EVIDENCIA DIGITAL E INFORMTICA FORENSE

Autor: Lic. Salvador Clemente Beltrn Santana

1.- Globalizacin y avance tecnolgico

La infraestructura tecnolgica disponible y el entorno de globalizacin han

transformado el concepto tradicional de informacin. El volumen de datos
que cruza hoy en da por cualquier organizacin ha crecido en forma
exponencial. La informacin es la principal mercanca que se intercambia
cotidianamente alrededor del mundo. Lo anterior, implica necesariamente la
circulacin de mayor volumen de informacin en los intercambios intra e
inter institucionales.

No todos estos intercambios son electrnicos, pero cada vez es ms comn

que la informacin estratgica y operacional, de cualquier organizacin, se
procese en formato digital y circule por amplias redes informticas.

Este entorno sugiere que ms que empresas pblicas o privadas

delimitadas, debamos pensar en la red institucional, local y global, en la que
opera la organizacin proveedores, subcontratistas, mayoristas, filiales,
aliados, competencia, y/o los individuos involucrados en actos delictuosos.

Cada vez es mayor la necesidad de dar seguimiento puntual a todos los

procesos en los que est involucrada la organizacin y de proteger la
informacin institucional.

La comunicacin por va electrnica se debe valorar en sus distintas fases:

desde la generacin, almacenamiento y registro, hasta la administracin,
envo y validacin de la informacin. Cada uno de estos procesos puede
convertirse en ventana de vulnerabilidad para cualquier organizacin.

En este contexto se hace necesario analizar no slo el origen y el destino

de la informacin sino tambin la vulnerabilidad de los operadores y los
medios de transmisin utilizados, el valor estratgico y la legalidad de los
mensajes, las caractersticas e intereses de los destinatarios, y la
capacidad de la organizacin para controlar la informacin que fluye desde
y hacia ella.

Dado que la mayor parte de la informacin se maneja hoy en da en formato

digital, es necesario contar con acceso a los equipos y con el capital
humano con capacidad para realizar este tipo de anlisis de inteligencia con
adecuados soportes metodolgicos y con tcnicos confiables y con
experiencia.

2.- Seguridad Informtica

Uno de los hechos ms destacados en el actual entorno nacional e

internacional

es

la

creciente

relevancia

de

la

informtica

en

el

funcionamiento cotidiano, tanto de empresas privadas como de agencias

gubernamentales.

Paradjicamente, las organizaciones son cada vez ms vulnerables frente a

los problemas legales, delictivos y de fuga de informacin a travs de sus
sistemas de cmputo. Esta situacin puede llegar a ser crtica si
consideramos que hoy en da la mayor parte de la informacin, estratgica
y operativa de empresas pblicas y privadas, se encuentra en medios
electrnicos segn cifras especulativas hasta el 97% de la informacin que
hoy circula se procesa en medios electrnicos aunque su formato final sea
impresin en papel y tinta.

Anualmente el FBI y el Instituto de Seguridad Computacional de EUA

realizan un Encuesta sobre Cuestiones de Seguridad Informtica. En el
estudio de 2002, basado en las respuestas de 503 empresas, instituciones
financieras y mdicas, universidades y agencias gubernamentales, se
encontr lo siguiente:

90% sufri violaciones a la seguridad informtica en el ltimo ao.

80% report prdidas financieras asociadas a dichas violaciones

40% detect penetracin por hackers externos.

74% report intrusin en sus conexiones de Internet.

32% report negacin de servicios por ataques masivos.

19% experiment sabotaje en redes de datos.

6% report ser vctima de fraude financiero.

85% tuvo incidentes de contaminacin por virus.

69% report prdida y robo de computadoras porttiles.

el robo de informacin propietaria ascendi a ms de USD 170

millones.

Slo

el

34%

report

los

incidentes

las

autoridades

correspondientes.

Cmo se puede controlar la informacin que entra y sale de la

organizacin? Existen mecanismos que permiten proteger los equipos de
cmputo y restringir la presencia de hackers y visitantes no deseados;
sin embargo, tanto los avances tecnolgicos continuos como la fragilidad
del factor humano generan ventanas de vulnerabilidad en la organizacin.

Algunas organizaciones asignan recursos para salvaguardar las unidades

de cmputo y las redes en las que operan; as, construyen barreras
(escudos digitales y blindajes electrnicos) a fin de proteger su
informacin e impedir que personas ajenas a la organizacin penetren sus
sistemas institucionales. Lo que no es tan comn es que adopten una

actitud proactiva para detectar filtraciones o mal uso de la informacin

desde el interior de la organizacin.

El seguimiento de la informacin que se procesa dentro de la organizacin

requiere de tcnicas y mtodos de investigacin que permitan explorar,
sistemticamente, las comunicaciones que los empleados realizan a travs
de computadoras o por cualquier otro medio electrnico.

3.- Informtica Forense

En este contexto se ha venido desarrollando, en aos recientes, el

concepto de Informtica Forense. Esta metodologa de investigacin sirve
para apoyar a las empresas e instituciones gubernamentales cuando
surgen problemas de carcter delictivo o de alto riesgo en sus sistemas de
cmputo.

