Capítulo 8 – Captura de Evidencias
Capítulo 8 de 12
Captura de Evidencias
La cara que pone todo el mundo cuando les digo a qué me dedico no es ni de sorpresa ni de interés, sino de desconocimiento absoluto en unos casos o completa neutralidad en otros ¿Forense qué? ¿Investigación digital de qué? La informática forense choca mucho en todos los ámbitos. No suele caber en la cabeza las connotaciones del término “forense” (sangre, muestras de fluidos, ADN, etc.) combinadas con destripar un ordenador (cables, discos duros, memoria RAM, etc.). Se entiende, pues, mucho mejor este trabajo, si se denomina como peritaje informático.
En el entorno militar del que provengo se corresponde principalmente con la contrainteligencia digital. En el mundo policial, es más intuitivo deducir que se emplea para la recopilación de pruebas (llamadas evidencias digitales), que tras un posterior análisis, sirven para esclarecer o reconstruir los hechos acontecidos y presentar un informe con el fin de que los culpables sean puestos a disposición judicial. En el ámbito civil, equivaldría a una auditoría o investigación interna para esclarecer responsabilidades durante un litigio de carácter empresarial. Todas ellas implican tres modalidades distintas de análisis: funcional, temporal y relacional; que no siempre están presentes en cada investigación en la misma proporción (Casey, 2010). El análisis funcional digamos que es mucho más técnico que los otros dos, pues implica un conocimiento absoluto del software y el hardware que interviene en la investigación, tanto el utilizado por los criminales como el de la víctima, así como los efectos de la interacción del software empleado para la extracción de evidencias. Esto último ha sonado muy complejo, pero se entiende muy bien con un par de ejemplos para ilustrar el Principio de Intercambio de Locard (“siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”—Wikipedia, 2012—).
Algunas veces, pocas, en la serie CSI, vemos cómo los “expertos” agentes cogen las evidencias por un extremo, digamos un cuchillo, sin guantes, lo cual supondría directamente una contaminación de la evidencia. En otras ocasiones, muchas, sí que usan los guantes. Cosa que está muy bien, para no contaminar la escena del crimen y esa evidencia en particular, que para este ejemplo quiero que supongas que es una pistola. Coger esa pistola tal como hacen en la serie algunas veces, es decir, como si la empuñaran, es un “poco” (entiéndase bastante) negligente, porque aunque acepto que no contaminan la evidencia con sus huellas propias, sí podrían estar emborronando o eliminando huellas impresas en el arma del último que la empuñó (haz la prueba en la pantalla de tu smartphone o tablet, donde se ven perfectamente las huellas digitales mirando en el ángulo adecuado). Tanto en el ejemplo del cuchillo como en el de la pistola se ha alterado la evidencia al manipularla. En el mundo informático sucede exactamente igual si no se mantienen las precauciones adecuadas. Incluso, existe un determinado tipo de evidencias que sólo pueden tomarse alterando o interactuando con el equipo que las contiene, porque son volátiles, esto es, que una vez apagado el ordenador, se acabó —no siempre, pero casi siempre— la evidencia (Carvey, 2010). De ahí que sea absolutamente necesario conocer los “restos” que dejan las herramientas software de los forenses, además de cómo afectan al contenido de los dispositivos a inspeccionar.
Volviendo a los tipos de análisis, el relacional no requiere tanto conocimiento técnico, pues en este caso lo que se trata de analizar son las relaciones partiendo del contenido del dispositivo. Por ejemplo, la agenda de contactos podría indicar qué personas pertenecen al círculo del sospechoso. Incluso, podría determinarse a través de los datos del GPS del teléfono, si el teléfono del sospechoso estuvo en la escena del crimen y a qué hora, siendo posible relacionarlo, en mayor o menor grado, con tan fatídico evento (el caso Bretón podría ser un ejemplo muy útil). Continuando con relacionar sospechosos, podría realizarse un análisis temporal combinando la información de una cámara, con la de un ordenador personal grabado desde esa misma cámara, pudiendo precisarse, estudiando las horas, quién fue el responsable de enviar amenazas vía e-mail desde ese ordenador.
Sea cual sea el ámbito (militar, policial o civil) en el que se lleva a cabo una investigación forense y el tipo de análisis necesario, debe prevalecer el método científico, según el cual, las muestras no se alteran, el resultado es repetible y reproducible por distintos investigadores y se mantiene al margen todo criterio subjetivo (Casey, 2010). De esa forma, tanto las evidencias como el resultado de los análisis serían válidos ante un juez. En un mundo ideal claro, porque luego hay muchos factores que influyen en las decisiones judiciales. A día de hoy, a pesar de que en Estados Unidos hay una “recién nacida” industria multimillonaria alrededor de la investigación digital, en España todo funciona mucho más despacio. Queda mucho trabajo pendiente y, el más duro, es hacer que los ciudadanos comprendan la necesidad de tan reciente disciplina de seguridad e investigación, así como prevención y disuasión. Aunque, a estas alturas, creo que tú ya eres consciente de que, con una adecuada estrategia forense, pueden prevenirse muchas situaciones, además de obtener ventaja en procesos judiciales, permitir la persecución de actos delictivos que pudieran afectarte a ti o a tu familia o incluso evitarlos. En definitiva, una mayor protección.
