OLFATEAR LOS DELITOS INFORMÁTICOS

MDP. Diana Rivas Mayett

 

CAPÍTULO SEGUNDO

 INVESTIGACIÓN DEL DELITO INFORMÁTICO

  1.INVESTIGACIÓN DEL DELITO INFORMÁTICO75

 El término Criminalística fue empleado por primera vez en 1892 por el juez de instrucción Hans Gross en su obra El manual del juez. Este texto sienta las bases de la Criminalística con las materias de Antropometría, Argot Criminal, Contabilidad, Criptografía, Dibujo Forense, Documentoscopía, Explosivos, Fotografía, Grafología, Hechos de Tránsito Ferroviario, Hematología, Incendios, Medicina Legal, Química Legal e Interrogatorio.

 En ese mismo año Francisco Galton, después de realizar varios estudios descubre que las huellas dactilares poseen de invariabilidad al momento de identificar a las personas. Posteriormente en 1894 Juan Vucetich integrante de la policía Buenos Aires, revela que existen ciertos rasgos en la identificación de dichas huellas, los cuales son: arcos, presillas internas, presillas externas y presillas verticales.

 Después en 1901 el médico austriaco Karl Landstener da a conocer la existencia de varios grupos sanguíneos (A, B, O); tiempo después Alfredo de Costello y Adriano Sturli revelan un cuarto, el grupo AB. Mientras que es en 1915 que Leone Lattes establece un método de investigación para analizar una mancha hemática en la escena del crimen.

 Por lo que hace a nuestro país, es hasta 1941 que Alfonso Quiroz Cuarón logra la creación de la Sección Investigadores Especiales del Banco de México y en 1964, en la Facultad de Medicina, la especialidad en Medicina Forense.

 El 28 de noviembre de 1975 se funda la Academia Mexicana de Criminalística, asociación civil, que actualmente es la Coordinación General de Servicios Periciales, dependiente de la Coordinación de Planeación, Desarrollo e Innovación Institucional de la Procuraduría General de la República.

 En ese orden de ideas, Alfonso Quiroz Cuarón define a la Criminalística como la Disciplina auxiliar del Derecho Penal que se ocupa del descubrimiento y verificación científica del delito y del delincuente.

 Aún cuando existen varios autores que dan una definición de criminalística, todos ellos coinciden en que es una ciencia natural que busca la demostración técnica y científica, auxiliándose de expertos en las diferentes ciencias, de la posible comisión de un delito, de su(s) víctima(s) y autor(es).

 Por su parte Hans Gross manifestó que si la inspección ha de ser útil, es indispensable que todos los objetos importantes o no, que figuran en el lugar del crimen permanezcan intactos, sin que por ninguna causa se les cambie de posición; el criterio anterior es reconocido y acogido por el artículo 123 de nuestro Código Federal de Procedimientos Penales.

En ese contexto una regla de oro para la criminalística es el no tocar o alterar cosa alguna, hasta que esté debidamente identificada, medida y fotografiada. Los preceptos 69 y 209 del ordenamiento precedente establecen lo relativo a la protección del lugar de los hechos.

 En la descripción del lugar de los hechos para sistematizar imágenes obtenidas partiendo de lo general a lo particular, se debe realizar preferentemente por dos personas, en donde el primero se encarga de la observación y narración de lo visto, mientras que el segundo centra su actividad en transcribir de manera detallada lo señalado por su compañero. El uso cámaras digitales, permiten que por medio de la función hash76, se obtenga una huella digital con autenticidad ante el juez (integridad archivo digital).

Para la criminalística al momento de la investigación siempre van a surgir las siguientes preguntas al momento de buscar evidencias: qué, quién, cómo, cuándo, dónde, por qué y con qué Y para responder estos cuestionamientos, se deben observar los siguientes aspectos:77

 1) Persona o representante de la autoridad procurará la conservación del área física por medio de las medidas necesarias

2) Clausura de todo acceso a la escena delictiva (lugar cerrado)

3) Identificar y delimitar área sujeta a estudio ((40 m2) lugar cerrado)

4) Control del acceso y salida del lugar de los hechos

5) Fijación y aplicación de procesos en equipos encendidos

6) Investigación de cada una de las conexiones de los equipos sujetos a investigación

7) Detalles que puedan relacionar al autor

 En las TIC todas las transacciones o procesos se almacenan en la memoria principal (RAM) y cualquier detalle proveniente de la correcta aplicación de esta técnica, puede convertirse en el indicio concluyente de la intervención.

 Efectivamente en las TIC el cuerpo del delito puede encontrarse en un solo dispositivo de almacenamiento, sin embargo también puede localizarse distribuido en diversos sistemas informáticos hallados dentro del lugar de los hechos; por ende la existencia de una cámara y una grabadora digital es lo ideal. En este orden de ideas se puede observar la existencia de tres especialidades periciales: la Criminalística, la Fotografía y las Tecnologías de la Información y la Comunicación

 Asimismo el autor alude a ciertos principios en que se basa la metodología de los peritos en criminalística al momento de efectuar la investigación del delito informático, éstos son:78

 Principio de Intercambio– Al momento de cometer un delito hay un intercambio de material sensible entre el autor y el lugar de los hechos. El problema en las TIC es que a pesar de enrutadores, servidores, el establecer el tiempo y la forma del almacenamiento de la información.

Principio Correspondencia de características– Comparación minuciosa de las características de dos muestras para deducir su origen. Los archivos electrónicos guardan características que permiten en algunas circunstancias, el rastreo de su origen y manipulación en el momento en que son creados y/ o alterados.

 En los archivos electrónicos se obtiene la huella digital por medio de la función hash para obtener elementos de cotejo.

Principio de reconstrucción de fenómenos o hechos– Toda transacción electrónica, deja indicios de su procedencia.

 Principio de probabilidad– Aplicado a las direcciones IP.

