Informatica forense – Metodo de las 6Rs
El método de las 6Rs se implementa por mi persona, debido a la complejidad en la investigación de los delitos electrónicos mediante un trabajo de análisis pericial. Esta complejidad está dada por la participación de profesionales multidisciplinarios: abogados, ingenieros, policías, jueces, etc. Los cuales presentan una des uniformidad acentuada en temas de Tecnologías de Información.
Se considera que la complejidad técnica es sólo una parte por cuanto el objetivo de la misma investigación criminal no está dado por la determinación del modus operandi y el autor, sino por lograr el resarcimiento de los daños sufridos y la sanción de los autores.
Para el análisis pericial se toma como premisa el establecimiento de la relación inequívoca de los 3 elementos fundamentales del delito, el hecho o el crimen: atacante, victima y escena del hecho.
Figura 1: Triángulo del Hecho
Esta relación se establece mediante las evidencias y pruebas electrónicas además de las tradicionales como testificales, documentales, etc.
El marco legal relacionado establece:
NCPP: Artículo 76º.- (Víctima). Se considera víctima:
- A las personas directamente ofendidas por el delito;
- Al cónyuge o conviviente, a los parientes dentro del cuarto grado de consanguinidad o segundo de afinidad, al hijo o padre adoptivo y al heredero testamentario, en los delitos cuyo resultado sea la muerte del ofendido;
- A las personas jurídicas en los delitos que les afecten; y,
- A las fundaciones y asociaciones legalmente constituidas, en aquellos delitos que afecten intereses colectivos o difusos, siempre que el objeto de la fundación o asociación se vincule directamente con estos intereses.
NCPP Artículo 83º.- (Identificación). El imputado, desde el primer acto del proceso, será identificado por su nombre, datos personales y señas particulares. Si se abstiene de proporcionar esos datos o los proporciona de manera falsa, se procederá a su identificación por testigos, fotografías, identificación dactiloscópica u otros medios lícitos.
La duda sobre los datos obtenidos no alterará el curso del proceso y los errores podrán ser corregidos en cualquier oportunidad, aun durante la ejecución penal.
Figura 2: Medios de Prueba
Debemos entender que las empresas buscaran aplicar la teoría de riesgos donde una buena gestión permitirá minimizar el impacto y la probabilidad de ocurrencia futura, pero particular y específicamente minimizar el impacto mediante el resarcimiento de daños sufridos.
Entendamos que el impacto en un primer nivel puede ser diferente: de imagen, operativo, normativo, legal u otros, pero al final sea en el corto o largo plazo se traducirá en un impacto económico financiero.
Para la fase de análisis pericial se aplican todos los conceptos y principios de la Informática Forense[1].
Las fases que se plantean en el presente método son:
- R1 – RECONOCIMIENTO ESTRATEGICO
- R2 – REQUISITOS TECNICOS
- R3 – RELEVAMIENTO DE FUENTES
- R4 – RECUPERACION DE EVIDENCIAS
- R5 – RECONSTRUCCION DEL HECHO
- R6 – RESULTADOS DEL TRABAJO
Figura 3: Etapas del método 6Rs
Analicemos cada etapa en el contexto de los dos únicos artículos actuales que tenemos relacionados a los delitos informáticos:
Art. 363 bis MANIPULACIÓN INFORMÁTICA: El que con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de 3ro. Sanción: Reclusión 1- 5 años y Multa 60-200 días.
El que – En este primer artículo es importante establecer la relación inequívoca entre un usuario de sistema informático y una persona física.
Con la intención de obtener un beneficio para si o un tercero – Debemos demostrar la intención en los hechos ocurridos. Por ejemplo la alteración de un proceso por la infección de un sistema crearía una duda en la intencionalidad.
Manipule un procesamiento o transferencia de datos informáticos – Debemos describir mínimamente como hubiera sido el proceso correcto y como ha sido el proceso incorrecto.
Ocasionando de esta manera una transferencia patrimonial – Se debe demostrar el beneficio o perjuicio. Este punto nos lleva a trabajar en conjunto con un perito contable.
Art. 363 ter ALTERACIÓN, ACCESO Y USO INDEBIDO DE DATOS INFORMÁTICOS: El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice, datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información. Sanción: Prestación de Trabajo hasta 1 año o Multa hasta 200 días.
El análisis es similar al punto anterior. Se debe identificar un autor, el daño a la víctima y el entorno informático o escena virtual.
