El tratamiento de la Evidencia Digital

Leopoldo Sebastin M. GOMEZ1, Poder Judicial del Neuqun, Argentina gomezs@jusneuquen.gov.ar

Resumen. La informacin digital es muy voltil y susceptible de ser alterada. En el mbito de la Justicia es vital que la investigacin sobre medios informticos se realice metodolgicamente, de manera tal de poder asegurar que todos los pasos pueden ser repetidos ante un tribunal en caso de ser necesario. En el presente trabajo se exponen los pasos que se llevan a cabo en aquellas causas judiciales que requieren un anlisis de datos como parte del proceso de investigacin. Se prescriben consideraciones de procedimiento y puntos crticos que deben ser considerados para asegurar que la evidencia digital pueda ser ofrecida como prueba en un proceso judicial. Palabras Clave: Evidencia Digital, Anlisis de Datos, Pericias Informticas

1. Introduccin La Informtica Forense puede definirse como el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente aceptable [1]. En la actualidad existen varias metodologas de trabajo para la realizacin de anlisis de datos. En gran parte de los casos que se han investigado en el mbito judicial de la provincia del Neuqun, se utilizan los pasos que se identifican con la definicin enunciada precedentemente (Figura 1) por la practicidad y eficiencia que ofrece dicho enfoque metodolgico:
Identificar Preservar Analizar Presentar

Figura 1. El proceso de investigacin

A travs de dicha secuencia, cuyo orden de precedencia debe ser rigurosamente respetado, el proceso de investigacin logra trazabilidad, consistencia, precisin y objetividad en la bsqueda de potencial evidencia digital. 2. La identificacin de la evidencia digital Respecto al primer paso Identificar- del proceso de investigacin expuesto, un punto crtico a considerar es el recurso humano que realiza los secuestros de material informtico.
Licenciado en Ciencias de la Computacin (UNS), Magister en Ingeniera del Software (ITBA), Master en Ingeniera del Software (UPM), ex Perito Informtico Oficial, Jefe del Departamento de Planificacin y Desarrollo del Poder Judicial del Neuqun.
1

En la mayora de los casos, los allanamientos son realizados por personal policial que no cuenta con los conocimientos necesarios para la identificacin de potencial evidencia digital. Actualmente existen guas de procedimiento que intentan cubrir los puntos ms relevantes, como la Gua del United States Secret Service2, o la del Australasian Centre for Policing Research3 entre otras. La omisin de algunos aspectos tcnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta informacin digital. A modo de ejemplo, baste recordar algunos casos histricos: a) Durante un allanamiento se secuestraron terminales, pero se omiti de traer el servidor; b) No se detall en el acta de allanamiento una contrasea identificada, esencial para la operacin de un sistema, con las consecuencias previsibles para la posterior investigacin; c) Se apagaron las computadoras, eliminando la posibilidad de realizar un anlisis sobre ciertos elementos voltiles (registros, procesos, memoria, estado de la red); d) No se registr la hora del reloj interno de la computadora, y luego se agot la pila, imposibilitando la realizacin de un anlisis temporal de datos. Por otra parte, el desconocimiento puede llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como un secuestro masivo de equipamiento informtico o de material irrelevante para la investigacin. Otro aspecto crtico se refiere al correcta rotulacin y detalle de los elementos informticos. Sucede con frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos secuestrados. Las especificaciones tcnicas volcadas en las actas de allanamiento son muy generales y no contienen datos de configuracin contraseas obtenidas durante el procedimiento-, o tecnolgicos configuracin de red o equipo, hora del reloj interno de una computadora- que aporten valor agregado al momento de realizar una pericia. Si no se toman ciertos recaudos durante el allanamiento, y se verifica que se dispone en el laboratorio pericial de la tecnologa necesaria, el faltante de algn elemento puede retrasar o impedir la realizacin de la investigacin. Asimismo, debe precintarse todo el material informtico que sea susceptible de ser abierto o alterado. La omisin de este punto trae como consecuencia la posibilidad de reclamos por faltantes una vez devuelto el material secuestrado. 3. La preservacin del material informtico En cuanto al segundo paso Preservar-, es comn que durante los secuestros de material informtico, no se tenga en cuenta la fragilidad de los medios de almacenamiento de datos y la volatilidad de la informacin. Sobre este aspecto, cabe destacar que existe una gran falencia en lo que se conoce como la Cadena de Custodia, cuyo objetivo consiste en mantener un registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigacin detallados. Ha sucedido que muchas veces, la evidencia digital ha sido previamente analizada por personal no idneo y estos hechos no estn informados formalmente. Posteriormente, al realizar un anlisis de datos se detecta que la informacin original ha sido alterada, y la evidencia pierde su valor probatorio. Continuando con este tema, se debe observar lo inherente al transporte de la evidencia digital. Es comn que los elementos informticos a periciar lleguen sin los ms mnimos resguardos. Usualmente, el secuestro de material informtico tiene un tratamiento muy similar al de otros elementos armas, papeles contables, etc.- y no se le da el cuidado que realmente merece, pudiendo algn golpe ocasionar roturas en el equipamiento informtico. Debe considerarse adems que la informacin digital es sensible a la temperatura, y en algunos casos a los campos electromagnticos.
2 3

