Erase una vez…un Perito Informático

Este artículo se escribe tras la invitación a participar en el #Reto2JCF de juristasconfuturo.com

Son múltiples los temas a tratar, todos ellos relacionados con la “Validez y Eficacia procesal de Evidencias Digitales”, sin embargo uno ve que han participado perfiles de la talla de @josecarmelollb y @notarioalcala (en calidad de Notarios), diferentes abogados y especialistas de la talla de @sergiocm o @D_mas_I, unido a compañeros y amigos como @JagmTwit en calidad de perito informático y se pregunta… ¿No se habrá dicho ya todo?

En primer lugar, toca presentarme, soy Carlos Aldama, Perito Ingeniero Informático. Estoy colegiado carlos-cven el Colegio de Ingenieros en Informática de Madrid y pertenezco a numerosas asociaciones (ISACA, ALI, APAJCM, …) orientando mi trabajo en exclusiva a la maravillosa labor de los peritajes informáticos y realizando también diferentes cursos y seminarios en universidades y eventos.

No seré yo quien entre a valorar las magníficas y diferentes aportaciones de mis compañeros que han aceptado el reto y que he leído con sumo gusto y que “casi” de manera íntegra también suscribo. Siempre he sido de los que he defendido que el Notario da fe de lo que ve y no garantiza si lo que ve está siendo o no manipulado, sin embargo tras las lecturas de los artículos escritos por dos conocidos “Notarios TIC” en este reto, me queda poco más que reconocer su gran artículo y darles la razón al trabajo que desempeñan, haciendo un pequeño matiz respecto a las diferencias que pueden existir con los peritos ingenieros informáticos que nos dedicamos a esta labor de manera continuada y que creo podemos aportar más valor técnico a la prueba. Si, ya sé que la respuesta a esto es sencilla: Depende del perito que tengamos en frente y depende del Notario, es por ello que me quito el sombrero ante la calidad de los participantes al reto y les doy mi enhorabuena por el trabajo realizado.

Más allá de todo lo anterior, uno siempre se pregunta ¿para que sirve un perito informático? ¿Cual es su labor principal? ¿Cómo es el trabajo de un perito y que procedimientos usa? Pues bien, sin entrar a hablar de la cadena de custodia en profundidad (tarea realizada de manera excelente por un gran compañero @jagmtwit), pasaré a tocar todos los puntos básicos necesarios para realizar una pericia eficaz y que sea plenamente válida en un proceso judicial.

Los peritos siempre nos apoyamos en el Principio de Intercambio de Locard, que decía básicamente que “cada contacto deja un rastro”. Siempre existirá una pista o huella que permita realizar el inicio de recogida de evidencias para generar nuestro análisis y sacar conclusiones en nuestra investigación. ¿He dicho SIEMPRE? ¿Seguro que SIEMPRE?…. bueno, dejaremos un “casi siempre” para aquellos que aseguran que en informática TODO es manipulable. Sin embargo debemos pensar que si ya asumimos que toda prueba es manipulable y no deja huella, podríamos muchos de nosotros buscar una nueva profesión. La respuesta a esto es sencilla, nuevamente se debe decir que “todo contacto deja rastro”. Podemos escribir artículos indicando que WhatsApp es manipulable y que no deja rastro, sin embargo deberíamos ser coherentes y matizar que para realizar manipulaciones se deben dar una serie de condicionantes y que además tendríamos otros rastros paralelos que nos indicarían obligatoriamente a garantizar la manipulación de la prueba (pongo WhatsApp como ejemplo dado que es del que más se ha escrito últimamente, pero este ejemplo es extensible a cualquier otro soporte digital).

Cada pericia informática siempre es un mundo diferente, casos diferentes, sistemas diferentes, personal diferente…. el único punto que siempre es común a todos ellos es el perito informático que realiza la investigación y la objetividad a la hora de tratar los datos técnicos que tiene. El perito siempre debe realizar una misma sistemática y esta comienza por algo necesario:

EL ACOTAMIENTO DE LA ESCENA. Si el perito realiza un acotamiento muy amplio llevará a investigar fuera delescena_crimen-ajedrez objeto deseado, mientras que si el acotamiento es muy estrecho es muy probable que perdamos evidencias importantes.