R1 – RECONOCIMIENTO |
Esta etapa tiene la premisa “reacción neuronal vs reacción hormonal”. Se entiende que ante la detección de un hecho delictivo o alguna conducta contraria a lo establecido, muchas veces sentimos el impulso de castigar al responsable. En este punto el objetivo es analizar si podemos hacerlo o si existe el marco normativo, legal para iniciar un proceso de investigación criminal. Cuando se hace la etapa de reconocimiento, se debe evaluar la pericia forense de una manera similar a los proyectos, correspondiendo la etapa al análisis de pre-factibilidad donde de una manera general se determina si existe o no el delito y si este puede ser investigado, juzgado, probado y castigado.
La etapa de reconocimiento es una etapa de auto evaluación, muy similar a un análisis de pre factibilidad en los proyectos.
En los delitos informáticos, debemos analizar que estos son de carácter público, y más que investigar podemos acabar siendo investigados por los mismos clientes.
Artículo 116º. (Publicidad). (Código de procedimiento penal)
Los actos del proceso serán públicos. En el marco de las responsabilidades establecidas por la Ley de Imprenta, las informaciones periodísticas sobre un proceso penal se abstendrán de presentar al imputado como culpable, en tanto no recaiga sobre él, una sentencia condenatoria ejecutoriada. El juez de instrucción o el juez o tribunal de sentencia podrá ordenar mediante resolución fundamentada, que algunos actos del proceso se realicen en forma reservada, total o parcialmente, cuando:
- Se afecte el pudor o la vida privada de alguna de las partes o de otra persona citada;
2. Corra riesgo la integridad física de los jueces, de alguna de las partes, o de alguna persona citada;
3. Peligre un secreto oficial, particular, comercial o industrial previsto legalmente; y,
4. El imputado o la víctima sea menor de dieciocho años.
La autoridad judicial podrá imponer a los intervinientes el deber de mantener en reserva los hechos que presenciaron o conocieron. Cuando la reserva sea declarada durante el juicio, la publicidad será restablecida una vez que haya desaparecido el motivo de la reserva.
Entendamos que estos delitos se ventilaran como documentación de acceso libre y generalmente los delitos de mas impacto son cometidos por personas que conocen la organización, ex funcionarios o funcionarios que haciendo un abuso de sus privilegios, cometen ciertas irregularidades. Entonces los acusados, conocen las debilidades de la empresa y sabrán aprovecharlas en perjuicio de la imagen institucional, aunque no guarden directa relación con los hechos investigados. Una estrategia de querellado es precisamente distraer la atención sobre otros hechos y tratar de salpicar bajo la duda a la mayor cantidad de personas.
Con la apreciación anterior no se pretende desanimar la investigación de delitos, sino partir con una actitud preventiva y aprovechar este manual no cuando el delito se ha cometido, sino antes, para tener una organización con todos los elementos de seguridad informática que le permitan enfrentar una investigación abierta sin ningún temor. Precisamente en este punto ocurre lo contrario a lo esperado. Somos tan escépticos que pensamos que nunca nos ocurrirá algo y cuando se da, nos toman sin las medidas necesarias.
En resumen la etapa del reconocimiento pretende colocar en una balanza los pros y contras de una investigación, evaluar de una manera neuronal antes que hormonal para decidir si vamos adelante con la denuncia e investigación de un caso. Por supuesto que se debe evaluar también las situaciones donde se debe denunciar un hecho sin importar el resultado, por ejemplo en entidades públicas regidas bajo la ley 1178 o SAFCO. O en casos de bienes asegurados.
Este punto de reconocimiento tendrá resultado diferente en casos de entidades públicas y empresa privada. En la segunda muchas veces se desiste de toda acción por la complejidad de su investigación y se decide colocar el caso a la mochila de las “Experiencias”, nombre que muchas veces le damos a nuestros errores.
Tomemos en cuenta que la investigación debe llegar a establecer la relación inequívoca entre los elementos del triángulo del crimen: atacante, victima y escena. Considerando que en delitos informáticos se crea la dupla victima física y victima virtual, atacante físico y atacante virtual y finalmente escena física y escena virtual, entonces eso nos lleva a tener que determinar la relación doble de estos elementos mencionados.
1.1 EL MARCO LEGAL – PLAZOS DEL PROCESO
Otro factor importante tiene que ver con los plazos y tiempos que por ley están establecidos:
Proceso administrativo:
- Incidente / Infracción
- Conformación de Tribunal
- Informe
- Apertura de sumario
- Presentación de pruebas
- Pliego de cargo
Etapa preparatoria (Art. 277 cpp)
- Actos Iníciales:
- Denuncia (Art. 284 cpp)
- Querella (Art. 290 cpp)
- Diligencia preliminar FELCC (Art. 293 cpp)
- 8 hrs. Informe fiscalía
- Investigación preliminar (Art. 300 cpp)
- 5 días Remitir fiscalía antecedentes y objetos secuestrados.
