viernes, 22 de julio de 2016

Home » » El investigador y la criminalística digital

El investigador y la criminalística digital

By    3:01 p.m.   No comments


Objetivos 
  •  Realizar el concepto emergente de la criminalística digital analizar los roles y las responsabilidades del investigador forense en informática 
  •  Describir los modelos y algunos procedimientos para adelantar una investigación forense en informática 
  •  Detallar algunas de las credenciales de los investigadores forenses en informática 
  •  Presentar la estructura de los informes de investigación y la presentación de pruebas informáticas.
Introducción.
Frecuente mente lo que todo el mundo sabe es un error. Porque las personas suponen una o más cosas que no son verdad y luego todo el mundo queda convencido de ellas. 

Estas frases acuñadas por cohen en su libro En clase de Drucker, nos indica que muchas veces lo que escuchamos o vemos no es lo que se ajusta a lo que se observa. 

En medio electrónicos, la verdad de lo que ha ocurrido puede ser tan escurridiza como lo es en el mundo de las investigaciones que ya conocemos. Los atacantes y los delincuentes, al utilizar las tecnologías para materializar sus acciones puniles. 

Es necesario que se desarrolle una nueva disciplina auxiliar, científica y evolutiva que, basada en el concepto general de la criminalística, como lo es ´´ procurar elementos acusatorios identificadores y reconstructores que conduzcan a establecer la verdad de los hechos que se investigan´´ establezca un conjunto de herramientas y habilidades que permitan estos nuevos investigadores enfrentar a los delincuentes de conductas desafiantes y exigentes.


Este nuevo investigador no puede ser la extensión de los investigadores actuales y formados en las ciencias de la criminalística, sino un nuevo profesional que actuando con bien sea como perito o criminalista digital o informático 
En conciencia se revisan algunos conceptos básicos de una disciplina emergente llamada Criminalística digital, las estrategias y responsabilidades de los investigadores forenses en informática.



Introducción a la criminalística digital 

Se vienen incrementando las actividades de los intrusos por medio de las tecnologías de información haciendo cada vez más sofisticadas e imperceptibles. Lo cual implica que pueden evidenciase impactos económicos severos y mayores que los que se presentan con los crímenes tradicionales.  

No existe una definición concreta o perfil sobre los delincuentes tecnológicos, pero se habla de características como solitarios, orientados por la tecnología y sus avances, inestabilidad emocional y con problemas para definir los límites de sus actuaciones. 

La dificultad existente para perseguir la criminalidad informática, radica en varias razones como el entendimiento de las tecnologías y las vulnerabilidades inherentes por parte del cuerpo de seguridad.



Roles y responsabilidades del investigador forense en informática

En un echo de investigación forense en informática se identifican ocho roles, líder del caso, el propietario del sistema, el asesor legal, el ingeniero, el administrador de sistema, e especialista en informática forense, el analista en informática forense y el analista, estos roles tienen un papel fundamental en el desarrollo de la investigación.

  •  El líder del caso es la persona que planea y organiza todo el proceso de la investigación digital, este es el coordinador de toda la operación y las actividades que se desarrollen.
  •  El líder de la investigación deberá tener una investigación sistemática de la investigación, para lo cual cada vez que se avance el establecimiento de los a nexos casuales. Deberán relacionar cada uno de los hechos del caso para comprender la relación entre el sospechoso 
  •  El propietario del sistema por lo general la víctima, persona natural o jurídica que efectúa la denuncia de los hechos 
  •  El asesor legal es el abogado litigante líder del caso con la que se cuneta para tener la orientación necesaria en fin de avanzar en los aspectos jurídicos. 
  • El ingeniero especialista en seguridad de la información conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad y control.
  •  El auditor/ingeniero en seguridad de la información conoce los usuarios definidos, las acciones adelantadas por estos y los perfiles asociados en una investigación forense.
  •  El administrador del sistema es el cargo que apoya al especialista en informática forense, para detallar las características del sistema que ha sido comprometido del ataque que se ha materializado.
  •  El especialista en informática forense es el líder del proceso de investigación de campo en el lugar de los hechos, Es el criminalista digital que tiene como finalidad, recabar e identificar los diferentes elementos probatorios.
  •  El analista en informática forense examina en detalle los datos, los elementos informáticos i de hardware que se recogieron en la escena del crimen, con el fin de extraer toda la información relevante. El análisis en informática forense es un profesional técnico especializado, que conoce de los avances tecnológicos.

Modelos y procedimientos para adelantar investigaciones forenses en informática

El incrementar los niveles de formalidad de las investigaciones forenses en informática implica, por un lado, fortalecer los programas académicos en esta disciplina, y por otro, afianzar y mejorar los modelos y procedimientos para adelantar las investigaciones donde la información almacenada electrónicamente sea parte del acervo probatorio bajo análisis De acuerdo con Bishop y otros (2007), existen cinco (5) principios generales para adelantar un análisis forense en informática: 

  • Considere el sistema completo 
  • Registre la información a pesar de las fallas o de los ataques que se generen 
  • Considere los efectos de los eventos, no solo las acciones que lo causaron 
  • Considere el contexto, para asistir en la interpretación y el entendimiento de los eventos Presente los eventos de manera que puedan ser analizados y entendidos por un analista forense
Estos cinco principios deben ser transversales a los modelos de investigaciones y procedimientos de análisis forense, de tal modo que los profesionales en esta disciplina, al adelantar sus acciones sobre las evidencias recabadas en la escena del delito, mantengan la formalidad de sus resultados y la documentación requerida para defender sus informes.

