La finalidad del presente documento es brindar una mirada introductoria a la informtica forense a fin de sentar las bases de la investigacin

cientfica en esta materia, dndole pautas a los futuros investigadores de cmo manejar una escena del delito en donde se vean involucrados sistemas de informacin o redes y las posterior recuperacin de la llamada evidencia digital

FISCALIA GENERAL DEL ESTADO

Informtica Forense en el Ecuador Una mirada introductoria

Dr. Santiago Acurio Del Pino 08/12/2009
FISCALIA GENERAL DEL ESTADO ECUADOR

INTRODUCCIN A LA INFORMTICA FORENSE Introduccin a la Informtica Forense

Dr. Santiago Acurio Del Pino1
Introduccin a la Informtica Forense ................................................................................... 1 1.INTRODUCCIN .............................................................................................................. 2 2.- LA INVESTIGACIN Y LA PRUEBA DE LOS DELITOS INFORMTICOS ............................ 4 2.1.HARDWARE O ELEMENTOS FSICOS ........................................................................... 6 2.2.INFORMACIN ........................................................................................................... 7 3.- LAS CIENCIAS FORENSES .............................................................................................. 8 4.- LA INFORMTICA FORENSE .......................................................................................... 8 5.EVIDENCIA DIGITAL ...................................................................................................... 9 5.1.FUENTES DE LA EVIDENCIA DIGITAL ....................................................................... 11 5.3.EVIDENCIA DIGITAL CONSTANTE Y VOLTIL .......................................................... 12 5.4.LA DINMICA DE LA EVIDENCIA ............................................................................. 13 6.ROLES EN LA INVESTIGACIN ..................................................................................... 15 6.1.PERITOS INFORMTICOS .......................................................................................... 16 7.INCIDENTES DE SEGURIDAD ........................................................................................ 20 7.1.AMENAZAS DELIBERADAS A LA SEGURIDAD DE LA INFORMACIN ........................... 23 7.2.- ATAQUES PASIVOS .................................................................................................. 24 7.3.- ATAQUES ACTIVOS .................................................................................................. 25 7.PROCEDIMIENTO DE OPERACIONESESTNDAR.......................................................... 27 8.INVESTIGACIN EN LA ESCENA DEL DELITO. ............................................................. 29 8.1.- RECONSTRUCCIN DE LA ESCENA DEL DELITO ........................................................ 31 9.- FASES DE LA INVESTIGACIN FORENSE. ..................................................................... 32 9.1.- RECOLECCIN ......................................................................................................... 32 9.2.- PRESERVACIN ....................................................................................................... 32 9.3.- FILTRADO................................................................................................................ 32 9.4.PRESENTACIN........................................................................................................ 32 10.- EL DELITO INFORMTICO Y SU REALIDAD PROCESAL EN EL ECUADOR ................... 33 11. BIBLIOGRAFA ........................................................................................................... 35

1.- Introduccin
Increblemente los delincuentes hoy estn utilizando la tecnologa para facilitar el cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto la Polica Judicial, la Fiscala y la Funcin Judicial deba especializarse y capacitarse en estas nuevas reas en donde las TICs 2 se convierten en herramientas necesarias en auxilio de la Justicia y la persecucin de delito y el delincuente. Los hbitos de las personas han cambiado con el uso de las TICs, tambin las formas en que los delincuentes actan y comenten sus actos reprochables, es as que el acceso universal a las tecnologas de la informacin y la comunicacin brinda

nuevas oportunidades para que gente inescrupulosa, delincuentes, porngrafos infantiles, artistas del
1

Director Nacional de Tecnologa de la Informacin de la Fiscala General del Estado, Profesor de la Universidad Catlica del Ecuador. sacurio@hotmail.com 2 Tecnologas de la Informacin y la Comunicacin