 Cabe señalar que la investigación de estos crímenes debe realizarse con una cultura de “tolerancia cero” para cualquier fechoría por mínima que sea. Algo que siempre hay que recordar del delito informático es que, “donde quiera que el intruso vaya, deja rastros. Estos pueden ser muy difíciles o casi imposibles de percibir, pero están ahí”.

 Esta indagación no es sencilla ni rápida, sino que es cara y algo abrumadora. La clave es recolectar toda la información vigente que gastamos, derrochamos o ignoramos. Es diferente para cada tipo de crimen y de investigador, aún cuando tienen cosas en común por ejemplo, el que todas necesitan de una estructura y ésta requiere tanto de profesionales que conozcan la tecnología, como de expertos que tengan el conocimiento sobre el procedimiento.

 Rossenblatt habla de seis finalidades iniciales de toda investigación y las cuales son en orden de importancia:79

  1. Entender la razón por la que se introdujo al sistema
  2. Obtener la información necesaria para rastrear y atrapar la conexión que el intruso está utilizando
  3. Descubrir la razón por la que el intruso eligió la computadora de la víctima
  4. Reunir toda la información posible de la intrusión
  5. Obtener información que pueda reducirse a una lista de sospechosos o por lo menos confirmar que el intruso no es un empleado
  6. Documentar los daños causados a la víctima por el intruso, incluyendo el tiempo y esfuerzos gastados por la víctima en investigar y determinar los daños a su computadora

 Probablemente en este momento surgirán cuestionamientos sobre la relación con el Derecho Penal, e incluso acerca del vínculo existente con lo que comúnmente conocemos como Delitos Informáticos. Bueno, al dar inicio a la investigación inevitablemente se empiezan a agotar los puntos arriba citados, muestra de ello es la obtención de la información necesaria para rastrear y atrapar la línea de conexión que el intruso está utilizando, así como la obtención de la información que pueda reducirse en una lista de sospechosos. Existen dos métodos para obtener datos de un sistema informático, que se basan en criterios técnicos y legales.

 Por lo que hace al primero de éstos, los datos se obtienen como parte de un registro del local o del lugar en el que está ubicado el sistema.

 Mientras que el segundo método, requiere la intervención o la vigilancia de los datos transmitidos desde el sistema, hacia él o dentro de él.

 Sobre las facultades de dicha revisión y si ésta es apegada a nuestra Carta Magna, por ejemplo respecto al párrafo XI del artículo 16 constitucional, aquí se presumen dichas facultades legales y que éstas incluirán competencia para registrar un sistema informático en un lugar determinado. La intervención puede realizarse por medios técnicos desde el exterior del sistema, o por medio de elementos incorporados al mismo con ese fin.

 El Derecho Procesal Penal tradicional prevé generalmente el decomiso y el bloqueo de sistemas informáticos completos, al igual que en el caso de cualquier otra prueba.

 Ahora cuando esto no es factible, probablemente se carezca de facultades legales suficientes para investigar el contenido de un sistema computarizado, contra la voluntad de su titular o titulares legítimos. La confiscación de todo un sistema informático puede resultar técnicamente inviable, o bien ser desproporcionada, por tratarse de un entorno con muchos usuarios a los que interesa el contenido de los datos.

 Cuando se pretende obtener datos para determinadas investigaciones las facultades legales tradicionales pueden resultar insuficientes a causa de:

 a) Problemas relacionados con la obtención de acceso al sistema informático;

b) La naturaleza intangible de los datos; y

 c) El hecho de que los datos puedan estar almacenados en un sistema conectado situado fuera del local registrado.

 En caso que en el local registrado se encuentra un sistema informático, las autoridades encargadas están por lo general facultadas para acceder a él e inspeccionar su contenido. Esto será posible si el sistema ya está funcionando, la persona de que se trate lo abre voluntariamente, o se encuentra un medio de acceder a él en el local.

Cuando no se da ninguna de estas circunstancias, entonces se tiene que acudir a la actuación de peritos cumpliendo con los procedimientos para el cateo, aseguramiento y obtención de pruebas digitales, para la correcta integración de la averiguación previa y posterior consignación y proceso penal.

 Los sistemas, los programas o los archivos de datos informáticos pueden estar protegidos contra el acceso no autorizado. Entonces el acceso se logra generalmente mediante procedimientos de identificación y autenticación, conforme a los cuales el usuario presenta una contraseña en forma manual, incorporada en una tarjeta inteligente, o una combinación de ambas cosas, o bien permitir la verificación de marcas biométricas. Para la seguridad de los datos, se suele recurrir al cifrado que garantiza la autenticación, protege la confidencialidad e implica la utilización de un algoritmo de cifrado y una o más claves.

 En el curso de una investigación con fines penales, los objetos tangibles se decomisan y trasladan a otra parte, o bien se adoptan medidas para que nadie, salvo las autoridades investigadoras, pueda disponer de los objetos. En el caso de los datos, por ser intangibles, basta por lo general con hacer una copia.

 No obstante, se requieren otras medidas cuando los datos son peligrosos, ilícitos o valiosos, o cuando existe la posibilidad de que las víctimas o la investigación sufran mayores daños. En tales supuestos, las leyes pueden conceder a las autoridades investigadoras la facultad de borrar los datos o de impedir su uso posterior. Para proteger los datos, puede resultar necesario copiarlos a fin de restituirlas a su estado original cuando así lo ordene un juez.

El registro de un sistema informático, tendrá lugar por lo general como parte de aquél respecto a locales o lugares. La facultad legal de realizar esta revisión, se ciñe normalmente a los límites físicos del lugar registrado. Una red informática tal vez no esté ubicada en un solo lugar, sino conectada con otras partes de la red mediante líneas de comunicación fijas o con conmutación.

 En estos casos se plantea la cuestión de si la ley permite inspeccionar los sistemas conectados cuando no estén situados en el lugar en que se realice el cateo. Si la exploración no es extensa, se corre el riesgo de que los datos sean borrados antes de que se pueda obtener otra orden de inspección del lugar en el que estén situados físicamente. En las redes grandes, puede resultar prácticamente imposible establecer la ubicación física exacta de los datos.