Una vez realizado correctamente el acotamiento, recopilaremos y garantizaremos de manera segura el traslado de las evidencias para su estudio, siempre preservando todos los datos adquiridos y trabajando con un escenario replicado idéntico al original. En este punto NO estoy hablando únicamente de cadena de custodia de un disco duro con sus clonaciones, HASH, custodia y demás pruebas, estoy hablando en general de CUALQUIER prueba que vayamos a analizar.

¿Se imaginan un análisis de una aplicación sin dar traslado de la misma con garantías a la parte contraria para poder contrastar nuestra prueba? ¿Se entiende un análisis de un terminal móvil sin presentar en formato digital la prueba? Debo recordar que trabajamos con medios digitales y por tanto estos deben ser presentados en su HABITAT ORIGINAL, es decir en formato digital, para dar traslado a la otra parte y que pueda ejercer su derecho a defensa.

¿Es esto siempre posible? Pues nuevamente debo decir que se debe estudiar el caso, pero si hablamos de analizar un software integrado en un sistema que no se permite extraer, lo que nos debemos plantear es hacer un acotamiento correcto de la prueba y posteriormente poder presentar la prueba de otra manera que no implique “arrancar” la máquina de una cadena de producción y presentarla en el Juzgado… las formulas existen y únicamente queda a criterio de cada perito el pensar la mejor manera de hacerlo (grabar posición y prueba íntegra realizada en vídeo, generando un hash posterior del vídeo ante testigos y posterior custodia del mismo podría ser una de las decenas de opciones que habitualmente se usan para estos casos “extremos”).

 

Llega el momento de ponerse a trabajar en el despacho con la evidencia en nuestra mesa, la cual está correctamente asegurada y nos hemos garantizado que tenemos un clon idéntico. Obviamente sobra decir que habremos tomado todas las medidas necesarias para que no se modifique la prueba. ¿Imaginamos un móvil que estemos examinando y tengo un software de control remoto y nos borren la prueba? Obviamente NO, por ello lo introduciremos en una jaula Faraday mientras se clona el dispositivo para examinar. Ni que decir tiene tampoco las modificaciones “sobre la marcha” de medios digitales… los cuales también deben ser correctamente asegurados y con un sellado de tiempo que nos permita hacer un análisis con garantía….. esta casuística se repetirá con cada caso, cada cliente y cada examen que hagamos, si aquí tenemos problemas y fallamos es mejor que no continuemos con el trabajo.

En este punto es cuando nos encontramos que al comenzar el análisis vemos que las pruebas han sido muchas veces modificadas… ¿Cómo? Muy fácil, hablas con el cliente y te indica que tras la salida del trabajador accedieron al equipo y vieron “sospechas” o bien te indican que tras la ruptura de contrato

Metal Chain --- Image by © moodboard/Corbis

con el desarrollador de la aplicación, accedieron al código para hacer unas mejoras…. entonces, ¿nos hemos cargado la cadena de custodia y se ha infectado la prueba? Pues obviamente no es lo deseable, pero es lo más común que nos encontramos y es aquí donde más énfasis tenemos que hacer los peritos, en primer lugar NO ocultándolo y en segundo lugar documentando durante todo el espacio de “rotura” todas las actividades que han realizado y las implicaciones que pueden tener.

Después ya continuaremos con el análisis y entraremos en una eterna lucha de cómo se ha examinado la prueba. ¿Hemos roto el secreto de las comunicaciones? ¿Vulnerado algún derecho fundamental? ¿Estamos haciendo el examen con software forense de garantía? Es aquí donde tenemos que hacer un detallado análisis de todo nuestro trabajo. En primer lugar, es “igual” si el análisis lo hacemos con un software libre o con un software de pago, siempre que este sea forense, sin embargo y por mi experiencia en Juzgados en muchas ocasiones se ha preguntado si he usado software de código abierto. ¿Que sentido tiene esa pregunta? Pues está claro, el software de código abierto permite manipulaciones y alteraciones en el código, con lo cual puede infectar la prueba. Es por ello que siempre recomiendo que se incorpore el HASH de este tipo de software y se aporte además en formato digital al informe para evitar cualquier problema.

Por otra parte debemos dejar muy claro el tipo de búsquedas que hemos realizado y hasta donde hemos llegado (y de qué manera).

