Archivo de la categoría: blog

Un comentario ofensivo en Facebook no es suficiente para despedir a un trabajador

El Tribunal Superior de Justicia de Extremadura, ha dictado una sentencia, en virtud de la cual, un comentario emitido por un trabajador en la red social Facebook, que revestía carácter ofensivo, no puede ser considerado suficiente como para despedir, de forma procedente, a un trabajador. El motivo, básicamente, es el contexto en el que se emite el comentario.

 

El TSJE observa que el comentario se produce, como desahogo, a una situación de desasosiego causada por la muerte de un familiar, de tal suerte que la empresa no le concedió al demandante un día libre para poder acudir al entierro del mismo, ni tampoco los compañeros quisieron sustituirle. Igualmente, se valora, por parte del Tribunal, que el comentario es generalista, es decir, que no ofende a nadie en concreto, ya que en el mismo, no se identifica al receptor del insulto, al igual que se observa que el citado comentario fue emitido desde el domicilio del demandante y no desde el lugar de trabajo. Por otra parte, también se valora que es costumbre en lengua española la utilización de ciertas palabras malsonantes, en el lenguaje coloquial, para expresar frustración -como es el caso- o incluso admiración.

Concurren, por tanto, una serie de causas subjetivas, que permiten valorar desde la óptica de la intencionalidad humana el hecho objetivo de escribir un comentario ofensivo en Facebook, desprendiéndose, según el Tribunal, que lo que el demandante quiere expresar es una “falta de compañerismo” y de “insensibilidad” por parte de la empresa, lo cual no reviste motivos suficientes como para ser despedido. Finalmente, se impone la condena en costas a la recurrente (la empresa).

 

Por último, es importante señalar que, para que un comentario o fotografía insertado en una red social como Facebook tenga validez legal, es totalmente necesario que el mismo se presente mediante informe pericial informático, firmado por un perito informático colegiado. Como ya ha sido explicado en reiteradas ocasiones por este perito informático, la jurisprudencia consolidada del Tribunal Supremo en sentencias como la STS 300/2015 o STS 754/2015, establece que los pantallazos obtenidos de comunicaciones mantenidas a través de Internet, son susceptibles de haber sido manipulados y por tanto no son válidos como prueba si no han sido autentificados por un perito informático.

Intervención en el Telediario de La 1 de Televisión Española con motivo del ciberataque mundial

Este perito informático fue llamado a participar, como experto informático, en la edición de las 15 horas del Telediario Nacional de Televisión Española, el día 12 de mayo de 2017, con motivo del ciberataque de ransomware que colapsó varias empresas, organizaciones e infraestructuras gubernamentales a nivel mundial, en países como España, Alemania, Reino Unido, Rusia y Estados Unidos, entre otros casi ciento cincuenta países. El vídeo de la intervención se puede consultar a continuación, a partir del minudo 5:31:

http://www.rtve.es/alacarta/videos/telediario/telediario-15-horas-12-05-17/4017398/

 

El ciberataque colapsó infraestructuras, empresas e instituciones en todo el planeta, de un modo muy intenso y poco conocido hasta la fecha, utilizando para ello una variante del ya conocido ransomware WannaCry. La afectación del virus puede observarse en la siguiente imagen:

http://ep01.epimg.net/tecnologia/imagenes/2017/05/13/actualidad/1494661227_809039_1494663041_sumario_normal_recorte1.jpg

 

El método empleado para la propagación del ataque, incluyendo una combinación entre ransomware y gusano informático, fue el aprovechamiento de una vulnerabilidad en el Server Message Block (SMB) de los sistemas operativos Windows, explotada durante largo tiempo por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos, mediante un exploit conocido como EternalBlue, puesto al descubierto por el grupo de hackers The Shadow Brokers el día 14 de abril de 2017. Pese a que Microsoft ya había publicado una actualización de seguridad (MS17-010) el día 14 de marzo de 2017, para la resolución de la vulnerabilidad, a 12 de mayo de 2017, cuando se propagó el gusano, muchas empresas y organizaciones aún no habían actualizado sus sistemas operativos, lo que les convirtio en vulnerables.