http://www.treas.gov/usss/electronic_evidence.shtml http://www.acpr.gov.au/pdf/Seizing%20Computers.pdf

Por ltimo estn los aspectos tcnicos referidos a la autenticacin de la evidencia original. Sobre este punto, es ya bien conocida la utilizacin de algn software que genere un valor hash a partir de un conjunto de datos. Existen diferentes algoritmos para calcular un checksum o valor resumen (CRC, SHA-1, MD5), siendo este ltimo uno de los ms utilizados por las herramientas forenses. El aspecto crtico sobre este tema estar centrado en el criterio de aplicacin de esta tcnica. Para realizar copias de la evidencia original debe usarse algn software forense que realice una imagen a nivel de bit-stream y no una simple copia de archivos, en la que se pierde informacin que puede ser usada como potencial evidencia. Existen varias aplicaciones forenses que realizan imgenes de originales como parte de sus funcionalidades, siendo las ms comnmente utilizadas EnCase y Safeback. Algunas de estas herramientas forenses realizan una imagen bit-a-bit del original conocida como cruda (del ingls, raw), sin compresin y sin agregar datos propietarios u otra informacin adicional, mientras que otras lo hacen [2]. No existe inconveniente alguno en trabajar con cualquiera de ellas, pero se debe tener conocimiento del software que se usa para poder explicar estos aspectos tcnicos en caso de ser requerido. Asimismo, debe quedar claro que aunque por principio general se debe trabajar sobre imgenes de la evidencia original, slo el perito podr determinar cuando debe o no aplicarse este tipo de medida [3]. En muchos casos resulta impracticable realizar copias de la evidencia original por impedimentos tcnicos u otras razones de tiempo y lugar. En estos casos se debern extremar las precauciones durante la investigacin, siempre aplicando tcnicas de anlisis de datos no-invasivas y utilizando todas las herramientas forenses que estn al alcance, a fin de no alterar la evidencia. 4. El anlisis de datos El tercer paso Analizar- involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de almacenamiento. Un punto crtico en este tema es la localizacin de informacin especfica vinculada con una determinada causa. La experiencia demuestra que en muchos casos, el anlisis de datos requerir un trabajo interdisciplinario entre el perito y el operador judicial -juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave (keywords) que son de inters para la investigacin. Si bien las herramientas forenses permiten realizar anlisis de datos mediante palabras clave, y el investigador puede extraer ciertas palabras esenciales para la bsqueda de evidencia, los aportes desde el punto de vista del operador judicial pueden contribuir a obtener mejores resultados. En casi la totalidad de los casos el anlisis de datos se realiza sobre sistemas operativos Windows y Unix, quedando algn remanente otros como el ya casi extinguido DOS. En el primero de ellos, se debe profundizar en aspectos tcnicos del sistema de archivos NTFS, ya que es utilizado por las ultimas versiones. NTFS almacena atributos de archivos y directorios en un archivo del sistema llamado MFT (Master File Table) y escribe los datos en espacios llamados clusters. Los atributos de mayor inters para el investigador forense son: el nombre del archivo, MAC Times (fecha y hora de la ltima Modificacin, Acceso o Creacin de un archivo) y los datos (si el archivo es suficientemente pequeo) o la ubicacin de los datos en el disco. Asimismo, el archivo utilizado como memoria virtual del sistema operativo (Swap file), el espacio libre que puede quedar entre un archivo y el cluster en el cual reside (Slack space), la papelera de reciclaje (Recycle bin), clusters que contienen parte que los archivos borrados (Unallocatable space), los accesos directos, los archivos temporarios y los de Internet, son algunos de los elementos sobre los que se realiza habitualmente el anlisis de datos. Por otro lado, un examen del registro de Windows permite conocer el hardware y software instalado en un determinado equipo.

El anlisis sobre sistemas Unix es similar al de Windows, ya que se investiga sobre los elementos citados precedentemente. Unix utiliza el concepto de nodos ndices (i-node) para representar archivos. Cada i-node contiene punteros a los datos en el disco, as como tambin los atributos del archivo. Los datos se escriben el unidades llamadas bloques (blocks) que es un concepto anlogo a los clusters de Windows. En Unix todo es tratado como un archivo, y puede estar almacenado en formato binario o texto. Para archivos de texto es usual utilizar herramientas forenses para buscar expresiones regulares [4]. Para sistemas Unix, las herramientas forenses ms populares son The Coroners Toolkit y The Sleuth Kit.