En Mxico el desarrollo de estos procesos de investigacin es an

incipiente, razn por la cual Grupo Coppan S.C. en asociacin con otros
especialistas,

decidi la creacin en Mxico del Laboratorio de

Informtica Forense

GC, S.C. para atender las necesidades de

informtica forense de organizaciones pblicas y privadas.

El Laboratorio de Informtica Forense GC, S.C. cuenta con la

infraestructura y los apoyos necesarios, a nivel nacional e internacional,
para realizar sus trabajos con tecnologa de punta, el ms alto nivel de
profesionalismo y, ciertamente, la discrecin y confiabilidad que exige la
realizacin de estas tareas.

4.- Desafos Institucionales

Desconocimiento.- Existe un conocimiento limitado sobre qu es la

Informtica Forense y qu se puede hacer con la evidencia digital. Existe
tambin poca familiaridad con herramientas y procesos que permiten
obtener evidencia digital.

Complicidad.- Existe siempre la amenaza de una posible complicidad de

agentes internos y externos para lograr infiltrarse por vas electrnicas.

Poca credibilidad.- Existe poca credibilidad en la obtencin de evidencia

digital que incrimine a un delincuente o empleado desleal.

Confiabilidad.- Existe la urgente necesidad de presentar informacin

confiable y cumplir con estndares a nivel internacional. El seguimiento
puntual de los productos informativos puede evitar la prdida de
importantes activos institucionales a travs de la comisin de conductas
ilcitas como:

fraude financiero y fiscal,

lavado de dinero y desviacin de recursos,

robo de propiedad intelectual y secretos comerciales,

filtracin de informacin clave a competencia y,

fuga de informacin y espionaje empresarial, entre otros.

Marco Legal.- Necesidad de generar un nuevo marco jurdico nacional e

internacional. La velocidad de los intercambios de informacin est
transformando el entorno jurdico lo que obliga a las organizaciones a
adecuarse constantemente a los nuevos parmetros.

Necesidades institucionales.- Cada vez es ms comn tener que

presentar informacin institucional a solicitud de diversas autoridades. Toda
organizacin debe ser capaz de producir la evidencia que se solicite para
demostrar la transparencia y legalidad de sus prcticas.

Apego a las normas institucionales.- Desconocimiento de herramientas

informticas y procedimientos de bsqueda que permitan verificar que el
uso de la informacin, los equipos, las bases de datos y, en general, los
productos informativos de la organizacin, responden a las normas
institucionales.

Seguimiento de flujos de informacin.- Es necesario monitorear los flujos

de informacin de la organizacin ante la sospecha de comportamientos
ilcitos, tanto a nivel preventivo como reactivo.

Conflictos de inters.-

En la aplicacin indiscriminada de medidas y

contramedidas electrnicas avanzadas para obtener evidencia que permita

incriminar a un delincuente o empleado desleal que est afectando los
intereses de la institucin.
5.- Riesgos existentes
Generalmente los riesgos estn asociados con acciones u omisiones no-deseadas
de parte del personal de la organizacin:

Divulgacin de informacin sensible

9 Robo.
9 Espionaje.
9 Sustraccin.
9 Mal uso.

9 Ingeniera Social

Abuso de privilegios
9 Borrado de informacin.
9 Fraude (transacciones falseadas).

Ataques activos
9 Implantacin de virus, caballos de Troya, etc.
9 Provocacin de cadas de servidores y/o ruteadores (negacin
del servicio)

6.- Procesos de investigacin y anlisis

La Informtica forense se refiere al anlisis y evaluacin a fondo de la

informacin que circula en los equipos, plataformas y sistemas de una
organizacin. Este trabajo no se circunscribe a recuperar informacin de un
equipo de cmputo, sino tambin al trabajo de inteligencia para evaluar
posibles delitos cibernticos.

La informtica forense es una disciplina auxiliar en la bsqueda de

informacin estratgica y en el descubrimiento de evidencia en los sistemas
y redes informticas. El anlisis de inteligencia, ltima fase de la informtica
forense, debe producir informes concretos y concluyentes. Una vez
obtenida la informacin de la fuente ciberntica se le debe dar la
interpretacin adecuada para obtener las pruebas necesarias para la
solucin del problema.

En casos judiciales, la informacin recuperada es intil a menos que sea

admitida en juicio. Es por ello que se requieren expertos forenses para

asegurar que la informacin obtenida es la adecuada y certificar que no han

habido alteraciones en el proceso de recopilacin correspondiente.
7.- Evidencia Digital
Es un tipo de evidencia fsica, menos tangible que otras formas de
evidencia (DNA, huellas digitales, componentes de computadores)
Caractersticas:
9 Puede ser duplicada de manera exacta y copiada tal como si fuese el
original.
9 Con herramientas adecuadas es relativamente fcil identificar si la
evidencia ha sido alterada, comparada con la original.
9 An si es borrada, es posible, en la mayora de los casos, recuperar la
informacin.
9 Cuando los criminales o sospechosos tratan de destruir la evidencia,
existen copias que permanecen en otros sitios del sistema.