 

El objetivo de la propagación fue el habitual en las infecciones por ransomware, de las que este perito informático ya ha escrito en otras ocasiones, como por ejemplo en un artículo publicado en El Derecho, siendo dicho objetivo la petición, en criptomoneda, de un rescate por los archivos cifrados. La novedad, en este caso, fue la forma de propagación: añadido al habitual envío masivo de correos electrónicos, con un adjunto llamativo para que la víctima caiga en la trampa, descargue el archivo, lo abra y el gusano oculto en el mismo comience a cifrar los ficheros del equipo, además, se envía el gusano a todos los ordenadores de la red local, aprovechando la reseñada vulnerabilidad en el SMB de Windows, convirtiendo la infección es especialmente virulenta.

 

Para ver otras apariciones en prensa de este perito informático, consulte la sección de apariciones en prensa.

 

Informe contra pericial informático sobre descarga o distribución de ficheros con contenido ilícito, o protegidos por las leyes de propiedad intelectual

En ocasiones, a un perito informático se le plantea la realización de un informe contra pericial informático, debido, principalmente, a la existencia de un peritaje informático desfavorable, firmado por las Fuerzas y Cuerpos de Seguridad del Estado, en el que se acusa a un individuo de descargar ficheros ilícitos, o de haber colaborado con la distribución de ficheros protegidos por las leyes de propiedad intelectual, condicionado este último caso a la existencia de algún tipo de lucro acompañando a dicha actividad. Los ficheros ilícitos más habituales contienen pornografía infantil y, son ilegales porque su descarga, posesión y distribución está prohibida por el artículo 189 del Código Penal. Sin embargo, dentro de los ficheros protegidos por las leyes de propiedad intelectual, se podrían encuadrar películas, libros, canciones, o cualquier otro tipo de obra susceptible de ser catalogada como creación intelectual.

Por otra parte, ha de comenzarse indicando que, descargarse exclusivamente y sin mediar beneficio económico, archivos protegidos por las leyes de propiedad intelectual, no es delito según circular oficial de la Fiscalía General Estado. Sin embargo, según la misma circular, la obtención de réditos económicos distribuyendo o ayudando a distribuir archivos protegidos, sí es delito según el artículo 270 del Código Penal.

 

En los casos en los que a un usuario se le acusa de posesión y distribución de ficheros ilícitos según el artículo 189 del Código Penal, es decir, pornografía infantil, la investigación suele partir de la denuncia de un usuario cualquiera que, aprovechando que descargarse archivos protegidos para uso privado, como ya se ha indicado, no es ilegal, se descarga una película utilizando algún programa de intercambio de ficheros de tipo P2P (normalmente, eMule), ocurriendo que, cuando lo reproduce, se percata de que el contenido no es el que esperaba. En ese momento, esta persona interpone una denuncia ante la Guardia Civil o el Cuerpo Nacional de Policía, iniciándose una investigación para determinar qué usuarios del programa P2P han descargado o se están descargando el fichero, información que puede obtenerse directamente desde el programa P2P. Es absolutamente recomendable interponer la denuncia, ya que las Fuerzas y Cuerpos de Seguridad del Estado también escrutan y monitorizan, de forma autónoma, la red, al objeto de encontrar delincuentes que estén descargando y compartiendo dichos ficheros, siendo absolutamente imposible para ellos, discriminar quién está realizando una descarga de contenido ilícito porque quiere y quién por error -pudiendo ocurrir, de hecho, que se registre el domicilio y se acuse a una persona que se descargó un fichero de este tipo por error y no denunció-.