Dr. Santiago Acurio Del Pino 2

INTRODUCCIN A LA INFORMTICA FORENSE engao, quienes realizan toda clase de ataques contra la intimidad, fraudes informticos, contra el trfico jurdico probatorio, que atacan a la integridad de los sistemas computacionales y de red a nivel mundial, acten de forma desmedida sin que los operadores de justicia puedan hacer algo, ya que estos han quedado relegados en sus actuaciones por la falta de recursos tecnolgicos y capacitacin a fin de lidiar con la evidencia digital presente en toda clase de infracciones y especialmente en los llamados Delitos Informticos. La comisin de infracciones informticas es una de las causas de preocupacin de los elementos de seguridad de muchos pases en este momento dado que las mismas han causado ingentes prdidas econmicas especialmente en el sector comercial y bancario donde por ejemplo las manipulaciones informticas fraudulentas ganan ms terreno cada vez ms, se estima que la prdida ocasionada por este tipo de conductas delincuenciales supera fcilmente los doscientos millones de dlares, a lo que se suma la prdida de credibilidad y debilitamiento institucional que sufren las entidades afectadas. Es por eso que en pases como Estados Unidos, Alemania o Inglaterra se han creado y desarrollado tcnicas y herramientas informticas a fin de lograr tanto el descubrimiento de los autores de dichas infracciones as como aseguran la prueba de estas. Una de estas herramientas es la informtica Forense, ciencia criminalstica que sumada al impulso y utilizacin masiva de las Tecnologas de la Informacin y de la Comunicacin en todos los mbitos del quehacer del hombre, est adquiriendo una gran importancia, debido a la globalizacin de la Sociedad de la Informacin3. Pero a pesar de esto esta ciencia no tiene un mtodo estandarizado, razn por la cual su admisibilidad dentro de un proceso judicial podra ser cuestionada, pero esto no debe ser un obstculo para dejar de lado esta importante clase de herramienta, la cual debe ser manejada en base a rgidos principios cientficos, normas legales y de procedimiento. Es necesario mencionar que son los operadores de justicia tanto como los profesionales de la informtica, los llamados a combatir los delitos tecnolgicos, ya que los primeros saben cmo piensa el delincuente y su modus operandi, mientras los otros conocen el funcionamiento de los equipos y las redes informticas. Unidos los dos conforman la llave para combatir efectivamente esta clase de infracciones.
3

Es una sociedad en la que la creacin, distribucin y manipulacin de la informacin forman parte importante de las actividades culturales y econmicas, es decir es un estadio del desarrollo social caracterizado por la capacidad de los ciudadanos, el sector pblico y el empresarial para compartir, generar, adquirir y procesar cualquier clase de informacin por medio de las tecnologas de la informacin y la comunicacin, a fin de incrementar la productividad y competitividad de sus miembros, y as reducir las diferencias sociales existentes contribuyendo a un mayor bienestar colectivo e individual.

Dr. Santiago Acurio Del Pino 3

INTRODUCCIN A LA INFORMTICA FORENSE

De lo expuesto se colige que es necesario contar dentro de los operadores de justicia con el personal capacitado en estas reas para lidiar con esta clase de problemas surgidos de la mal utilizacin de la las Tecnologas de la Comunicacin y la Informacin. La finalidad del presente documento es brindar una mirada introductoria a la informtica forense a fin de sentar las bases de la investigacin cientfica en esta materia, dndole pautas a los futuros investigadores de cmo manejar una escena del delito en donde se vean involucrados sistemas de informacin o redes y las posterior recuperacin de la llamada evidencia digital.