 El cateo en busca de datos y la selección de éstos en un sistema informático, plantea una serie de problemas jurídicos adicionales. El primero de ellos, es lo específico que sea acerca de la naturaleza y el formato de los datos buscados y para lo cual, se debe contar con la orden judicial para que sea legítimo. La ley puede imponer diferentes condiciones restrictivas a este respecto.

Además la ejecución fiel y precisa de la orden judicial, puede requerir demasiado tiempo, obligando a las autoridades encargadas a hacer una copia de todos los datos que parezcan de interés para su posterior análisis.

 Cabe observar que los datos son de naturaleza inestable, en consecuencia pueden trasladarse, borrarse o alterarse fácilmente, sin dejar rastros claros. El procesamiento distribuido de datos, no es el único factor de inestabilidad en estos últimos. El procesamiento electrónico, implica el tratamiento de grandes volúmenes de datos de naturaleza provisional que se pueden borrar en cuanto ya no son necesarios.

 Como ejemplos cabe citar los de registro de actividad y los relativos al tráfico de comunicaciones. Si no se tiene conocimiento del conjunto de los datos “originales”, es difícil detectar manipulaciones, en consecuencia será imposible recuperar los archivos eliminados, a menos que se haya mantenido información básica de reserva. La naturaleza de éstos plantea problemas en el caso de las inspecciones físicas:

 a) El registro en busca de datos, almacenados o que se estén transfiriendo electrónicamente, debe realizarse en la mayoría de los casos rápida y oportunamente, a fin de impedir interferencias en esa búsqueda o alteraciones de los datos

 b) Es necesario adoptar precauciones especiales para que los datos puedan presentarse como prueba ante los tribunales. Su integridad debe quedar asegurada desde el momento en que son extraídos o copiados del sistema informático objeto de investigación, hasta su utilización ante un tribunal.

 Las distinciones técnicas y jurídicas entre la captura de datos almacenados y la intervención de aquéllos que circulan por la red, también se han difuso. Los datos se procesan con un sistema informático, llamado a veces dispositivo automático de procesamiento de datos.

Esta operación incluye la introducción, la transferencia al equipo periférico (por ejemplo, a la pantalla de vídeo) y los dispositivos intermedios de almacenamiento, el procesamiento propiamente dicho, la transmisión de los resultados a dispositivos periféricos, para su almacenamiento y la salida o ulterior transmisión a otros componentes del sistema. La intervención de datos en un sistema informático, se reduce por lo general a la búsqueda de datos almacenados, que ha de realizarse utilizando funciones del sistema o programas informáticos específicos.

 La búsqueda de datos en transmisión puede realizarse por dispositivos del sistema (vigilancia) si se cuenta con ellos, o bien interceptando técnicamente el flujo de datos en alguna parte de las instalaciones de transmisión. Dado que en muchos casos los datos están tanto almacenados como en transmisión, o pasan frecuentemente de un estado al otro, los investigadores podrán elegir a menudo entre la incautación y la intervención, para obtener los mismos datos.

 La intervención de datos en transmisió, está a menudo sujeta a una norma más estricta, ya que es una operación encubierta, puede tener por objeto datos que no existían en el momento de autorizarse o de iniciarse la búsqueda y, en la mayoría de los casos, las partes interesadas no tienen conocimiento de la intervención y tal vez no sean informadas al respecto sino hasta mucho tiempo después de su realización, si es que se les da alguna información, lo cual puede argüirse en nuestro país de inconstitucional por violación al artículo 16 constitucional.

 Los datos electrónicos, copiados de archivos de datos o registrados de flujos de datos, exigen por lo general precauciones y medidas especiales para que puedan servir de prueba ante los tribunales, si ello es posible en absoluto.

 En muchos sistemas judiciales, el principio de inmediatez, es decir, que todas las pruebas deben presentarse ante el tribunal, exige que el material probatorio se ajuste a criterios muy elevados. En algunos países pueden existir requisitos de forma que dificulten o impidan, la utilización de datos electrónicos como prueba.

 Cualquier duda acerca de la fiabilidad del material de prueba determinará su inadmisibilidad. Lo anterior ya que los datos electrónicos pueden modificarse fácilmente sin dejar rastros, lo cual implica una pesada carga para las autoridades, que deben reunir esas pruebas de acuerdo con procedimientos transparentes y seguros que les permitan establecer su autenticidad.

 Para verificar la legitimidad, el tribunal debe estar en condiciones de examinar la fiabilidad del proceso de copia y registro del material de prueba, partiendo del portador original o del canal original de datos. También debe poder comprobar la validez de lo guardado originalmente.:

 a) El procedimiento de preservación y la seguridad de éste

b) Cualquier análisis de ese material; y

c) Si el material presentado ante el tribunal es conforme al material decomisado y

Además de las facultades convencionales de catear locales, muchos ordenamientos jurídicos permiten que los tribunales emitan órdenes de presentación relativas a objetos tangibles. En algunos casos, pueden concederse también facultades paralelas para ordenar la presentación de datos concretos.

 Estas facultades pueden estar sujetas a restricciones y condiciones específicas que no se aplican a las órdenes de presentación convencionales, para impedir que se ejerzan como medio de obtener información diferente a la especificada. Sin esos controles, por ejemplo, una orden podría obligar a una persona a reunir, procesar o seleccionar cualquier otro tipo de datos que no estén almacenados, ni bajo su control. Esta obligación iría más allá del alcance y sentido de una orden de presentación.

 Al solicitar y utilizar órdenes de presentación puede resultar útil que las autoridades encargadas de aplicar la ley, incluyan los registros de actividad de un sistema informático junto con los demás datos que se desee obtener. Esos registros recogen todas las operaciones realizadas en el sistema en orden cronológico, haciendo constar información sobre puntos como la hora, la duración y los terminales desde los cuales se tuvo acceso a los datos o se introdujeron alteraciones en ellos.