Los peritos informáticos de las Fuerzas y Cuerpos de Seguridad del Estado, en ese momento, anotarán todas las direcciones IPs desde las que se ha descargado dicho fichero o desde las que se está descargando, junto a la fecha y hora del momento de la descarga. Posteriormente, en el marco de las investigaciones, se solicitará a las operadoras, el nombre, apellidos y dirección postal de los abonados tras los cuales se hallan dichas direcciones IPs, solicitando al juez correspondiente la entrada y registro domiciliario de cada una de esas personas. En este punto, es importante hacer constar que ya existe jurisprudencia, concretamente la STS 8316/2012, que establece que la identificación de la dirección IP desde la que se cometió un delito informático y su asociación con el abonado en ese momento preciso del tiempo, no es en absoluto una condición necesaria y suficiente para inculpar al mismo en la comisión del delito, tal y como ya advirtió este perito informático en un artículo técnico publicado hace algún tiempo en esta misma página web. Es por esta razón, precisamente, que se produce la entrada y registro domiciliario por parte de las Fuerzas y Cuerpos de Seguridad del Estado, acompañados de un secretario judicial que da fe de la intervención en el domicilio del sospechoso, al objeto de investigar in situ las evidencias informáticas que existan en el domicilio, así como incautarlas y precintarlas para una investigación forense posterior por parte de peritos informáticos policiales.

 

Una vez que los peritos informáticos de las Fuerzas y Cuerpos de Seguridad del Estado han analizado las evidencias, éstos presentarán un informe pericial informático relativo al contenido de las mismas, exponiendo si se ha encontrado material ilícito y si se ha compartido o se hallaba en carpetas compartidas que permitieran su distribución. En este momento, interviene el perito informático contratado por la parte, que deberá analizar dicho informe pericial y valorar la posibilidad de si debe realizarse un contranálisis pericial de las evidencias incautadas o si, únicamente estudiando el peritaje informático de las Fuerzas y Cuerpos de Seguridad del Estado, será suficiente para realizar la contra pericial informática.

En primer lugar, el perito informático de la parte deberá analizar el mantenimiento de la cadena de custodia de las evidencias informáticas, así como comprobar cuándo y dónde se precintaron y desprecintaron las pruebas, en qué momentos el secretario judicial estuvo presente (la jurisprudencia de la STS 1599/1999 le autoriza a no estar presente en el volcado) y, finalmente, si se calcularon y, en su caso, cuándo, los códigos hash de cada una de las pruebas. Posteriormente y, ya en relación a la comisión de los delitos de posesión y distribución de material ilícito según el artículo 189 del Código Penal (pornografía infantil), el perito informático deberá estudiar si realmente existían dichos ficheros ilícitos, si éstos fueron descargados de las instalaciones de eMule o programas de tipo P2P o similares encontradas en las evidencias y, finalmente, si dichos ficheros ilícitos estaban siendo compartidos o si, por el contrario, habían sido apartados y almacenados en carpetas no compartidas, tal y como discrimina la STS 271/2012.

 

Por otra parte, en los casos en que se acusa a uno o varios administradores web o webmasters, de mantener una o varias páginas web desde las que se pueden descargar contenidos protegidos por las leyes de propiedad intelectual, o que mantienen enlaces que permiten la descarga de dichos contenidos desde servidores externos a la propia página web, el perito informático de la parte deberá demostrar que los mencionados administradores no se estaban lucrando con dichas páginas web. Para ello, será necesario analizar el contenido completo de la página web, comprobando la existencia o no de anuncios o de cualquier tipo de publicidad o sistema que pudiera ser susceptible de generar ingresos económicos a los administradores.

Para ello, lo primero sería dejar constancia del contenido de la página web para que éste después no pudiera ser impugnado. Por lo tanto, si la web aún se encuentra online, el perito informático deberá acudir a un notario o utilizar un notario digital como eGarante para certificar el contenido de la web, mientras que si ésta ya no se encuentra online por haber sido retirada mediante orden judicial, el perito informático deberá estudiar los autos y el informe pericial de las Fuerzas y Cuerpos de Seguridad del Estado, con el objeto de determinar si el lucro se estaba o no produciendo, auxiliándose, si es posible, del Archivo de Internet. Igualmente, si es posible, el perito informático de la parte deberá examinar el servidor en el que se hallaba alojada la página web denunciada y realizar un análisis forense del disco duro del mismo, que deberá cumplir con todas las garantías sobre la cadena de custodia en el peritaje informático, al objeto de determinar si efectivamente se estaba o no produciendo el lucro, mediante el uso de publicidad o de cualquier otro tipo de sistemas capaces de generar ingresos económicos.