Si tuviera que definir los pasos a realizar para una pericia informática serían los siguientes:

  1. Identificación del incidente o proceso a analizar
  2. Acotación del entorno a investigar
  3. Recopilación de evidencias
    1. Recuperación de datosautodisciplina-es-clave-lograr-el-exito-l-5ows2y
    2. Aplicación de diferentes técnicas de investigación
  4. Preservación de Evidencias
    1. Almacenamiento de las mismas
    2. Etiquetado
    3. Cadena de Custodia
  5. Análisis de Evidencias
    1. Reconstrucción
    2. Respuestas
  6. Documentación y Resultados (Informe Pericial)
  7. Ratificación en Juzgado y Defensa del Informe

 

De todos estos puntos es importante la correcta cadena de custodia y la posterior documentación a realizar en el informe pericial. Un trabajo correcto mal documentado (o viceversa) de nada sirve. Es por ello importante que nuestros informes sean claros en estructura y redacción, haciéndolos entendibles para legos en la materia, pero sin obviar un ápice de tecnicismos necesarios para la descripción correcta de la prueba, recordando además que cada afirmación debe estar correctamente fundamentada.

Dentro del informe deberá figurar claramente la autoría del mismo, dejando este documento correctamente firmado (la firma es la expresión escrita del 335.2 LEC). Particularmente siempre recomiendo una estructura similar a la siguiente:

  • Firma de la pericia
  • Resumen ejecutivo
  • Objeto del encargo (Antecedentes y Objetivos)
  • Fuentes de información
  • Análisis (SIN conclusiones)
  • Limitaciones encontradas para la realización del trabajo
  • Conclusiones
  • Curriculum del Perito
  • Anexos

Con todo lo anterior y medidas prudenciales tendremos nuestro trabajo bien realizado. Ahora bien, no todo en el monte es orégano….. esto no es siempre lo que uno se encuentra en el Juzgado. Desde mi punto de vista y a modo de anecdotario he encontrado detalles que creo que debo resaltar en este artículo para que se tenga prudencia y no se permitan:

  • Muchos peritos incluyen la geolocalización de su propio despacho (con mapa incluido) en sus informes, siendo datos irrelevantes y que distraen el foco del trabajo
  • Cada vez se hacen más pericias de terminales móviles, sin embargo el 90% de estoFacepalm-Meme-04s informes nunca llevan adjunto un soporte digital o una cadena de custodia especificada.
  • Los timestamping se realizan abriendo una página de periódico online y haciendo captura de fechas.
  • Se apoyan en la figura del Notario para certificar autenticidad de mails, sin revisar cabeceras, servidores, …
  • Se aportan pantallazos de redes sociales sin garantía alguna.
  • Aportan datos extraídos de otros equipos que no han sido custodiados correctamente.
  • No se comprueba ni contrasta el HASH
  • Se realizan opiniones no técnicas sobre los resultados obtenidos

Se podría escribir un anecdotario completo y muy extenso de diferentes casos encontrados en Juzgados, no pudiendo pasar por alto temas tan impactantes y dichos en juzgado como los siguientes:

“Las cadenas de custodia no sirven para nada”

“¿Clonadora? No, era muy cara, encendí el ordenador y analicé sus datos”

“Yo simplemente digo lo que me comentó mi abogado que escribiera”

“No he podido ver el terminal móvil” (tras presentar pericia de autenticidad de WhatsApp)

“He accedido a la cuenta personal de correo del trabajador, pero eso no lo he puesto en el informe”

…. estas y otras lindezas que ahora pueden sorprender han sido dichas en Sala en los últimos meses y desde luego el resultado ha sido el esperado. Es por ello que además de tener cuidado durante todo el proceso del trabajo, es luego sumamente importante el saber expresarlo en un informe y mucho más el saber ratificarlo, siendo siempre imparcial y claro en el trabajo a realizar.

A modo de finalización de este artículo: PRUDENCIA, SABER HACER y SABER CONTARLO es la máxima que se debe seguir en todo trabajo técnico si queremos que tenga plena validez y eficacia en un proceso judicial.

¿Es necesario el perito ingeniero informático para la presentación de Evidencias Digitales? Es TOTALMENTE recomendable, debido a nuestra preparación y continua formación. Realmente es el mejor aliado que un abogado y un juez se va a encontrar en sala a la hora de defender la validez de unas evidencias digitales.

Gracias.

Carlos Aldama Saínz

www.informatica-legal.es

@carlosaldama