Como obtener y presentar evidencia Digital Publicado en el III Congreso Mundial de Derecho e Informatica 29 de septiembre hasta el 3 de octubre 2003 Guillermo Buritic Tobn E-Mail buriticag@supercabletv.net.co Resumen:Enestecortopapersepretendemostrar losprocedimientosparalapresentacindeevidencia digitalenlascortesdehablahispana,Noesdel alcancedelpapermostrarlastcnicasutilizadaspor los investigadores forenses en materia de recoleccin, clasificacinypresentacindeevidenciadigitalsino mas bien mostrar un procedimiento aceptable a fin de evitar laimprocedenciade laevidencia porviciosen las diferentes legislaciones. Palabras Clave: Evidencia digital, computacin forense, derecho informtico. Introduccin:Desdeelmomentoenquela tecnologadeinformacinsepopularizoainiciosde losaos80conlaaparicindelIBM-PCyllego primero a las compaas grandes, medianas, pequeas yseintrodujoennuestroshogares,elcomputadorse hausadoenunagrancantidaddeactividadesque ayudaronalasorganizacionesaconvertirseen competitivasyeficientes. Peronotodofuebuenoen laaparicindelcomputadorestetambinllegoalas manosdelosdelincuentesquienesloshanutilizado como una herramienta para delinquir. Enestacortahistoriade20aosdeenquese masificaronlossistemasdecomputoyse interconectaronconlaproliferacindelasredesde computadorcadadasevenmasymascasosde abusos y utilizacin ilegal de los sistemas de computo es comn ver los diferentes gobiernos emprenden una carreracontraeltiempointentandotipificardelitos informticosloscualesconviertenensofisticadosy rpidos a medida que los sistemas avanzan. Porejemplolapornografainfantilyelabusosexual a menores esta tipificada como un delito en casi todos lospasesdelmundodiferencindosedeunpasa otrolaedadcontempladacomomximapara considerarseundelitoynormalmentecondensado comodelitoscontralalibertad,integridady formacinsexual.Lapornografainfantilincursiono enlaredglobaldeinformacinInternetamediados delosaos90enloscualesdiferentesmagazines (ilegales)incursionaronenlaredmundialde informacinutilizandolaredparadivulgarsus contenidosyamparadosporelanonimatoquelared ofrece en los pocos casos que se han podido procesar losimplicadoshansidoexoneradosdebidoaerrores proced mentales en la recopilacin, y presentacin de pruebas ya que la normatividad mundial no ofrece un mecanismo efectivo para la presentacin de evidencia digital. Otroscasoscomunesdecrmenesinformticos corresponden a la instruccin o el hacking, abuso del recursotecnolgicoenlasempresas,abusodelos sistemas de informacin, estafas informticas, abusos enderechosdeautor,yengeneralencadacategora dedelitoesposibleusarunsistemaautomatizado para cometer el delito. Medianteestepaperpretendomostrarun procedimientogeneralafindellenarelvaci existente en todo el mundo y en especial en los pases dehablahispanaparaobtener,clasificarypresentar evidenciadigital.Detalformaquesemantenganlas caractersticasbsicasdelaspruebasypuedanser utilizadasenunacortedeestamaneralaevidencia digitaldebeserconfiable,completayautentica 1 tomando diversas formas como podran ser Registros, Imgenes(ArchivosdeMatrizbits),Documentos digitales,CorreoElectrnico,Archivostemporaleso decache,Archivoseliminados,yarchivosde intercambio SWAP entre muchos otros mas. Este tipo deevidenciadigitaltienecaractersticasespeciales

1 Casey 2000 Pagina 47 comosufcilduplicidaddemaneraexactay confiabletalcomosifueseeloriginal,Con herramientasespecialesesrelativamentefcil demostrarsiintegridad(Garantizarquenoseha modificadoenalgunoscasos),Sieseliminada mediantetcnicasespecialesdecomputacinforense esposibleenlamayoradeloscasosrecuperarla informacin,Cuandoloscriminalesintentandestruir lainformacingeneralmenteexistencopiasenotros sitios. Aunquetambinpresentasusproblemas caractersticos como seria la falta de conocimiento de loslegisladoresparaidentificar,valoraryrevisarla evidencia digital presentada, la facilidad de alteracin ysudificultadparacorroborarlaconeloriginal, almacenamiento y persistencia