11 abr 2012

Un Forense llevado a juicio (I de X)





La realización de un análisis forense plantea de inicio un dilema esencial para que este pueda llegar a buen puerto, ¿las conclusiones tendrán cómo resultado que se llegue o no a un juicio?
Esta cuestión para todos los que somos técnicos, no parece tener mucha importancia... hasta el momento que entras en la sala donde se celebra el juicio en el que eres perito. Allí te puedes enfrentar a las preguntas más retorcidas que puedas esperar y para las que seguramente no estabas preparado. Es en ese momento cuando te das cuenta de la importancia de haber hecho bien las cosas y de qué con una sola pregunta malintencionada y una mala respuesta (por muy bienintencionada que sea) puede llegar a desbaratarse el mejor de los periciales que pudiera haberse realizado. Cuando aprendes a que si no has hecho bien las cosas de principio lo que opinabas que correspondería a un gran aplauso final, acaba en la frustración de que estaba “casi” todo bien y un por lo menos lo intentamos.
Enfrentarse a un caso forense es anticipar de primeras la posibilidad existente de llegar a juicio. A menudo y en función del escenario es posible que ese hecho no se plantee inicialmente, pero tal y como se desencadenen los acontecimientos pudiera ser que acabara de una forma diferente a como originalmente se esperaba. Supongamos un caso de malware en una empresa donde un ordenador de un directivo estuviera haciendo “cosas raras”. El objetivo  inicial por parte de la empresa, sería conocer qué está pasando, por qué su antivirus no lo habría detectado y qué podrían hacer para saber si está en otros ordenadores. Sin embargo en el transcurso del forense no solo se detecta al elemento malicioso, sino la actividad malsana que está realizando. Esto podría derivar en llegar a detectar a quién lo ha colocado allí y en conocer la información que se obtiene del directivo. Suponiendo que el actor (denominación judicial, para ir entrando en materia) fuera de la empresa y su objetivo un tanto “torticero”, la empresa ¿no querría llevarlo a juicio?
Muchas veces en casos forenses sabemos como empezamos, pero no como acabamos. Con lo cuál a riesgo de ser pesado, es mejor asegurarse por parte del interesado si su objetivo es llevar o no el caso a los juzgados. En muchas ocasiones los interesados, dirán que no es el objetivo. Sin embargo no son conscientes de la circunstancia y de cómo puede acabar el caso (recordemos la casuística anterior). Es mejor de antemano platearles la situación real e indicar  que existe el riesgo de que determinados procedimientos pueden conllevar que la recogida o análisis de una forma pudieran ser válidas y en otras no tanto. Siempre hablo de posibilidad puesto que en un juicio la decisión final se dirime en un habitación y en ocasiones solo la habilidad y/o experiencia de unos y otros hacen que la balanza se incline hacia un lado u otro (ya hablaremos de ello más adelante).
Y es que desgraciadamente determinados procedimientos, para que estén bien hechos requieren de un tiempo. Y es que no nos engañemos, al final todo es cuestión de dinero, puesto que tiempo se traduce en eso. En ocasiones una organización evaluará si le sale más rentable realizar el pericial u olvidarse del tema. Los procesos que pueden acabar en juicio deben ser realizados más pulcramente para que las conclusiones, partiendo de las evidencias, sean válidas, creíbles y quizás lo más importante “rotundas”.
En muchas ocasiones tendemos a seguir procedimientos, que siendo reglados (y eso está muy bien) resultan imprecisos en determinadas circunstancias. Por ejemplo en los procedimientos de adquisición de evidencias nos encontramos con la RFC 3227. A día de hoy en muchas circunstancias de procesos que pueden llegar a juicio, en España, aplicarla escrupulosamente es una verdadera locura. ¿Por qué?
Fundamentalmente porque rompe el principio de “antes de tocar, prevalece el recoger”. Nunca debe alterarse el escenario, sino quieres que aparezca manchado o lo que es peor, con tus dedazos en él. Establece entre otras cosas la recogida de información en función de su volatilidad. Habla de recoger la información de la memoria, de las tablas de enrutamiento, de la cache, etc. Esto está muy bien, ¿pero cómo recoger esa información, sin alterar el escenario? …
En determinados países donde quizás estén más avanzados judicialmente en procedimientos forenses informáticos, tienen hasta leyes y regulaciones para ello, esta RFC pueda tener su validez. Sin embargo en muchos países como España, es más importante el “cuando yo llegué, esto ya estaba así”. No sea que acabes pringado y acusado de malversar pruebas para incriminar a alguien. Y es que, aunque a los peritos se les estime la virtud de la independencia, cuando hay dinero por medio, quizás se diluye esa esencia.
Claro está que si después de asegurarnos bien, que independientemente de como se desarrolle el caso, este no acabará en un juicio, los procedimientos, herramientas y resultados no tendrán ni la exigencia ni la pulcritud que demandaría de la otra forma.
A través de un ciclo de post se irán revelando esas claves. La importancia de anticipar las cosas, de saber lo que se trae uno entre manos, de conocer las herramientas y sobre todo de la dichosa experiencia.

No hay comentarios:

Publicar un comentario