 De conformidad con las leyes tradicionales de muchos países, es posible que una autoridad judicial ordene la intervención y grabación de telecomunicaciones en redes públicas. En algunos países se ha ampliado esa facultad para abarcar también redes privadas, nuevas formas concretas de telecomunicación como sistemas móviles y sistemas de telecomunicaciones por satélite y redes de computadoras.

 La lógica de estas medidas legislativas, es que si pueden intervenirse las comunicaciones en una red y no en otra, los delincuentes utilizarán el sistema que presente el menor riesgo de acción por parte de las autoridades. La investigación de determinadas comunicaciones conforme a Derecho, requiere instalaciones técnicas especiales así como una base jurídica clara para el montaje de esos establecimientos y la rápida ejecución de una orden judicial de intervención.

A fin de identificar las comunicaciones que han de intervenirse y las personas que sostienen una comunicación investigada (se tiene que contar con la orden judicial correspondiente), es indispensable contar con la cooperación de los operadores de las redes, como los operadores de telecomunicaciones y los proveedores de servicios de Internet. Sólo estos últimos poseen la información necesaria sobre los acreditados.

 Los operadores de telecomunicaciones y los proveedores de servicios de Internet generalmente poseen datos sobre el tráfico de comunicaciones anteriores, obtenidos por equipo que registra detalles en particular, la hora, la duración y la fecha de cualquier comunicación, las partes que la sostuvieron o el tipo de servicio o actividad. Estos datos se conservan por lo general, durante un período limitado, según las necesidades comerciales del operador o proveedor y los requisitos legales o comerciales para la protección de la esfera privada.

Ahora bien cuando los datos de tráfico forman parte de la comunicación, como sucede con la “información de encabezamiento” (Asunto) de los mensajes por correo electrónico, la recopilación de aquéllos puede considerarse una intervención de la comunicación en sí y someterse por ese motivo a restricciones legales. En otros casos, puede considerarse que la reunión de datos sobre tráfico sin intervenir el contenido de la comunicación propiamente dicha, es una interferencia menor en la esfera privada de los interesados y someterla por lo tanto, a requisitos legales más suaves.

 Los casos de hacking o cracking plantean una necesidad particular de rápida intervención de una comunicación electrónica, así como de pronta disponibilidad de datos sobre tráfico, a fin de descubrir la fuente de la comunicación, preservar estos últimos y finalmente sorprender al autor in fraganti por razones probatorias. Generalmente los casos de cracking entrañan otros actos más graves, como fraudes o lavado de dinero, y que pueden determinarse en el momento de detectar las actividades del autor. Ésta puede considerarse una razón más para permitir la intervención en estos casos.

 La intervención de las comunicaciones electrónicas, puede verse obstaculizada por el hecho de que la comunicación esté cifrada por razones de confidencialidad y seguridad de las mismas, como se había manifestado anteriormente. La puesta en cifra se utiliza para permitir la autenticación de un mensaje, identificar al remitente y establecer la integridad de ese mensaje. Una segunda función de la cifra es garantizar la confidencialidad del mensaje (protegiéndolo frente a terceros).

En una serie de organizaciones internacionales se han celebrado recientemente deliberaciones sobre posibles políticas criptográficas. Las organizaciones que se interesan por facilitar la aplicación coercitiva de la ley y la lucha contra la delincuencia, sienten preocupación por las dificultades para obtener acceso legal a los datos cifrados, mientras que las interesadas por la salvaguarda de la esfera privada y los intereses comerciales, son partidarias de la criptografía para proteger la información personal y comercial.

 Algunos países productores de medios criptográficos, han considerado la posibilidad de controlar la proliferación de esos productos a fin de impedir que grupos delictivos o terroristas consigan acceder a ellos, fijando a tal efecto requisitos como la sujeción a licencia de aquéllos.

 No obstante, se propiciaría violaciones a la propiedad intelectual con la finalidad de los delincuentes de tener ingreso a los programas que no permitan la criptografía.

 De igual forma otros países han tratado de aplicar medidas prácticas en un intento de garantizar el acceso legal a las comunicaciones electrónicas protegidas por cifrado.

Entre estas medidas, figuran la utilización de microplaquetas especiales, sistemas de clave en fideicomiso o esfuerzos especiales para el descifrado de mensajes por medios técnicos. Las políticas de esta índole, se han enfrentado con algunas dificultades tecnológicas y la oposición de los defensores del derecho a la esfera privada y los intereses comerciales.

Existen Estados donde hay medidas que abordan en parte este problema. En muchos casos los operadores de redes y de telecomunicaciones, emplean el cifrado para proteger sus propios sistemas y las comunicaciones de sus clientes. Cuando estos operadores están obligados legalmente a cooperar con las autoridades en la intervención de determinada comunicación, igualmente esa obligación incluye el deber de eliminar cualquier cifrado que hubieran aplicado a la comunicación. Sin embargo en caso que el cifrado haya sido aplicado directamente por el cliente, el operador no podría en general descifrar.

 Otra posibilidad es que los legisladores consideren la conveniencia de obligar a las personas que participan en una comunicación cifrada, a proporcionar los medios de descifrarla cuando así lo ordene la autoridad judicial competente. Como medida protectora entra la autoincriminación, tal orden podría hacerse inaplicable contra los sospechosos u otras personas amparadas por alguna exención legal.

 Ahora por otra parte como ya se mencionó precedentemente, la mayoría de las naciones distinguen entre la intervención del flujo de datos y la de datos almacenados, pero el correo electrónico representa un desafío a esta distinción porque combina tanto la transferencia como el almacenamiento de datos. Cuando un mensaje se envía es transmitido por el proveedor de servicios del remitente al proveedor de servicios del destinatario. Una vez recibido, este último almacena el mensaje en el buzón del destinatario hasta su apertura.

