Lunes presentación de evidencia digital ACSDA pilar jacome
Download
Report
Transcript Lunes presentación de evidencia digital ACSDA pilar jacome
EVIDENCIA DIGITAL
María del Pilar Jácome
Agosto 2012
¿Qué es Computer Forensic o informática
forence?
• “Computer Forensic”: Es el proceso de
identificación, preservación, análisis y
presentación de evidencias digitales en una forma
que sea legalmente aceptable en cualquier
proceso judicial o administrativo.” Recuperar y
analizar la información demostrando que no hay
manipulación (uso de algoritmos de Hash –MD5,
SHA-1).
2
Características de la evidencia digital
• Intangible
• Pueden duplicarse de forma exacta y examinar la
copia como si fuera el original
• Posibilidad de determinar si ha sido alterada
• Requieren procedimientos forenses especializados
para ser examinadas con garantías
• Es más volátil que la información en papel
• Puede ser fácilmente alterada o destruida
• Debe ser tratada apropiadamente
3
¿Porqué la distinción entre evidencia digital
y evidencia tradicional?
• Documento electrónico:
Tiene la misma validez del
documento tradicional.
• Creación de documentos
electrónicos
– Por personas
– Por computadores
– Por personas y
computadores
• Almacenamiento de
documentos electrónicos
Almacenamiento de la Evidencia Digital
Repositorio de evidencia Digital
Computadoras Personales
Servidores –e-mail, file, proxy
Sistemas de control o acceso –firewalls,
router
Asistentes Personales Digitales (PDA) –
Blackberry, Palm
Teléfonos Móviles, Reproductores de música
Cámaras Digitales
Cintas de Backup
Discos Duros
Medios removibles –Memorias USB, CD’s,
DVD’s
•
•
•
•
•
•
•
•
•
5
•
•
•
•
•
•
•
Tipos de Documentos
Almacenados
Correos Electrónicos
Archivos Financieros
Documentos de Office
Historial de Internet
Registros de Chats
Libretas de direcciones (Outlook)
Calendarios (Outlook)
Admisibilidad de la evidencia digital
• Además de los principios básicos de admisión de
evidencia, debe cumplir con:
– Autenticidad
– Confiabilidad
– Suficiencia
– Apego y respeto por leyes y poder judicial
Autenticidad
• Hace referencia a cómo fue
generada y almacenada la
evidencia que pretende hacerse
valer dentro de un proceso.
• La evidencia es auténtica
cuando se demuestra que el
mensaje de datos proviene de
quien dice provenir y el mismo
se ha mantenido incólume
durante el tiempo en que ha
permanecido almacenado.
Autenticidad
• Presunción de autenticidad: Los
documentos privados han de reputarse
auténticos mientras no sean tachados de
falsos por las partes involucradas, por
consiguiente, si bien existen mecanismos
de seguridad de los mensajes de datos,
verbigracia la firma electrónica (digital o
biométrica), no será necesaria su prueba
mientras la autenticidad no sea materia
de controversia.
Autenticidad
• Debe determinarse el grado de seguridad que ofrezca
el generador y almacenador del mensaje de datos,
quien deberá:
– Certificar que el mismo mantiene las
características iniciales, esto es comprobando la
identidad del certificado digital utilizado para
generar la firma digital, y,
– Estableciendo que el HASH (resumen corto del
contenido del mensaje de datos) corresponda al
mensaje de datos luego de ser desencriptado.
Confiabilidad
• Se refiere a que los generadores del
mensaje son factibles y plausibles.
• Esta características esta íntimamente
ligada con el sistema o programa
creador o almacenador del mensaje
de datos, que deberá presentar
garantías y estar presto a que se
generen auditorias sobre los mismos.
Suficiencia
Capacidad de convencimiento que tiene la evidencia
digital frente a unos hechos específicos. Así, no sólo
será entonces necesaria la exhibición del mensaje de
datos sino que, es aconsejable que, al momento de
allegar las pruebas dentro del proceso se explique la
tecnología utilizada, los procesos implementados de
creación y almacenamiento de datos, la exhibición de
los certificados digitales de existir, etc. Con el fin de
respaldar de manera – suficiente – los documentos
electrónicos incorporados al proceso.
