridas, parten de un disco (o ficheros) idéntico al original y por lo tanto no ha habido una manipulación del mismo tras la copia. Con respecto a esto, el planteamiento inicial consiste en determinar cuántas copias deberían realizarse. Yo suelo recomendar dos, además de mantener el original. Una copia para el analista forense, una copia para la empresa o el afectado y el original que deberá salvaguardarse, bien presentándose junto a la denuncia,  salvaguarda por un notario o puesto a buen recaudo teniendo en cuenta su importancia de cara a un juicio.

El hash garantizará que el disco no ha sido manipulado y por lo tanto las pruebas reproducibles si llegara el caso por un contrapericial. Las herramientas enfocadas a este tipo de procedimientos utilizan habitualmente la función dd para el copiado. Bien clonando el disco o generando un único fichero de imagen que pueda ser tratado directamente por las herramientas forenses.

Existe para ello elementos hardware que permiten realizar estos procesos de forma cómoda, precisa y con altas garantías. Aunque no es la solución más económica si es la que ofrece mayor profesionalidad y seguridad para un analista forense. Hay que tener presente no obstante que la diversidad de tipos de discos existentes en el mercado y su evolución, podría llegar a suponer que un determinado hardware pudiera no ser válido en un proceso de copiado al no disponer de los accesorios adecuado para copiar un tipo de disco específico. Existen conversores no obstante que facilitarán la labor. A modo de ejemplo pongo a continuación algunos enlaces que pueden servir de orientación sobre dispositivos existentes en el mercado.

La semana que viene abordaremos los procedimientos que aunque siendo más modestos, nos permitirán hacer copiados de disco a través de soluciones Software que serán también válidas.

Juan Luis García Rambla

8 comentarios:

  1. [...] Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a juicio (IX de X) Un Forense llevado a juicio (X de X) [...]

    ResponderEliminar
  2. Genial, sin palabras, ansioso del resto de los capitulos, saludos

    ResponderEliminar
  3. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar
  4. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar
  5. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar
  6. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar
  7. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar
  8. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a [...]

    ResponderEliminar