del medio electrnico, identificacin del autor de los documentos, problemas eneltransportequepodranalterarlaevidencia recolectada, e incluso la evidencia podra encontrarse conalgntipodecifraloquehacequenosepueda conocersucontenidoyporultimolas desconocimientodelastcnicasutilizadaspara intrusinensistemasde informacino encripcionde datos. Contenido BsquedayRecoleccindepruebas electrnicas Enlanormatividadconsultadaenlamayoradelos pases de habla hispana se defiende la privacidad y se tipifica comoDELITOSCONTRA VIOLACION A LAINTIMIDAD,RESERVAE INTERCEPTACIONDE TELECOMUNICACIONESprotegiendotantoalas personasdebiencomoalosdelincuentesesta normatividad hace que la captura de evidencia digital medianteinterceptaciones,usodesniffersydems herramientasparalacapturadepaquetessean descartadasenunacortenoobstanteseprevnlos mecanismosjurdicosparapoderobtenermediante ordenjudiciallapotestaddeinterceptacinde telecomunicaciones;losdelincuentesconocenbien estasnormasdeproteccinalaintimidadyenla mayoradeloscasosexigenquelaspruebas recolectadassinunaordenseandescartadasenlas cortesporestaraznsisepresumequealguienesta transmitiendo informacin electrnica por intermedio delasredesdetelecomunicacionesesnecesario obtenerunaordenquepermitarealizarel seguimiento,capturayalmacenamientodela informacintransmitidaelectrnicamente garantizando que estas pruebas incluyan una forma de reconocimientotantodelemisorcomodelreceptor (HardwareoIndividuo),Asegurarquesepreserven enlaformaenquefuerontransmitidasmedianteun archivo de datos o registro de actividad mas conocido comoLOG,Sedebepresentarclasificadaenorden cronolgicodetransmisin,contenidoyformaygarantizarsureconstruccinenunfuturo.Afinde garantizarlaconfiabilidad,autenticidadysu integridadesdeseablequeestarecoleccinde informacinserealicedesdediferentessistemasde computosimultneamenteconpresenciade2 investigadoresforensescadaunoresponsabledesu propio sistema de intercepcin. Noobstantelaleynoprotegeelarchivode direccionesIPdireccionesMAConmerosde telfonoenlosdispositivoselectrnicosenestecaso sepuedepresentarcomoevidenciadigitallos registrosdeactividaddelsistemade telecomunicacionesutilizado a fin de conservar estos registrosesimportantemantenerlosdatosde sincronizacinhorariaenlosdispositivosderedy telecomunicaciones esta evidencia digital obtenida de estamaneraprobaranicamentelainterconexinde dossistemas.Paralapresentacindeestaevidencia digital es deseable almacenar el registro integro de la comunicacinentresistemasdetalformaquese reflejeladireccinIPoMACdeldispositivoque originalacomunicacin(transmisor)comodel dispositivo que recibe la comunicacin (RECEPTOR) Para obtener esta informacin las tcnicas propias de lainformticaforensepuedenoptarporunrecurso adicionalafindeexigirquelaevidenciadigitalse apruebecomovalidaenunprocesojudicial.Cuando sepresumeunactoantijurdicoenelcualha intervenidounsistemaelectrnicodetransmisinde datossepuederecurriraunaordendeallanamiento por parte de un juez a fin de recopilar la informacin contenidaenelordenador desdeelcualseoriginoel mensajeestainformacinpuedesercopiada, recuperadadeunarchivoeliminado,extractadode archivostemporales,ologsdelsistemaafinde obtenerelmensajeotransmisindeseada enalgunos casosestainformacinsepuederecopilarde dispositivosdealmacenamientotemporalquese usarondurantelatransmisinrecurriendomediante orden judicial al ISP o carrier. EnalgunospasescomoenEEUUlaproteccinde interceptacindedatosnoaplicaenlossiguientes casos cuando se presume la utilizacin de equipos de telecomunicacionesparaefectuaraccionesde contrabando,ocomomedioparaplanearoejecutar un crimen., cuando se presume muerte o dao fsico a laspersonas,ocuandosepresumeelalmacenajeo transmisin de datos que constituyan un riesgo para la seguridadnacionalcomomaterialesprotegidos, secretosdeestadoolaposesindepornografa infantil.Enestoscasossedebepresentarla informacin en la forma en que se obtiene. Deestaformasetienendospreguntasqueresolver