Suficiencia
• Así mismo, la autenticidad y
confiabilidad deben reflejar
la suficiencia de la prueba
electrónica para ser
considera como elemento
de juicio dentro del proceso.
Apego y respeto por las normas
• Es preciso resaltar este elemento que establece
que es necesario que la evidencia digital tenga el
mismo tratamiento procedimental
correspondiente a la normatividad contenida en
Códigos de Procedimiento sin desconocer
además que dicha clase de evidencia, por
encontrarse en el especial medio contenida,
debe tener ciertos cuidados de recolección,
aseguramiento, análisis y reporte para garantizar
su autenticidad, confiabilidad y suficiencia.
Apego y respeto por las normas: La administración
de evidencia digital
Diseño de la
evidencia
Producción
de la
evidencia
Determinació
n de la
relevancia de
la evidencia
Recolección
de la
evidencia
Reporte y
presentación
de la
evidencia
Análisis de la
evidencia
Diseño de la evidencia
•
•
•
Determinar importancia de registros
electrónicos.
Que los registros electrónicos han sido
identificados, están disponibles y utilizables.
Identificación clara del autor de los registros
electrónicos.
Diseño de la evidencia
•
•
•
Hay fecha y hora de
creación o modificación de
los registros electrónicos.
Es posible validar la
autenticidad de los registros
electrónicos.
Hay confiabilidad en la
producción y
almacenamiento de los
registros electrónicos
dentro del sistema de
información.
Producción de la evidencia
•
•
•
•
•
Que el sistema o tecnología de
información produzca los registros
electrónicos.
Identificación del autor de los registros
electrónicos almacenados
Identificación de la fecha y hora de
creación
Verificación de que la aplicación está
operando correctamente en el momento
de la generación de los registros, bien sea
en su creación o modificación.
Verificación de la completitud de los
registros generados.
Recolección de la evidencia
•
•
•
•
•
Establecimiento de buenas prácticas y
estándares para el recaudo de evidencia
digital
Preparación de las evidencias para ser
utilizadas ahora y a futuro.
Mantenenimiento y verificación de una
cadena de custodia.
Respeto y validación de las regulaciones y
normativas alrededor del recaudo de la
evidencia digital.
Desarrollo de criterios para establecer la
pertinencia o no de la evidencia
recaudada.
Análisis de la evidencia
• Es necesario establecer, de manera
posterior al recaudo de la evidencia
que se establezcan los hechos a
demostrar con el fin de establecer que
la evidencia es suficiente o hacen falta
documentos que permitan el
convencimiento del juez.
Reporte y presentación
•
Documentación de los procedimientos efectuados
por el perito o experto a cargo.
•
Conservación de una bitácora de uso y aplicación de
los procedimientos técnicos utilizados.
•
Cumplimiento exhaustivo de los procesos previstos
en relación con la cadena de custodia.
Reporte y presentación
CNUDMI: Este tipo de evidencia debe presentarse bajo el marco de pruebas
documentales, circunstancia que representaría una flexibilización de las reglas
procesales. Sin embargo, dado el tecnicismo y especialidad requerido para
esta clase de evidencia, es necesaria la práctica de pruebas adicionales, como
por ejemplo, un peritazgo o una inspección judicial.
•
El mecanismo idóneo para allegar mensajes de datos, será en el mismo medio
en que se encuentren, ya que al ser materializados, mediante impresos por
ejemplo, pierden la fuerza probatoria de los mismos, evento similar a si se saca
del entorno.
•
En muchos paises, por no decir todos, la oportunidad procesal para presentar
evidencia es con la presentación de la demanda , con la contestación o,
cuando el juez la decrete de oficio para formar su convencimiento.
Reporte y presentación
• Actualmente en muchos países no existe
una normativización profusa en el tema y
no se tiene una reglamentación
específica de la forma de valoración de la
prueba electrónica, por lo que podría
darse de dos formas:
• Por medio de un peritaje decretado
por el juez; y,
• Como simples indicios (Hechos de los
cuales se infieren otros
desconocidos), en caso de no cumplir
con los requisitos mínimos que
otorguen seguridad jurídica y certeza
al juez.