En la fase de investigación y forensia física se recolecta, preserva y analiza la evidencia física, así como la reconstrucción de que ocurrió en la escena del crimen. Esta etapa se compone, a su vez, de otros momentos, como son: preservación física, examen preliminar de la escena del crimen, evaluación de la escena física, documentación inicial, fotografía y narración, búsqueda y recolección de evidencia física y examen final de la escena física del crimen. Durante esta etapa pueden estar participando el propietario del sistema, el especialista en seguridad y el administrador del sistema.

En la etapa de forensia digital se busca identificar y recolectar los eventos electrónicos e informáticos que han ocurrido en el sistema y analizarlos, de tal manera que los resultados puedan ser utilizados con los resultados anteriores en la reconstrucción de los eventos. Este paso incluye actividades, como la evaluación y la valoración, adquirir las evidencias digitales, el examen de la escena digital, la revisión y el análisis de la evidencia digital, la reconstrucción y el análisis de los datos extraídos y las conclusiones. Generalmente, en esta fase participan el especialista y el analista en informática forense. 
Finalmente, se tiene la fase de clausura o cierre del caso, en la cual se detalla la revisión de todos los procedimientos aplicados en la investigación, se revisa que también se adelantaron tanto las investigaciones físicas como digitales, como se desarrolló la recolección de la evidencia y la suficiencia de los análisis realizados para resolver el caso. Así mismo. Se asegura el retorno de la evidencia física y digital a sus dueños, siempre y cuando hacerlo no constituya ninguna contravención o violación de restricciones previamente impuestas por el juez sobre esta.

Credenciales para los investigadores forenses en informática.

Es un hecho que durante la última década las intrusiones y los incidentes de seguridad han crecido de manera exponencial, estableciendo un escenario oscuro sobre la seguridad de las infraestructuras de computación. En este sentido, las organizaciones han adelantado esfuerzos en el mejoramiento de su seguridad, instalando diferentes mecanismos de protección y efectuando múltiples pruebas, con el fin de optimizar las condiciones de seguridad existentes en cada uno de sus entornos de negocio. Sin embargo, dado que la seguridad completa no existe, el margen para un nuevo incidente de seguridad siempre permanece; por tanto, cuando este se presenta, las organizaciones son puestas a prueba para validar su capacidad de respuesta y atención a los mismos.

Los investigadores forenses en informática, profesionales que contando con un conocimiento de los fenómenos técnicos en informática, son personas preparadas para aplicar procedimientos legales y técnicamente válidos para establecer evidencia en situaciones en las cuales se vulneran o se comprometen sistemas, utilizando métodos y procedimientos científicamente probados y claros que permitan establecer posibles hipótesis sobre el hecho, y contar con la evidencia requerida que sustente esas hipótesis. 

Con el fin de desarrollar este perfil forense en informática, se han adelantado esfuerzos importantes en el mundo para contar con documentación, entrenamientos o procedimientos de aplicación generalmente aceptada que permitan validar actuaciones y valoraciones de profesionales forenses en informática de manera estándar en el mundo. Es importante referir que los esfuerzos internacionales de la industria representan una iniciativa que busca afrontar el reto de la formación de un especialista en informática forense.


Informes de investigación y presentación de pruebas informáticas

Complementario a lo anterior es necesario desarrollar una sección especial para detallar las estrategias y los modelos de informes de investigaciones realizadas, así como aspectos prácticos requeridos para ilustrar los resultados de las diligencias adelantadas en el contexto de las pruebas informáticas o digitales identificadas y analizadas en un caso.

Estructura base de un informe pericial

Un informe pericial tiene como objetivo entregar y revelar la opinión de un perito, sobre un tema específico de su especialidad. Esta diligencia de análisis y detalle de los objetos propios del caso puede ser solicitado por la defensa o sugerida por la fiscalía. En este caso, si fue solicitada por la defensa, el perito será de parte, posiblemente pagado por el representante del acusado. Si la pericia es solicitada por la fiscalía, generalmente el estado provee los peritos de oficio, quienes son parte de la administración de justicia, los cuales no reciben remuneración adicional por adelantar estas diligencias, dado que es parte de su trabajo como servidor de la justicia. 

Si bien cada informe pericial tiene su propia dinámica, a continuación presentamos a manera de ejemplo de estructura general de un informe pericial orientado particularmente a temas de informática forense.
Estructura general 


Este encabezado identifica, de manera clara y concreta, que se requiere hacer, quienes participan, la identificación del caso, la clasificación del informe según su nivel de seguridad requerido y los investigadores participantes en el caso.

Introducción

En la introducción se detalla los aspectos base del caso que se investiga, basado en el expediente del mismo y en los datos que se ofrecen por parte bien sea de la fiscalía o de la defensa. En esta sección se describen la conducta que se investiga y los alcances de la pericia que se adelanta, con el fin de limitar los análisis y exploraciones a lo que se requiere para el caso particular.

Validación y verificación de la cadena de custodia 

En esta sección se detalla y registra la evidencia con su formato de cadena de custodia, donde se especifica, que se recibe, de quien, en qué fecha, las características de los objetos, sus marcas y seriales, los nombres de los peritos que reciben, la identificación del caso, entre otros aspectos.

Procedimientos de preparación y adecuación de la evidencia recibida 

En esta sección se detallan los procedimientos relacionados con los medios informáticos que se tienen para adelantar las copias












0 comentarios :

Publicar un comentario