- Imputación Formal (Art. 303 cpp)
- Duración: 6 meses (Art. cpp)
- Audiencia conclusiva (Art. 325 cpp)
Consideremos el entorno legal en el campo penal relacionado:
- Testifical (Art. 193 – 203, 350, 351 cpp)
- Pericial (Art. 204 – 215, 349 cpp)
- Documental (Art. 216 – 217 cpp)
- Informes (Art. 218 cpp)
- Careo (Art. 220 cpp)
- Inspección ocular (Art. 179 cpp)
- Reconstrucción de los hechos (Art. 179 cpp)
- Requisa (Art. 175 y 176 cpp)
- Secuestro (Art. 184, 186 cpp)
- Registro del lugar del hecho (Art. 174 cpp)
- Allanamiento (Art. 180, 182 y 183 cpp)
De igual manera y en función del sector de la empresa afectada se debe considerar diferentes disposiciones legales relacionadas:
- Ley 1449 sobre el Ejercicio Profesional de la Ingeniería.
- Ley 1322 de Propiedad Intelectual.
- S. 24582, Reglamento de soporte lógico.
- S. N° 27329, Decreto sobre la transparencia y acceso a la información gubernamental.
- Ley 1834 de mercado de valores 56 permite la desmaterialización de los títulos valores.
- Ley 1836 del tribunal constitucional Art. 29 admite demandas y recursos por fax.
- Ley 2297 modifica la ley de bancos 1498 Art. 6 aprueba el uso de la firma electrónica y su valor probatorio en el sector financiero.
- Ley 2341 de procedimiento administrativo Art. 87 admite las notificaciones electrónicas.
- Ley 2410 Constitución Política del Estado, introduce el recurso de habeas data para la protección de los datos personales. Art. 7 y 23
- Ley 2492 Código Tributario Art. 77 admite como medios de prueba los informáticos, Art. 79 incorpora los medios tecnológicos, aprueba las notificaciones electrónicas.
- S. 27241 del reglamento a los procedimientos administrativos, admite como medios de prueba los documentos electrónicos.
- Resolución de directorio BCB N° 086/2004 aprueba el Reglamento de Firma Digital.
- S. 27310 de reglamento del código tributario, reconoce medios e instrumentos tecnológicos y permite notificaciones por medios electrónicos.
El orden será dado por la Pirámide Kelseniana[2]. Tomando en cuenta que este instrumento no es necesariamente legal sino más bien conceptual y metodológico.
Figura 4: Pirámide Kelseniana
En el campo internacional debemos considerar que muchos países ya reconocen nuevas formas de delitos informáticos. Será importante ver si existe la relación o posibilidad legal para tipificar conductas como delitos. Entre otras formas de delito informático tenemos:
Figura 5: Algunas conductas “criminales” del ciberespacio
1.2. DELITOS INFORMATICOS COMUNES
- MANIPULACION INFORMATICA
Robos, hurtos, desfalcos, estafas o fraudes cometidos mediante manipulación de los datos de entrada.
- VIRUS INFORMATICOS
Programas generalmente destructivos, con la capacidad de ocultarse, auto reproducirse con múltiples copias y capacidad de propagarse en la Red o por Internet.
- FRAUDES INFORMATICOS
Falsificaciones informáticas que utilizan dispositivos de informática, para producir copias no autorizadas de originales sin autorización del propietario.
- SABOTAJE FÍSICO / LÓGICO
(Daños o modificaciones de programas) Daño leve, mediano o mayor a los dispositivos y unidades lógicas de un sistema informático.
- SUPLANTACION INFORMATICA
Falsificaciones informáticas, donde se colocan puntos intermedios disfrazados para burlar controles. Apropiación de Identidades Electrónicas para obtener beneficios personales.
- INTERCEPTACION DE LÍNEAS
Pinchado de líneas, interceptación lógica o física de las líneas de telecomunicación y redes para analizar el tráfico y filtrar datos.
- MODELAMIENTO DE DELITOS
Utilizar equipos para simular delitos, copiando sistemas e instalaciones para planificar futuros actos ilícitos.