5. La presentacin del dictamen pericial El ltimo paso del proceso de investigacin Presentar- consiste en la elaboracin del dictamen pericial con los resultados obtenidos en las etapas anteriores. Existen casos en los cuales la informtica puede ser el medio para cometer un delito, mientras que en otros es el objeto del propio delito (compra de software ilegal), o en ocasiones interviene en forma colateral (un incumplimiento de contrato de desarrollo de software). A nivel nacional, los dictmenes periciales relacionados con la informtica han tenido un importante incremento a partir de 1995. Inicialmente, dichas tareas fue canalizada nicamente a travs de la Polica Federal, Provincial o de Gendarmera Nacional. En los ltimos aos, la complejidad de la materia ha requerido que las pericias informticas sean tratadas interdisciplinariamente. Actualmente, la integracin de profesionales informticos a los cuerpos de peritos oficiales o departamentos de profesionales auxiliares de la Justicia, va marcando la necesidad de contar con especialistas que sirvan a los operadores judiciales de apoyo permanente en la actividad jurisdiccional. Por otra parte, cabe recordar que en nuestra legislacin el valor probatorio de la evidencia digital ha tenido hasta la fecha escasa o casi nula recepcin legislativa y se cuenta con pocos antecedentes jurisprudenciales. Es sabido que el documento electrnico para la ley vigente argentina, constituye tan slo principio de prueba por escrito", lo que genera numerosos inconvenientes a la hora de determinar la eficacia probatoria de los elementos informticos y su interpretacin a travs de los dictmenes periciales. Teniendo en cuenta que nuestra ley penal data de 1921, es claro que la misma no pueda receptar con facilidad los adelantos tecnolgicos, dando lugar a situaciones de duda. A pesar de los avances en materia informtica, la dinmica del proceso penal y la legislacin de fondo permanecen inmviles tolerndose por ausencia de tipicidad el desarrollo de actividades reidas con el orden social. La eficacia probatoria de los dictmenes informticos radica fundamentalmente en la continuidad en el aseguramiento de la prueba desde el momento de su secuestro. Realizado ello en debida forma es poco probable que, si la investigacin preliminar se dirigi correctamente, el material peritado no arroje elementos contundentes para la prueba del delito [5]. Expuesta la situacin actual en materia de pericias informticas, interesa conocer cmo debe realizarse un dictamen pericial sobre anlisis de datos, de manera tal que sea objetivo, preciso y contenga suficientes elementos para repetir el proceso en caso de ser necesario. A tal fin, se exponen algunas consideraciones esenciales, ilustradas con fragmentos extrados de casos reales de trabajos periciales que han requerido realizar anlisis de datos. a) La autenticacin de material informtico, a travs de las tcnicas mencionadas precedentemente:

Caso1: ... A tal efecto, se utilizaron tcnicas informticas para garantizar la preservacin de la evidencia electrnica, pudiendo a futuro verificarse la integridad del material probatorio por medio de certificaciones digitales que se suministran para cada uno de los diskettes en cuestin, a saber: Diskette1: 5F1CE0BF7738AB171D686E2A150CC593 Diskette2:9F3FB4171DF7F3B254CB93D4AABF6849 Diskette3: 36E53D636E3511C5ED3DC0C76B5233F8. Dichas certificaciones son conocidas como valores Hash, resultando una cadena de caracteres y nmeros nica para cada uno de los diskettes obtenida a travs de un algoritmo estndar aprobado internacionalmente conocido como MD5. ... b) Una descripcin detallada de todas las fuentes de informacin utilizadas, as como tambin de los pasos realizados durante la investigacin: Caso 2: ... Se realiz un resguardo de la informacin almacenada en la computadora marca ACER, modelo Entra, Nro. de serie 012345, a fin de cumplimentar lo solicitado en el punto 1) de pericia. Para dar cumplimiento a lo solicitado en el punto 2) de la pericia, se realizaron los siguientes procedimientos: 1-Anlisis de datos a nivel fsico, 2-Anlisis de datos a nivel lgico, 3-Anlisis cronolgico de datos .... "... Anlisis de Datos a Nivel Fsico: Se realiz una bsqueda de informacin relevante sobre todos los sectores fsicos del disco de las siguientes palabras clave: "XXX", "YYY", "ZZZ"...