2.- La Investigacin y la Prueba de los Delitos Informticos

La prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirta una hiptesis o afirmacin precedente, se llega a la posesin de la verdad material. De esta manera se confirmar la existencia de la infraccin y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, todo esto servir para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. Por ejemplo en delitos como el fraude informtico o la falsificacin electrnica, los medios de prueba4 generalmente son de carcter material o documental, esto en razn de que esta clase de infracciones son del tipo ocupacional, (caracterstica comn en la mayora de estas transgresiones). Esto significa que la persona o personas que cometen esta variedad de actos disvaliosos en un noventa por ciento (90%) trabajan dentro de las instituciones afectadas; en consecuencia la prueba de estos delitos se encuentra generalmente en los equipos y programas informticos, en los documentos electrnicos, y en los dems mensajes de datos que utilizan e intercambian estas personas en su red de trabajo. Situacin la cual hace indispensable que el investigador, cuente con el conocimiento suficiente acerca del funcionamiento de toda clase de sistemas informticos, as como una slida formacin en cmputo forense y la capacidad para la administrar las evidencias e indicios de conviccin aptos para lograr una condena en esta clase de infracciones. Adicionalmente, estas conductas delictivas, eventos lesivos al orden jurdico, si bien pueden ser solucionados en parte a travs de la normativa vigente en el Ecuador como la Ley de Comercio Electrnico y Mensajes de Datos y el Cdigo de Procedimiento Penal, la particular naturaleza de los medios empleados para su comisin y
4

Procedimiento que establece la Ley para ingresar un elemento de prueba en un proceso, por ejemplo las formalidades para brindar testimonio, o el contenido de un acta de reconocimiento.

Dr. Santiago Acurio Del Pino 4

INTRODUCCIN A LA INFORMTICA FORENSE fundamentalmente la falta de medios probatorios apropiados (Gua de Buenas prcticas en el manejo de evidencia digital, software y hardware especializado, personal capacitado), dificulta que se arribe a sentencias condenatorias5. Es necesario partir del principio de que la informacin constituye un valor econmico con relevancia jurdico-penal, por ser posible objeto de conductas delictivas (acceso no autorizado, sabotaje o dao informtico, espionaje informtico, etc.) y por ser instrumento de comisin, facilitacin, aseguramiento y calificacin de los ilcitos tradicionales, llegando a ser un bien jurdico protegido, susceptible de proteccin legal propia y especfica del ordenamiento jurdico imperante. Desde esa concepcin, se han de identificar, reconocer y legalizar los procedimientos y herramientas tcnicas especializadas en este tipo de infracciones para asegurar la prueba, otorgarle validez plena y constituirla en el fundamento para la valoracin y decisin judicial, situacin que como ya se sealo en lneas precedentes est relativamente regulado por la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos y el propio Cdigo de Procedimiento Penal vigente en nuestro pas. De lo expuesto es importante clarificar los conceptos y describir la terminologa adecuada que nos seale el rol que tiene un sistema informtico dentro del iter criminis o camino del delito. Esto a fin de encaminar correctamente el tipo de investigacin, la obtencin de indicios y posteriormente los elementos probatorios necesarios para sostener nuestro caso. Es as que por ejemplo, el procedimiento de una investigacin por homicidio que tenga relacin con evidencia digital ser totalmente distinto al que, se utilice en un fraude informtico, por tanto el rol que cumpla el sistema informtico determinara donde debe ser ubicada y como debe ser usada la evidencia. Ahora bien para este propsito se han creado categoras a fin de hacer una necesaria distincin entre el elemento material de un sistema informtico o hardware (evidencia electrnica) y la informacin contenida en este (evidencia digital). Esta distincin es til al momento de disear los procedimientos adecuados para tratar cada tipo de
5

Este hecho se evidencio dentro de la Audiencia de Juzgamiento que por el delito de Falsificacin Informtica se sigui en el Cuarto Tribunal Penal de Pichincha en donde y luego de analizar la teora del caso con todos los participantes del proceso se logro pulir una estrategia eficaz para dicha Audiencia, tomando en cuenta que la carga de la prueba recae completamente en la Fiscala, dicho lo cual se monto un escenario de anlisis donde se examinaron los indicios de conviccin con los cuales se sustento la acusacin fiscal al igual que el grado de participacin y la responsabilidad de cada uno los acusados en este Juicio. La audiencia se realizo sin muchas complicaciones pero se improviso mucho, no se aplico de forma rigurosa los principios de la Informtica Forense en relacin a la evidencia digital encontrada, pero a pesar de esto al final se demostr la existencia de la infraccin y la responsabilidad de los encausados logrando una sentencia condenatoria.