 De esa forma el destinatario tiene acceso al mensaje y determina cuánto tiempo permanecerá en el buzón. Los mensajes del buzón están por consiguiente, bajo el control tanto del destinatario como del proveedor y generalmente las autoridades encargadas podrían tener acceso ejerciendo medidas coercitivas contra cualquiera de ellos.

 Normalmente preferirán ejercer las facultades investigadoras contra el proveedor de servicios de Internet, dado que de ese modo no alertarían al destinatario sobre la existencia de la investigación. En esos casos, las potestades legales de intervenir una comunicación y efectuar un registro físico del local y de cualesquiera computadoras situadas en él pueden convertirse de hecho en intercambiables.

David Icove y Karl Sieger en su libro “Computer Crime. A Crimefigther’s Handbook” enumeran cinco caminos básicos que usan los delincuentes informáticos para conseguir información:80

  1. Vigilar equipos y eventos
  2. Usar información pública
  3. Buscar en basureros
  4. Comprometer sistemas
  5. Comprometer gente (ingeniería social)

 La impunidad de los delitos informáticos encuentra como un factor adicional como se ha mencionado en capítulo anterior, la facilidad que tiene esta delincuencia para evitar su detección al momento de su ataque (cabe recordar a las víctimas inconscientes).

 Stephenson nos dice que si bien es cierto hay diversos criminales, los delincuentes informáticos son únicos toda vez que no solamente pueden evitar ser detectados, sino que en caso de serlo pueden dificultar establecer la relación que permita determinar el momento en que está sucediendo el ataque.

 En ese contexto primero estudian las acciones para obtener acceso a un servidor; posteriormente realizan dicha intrusión sin permitir una relación que ayude a establecer que el archivo ha sido vulnerado. Esto quiere decir que un delincuente informático que se ha introducido a un equipo, al salir de él borra todo rastro de su actuar y deja todo como al principio.

 ¿Cómo lo hacen? Bueno en primer lugar, hay que señalar algunos de los caminos que esta delincuencia utiliza para lograr transferir la información. Una de las formas en que esto se puede hacer es por medio de los TFTP (Trivial File Transfer Protocol), que es un método que se utiliza para estos fines en máquinas que no tienen disco duro; se obtiene la información necesaria de un administrador de redes y después esta última tiene que ser guardada en un chip, aunque ésta no necesita un ID o un password, lo cual representa una gran ventaja a quien quiere robar información sin dejar rastro.81

 No obstante afortunadamente, la mayoría de los administradores de los equipos están diseñando éstos para apagar la TFTP cuando no se requiera para acceder a un archivo; pero estos delincuentes al lograr dicho acceso pueden cambiar la configuración, encenderlo nuevamente y hacer uso de él sin tener que volver a ingresar a la máquina y sin que el titular de ésta se de cuenta de que está funcionando.

 La otra forma que tienen para borrar los rastros de su acceso ilegítimo es disfrazando la red telefónica. Las sesiones de red telefónica pueden funcionar de dos maneras. La primera es usando el comando…82

 telnet victim.com

 Este comando le da como desventaja al intruso, ir mostrando la información como límite en el proceso de lista de una máquina. Si el intruso pretende atacar otro equipo el administrador puede notificar esta entrada y amenazar con detener la intrusión.

 O bien la conexión se puede mostrar en códigos. Sin embargo si el intruso teclea solamente…

 telnet

 hay menos posibilidades de ser descubierto. Un experto generalmente oculta sus movimientos cuando accesa ilegítimamente durante el ataque. Es importante que él evite la detección a cada paso de su camino.

 Por último, otra técnica es cambiar por lo menos parcialmente, la identidad de la máquina. Esto se hace cuando se va a un sitio se identifica ante el host83 de una forma, y al momento en que se va a otro, se da otra diferente. Por supuesto que esto dificulta la tarea del investigador.

 

Sin rastro

 El no dejar rastro alguno es una característica de esta criminalidad. El delincuente informático hace dos cosas antes de dejar la escena del crimen:84

 La primera, es eliminar todos los archivos que ha usado, así como las herramientas de ataque que ha empleado en su estadía.

 La segunda es modificar los logs85 de los objetivos y borrar cualquier signo de su entrada. Usan las herramientas del usuario pues ya están ahí, no tienen ninguna cerradura, las obtienen de manera rápida y prácticamente no se va a ellas pues el propio sistema va a ellas cuando lo considera necesario.

 En ocasiones los delincuentes dejan herramientas o archivos en el tmp/directorio por falta de cuidado, por lo que es necesario que los investigadores siempre lo revisen. Por otro lado para modificar los logs, se necesitan herramientas especiales pues no todos ellos son simples textos. Al investigar cualquier modificación a estos últimos se deben encontrar también otras instrucciones o variaciones.

 Existen muchos logs que los delincuentes informáticos van a tratar de alterar como por ejemplo, los wtmp y utmp, los cuales guardan la trayectoria de las veces en que se dan las conexiones y desconexiones al sistema. Esta información es usada para el proceso de mandar información y quién la manda. Alterarlos requiere herramientas especiales que están disponibles dentro de la computadora.

 De igual manera otro log importante lo es el del sistema, también denominado syslog. Sin embargo si este último no está bien configurado, no se estará actualizando constantemente; también las máquinas en la medida de lo posible escriben y envían sus logs a un loghost, en otras palabras una computadora central que va guardando los logs y protegiéndolos de accesos ilegítimos.

 Ahora bien en la investigación muchas veces la clave es recolectar toda la información vigente que gastamos, derrochamos o ignoramos. Como ya se dijo anteriormente, ésta no es sencilla y es diferente para cada tipo de crimen y de investigador, aún cuando tienen cosas en común. Como el que todas necesitan de una estructura y requiere de profesionales que conozcan la tecnología, como aquellos expertos cuyo conocimiento verse sobre el procedimiento.