Determinación de la relevancia de la
evidencia
•
Valor probatorio: lo tiene todo documento
electrónico que tenga signo distintivo de autoría,
autenticidad y que sea fruto de la correcta operación
y confiabilidad del sistema.
•
Reglas de la evidencia: se debe poder establecer que
se han seguido los procedimientos y reglas
establecidas para la adecuada recolección y manejo
de la evidencia.
Marco regulatorio internacional
Interanational
Organization on
Computer Evidence
(IOCE)
Comunidad Europea:
Convención contra el
Cybercrimen
Regulación en Estados
Unidos:
“Forensic Examination of
Digital Evidence: a Guide for
Law Enforcement”
“Electronic Crime Scene
Investigation: a Guide for
First Responders”
“Computer forensic”: es el proceso de identificación, preservación, análisis y presentación de
evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o
administrativo”. Recuperar y analizar la información demostrando que no hay manipulación (uso de
algoritmos de Hash – MD5, SHA-1).
•Las acciones tomadas para recoger la evidencia digital no deben nunca afectar la integridad de la
misma.
•Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin.
•Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser
documentadas y reservadas para una futura revisión.
Protocolos internacionales
ESCENA
Asegurar
escena
Identificar
Evidencia
Capturar
evidencias
Consiste en
proteger la escena
para evitar la
modificación o
destrucción de las
evidencias
digitales.
Identificar, de entre
los sistemas de
información de la
compañía, los que
puedan contener
información
relevante.
Realizar las copias
exactas de las
evidencias
identificadas
minimizando el
impacto en la
evidencia original.
Definición de los
protocolos de
actuación que
deben seguirse en
caso de tener que
abordar una
investigación de
fraude.
Experiencia en
investigaciones y
sistemas
informáticos para
identificar las
fuentes de
información
adecuadas.
Empleo de las
herramientas más
rápidas y fiables del
mercado que
garantizan la no
intrusión y la mínima
alteración de la
evidencia original.
Documentar
detalladamente
todos los
procedimientos
realizados sobre las
evidencias.
Analizar las
evidencias siguiendo
una metodología
forense especializada
y empleando las
herramientas
adecuadas para cada
caso.
Presentación de los
resultados en un
informe con los detalles
de la información
analizada y de las
conclusiones obtenidas
del análisis.
Adecuado
tratamiento y
documentación de
las evidencias de
forma que se
garantice la “cadena
de custodia”.
Uso de herramientas
de análisis forense y
de indexación de
información para
analizar grandes
volúmenes de datos.
Redacción de
informes que ilustran
los hechos de forma
clara y concisa.
Experiencia en
ratificación de
informes periciales.
Preservar
evidencias
Analizar
evidencias
LABORATORIO FORENSE
Presentar
resultados
CONCLUSIONES
• Debe perderse el miedo entre abogados y jueces al uso de evidencia
digital para demostrar diferentes hechos.
CONCLUSIONES
• Debe partirse de la base de que todos los “documentos”
aportados a un proceso se presumen válidos, hasta tanto no
hayan sido tachados por falsos por la contraparte, por lo que
deberá, inicialmente, al momento de recaudo de la evidencia,
determinarse si es o no necesario allegar certificaciones de firmas
digitales, peritazgos o informes técnicos.
CONCLUSIONES
• El uso de evidencia digital debe respetar ciertas prácticas que
permiten su correcto uso.
CONCLUSIONES
• Es necesario que dentro de los
diferentes actores, empresas,
consumidor, abogados, entidades
públicas, se creen políticas de
almacenamiento de los datos
contenidos en mensajes de datos, con
el fin de clasificar que información
requiere mayor o más ligera
aplicación de controles.
CONCLUSIONES
• Deben realizarse capacitaciones para
que, además de perderse el miedo,
se instruya a los directamente
interesados (abogados y jueces) los
mecanismos idóneos para la
presentación de pruebas dentro de
procesos, siempre teniendo en
cuenta el valor probatorio de las
diferentes formas de presentación.