antesdeinterceptaralgunacomunicacindedatos electrnicosafindeevitarquelaspruebas recolectadas sean rechazadas por las cortes Esta el sistema de gobierno involucrado? Elprocedimientopuedeafectarlaprivacidaddela persona investigada? Por ejemplo si en un departamento de reparaciones se descubreunarchivorelacionadoconcontrabandoel empleadopuedeinformaryliberarlainformacinal departamento de justicia correspondiente en este caso se faculta para la obtencin de la evidencia digital sin una orden judicial. Una forma segura de obtener evidencia digital cuando nosetieneunaordenjudicialesaislareldispositivo enelcualsepresumelaexistenciadeevidencia digitalenuncompartimientocerradohastatantola corte determine autorizar el escrutinio y anlisis de la informacin. Comomecanismodeprevencinalgunas organizacionespuedendeterminarlarecoleccinde informacin en los sistemas de computomediante un consentimientoenelcualelempleadoautorizaal empleador para obtener informacin de su sistema de computoygrabar,almacenarinformacinestos consentimientosdeindagacinsepuedenencontrar limitadosenmateriadetiempo,duracindela informacinestedocumentoescritopuedeserenun momentodadolamejorherramientaparaun investigador caro que esto aplica en el sector privado yaqueenelsectorgubernamentalestasreglas podranestarunpocoalejadasdeser procedimentalmente correctas. Afindeevitarladestruccindeevidenciadigitales recomendableextraerunacopiadeseguridadintegra delsistemamediantemedioscomoimgenesde disco, backups en citas o cdroms, etc. Serecomiendapreservarlosdispositivos involucradosenactoscriminalesmedianteun inventarioyclasificacindelosactivoselectrnicos involucradosmediantefotografas,nmerosseriales, ydemsinformacinrelevanteestohacequeenel futurolaevidenciadigitalseacorroboraday sustentadamedianteevidenciafsicaadicionalmente elinventariopretendeprotegerlapropiedaddeuna personacontradaooperdidapermitiendoalos investigadoresobtenerlaevidenciadigitalcontenida ya que los elementos se encuentran en custodia. Planificarlabsquedadelaevidenciadigitalesun factor critico del xito mediante objetivos concretos e hiptesis planificadas se pretende demostrar mediante tcnicascomputacionaleselhallazgodeevidencia formal. Paragarantizarquelaevidenciadigitalseatenidaen cuenta por la corte se debe describir la propiedad con lujo de detalles incluyendo sus componentes internos en el caso del hardware como instrumento del crimen, Documentar y buscar garantas de propiedad y autora comopasswords,ollavesdeencripcionenalgunos casossehaceimposibleaccederalsistemasiestese encuentra protegido mediante contraseas o sus datos sonencriptadosnoobstantesepuedenusar herramientasdecrackingdecontraseascomo Adivinacin de contraseas, Fuerza bruta, Borrado de Bios,AccesoforzadoalFileSystem,etcsiestas tcnicassonutilizadassedebedocumentarsu utilizacin y describir la tcnica utilizada. Para llevar a cabo la bsqueda de evidencia digital en dispositivoselectrnicossepuederequerir conocimientostcnicosavanzadosquegaranticenla obtencindelaevidenciabuscadaenelcasodeque duranteestabsquedadehiptesisrevelenevidencia nocontempladasedebenemitirnuevashiptesisy aumentarelalcancedelabsquedadigitalafinde ajustarla a las nuevas hiptesis. Siesimposiblerealizarlabsquedadeevidencia digitalenelsitioenelcualseencuentrasedebe justificar y documentar la razones para el retiro de los elementoquesepresumecontienenevidenciasiel elementoesremovidodellugardellabsquedade evidencia debe hacerse lo mas eficientemente posible garantizandolaobtencindecopiasafindereflejar la informacin en el estado original. Siporalgunaraznelelementopropiodeestudio contiene informacin privilegiada, o clasificada como confidencialcomoporejemplocuandoserealizan bsquedasdeevidenciaenoficinaslegales,centros mdicos,entidadesreligiosas,oembajadaso consuladosantesdeiniciarlabsquedadela informacinlaelinvestigadordebeidentificarlas limitaciones legales y cumplir con esas limitaciones.