Dr. Santiago Acurio Del Pino 5

INTRODUCCIN A LA INFORMTICA FORENSE evidencia y crear un paralelo entre una escena fsica del crimen y una digital. En este contexto el hardware se refiere a todos los componentes fsicos de un sistema informtico, mientras que la informacin, se refiere a todos los datos, mensajes de datos y programas almacenados y trasmitidos usando el sistema informtico.

2.1.- Hardware o Elementos Fsicos

SISTEMA INFORMTICO HARDWARE (Elementos Fsicos) Evidencia Electrnica El hardware es mercanca ilegal o fruto del delito. Dr. Santiago Acurio Del Pino 6 El hardware es una mercanca ilegal cuando su posesin no est autorizada por la ley. Ejemplo: en el caso de los decodificadores de la seal de televisin por cable, su posesin es una violacin a los derechos de propiedad intelectual y tambin un delito. El hardware es fruto del delito cuando este es obtenido mediante robo, hurto, fraude u otra clase de infraccin. El hardware es un instrumento Es un instrumento cuando el hardware cumple un papel importante en el cometimiento del delito, podemos decir que es usada como un arma o herramienta, tal como una pistola o un cuchillo. Un ejemplo seran los snifers y otros aparatos especialmente diseados para capturar el trfico en la red o interceptar comunicaciones. El hardware es evidencia En este caso el hardware no debe ni ser una mercanca ilegal, fruto del delito o un instrumento. Es un elemento fsico que se constituye como prueba de la comisin de un delito. Por ejemplo el scanner que se uso para digitalizar una imagen de pornografa infantil, cuyas caractersticas nicas son usadas como elementos de conviccin

INTRODUCCIN A LA INFORMTICA FORENSE

2.2.- Informacin
SISTEMA INFORMTICO INFORMACIN Evidencia Digital La informacin es mercanca ilegal o el fruto del delito. Dr. Santiago Acurio Del Pino 7 La informacin es considerada como mercanca ilegal cuando su posesin no est permitida por la ley, por ejemplo en el caso de la pornografa infantil. De otro lado ser fruto del delito cuando sea el resultado de la comisin de una infraccin, como por ejemplo las copias pirateadas de programas de ordenador, secretos industriales robados. La informacin es un instrumento La informacin es un instrumento o herramienta cuando es usada como medio para cometer una infraccin penal. Son por ejemplo los programas de ordenador que se utilizan para romper las seguridades de un sistema informtico, sirven para romper contraseas o para brindar acceso no autorizado. En definitiva juegan un importante papel en el cometimiento del delito. La informacin es evidencia Esta es la categora ms grande y nutrida de las anteriores, muchas de nuestras acciones diarias dejan un rastro digital. Uno puede conseguir mucha informacin como evidencia, por ejemplo la informacin de los ISPs, de los bancos, y de las proveedoras de servicios las cuales pueden revelar actividades particulares de los sospechosos En resumen el propsito fundamental de las categoras antes mencionadas es el de enfatizar el papel que juegan los sistemas informticos en la comisin de delitos, a fin de que el investigador criminal tenga un derrotero claro y preciso al buscar los elementos conviccin que aseguren el xito dentro de un proceso penal. En estas condiciones para efectos probatorios son objeto de examen, tanto el hardware como la informacin contenida en este, para lo cual es necesario contar con el auxilio y el conocimiento que nos brinda la ciencia informtica, y en particular de la Ciencia Forense Informtica.