- INGENIERÍA REVERSA
Proceso inverso al armado de programas, transformándolos a código máquina para obtener, vulnerar o romper los códigos, controles de seguridad y protección.
- ACCESOS SECRETOS ILÍCITOS
Superaccesos programados como vías cortas con cuentas de programador. Eestableciendo rutinas de facilidad en la administración y puertas secretas.
- PLAGIO Y PIRATERÍA
Violación de los Derechos de Propiedad Intelectual en Sw, textos, imágenes y demás contenidos propietarios.
- INVASIÓN A LA PRIVACIDAD
Acceso no autorizado a datos personales y su utilización para fines ajenos a los del propietario.
- TERRORISMO INFORMÁTICO
Acción orientada a causar temor o daño utilizando los medios informáticos, dañándolos, alterándolos o utilizándolos para fines no especificados en su creación.
- PORNOGRAFÍA INFANTIL EN INTERNET
Corrupción de menores.
- SPAM
Correo comercial no solicitado
- PHISHING
Suplantación de Páginas web
Una vez analizados los aspectos internos y externos con los temas y plazos legales, debemos sentarnos con la alta dirección para definir si es factible y real iniciar un proceso de investigación. Consideremos que una estrategia de litigio es precisamente el juego de escaramuzas o agotamiento del enemigo. Ya escribió Sun Tzu que si la campaña dura mucho, la moral de la tropa decae y lo mismo puede ocurrir con el equipo designado para el proceso.
EL EQUIPO PERICIAL:
Figura 6: Actuación de peritos
Para la conformación del equipo pericial tomemos en cuenta lo siguiente:
El delito informático de acuerdo a nuestra ley Art. 363 bis y 363 ter, debe producir daño o beneficio económico o transferencia patrimonial. El perito informático dirá sobre los aspectos técnicos, sin embargo no podrá concluir sobre el daño o beneficio económico. No solo se debe tomar en cuenta delitos donde las cosas son obvias sino pensemos en aspectos donde el daño no es tan visible y pueden darse figuras como el lucro cesante[3] o daño emergente. Para interpretar el daño emergente de la acción informática es importante considerar la figura de un perito contable o financiero quien en base de los datos e información validada por el perito informático podrá decir sobre la cuantía del daño.
Para definir la selección del perito se debe tomar en cuenta primero el ordenamiento legal:
NCPP Artículo 204º.- (Pericia). Se ordenará una pericia cuando para descubrir o valorar un elemento de prueba sean necesarios conocimientos especializados en alguna ciencia, arte o técnica.
Sin embargo dada la naturaleza del proceso o investigación y su semejanza con juegos estratégicos o ajedrez se debe tomar en cuenta lo que normalmente se conoce como “el pedigrí del perito” o en otros términos la solvencia profesional que precede al profesional que prestara juramento.
NCPP Artículo 205º.- (Peritos). Serán designados peritos quienes, según reglamentación estatal, acrediten idoneidad en la materia. Si la ciencia, técnica o arte no está reglamentada o si no es posible contar con un perito en el lugar del proceso, se designará a una persona de idoneidad manifiesta. Las reglas de este Título regirán para los traductores e intérpretes.
En Bolivia no tenemos definido los criterios para seleccionar un perito informático sin embargo se practica aplicar los siguientes:
- Profesional de licenciatura o ingeniería de sistemas.
- Colegiado en la Sociedad de Ingenieros o Colegios de Informáticos legalmente reconocidos.
- Especializado en temas de seguridad por cuanto es lo más cercano a los trabajos periciales como formación reconocida. Sin embargo desde el año 2006 se ha instaurado en Bolivia el programa de entrenamiento profesional FCA – Forensic Computer Advisor que pretende establecer la formación básica para esta actividad. Los detalles pueden ser consultados en yanapti.com/fca
- Trayectoria profesional mínima de 5 años.
Dada la conformación de equipos en las partes querellante y querellado, se debe tomar en cuenta la figura del consultor técnico.
Las atribuciones de este último están definidas legalmente en el Art. 207 c.p.p.:
Artículo 207º.- (Consultores Técnicos). El juez o tribunal, según las reglas aplicables a los peritos, podrá autorizar la intervención en el proceso de los consultores técnicos propuestos por las partes.El consultor técnico podrá presenciar la pericia y hacer observaciones durante su transcurso, sin emitir dictamen. En las audiencias podrán asesorar a las partes en los actos propios de su función, interrogar directamente a los peritos, traductores o intérpretes y concluir sobre la prueba pericial, siempre bajo la dirección de la parte a la que asisten. La Fiscalía nombrará a sus consultores técnicos directamente, sin necesidad de autorización judicial.