Integridad De la evidencia digital Mantenerlaintegridaddelaevidenciadigitalalo largodeunprocesopresentadiferentesproblemas desdeelmanejodelostradicionalesdocumentos fsicos,equiposdehardwareysuscorrespondientes archivos de datos, Algunos de estos problemas son la extremadacomplejidaddelasredesdecomputo,el alarmantetamaodelosarchivosdecomputotanto dedatoscomomultimediaascomolasbasesde datos. Enestosprocedimientosseasumequesecuentacon los recursos necesarios para almacenar la informacin relevantea la investigacinymantenerlaen custodia sinalteracinalgunaalmacenareltamaodelos datos no es suficiente para determinar la integridad de lainformacinobtenidaenunestudiodeciencias forenses. Mediantelautilizacindeherramientasde computacinforensepreviamentereconocidaporla comunidadforenseyavaladascomomejores practicas en recuperacin de evidencia digital se debe procederarealizarunacopiadeseguridaddelos datosobtenidoscomoevidenciaserecomiendasacar uncdigodechequeocomomd5alcontenidodela evidencia afin de demostrarque no se altero durante elprocesodecopiaadicionalmenteserequiere autenticarlamaquinaquecontienelainformacin propia de la investigacin. Se ha visto casos en que se haalteradolainformacindelamaquinaportadora despusdequesehaobtenidolaevidenciaporlos representantesdelaleyenestoscasossegenerauna intrusinenlaevidenciagenerndoseunacausalde agravamientodeldelitoparademostraresteechoes necesariocontarconlasherramientasnecesarias comolafirmaMD5quedemuestrenlaalteracinde laevidenciadigitalensuorigenafindeser comparadaconlacopiaobtenidaduranteelproceso de recoleccin de informacin y evidencia digital. Adicionalmenteuninvestigadordebecuestionarse acercadelossiguienteshechosantesdurantey despus de la recoleccin de la evidencia forense a.Queevidenciasetieneparacreerqueesuna victima? b.Cualeselordencronolgicoenque ocurrieronloshechosdealteracin, transmisin o acceso? c.Cuales son los daos ocurridos? d.Aquienessepuedehacerresponsableporel incidente? e.Que personas son sospechosas del suceso? f.Cualeselimpactodeestainformacinenel negocio o suceso a investigar? g.Estosequipossonrequeridosparala operacin normal del negocio? h.Comosedescubrielincidente,perdidade datos o delito? i.Cuando pudo ocurrir el incidente por primera ves? j.Quienhainvestigadoelincidente,que accioneshatomadoparapreservar, identificar,recolectaryanalizarlosdatosde los dispositivos involucrados?2

2 Electronic Crime Scene Investigation: A guide for first responders and A Guide for forensic Examination of Digital Evidence Larespuestadeestaspreguntasgarantizaquela evidencia recolectada pueda ser admitida en una corte ya que asegura que: a.Queesunactohumano(Accinuomisin) Definicin de delito b. Dichoactohumanosepresumeantijurdico, Lesionaoponeenpeligrouninters jurdicamente protegido c.Permite identificar la tipicidad del delito. El investigadordebe estar en capacidad de demostrar inunacortequelainformacinobtenidadesdeel mediodealmacenamientoy/otransmisines verdaderadeacuerdoalaformaenquela informacinfueobtenidaoriginalmentecomo herramientasparalograrestosobjetivossetieneel recursodelacustodiadepruebasjudicialeslacual debegarantizarlosprocedimientosparaelmanejoy almacenaje de pruebas fsicas y que la recoleccin de datossehanrealizadoconlasmejorespracticas mediantelacustodiadeunaimagenexactadela evidencia original. Elinvestigadordebeidentificarqueclasede evidenciadigitalvaaconservardebidoasu relevanciacomoconversacioneselectrnicas,copias impresasdecorreoselectrnicos,Setienencopias electrnicas?estascontienenlosencabezados completos? Para identificar la evidencia digital se debe conservar ydocumentarnombreycargodelapersonaquese involucra con la evidencia recolectada conservando el controlaplicadoylarelacinquetuvoconla evidenciadigitaljustificandoelporquelogrotener acceso a la evidencia. Documentarelprocedimientoempleadopara recolectar laevidenciadigitalcomoseobtuvo,quien laobtuvoyquieneshantenidocontactoconla evidenciadespusdeserrecopiladatodasestas personas hacen parte de la cadena de custodia. Documentarcuandoseobtuvolaevidencia almacenandoHorayfechaenqueseobtuvola informacinincluyendolasreferenciasdezona horaria si es pertinente Documentar donde se obtuvo la informacina.relacionandodatosgeogrficosCiudad, cuarto, escritorios, etc b.Hardwarea.Tipo de Hardware b.Quien tuvo acceso al elementoc.Propietario de la maquinad.Nmerosdeidentificacinserial numero de inventario e.El elemento es compartido f.Opera en entorno de red? g.Lainformacinestaprotegidacon Passwords o claves h.Quientiene acceso al password de la maquina