 Ahora el rastreo de una pista nos ayuda para86

 _ Entender el por qué el intruso entró al sistema

_ Obtener la información necesaria para rastrear y atrapar la conexión que el intruso está usando

_ Reunir toda la evidencia posible

_ Obtener toda la información que se pueda reducir a una lista de sospechosos

Sin embargo para que ello sea posible se deben encontrar los logs y en ocasiones se presentan ciertos problemas al momento de realizar la indagación:87

 No hay logs durante el período del ataque

Existencia de logs inadecuados en el período del ataque

Existencia de logs alterados en el período del ataque

Un intermediario entre el origen real del ataque y la computadora de la víctima    escondiendo así la ruta del ataque

Falta de cooperación de los administradores e intermediarios de sistemas

Direcciones IP falsas o engañosas

El acceso directo de la computadora de la víctima está cubierto por una alteración de log

Alteración del log de la víctima u otro truco para encubrir

Una simple llamada telefónica sin una oportunidad de rastreo

 Los log pueden ser alterados ya sea por el delincuente para disfrazar sus acciones, o por el investigador u otra persona interesada, lo cual obviamente representa un grave problema para cuestiones legales; por lo tanto siempre hay que asegurarse de sacar dos copias originales y seguir todos los pasos citados en apartado precedente para no afectar el valor probatorio de estas evidencias ni vulnerar ningún derecho fundamental contenido en nuestra Carta Magna.

 Por otra parte, una vez realizado el aseguramiento de los medios electrónicos e informáticos de la manera en que se mencionó con anterioridad, se procederá a la recolección de evidencia. Si existe la sospecha de que dentro de la computadora existe evidencia comprometedora, es necesario que tengamos una copia idéntica del disco duro.

 Así primero se tiene que reunir toda la evidencia que soporte nuestra hipótesis; sin embargo de la misma manera se deben recolectar todas aquéllas que puedan llegar a contrariar nuestras teorías. Esto se hace a efecto de prepararse contra todo tipo de argumentos que pretendan demeritar nuestros supuestos.

 Pero, ¿dónde podemos encontrar evidencia digital? Es cierto que estamos hablando de computadoras y otros equipos informáticos y electrónicos, sin embargo estos son propiedad de alguna persona y en ocasiones dejan evidencia en papel, la existencia de una computadora no va a cambiar eso, sólo reducirá el número de ellos.

 Este tipo de evidencia sigue el mismo curso para encontrarla que las relacionadas con cualquier otro delito en investigación. Hay que tener presente en todo momento que la evidencia de los delitos informáticos en la mayor parte de las ocasiones, es muy pequeña y casi imperceptible por lo que puede no verse o llegarse a perder.88

 En primer lugar podemos citar los escritorios, en los cuales se encuentran una gran variedad de papeles como notas, mensajes, memos, manuales, equipos y cables de computadora, etc., que si son examinados adecuadamente, se pueden encontrar evidencias en algunos de ellos.

 Posteriormente se aludirá a los monitores, en éstos es muy común encontrar notas pegadas que se pueden utilizar para encontrar ya sea nombres de usuarios y passwords. Si bien es cierto esta actividad es muy común entre los programadores, no es menos cierto que también esta acción resulta frecuente entre estos criminales, ya que cambian regularmente de nombre de usuario y password, y en ocasiones es bastante complicado guardar en la cabeza todos los datos.

 Por otra parte se pueden encontrar las carteras o si nos vemos más actuales en los Asistentes Personales, los cuales pueden contener identificaciones, tarjetas de crédito o de teléfono, números de las tarjetas crediticias, notas, nombres de otros hackers y passwords, números de teléfono, calendarios e incluso diskettes que pueden ser encontrados en estos instrumentos.

Ahora, para quienes trabajan con computadoras es muy típico guardar diskettes o tarjetas de memoria en las bolsas de su camisa o en su pantalón. Ambos pueden contener gran cantidad de información. De la misma manera se puede localizar en laptops y en teléfonos celulares que tienen la facilidad de ser transportadas por los delincuentes a todas partes.

 Para encontrar esta evidencia digital debemos recordar que las computadoras pueden guardar gran cantidad de información en espacios muy pequeños, por ejemplo un disco de 3 ½ pulgadas, un CD o todavía de menor tamaño una memoria USB, los cuales pueden ser escondidos en libros, pegados en la parte trasera del teclado, etcétera.89

Aún cuando revisar todos los documentos puede revestir la inversión de una gran cantidad de tiempo, aunque pueda parecer inútil es algo que no debe hacerse a un lado, debido a que en esa montaña de papel existe la posibilidad de esconderse las pasadas, presentes o futuras víctimas de un secuestro o de un homicidio.

 A diferencia de otro tipo de pruebas como puede ser la documental en papel, las evidencias electrónicas son pruebas físicas aunque de carácter intangible, ya que generalmente son rastros registrados en equipos informáticos.

 El ordenador registra los datos de todas las actividades que realiza. Dichos registros o logs son fundamentales en las investigaciones informáticas, siempre que se pueda comprobar que no han sido manipulados. Los servidores de correo, cortafuegos o el router también generan logs.

 En ocasiones, para la adquisición o recolección de la evidencia electrónica, el perito informático utiliza herramientas especializadas en la investigación informática. Durante ésta, el perito informático se puede encontrar con algunos obstáculos, como por ejemplo la dificultad a la hora de reconstruir la evidencia electrónica debido a que los datos están dañados o han sido eliminados.

 De igual manera, los elementos que deben regir el trabajo del perito informático son: la no alteración de la prueba y el principio de imparcialidad. En este sentido y con el fin de garantizar la autenticidad y seguridad de la información que constituye la prueba, la IOCE (International Organization on Computer Evidence) propone cinco principios sobre la adquisición y el tratamiento de la evidencia electrónica:

  1. Las acciones llevadas a cabo para adquirir la evidencia electrónica no deben modificarla.
  2. Las personas que accedan a la evidencia electrónica original deben estar formadas especialmente para ello.
  3. Toda aquella actividad referente a la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica, debe ser totalmente documentada,    almacenada y debe estar disponible para revisión.
  4. Un individuo es responsable de todas las acciones llevadas a cabo con respecto a la evidencia electrónica mientras ésta está en su posesión.
  5. Cualquier organismo que sea responsable de la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica debe cumplir estos principios.