Finalmente el equipo deberá contar con abogados especializados tanto en el campo penal como ahora se estila, en el campo del “DERECHO INFORMATICO PENAL”. Consideremos que como toda área de conocimiento el Derecho tiene sus especialidades y existen abogados con líneas definidas, lo mismo está ocurriendo en el campo del Derecho informático que llega a ser una especialidad transversal a las otras áreas del campo de la abogacía.
Por naturaleza humana, se rehúye lo desconocido, eso está ocurriendo con las Gerencias, con los jueces, policías y fiscales quienes en su limitación de conocimiento para encarar un delito informático tienden a rechazarlo o tratar de convertirlo en un delito común. Sin embargo esto se hace cada vez más difícil por cuanto existen delitos que nunca llegan a tener partes físicas, salvo el computador o medio electrónico desde donde se comete.
Es importante que el equipo este conformado desde el principio. Por estrategia es mejor comenzar con un equipo sólido frente a la opción de ir reforzándolo a medida que el tiempo avanza. No olvidemos “la moral se debilita y la tropa se agota”.
Cuando esta etapa ha sido evaluada como positiva, es decir las evidencias poseen adecuadas condiciones técnicas se debería proceder recién al procedimiento y acreditación como Perito bajo las formalidades que exige nuestra ley.
NCPP Artículo 209.- (Designación y alcances). Las partes podrán proponer peritos, quienes serán designados por el fiscal durante la etapa preparatoria, siempre que no se trate de un anticipo jurisdiccional de prueba, o por el juez o tribunal en cualquier etapa del proceso. El número de peritos será determinado según la complejidad de las cuestiones por valorarse. El fiscal, juez o tribunal fijarán con precisión los temas de la pericia y el plazo para la presentación de los dictámenes. Las partes podrán proponer u objetar los temas de la pericia.”
1.3. PUNTOS PERICIALES
Respecto a los puntos periciales cabe resaltar que estos deben definir acción a realizar, generalmente esto se expresa con verbos en infinitivo. Por ejemplo: “Establecer la relación entre el objeto y el atacante”.
El punto pericial no debe expresar el medio mediante el cual el perito llegara a cumplir el mandato, por ejemplo. “Mediante el análisis temporal, establecer la relación entre el objeto y el atacante”.
El perito juzgará el medio o herramienta para establecer la relación que podría comprender el análisis temporal además de otros instrumentos. En este caso si el juez ha planteado un punto pericial erróneo al no tener dominio sobre el tema, el perito deberá representar por la vía correspondiente su objeción fundamentada.
1.4. ACTA DE POSESIÓN
Es importante el acta de juramento previo caso contrario podemos invalidar nuestro trabajo:
Figura 7: Modelo de Acta de Posesión de Perito.
NCPP Artículo 212º.- (Ejecución). El juez o tribunal, resolverá todas las cuestiones que se planteen durante las operaciones periciales y brindará el auxilio judicial necesario.
Si existen varios peritos, siempre que sea posible, practicarán juntos el examen. Las partes y sus consultores técnicos podrán asistir a la pericia y pedir las aclaraciones pertinentes, debiendo retirarse cuando los peritos comiencen la deliberación. El fiscal, juez o tribunal ordenará la sustitución del perito que no concurra a realizar las operaciones periciales dentro del plazo fijado o desempeñe negligentemente sus funciones. El perito deberá guardar reserva de todo cuanto conozca con motivo de su actuación.
[1] Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
[2] Teoría expuesta por el jurista Hans Kelsen que se refiere a la jerarquía de las leyes en donde se representa la supremacía de una sobre otra en un esquema de una pirámide.
[3] El lucro cesante es una forma de daño patrimonial que consiste en la pérdida de una ganancia legítima o de una utilidad económica por parte de la víctima o sus familiares como consecuencia del daño, y que ésta se habría producido si el evento dañoso no se hubiera verificado. Es, por tanto, lo que se ha dejado de ganar y que se habría ganado de no haber sucedido un daño. El lucro cesante ocurre cuando hay una pérdida de una perspectiva cierta de beneficio. Por ejemplo, el comerciante cuya mercancía ha sido destruida puede reclamar el precio de la misma, así como el beneficio que hubiera obtenido. Si bien se admite generalmente la indemnización por lucro cesante, la jurisprudencia suele exigir una carga probatoria mucho mayor, y son mucho más cautelosos a la hora de concederla. Fuente: Wikipedia