Figura 2. Anlisis de datos utilizando una herramienta forense

c) En caso de haber utilizado herramientas forenses, se deber detallar el nombre y su versin: Caso 3: ... En base a los frmacos indicados en el Informe Tcnico Pericial Nro. 2 del Dr. XXX, se practic un anlisis de datos sobre el disco rgido de la computadora con las siguientes palabras: misoprostol, mifepristone, oxaprost y diofenac. Se especific una bsqueda exhaustiva de las cadenas de caracteres mencionadas con el software ReadIT Versin 1.01, utilizado comnmente en pericias informticas para anlisis de datos. ... d) La contestacin a cada uno de los puntos de pericia, debe indicar cualquier observacin o impedimento en la bsqueda de evidencia:

Caso 4: ...El anlisis de datos a nivel lgico confirma la existencia de un enlace a un documento titulado "DDD.doc.lnk", en la carpeta \WINDOWS\Recent. Esta carpeta del sistema operativo almacena los enlaces de los ltimos archivos accedidos por el usuario de la computadora. El enlace referencia a un archivo localizado en la unidad de disco A:, lo cual indica que el documento fue trabajado en disquette. ... Caso 5: ... Dado que se hace impracticable realizar una impresin indiscriminada de todos los archivos localizados, se tom una muestra de ellos, para localizar visualmente informacin relevante, cuyos resultados son: un archivo (AAA.tmp) y dos visualizaciones mediante capturas de pantalla (BBB.dbf y CCC.dbt) los cuales se adjuntan al presente informe.... 6. Trabajos relacionados En el International Journal On Digital Evidence4 y en The Electronic Evidence Information Center5 se expone de informacin actualizada y de relevancia en la materia. En muchos artculos tcnicos se observa que el rigor metodolgico en el manejo de la evidencia digital est dado en funcin de la legislacin vigente en cada pas y la propia experiencia de los profesionales en la realizacin de pericias informticas. Existen diversas organizaciones como la International Organization On Computer Evidence6, que intentan proveer de una base de principios y procedimientos comunes para el tratamiento de evidencia digital, as como tambin proyectos de participacin pblica para la redaccin de Manuales o Cdigos de Prctica de Informtica Forense7. Hasta tanto se posea un estndar internacional para el tratamiento de la evidencia digital, este trabajo intenta brindar al profesional un enfoque prctico, maduro y congruente con los criterios actuales en la materia. 7. Conclusiones Este trabajo ha presentado una visin integral de los cuatro pasos que conforman el proceso de investigacin practicado por la informtica forense para el anlisis de datos. Se han destacado los principales puntos crticos en cada uno de ellos para conducir la investigacin a resultados exitosos, a saber: a) contar con recursos humanos capacitados para el tratamiento de evidencia digital, b) describir correctamente el material informtico, c) tener criterio profesional para determinar en cada circunstancia lo que debe ser secuestrado, d) considerar la fragilidad y volatilidad de la informacin digital y la importancia de la Cadena de Custodia en el tratamiento de evidencia digital, e) realizar siempre que sea posible copia y autenticacin de la evidencia original, f) utilizar herramientas forenses y tener suficiente profundizacin tcnica sobre el tema tratado, g) realizar una correcta presentacin de un dictamen pericial. Todos los aspectos precedentemente expuestos, junto con una reforma de la legislacin penal vigente acorde a los avances tecnolgicos, permitirn dar respuesta a la casustica que se produce actualmente en la realidad nacional.

4 5

www.ijde.com http://www.e-evidence.info 6 www.ioce.org 7 http://cp4df.sourceforge.net/index.html

Referencias [1] [2] [3] [4] [5] McKemmish, R., What is Forensic Computing. Trends and Issues in Crime and Criminal Justice(118), ISBN 0 642 24102 3 ; ISSN 0817-8542, 1997. Disponible en:
http://www.aic.gov.au/publications/tandi/ti118.pdf

Scott, M., Independent Review of Common Forensic Imaging Tools. Memphis Technology Group, 2003. Disponible en: http://mtgroup.com/
papers/ForensicImagingTools.pdf

Gmez, L., MD5 para Certificacin de Copias, Reporte Tcnico N 7, C.A.P.I.S., I.T.B.A, ISSN 1667-5002, Argentina, 1999. Disponible en: http://www.eevidence.info/international.html

Bui S., Enyenart M. & Luong J., Issues in Computer Forensics, 2003. Disponible en: www.cse.scu.edu/~jholliday/COEN150sp03/ projects/Forensic%20Investigation.pdf Fernndez, C., Prueba Pericial. Delitos y tecnologa de la Informacin. Caractersticas y valoracin en el Proceso Penal Argentino, 2002. Disponible en:
http://www.delitosinformaticos.com/delitos/prueba.shtml