La evidencia digital es como cualquier otra que se puede encontrar pero con una excepción: Es muy frágil y puede ser fácilmente dañada o destruida. Manejar los sistemas informáticos o electrónicos con sumo cuidado permite la correcta preservación de cualquier evidencia derivada de estos medios.

 Al iniciar la investigación en el lugar de los hechos se deben seguir una serie de pasos y los cuales necesitan ser agotados (los cuales podrán variar de acuerdo al caso) y de la misma manera elaborar una lista con todo lo que posiblemente se va a necesitar y que en el lugar de los hechos se pudiesen requerir pero por la premura del tiempo sea difícil o imposible conseguirlos. En otras palabras se debe tener contemplado todo el hardware, software y demás herramientas y equipos que se puedan necesitar en la investigación.

 Ahora bien como ya se ha mencionado anteriormente, la investigación de los delitos informáticos es multidisciplinaria y en donde la informática forense es una de las vertientes que debe seguir ésta. En ese orden de ideas se definirá a la Informática Forense como “Ciencia que involucra aspectos como la preservación, descubrimiento, identificación, extracción, documentación y la interpretación de datos informáticos; siguiendo procedimientos y metodologías claras y definidas. Encargándose de analizar los elementos de la Tecnología de información en busca de evidencia digital que colabore a iniciar o reforzar una causa judicial”.90

 Óscar Manuel Lira Arteaga* por su parte nos menciona que la Federal Bureau of Investigation (FBI), define a la Informática Forense como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un dispositivo ya sea electromagnético, óptico o electrónico. Sus objetivos son:91

 1) Compensación de los daños causados por los probables delincuentes;

2) Persecución y procesamiento judicial de los delincuentes, y

3) Creación y aplicación de medidas preventivas a este tipo de delitos.

 De la misma forma el autor en comento después de analizar conceptos de diversos autores y concluyendo que éstos sólo se centran en sistemas de cómputo y almacenamiento de información, él nos brinda una definición que considera más adecuada por fundamentarse en los principios de la Criminalística aplicada a las Tecnologías de la Información y Comunicación.

 En ese contexto, define a la investigación forense aplicada tecnologías de la Información y Comunicación como la rama de la Criminalística que se aplica en la búsqueda, tratamiento, análisis y preservación de indicios relacionados con una investigación, donde el equipo de cómputo y/ o telecomunicaciones ha sido utilizado como fin o medio para realizar una conducta presuntamente delictiva.92

 Los expertos en informática forense compiten con la alta volatilidad de la evidencia, la cual reside en las computadoras. Lo anterior en razón a que las pruebas de una intrusión, fácilmente pueden ser borradas o alteradas como parte de la acción criminal. Por este motivo es muy importante ser extremadamente cuidadoso con esta evidencia y basarse en los siguientes componentes:93

 _Identificación de evidencia digital- Sabiendo qué evidencia está presente, dónde y cómo se guarda, es vital determinar qué procesos serán empleados para efectuar su recuperación; además, el examinador forense debe poder identificar el tipo de información almacenada en un dispositivo y el formato en que se guarda para usar la tecnología apropiada para extraerlo.

 _Preservación de la evidencia digital– Es un elemento crítico en el proceso forense, debido a que los datos serán analizados minuciosamente en un juzgado, por lo tanto es indispensable que cualquier examen de los datos electrónicamente guardados, se lleve a cabo de la manera menos intrusiva posible. En situaciones dónde el cambio es inevitable, es esencial que la naturaleza y razón del mismo pueda explicarse con detalle. La alteración en aquéllos que tengan valor de evidencia, debe ser registrada y justificada. De la misma forma incluye cambios físicos que se hagan a un dispositivo electrónico en particular.

 _Análisis de la evidencia digital– La extracción, procesamiento e interpretación de los datos digitales, se consideran generalmente como los elementos principales de la informática forense. Una vez obtenida la evidencia digital, normalmente se requiere de un proceso, antes que pueda ser comprendida por las personas.

 _Presentación de evidencia digital- Esto incluye la manera formal de la presentación, la especialización y calificaciones del perito, así como la credibilidad de los procesos que empleó para producir la evidencia que se está presentando ante el juzgador, árbitro o mediador que interviene.

 Consecuentemente los resultados generados deben derivarse de un proceso que sea legalmente aceptable, razón por la cual la investigación debe realizarse cumpliendo con todos los requisitos que exige la ley. El no hacerlo originará que la evidencia digital sea considerada inadmisible o dudosa (más adelante se hablará del principio de las raíces envenenadas).

 Cuando el forense informático inicia una investigación, antes que nada revisa entre otros elementos, las bitácoras y los archivos relevantes en el equipo de cómputo, y también identifica usuarios no autorizados, procesos y servicios maliciosos. En seguida busca archivos o directorios inusuales o escondidos, verifica puntos de acceso no autorizados y también, examina tareas programadas. Como ejemplo de ello se pueden citar los siguientes campos de investigación: 94

 Cookies

Marcadores o Favoritos

Historia de Amortiguación

Caché

Archivos Temporales

Localización de veces y duración de las conexiones

Lista de documentos recientes

Trayectoria y uso del software instlado

Revisión del Sistema

Revisión Manual

Archivos Escondidos

Los perros y los delitos informáticos

 Sabemos que los cuerpos de seguridad usan perros guía para la detección de determinados pruebas, la localización de drogas principalmente o incluso dinero falso, entre otros, pero ahora se les ha entrenado también para detectar delitos informáticos.