INTRODUCCIN A LA INFORMTICA FORENSE 3.- Las Ciencias Forenses

Las Ciencias Forenses son la utilizacin de procedimientos y conocimientos cientficos para encontrar, adquirir, preservar y analizar las evidencias de un delito y presentarlas apropiadamente a una Corte de Justicia. Las ciencias forenses tienen que ver principalmente con la recuperacin y anlisis de la llamada evidencia latente, como por ejemplo las huellas digitales, la comparacin de muestras de ADN, etc. Las ciencias forenses combinan el conocimiento cientfico y las diferentes tcnicas que este proporciona con los presupuestos legales a fin de demostrar con la evidencia recuperada la existencia de la comisin de un acto considerado como delictivo y sus posibles responsables ante un Tribunal de Justicia. Las ciencias forenses han sido desarrolladas desde hace mucho tiempo atrs. Uno de los primeros textos y estudios en este campo los podemos ubicar en el ao de 1248 DC, cuando el mdico chino HI DUAN YU, escribi el libro COMO CORREGIR LOS ERRORES, en el cual se explicaban las diferencias entre una muerte por ahogamiento y otra por una herida de cuchillo al igual que la muerte por causas naturales. Posteriormente con el avance de la ciencia y la tecnologa, las ciencias forenses han alcanzado un desarrollo inconmensurable, pero ese desarrollo a veces no ha ido de la mano del avance de la legislacin penal. Esto en razn del retrazo en la incorporacin de nuevos elementos de prueba y medios probatorios y sobre todo en la demora de la admisibilidad de nuevas evidencias o pruebas. Este es el caso por ejemplo de la prueba de ADN que fue admitida en un juicio recin en el ao de 1996, pero su desarrollo y comprensin se logr desde la dcada de los ochentas. Las ciencias forenses siempre estn en constante cambio, siempre buscando nuevos mtodos y procesos para encontrar y fijar las evidencias de cualquier tipo. Creando nuevos estndares y polticas. Son ochocientos aos de experiencia como disciplina cientfica.

4.- La Informtica Forense

Es una ciencia forense que se ocupa de la utilizacin de los mtodos cientficos aplicables a la investigacin de los delitos, no solo Informticos y donde se utiliza el anlisis forense de las evidencias digitales, en fin toda informacin o datos que se guardan en una computadora o sistema informtico 6. En conclusin diremos que Informtica Forense es la ciencia forense que se encarga de la preservacin, identificacin, extraccin, documentacin y interpretacin de la evidencia digital, para luego sta ser presentada en una Corte de Justicia.
6

Sistema Informtico: Es todo dispositivo fsico o lgico utilizado para crear, generar, enviar, recibir, procesar, comunicar o almacenar, de cualquier forma, mensajes de datos.

Dr. Santiago Acurio Del Pino 8

INTRODUCCIN A LA INFORMTICA FORENSE

La informtica forense es el vehiculo idneo para localizar y presentar de forma adecuada los hechos jurdicos informticos relevantes dentro de una investigacin, ya sea de carcter civil o penal. La ciencia forense es sistemtica y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnologa, en caso de la identificacin, recoleccin y anlisis forense en sistemas informticos, son aplicaciones que hacen un papel de suma importancia en recaudar la informacin y los elementos de conviccin necesarios. La escena del crimen es el computador y la red a la cual ste est conectado. Histricamente la ciencia forense siempre ha basado su experiencia y su accionar en estndares de prctica y entrenamiento, a fin de que las personas que participan o trabajan en este campo cientfico tengan la suficiente probidad profesional y solvencia de conocimientos para realizar un buen trabajo en su rea de experiencia. Esta situacin debe ser igual en le campo de la Informtica forense, es por tanto necesario que las personas encargadas de este aspecto de la ciencia forense tenga parmetros bsicos de actuacin, no solo en la incautacin y recoleccin de evidencias digitales, sino tambin en su procesamiento, cumpliendo siempre con los principios del bsicos del debido proceso. El objetivo de la Informtica forense es el de recobrar los registros y mensajes de datos existentes dentro de un equipo informtico, de tal manera que toda esa informacin digital, pueda ser usada como prueba ante un tribunal. De otro lado, esta ciencia forense necesita de una estandarizacin de procedimientos y de acciones a tomar, esto en razn de las caractersticas especficas que las infracciones informticas presentan. Son entonces estas propiedades que contribuyen a la existencia de una confusin terminolgica y conceptual presente en todos los campos de la informtica, especialmente en lo que dice relacin con sus aspectos criminales.