Un enfoque forense en seguridad requiere una fase de preparación previa orientada a la recopilación de datos concretos que pudieran ser analizados en el futuro (alistamiento forense). Si eres de esas personas que opinan que más vale prevenir que curar, sería muy inteligente concentrarse en ese alistamiento forense, que no es, ni más ni menos, que preparar o configurar tus dispositivos para que se produzca una captura de información que resultaría de gran utilidad llegado el momento de presentar una denuncia. Generalmente, hasta que no surge la necesidad (ataque, acoso, robo, etc.), poca gente se preocupa por configurar su sistema operativo para que sea auditable, pero para los casos de intrusión o robo, es lo más recomendable. Por ejemplo, una manera de entender la utilidad del alistamiento forense es mediante el típico ejemplo del teléfono robado. Antes si te robaban el teléfono móvil, lo dabas por perdido. Ahora, existen aplicaciones que puedes instalar para localizar tu teléfono en caso de robo o pérdida, que el Cuerpo Nacional de Policía recomienda (Iuxed, 2013). Eso es exactamente en lo que consiste el alistamiento forense, en preparar tus dispositivos para que sean de utilidad en el transcurso de una investigación (para el ejemplo del teléfono, la información útil son los datos de posición que el móvil envía para su localización, existiendo aplicaciones que toman fotografías del nuevo usuario o ladrón, para facilitar su búsqueda y captura).
En el caso de un particular o una familia algo despreocupada con la seguridad informática, que digamos que puede estar más expuesta a una intrusión y sobre todo al cyberbullying o al grooming, si hay niños en casa, podría necesitar que hubiera constancia de ello para poder disuadir y/o denunciar al acosador/pedófilo (lo del intruso no es tan fácil, a no ser que sea un intruso en tu red inalámbrica, que con alta probabilidad vivirá cerca y antes o después cometerá un fallo). De hecho, he leído ya varias veces recomendaciones genéricas sobre cómo actuar en caso de acoso digital, que son correctas en cuanto al mensaje que transmiten, pero totalmente incompletas. Me refiero a que se suele recomendar a todos aquellos que sufren algún tipo de acoso en Internet, que guarden toda la información a modo de pruebas, incluso haciendo capturas de pantalla. Yo si fuera el juez, no aceptaría una captura de pantalla como prueba válida ¿Por qué? Porque yo puedo hacer una captura de pantalla que contenga lo que a mí me interese. Tampoco me valdría un email impreso que no contuviera el código fuente (conjunto de datos que acompaña al contenido del correo, que sirve para determinar aspectos técnicos de envío y recepción, entre otras cosas), porque podría igualmente ser falso. Sin embargo, en el momento de redactar la primera edición de este libro, no todos los jueces disponen de conocimientos profundos en informática y podría darse el caso de que el juez aceptara, por ejemplo, un mail impreso sin el correspondiente código fuente (así es como aparecen los emails en televisión del caso Nóos, algo que yo no aceptaría, salvo que se cotejara la veracidad de dichos correos electrónicos mediante un minucioso análisis del código fuente del email, que imagino que se habrá hecho, porque una cosa es lo que aparece en televisión, y otra la documentación completa de un proceso judicial).
Guardar evidencias digitales relevantes de forma que sean válidas en un juicio requiere, bien conocimientos y experiencia, bien programas instalados al efecto que hagan el trabajo en automático. Además, la validez de esas evidencias puede ser cuestionada si no se respeta escrupulosamente la cadena de custodia de cada evidencia, que, en palabras simples, es un documento que indica dónde y quién custodia esa evidencia así como quién ha tenido acceso a la misma y por qué. Por ventura, para el caso de capturar contenido web que pudiera ser utilizado como evidencia (algo relativamente frecuente), existen varios programas muy útiles y sencillos de utilizar, si bien no todos funcionan con la misma eficacia ni contienen la misma información.
La conclusión que quiero que saques de este capítulo es que la disciplina forense aplicada a la seguridad de la información es indispensable, tanto más cuanto mayor es el valor de la información. Ciertamente, no espero que te dediques a la investigación digital, pero sí que sepas que a la hora de guardar evidencias relevantes, no sólo existe una dificultad técnica, sino que además, para que esas pruebas sean válidas, deben haberse adquirido por individuos de probada neutralidad y reconocida habilidad, que mediante procedimientos técnicos, legales y adecuados, se encargan de su conveniente preservación y custodia; por lo tanto, lo más recomendable cuando sospeches que pudieras necesitar recopilar información de tu ordenador o de la web para presentarla como prueba en un juicio, es que contrates a profesionales (abogados y peritos), en este caso, especialistas en informática o telecomunicaciones. Aun así, nuestras Fuerzas y Cuerpos de Seguridad del Estado siempre recomiendan a los usuarios guardar toda la información posible (páginas web, conversaciones de chats, capturas de pantalla, etc.), para documentar su denuncia, porque aun gozando de una menor credibilidad, siempre podrá ser reforzada posteriormente por peritos u otros técnicos intervinientes en los procesos judiciales.
También es importante ser consciente de que con el paso del tiempo, los casos serán de mayor complejidad técnica porque los cibercriminales dispondrán de un mayor control de los sistemas informáticos y conocimientos avanzados para incrementar su anonimato. Esto quiere decir que lo más probable es que se pongan las cosas difíciles para los peritos informáticos y cobre mucha más importancia el alistamiento forense. De hecho, incluso la evolución tecnológica supone muchas veces una barrera para los forenses, tanto porque el funcionamiento de algunos nuevos dispositivos elimina de forma permanente información que antes era recuperable y, por tanto, auditable o investigable, como por el desarrollo de software diseñado para evitar a los forenses, antiforensics, muy utilizado por los crackers.
Como has leído, un perito no sabe hacer magia y en el camino puede encontrarse con muchas trabas. El alistamiento forense puede facilitar mucho las cosas para todos y no te arrepentirás nunca de haber invertido tu tiempo y algo de esfuerzo en configurar tus sistemas de información con ese objetivo. Usa la tecnología en tu beneficio.
<- Ir al capítulo anterior Ir al capítulo siguiente ->
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
NOTA:
Todo el contenido de la categoría «Libro» está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!