A este respecto, el Tribunal de Justicia de la Unión Europea ya se pronunció, en una sentencia dictada el día 8 de septiembre de 2016, en la línea de que la publicación de enlaces que permitan el acceso a contenidos protegidos por las leyes de propiedad intelectual, no es delito si no concurre lucro en la actividad, ni tampoco conocimiento, por parte del administrador o administradores web, de que las obras a las que se permite el acceso están protegidas. En esta línea, cabe reseñar la STS 920/2016, en la que se confirma la condena a seis años de prisión a los administradores de la página web Youkioske, desde la que se podían descargar revistas, periódicos y libros protegidos por las leyes de propiedad intelectual y, a través de la cual, los administradores se lucraban mediante publicidad incrustada en dicha página web.

 

El despacho profesional de este perito informático, en Madrid, analiza cualquier caso relacionado con éstas tipologías (posesión y compartición de ficheros ilegales o protegidos por las leyes de propiedad intelectual), así como otro tipo de cuestiones periciales, como análisis de virus y programas espías en teléfonos móviles y tabletas, análisis forense de correos electrónicos, análisis forense de mensajes de WhatsApp o Telegram, análisis forense de discos duros, etc., ofreciendo una solución integral en forma de informe pericial informático, con el que podrá solucionar su problema y ganar el juicio o litigio al que se enfrente. También se realizan contra informes periciales informáticos a otras tipologías de informes realizados por las Fuerzas y Cuerpos de Seguridad del Estado, especialmente aquéllos relacionados con volcados de teléfonos móviles realizados con Cellebrite UFED Touch, o de conversaciones interceptadas a través del sistema de escuchas telefónicas SITEL. La mejor opción para ganar un juicio y evitar o minimizar una condena, es confiar siempre en un perito informático colegiado.

El Tribunal Supremo prohibe la utilización sin permiso, por parte de medios de comunicación, de fotografías subidas a Facebook o compartidas a través de otras redes sociales

El Tribunal Supremo ha sentenciado recientemente, en la STS 91/2017, que un medio de comunicación no puede utilizar, sin permiso explícito y para ilustrar una noticia, una fotografía personal subida a una red social por parte de un usuario. Considera el Alto Tribunal que la publicación de una fotografía sin autorización, es una violación del derecho a la propia imagen, condenando a la demandada (un periódico de ámbito provincial), a indemnizar al demandante con 15000 euros. La sentencia, asimismo, desestima la vulneración del derecho a la intimidad del demandante (por no haberse revelado otros datos personales o familiares distintos a los noticiables), reduciendo a la mitad la indemnización inicialmente establecida en 30000 euros.

 

Desde que se popularizaron las redes sociales, es costumbre por parte de la prensa audiovisual (periódicos, revistas y televisión), bucear y buscar en el historial de Internet del protagonista de cualquier tipo de noticia, para contribuir a que más personas lleguen a la página de aterrizaje de la noticia, alimentados por el morbo de ver la fotografía o un vídeo del protagonista de la misma. A partir de esta sentencia del Tribunal Supremo, los medios de comunicación deberán prestar atención y evitar expresamente la publicación de contenidos audiovisuales privados obtenidos de redes sociales, elaborando directrices o códigos de conducta internos al objeto de advertir a los periodistas de que no podrán utilizar fotografías, vídeos o cualquier otro tipo de contenido audiovisual de particulares en las noticias.

 

Si aun así, un particular se ve afectado por la publicación, sin autorización expresa y por parte de un medio de comunicación, de una fotografía o vídeo privado, obtenido de sus redes sociales, deberá ponerse en contacto con un abogado que inicie un procedimiento civil y, al objeto de realizar una certificación de contenido en Internet que acompañe a la demanda, con un perito informático. Es necesario ser consciente de que, los contenidos de Internet, pueden eliminarse -especialmente, después de haberse iniciado un procedimiento judicial-, desapareciendo para siempre y, teniendo en cuenta que la STS 300/2015 prohíbe taxativamente la utilización de “pantallazos” como pruebas en procedimientos judiciales, necesitándose para ello la realización de un peritaje informático sobre el contenido original, sería necesario que un perito informático realice la certificación del mencionado contenido en Internet (fotografía, vídeo o audio), previamente a su posible borrado.