c.Fuera del sitio a.Servidores b.Correo remoto c.Paginas Web d.Accesos remotos Presentacin de la Evidencia Digital a.Parapresentarlaevidenciadigitalsedebe presentara la cortelaformaen que se busco la presencia de evidencia digital garantizando que no se violo ninguna norma de proteccin dedatos,privacidad,oderechos constitucionales,cdigosdeprocedimiento, leyes,decretos,etcenlabsquedadela evidencia digital. b.Mostrarelprocedimientoempleadoparala copia y recoleccin de datos c.Mostrarelprocedimientoempleadoparael anlisis de los datos recolectados d.Mostrarelprocedimientoempleadoparael almacenamiento de los datos e.Demostrarlacompetenciadeinvestigador como experiencia, certificaciones, etc. f.Presentar las notas forenses a.Se deben preparar la notas forenses y almacenarlassegnloestipuladopor cada pas b.Mantenerlasordenadassegncada hallazgo g.Reportes a.Sedebenpresentarlosreportes solicitadosporlacortesegnse ajustenaprocedimientoscivileso criminales b.Incluirenlosreportesdeevidencia forense i.Lasopinionesrelevantesque el experto emita ii.Labasestericasopracticaspara emitir el concepto iii.Incluirunahojadevidaque demuestre su experiencia iv.Instanciasenlascualesel examinadoresconsiderado como experto Laspruebassustantivaspresentadasalacortedeben serrelevantesparaelcasomostrandolaspartes tcnicas correspondientes Consideraciones Adicionales Siempresedebeofreceruncopiaexactaalaotra partedelconflictolegala findegarantizareldebido proceso,garantizandoqueladefensatengaaccesoa uncomputadorlimpiodecaractersticasigualesal dispositivo original y un espacio de trabajo apropiado para realizar sus propios exmenes forenses. Documentesiemprequeseaposiblelostiemposde retencindelainformacinenalgunaslegislaciones se puede argumentar la irrelevancia de la informacin por caducidad en el tiempo Asegresedemanteneracreditaciones,ejecutarlos procedimientosdepuntaoelestadodelarteen materia de recoleccin de informacin digital Asegurarsedemantenerelmaterialdetrabajo suficienteynecesarioparaadelantarlainvestigacin ylarecoleccindeinformacincomoCuadernosde notas,Cintas,grabadoresdedatos,equiposde computo, correo electrnico etc. Identifiquelaidoneidaddelosinvestigadoresen materia informtica. Resultados Seesperaqueestaaproximacingenricaseaun modelodepresentacinjurdicaparamostrar informacinrelevantecontenidaenmediosdigitales, comoarchivos,fotos,documentos,logsdesistema, etcesperoquepuedaseraplicableatodaslascortes de habla hispana. Estepapernopretendesereuxastivoenel procedimientotcnicosinoqueintentamostrara todosaquellosdetallesconceptalesenlosquelos investigadoresforensespresentanfallasjurdicasal momentodepresentaruncasoqueinvolucre evidencia digital. Conclusiones EnAmricalatinaelterminodeComputacin Forense es todava un termino desconocido y mas aun lastcnicasderecoleccindeevidenciadigital aunqueenalgunospasescomoEspaa,Argentinay Chilesehanlogradoavancessignificativosen materiadederechoprobatorioinformticoelcamino que falta por recorrer es todava largo. Eneltemadeinvestigacinforenseinformtica debemos generar las pautas de credibilidad, manejo y pertinenciadelainformacinrecolectadaafinde impulsar el desarrollo de esta ciencia moderna que si bienesrequeridaportodosaquellosqueincursionan elcampodelcomercioelectrnicotambinesuna herramientaimprescindibleenelcampodel procedimiento penal, procedimiento comercial, y a lo largoyanchodelderechoyaqueconvarioscientos millonesdeusuariosdecomputadoresenelmundo losdelitosinformativoshanvenidocreciendoen formaexponencialexigindolealosgobiernosla generacindenormasqueregulenlainformacin digital,losdelitosinformticosyenespecialel procedimiento probatorio de la evidencia digital. Referencias Corte suprema de Justicia Colombia National Center for Forensic Science High Tech Crime Task Forces NLETCs SEARCH NW3C Los Alamos Lab Search and Seizure Guidelines NCTP NAAG NAC HTCIA FACT,ForensicAssociationofComputer Technologist Casey 2000 Digital Evidence and Computer Crime Autor Guillermo Buritica Tobn. Email:buriticag@supercabletv.net.co Ingeniero de SistemasEscuela Colombiana de Ingeniera EspecialistaenAuditoriadeSistemasUniversidad Santo Tomas. AspirantealtitulodeMagsterenIngenierade sistemas Universidad Nacional de Colombia MiembroactivoISACAInformationSystemAudit. And Control AsociationConsultorenGerenciaEstratgicadeSistemasde Informacin,ConsultorenseguridadInformtica. Auditor Certificado Iso-9000:2000.ProfesorretiradodelaPontificiaUniversidad Javeriana de Bogota.ProfesordeCtedraFundacinUniversitariaKonrad Lorez Bogota ProfesordeCtedraUniversidadNacionalde Colombia.