5.- Evidencia Digital

En derecho procesal la evidencia es la certeza clara, manifiesta y tan perceptible que nadie puede dudar de ella. De otro lado la evidencia digital es cualquier mensaje de datos almacenado y trasmitido por medio de un Sistema de Informacin que tenga relacin con el cometimiento de un acto que comprometa gravemente dicho sistema y que posteriormente gui a los investigadores al descubrimiento de los posibles infractores. En definitiva son campos magnticos y Dr. Santiago Acurio Del Pino 9

INTRODUCCIN A LA INFORMTICA FORENSE pulsos electrnicos que pueden ser recogidos y analizados usando tcnicas y herramientas especiales7, no es otra forma de EVIDENCIA LATENTE, necesita para su recoleccin y preservacin principios cientficos y un marco legal apropiado. Para Miguel Lpez Delgado la evidencia digital es el conjunto de datos en formato binario, esto es comprende los archivos, su contenido o referencias a stos (metadatos8) que se encuentren en los soportes fsicos o lgicos de un sistema comprometido por un incidente informtico 9. Otros autores como Anthony Reyes 10 se refieren a la evidencia digital como OBJETOS DE DATOS en relacin a la informacin que es encontrada en los dispositivos de almacenamiento o en las piezas de almacenamiento multimedia, que no son ms que cadenas de unos y ceros es decir de informacin binaria o digital grabada en un dispositivo magntico (como discos duros o los disquetes), en uno de estado slido 11 o memoria solida (como las memorias flash y dispositivos USB) y los dispositivos pticos (como los discos compactos y DVD). Estos objetos de datos podemos encontrarlos en una gran cantidad de dispositivos tales como computadores personales, en IPODS, telfonos celulares, los cuales tienen sistemas operativos y programas que combinan en un particular orden esas cadenas de unos y ceros para crear imgenes, documentos, msica y muchas cosas ms en formato digital. Pero tambin existen otros objetos de datos que no estn organizados como archivos, son informaciones que estn vinculadas a archivos como los metadatos antes mencionados, otros son fragmentos de archivos que quedan despus de que se sobrescribe la informacin a causa del borrado de los archivos viejos y la creacin de los archivos nuevos esto se llama SLACK SPACE, o espacio inactivo. Tambin pueden quedarse almacenados temporalmente en los archivos de intercambio (SWAP FILE) o en la misma memoria RAM.
7

CASEY Eoghan, Handook of Computer Investigation, Elsevier Academia Press, 8 El 2005 trmino meta proviene del griego y significa junto a, despus, siguiente. Los metadatos pueden ser definidos como datos sobre los datos. Son como las etiquetas de un producto, nos brinda informacin relativa a este como, el peso fecha de caducidad, etc. Tecnologas de la Informacin a la comunicacin ALONSO, Juan A. y otros, Editorial ALFAOMEGA y RA-MA, 2005 9 LOPEZ DELGADO, Miguel, Anlisis Forense Digital, Junio del 2007, CRIPORED. 10 REYES, Anthony, Investigacin del Cibercrimen, Syngress 2007. 11 Ms conocidos como SSD (Solid-State Drive) son dispositivos de almacenamientos de datos que usan una memoria solida para almacenar la informacin de forma constante de forma similar que un disco duro usando lo que se conoce como SRAM (Memoria de Acceso Randmico Esttico) o DRAM (Memoria de Acceso Randmico Dinmico). Estas memorias simulan la interfaz de un disco magntico convirtindose en dispositivos de almacenamiento masivo.

Dr. Santiago Acurio Del Pino 10