¿Perros detectando delitos informáticos? Los pioneros han sido una pareja de canes llamados Selma y Thoreau, entrenados específicamente para descubrir dispositivos que contengan contenido malicioso, y que pertenecen al programa de perros guía para invidentes de Nueva York.

  Pero, ¿cómo detectan estos canes estos delitos? Simplemente rastrean un agente químico que está presente en determinados componente electrónicos: ordenadores, tarjetas de memoria, discos duros externos, cámaras digitales y memorias USB.

 Gracias al olfato entrenado de estos dos perros, en los registros policiales se han localizado aparatos de estas características que contenían pornografía infantil o archivos fraudulentos. Y además han facilitado la detección de personas vinculadas a estos delitos informáticos, y en algunos casos han podido identificar tejidos, metales y paredes donde habían estado ubicados y en donde habían quedado restos.

 El nombre del químico se desconoce y por motivos de seguridad no se ha revelado. Sin embargo, sí se sabe que lo ha descubierto el científico forense Jack Hubball que es conocido por haber encontrado la manera de aislar un químico presente en los incendios. Ahora gracias a este descubrimiento es posible que los perros rastreen de forma adecuada en la escena de un crimen y detecten narcóticos y explosivos.

 El comienzo del empleo de perros que puedan olfatear (literalmente) sustancias que son segregadas de los dispositivos al momento de ser empleados de determinada manera , algún tipo de droga o una posible bomba, permite fortalecer más la investigación que realicen los diversos peritos que participen en la escena del crimen y la carpeta de investigación se encuentre mejor integrada al ser presentada por el Fiscal.

 En Estados Unidos se habla actualmente de la existencia de unos 750, 000 depredadores online, por lo que al parecer el FBI ya se ha mostrado interesado en este nuevo servicio. De hecho, en un caso en el que participó durante el año pasado, uno de los perros encontró dentro de una máquina de coser una tarjeta de memoria. Así se detuvo al dueño y se detectaron a varias víctimas de pornografía infantil. El siguiente reto de Hubball es averiguar cuál es el compuesto de las pantallas de cristal que logre hacer saltar el olfato de los perros para, por ejemplo, detectar smartphones escondidos.

 De momento este adiestramiento sólo se ha puesto en práctica en Estados Unidos, pero seguramente pronto traspasará sus fronteras teniendo en cuenta la utilidad de este sistema en los registros de las viviendas o locales donde operan los “ciber” delincuentes. Por el momento, los agentes sólo disponen de su intuición o de la propia confesión de los detenidos para encontrar los dispositivos que puedan contener pruebas relevantes para su propia incriminación, de modo que a partir de ahora este nuevo método se lo pondrá más difícil a los delincuentes.

 Desafortunadamente estos últimos avanzan en sus métodos de infringir la ley en forma gigantesca tanto en el mundo real, como con el mal uso y abuso de las TIC’s, que se incrementa aún más. Lo anterior debido a que por ejemplo, tanto la autoría de un delito o su complicidad o participación en éste no se sabe determinar, el tiempo y el  lugar crean problemas de jurisdicción, competencia y prescripción (estos dos aspectos con características muy especiales en estos ilícitos y sobre lo cual ya se ha hablado), la clasificación del tipo penal se dificulte al grado de no saber encuadrarlo (de lo cual ya hemos hablado en textos anteriores) o se considera que el hecho de haberse utilizado otro medio de comisión hace diferente la conducta delictiva, hace que los delitos informáticos posean un carácter “particular” pero de la misma forma ilícito y aún más peligrosos tanto para la integridad humana (como secuestro, ciber acoso), como también para los países (ciber terrorismo).

 El empleo de perros dentro de la investigación de los delitos informáticos, si bien no garantiza una mayor certeza en la búsqueda de indicios, o de otra cualquier cosa que pueda ayudar a integrar la investigación correspondiente, toda vez que el olfato de estos animales también puede ser engañado, si coadyuva y permite cerrar posibilidades dentro de los estudios periciales que se tienen que llevar a cabo en determinada escena del crimen.

BIBLIOGRAFÍA

  •  Rivas Mayett, Diana. “CIBERCRIMINALIDAD EN MÉXICO”. Servicio Expréss de Impresión. Pp 91 a 128. México 2012

75 Lira Arteaga, Óscar Manuel. Ibid, pp 25 a 65

76Una herramienta fundamental en la cripotografía. Usadas principalmente para resolver el problema    de la integridad y autenticidad de los mensajes y de su origen. Una función hash es también    ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado    grandes, la función hash les asocia una cadena de longitud 160 bits que los hace más manejables    para el propósito de firma digital. Ver http://www.wikilearning.com/curso_gratis/la_seguridad_en_informatica-funciones_hash/3625-4

77 Lira Arteaga, op. cit, pp 39 y 40

78 Op cit, p 37

79 Stephenson, Peter, Investigating Computer-Related Crime, CRC Press, p 67

80 Stephenson, op cit, nota 63, p 10.

81 Ibid, p 17.

82 Ibid, p 19.

83 Utilizado a veces como sinónimo de mainframe, en realidad identifica al ordenador central en un     sistema informático complejo.

84 Ibid, pp 19 y 20.

85 Archivo que registra movimientos y actividades de un determinado programa (log file). En un servidor     web, se encarga de guardar todos los requerimientos (“requests”) y servicios entregados desde él,     por lo que es la base del software de estadísticas de visitas)

86 Stephenson, op cit, nota 63, pp 74 y 75.

87 Ibidem.

88 Clark, Frankliny y Diliberto, Ken, Investigating Computer Crime, CRC Press. Pp 13 a 24.

89 Ibid. p 26

90 Farías Elinos, Mario et al., El Cómputo Forense: Una forma de obtener evidencia para combatir

   los delitos informáticos.

91 Ver página electrónica del Software Engeenering Institute Carnegie Mellon University [en línea],

http://www.sei.cmu.edu/reports/05hb001.pdf

92 Lira Arteaga, Óscar Manuel, op cit, p 257

93 Farías, Ibidem

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s