 

El despacho profesional de este perito informático se halla en Madrid y, en el mismo, se realizan todo tipo de informes periciales informáticos, incluyendo aquéllos relativos a la certificación de contenidos publicados en Internet.

Probando la nueva Cellebrite UFED Touch 2, la mejor herramienta para realizar peritajes informáticos de un smartphone o tablet

Recientemente, ha salido al mercado la nueva Cellebrite UFED Touch 2, la mejor herramienta que tiene a su alcance un perito informático para realizar investigaciones forenses sobre teléfonos móviles inteligentes (smartphones) y tabletas (tablets), un estándar en el sector. El laboratorio forense del perito informático titular de este despacho profesional, ya está equipado con la mencionada herramienta.

 

La Cellebrite UFED Touch 2 es capaz de realizar extracciones forenses, físicas y lógicas (entre otras), del contenido de cualquier dispositivo móvil inteligente, como un smartphone o una tablet. También es capaz de recuperar contenido borrado o eliminado de los terminales, como conversaciones de WhatsApp, Telegram, Facebook Messenger u otras aplicaciones o redes sociales, fotografías, contenido audiovisual como ficheros de audio o vídeo, etc. La efectividad de la herramienta en la recuperación del contenido, es directamente proporcional a la cercanía en el tiempo con la que se produjo el borrado del mismo, debido a que, a mayor tiempo transcurrido desde el borrado de la información, mayor probabilidad existe de que el sistema operativo haya sobrescrito las zonas de memoria liberadas y, por tanto, que la información borrada haya desaparecido definitivamente.
Además, la Cellebrite UFED Touch 2 permite que el perito informático conserve la cadena de custodia de la evidencia, al no ser necesaria una interacción directa con el sistema de ficheros del terminal para extraer la información del mismo.

 

La nueva herramienta, con el objetivo de ayudar al perito informático disminuir el tiempo de extracción física o lógica, tiene una serie de mejoras que se enumeran a continuación:

  • CPU cinco veces más rápida que la Cellebrite UFED Touch
  • Memoria RAM DDR3
  • Disco duro SSD de 128 GB
  • USB 3.1 a una velocidad de 5 Mbps

Asimismo, la Cellebrite UFED Touch 2 incluye una serie de características que simplifican su uso e incrementan la flexibilidad:

  • Pantalla capacitiva multi-táctil de alta resolución (1024), con interfaz gráfica de usuario intuitiva
  • Lector de tarjetas multi-SIM integrado
  • Puerto Mini Display
  • Windows 10

Finalmente, la herramienta presenta nuevas capacidades al objeto de mejorar la portabilidad:

  • WiFi b\g\n\ac (de hasta 350 Mbps)
  • Kit de operación todo incluido, listo para utilizar en las actuaciones de campo (interfaces de conexión más pequeñas y ligeras y disco duro externo)
  • Batería de larga duración

A todas las características expuestas, es necesario añadir las constantes actualizaciones que se pueden descargar para asegurar la compatibilidad con todos los nuevos dispositivos inteligentes que salen al mercado, al objeto de que el perito informático pueda realizar las extracciones de cualquier teléfono móvil o tableta último modelo.

 

A continuación, se muestra cómo un perito informático puede realizar la extracción forense de un terminal Samsung Galaxy S6 para, por ejemplo, realizar un peritaje informático sobre WhatsApp, utilizando la Cellebrite UFED Touch 2. El primer paso es la selección de la marca y el modelo del terminal que va a ser extraído, en este caso un Samsung Galaxy S6 SM-G920F (con versión 6.0.1. de Android), tal y como se puede comprobar a continuación.

 

Una vez seleccionado el terminal en la Cellebrite UFED Touch 2, es necesario proceder a seleccionar el tipo de extracción que va a realizarse, en este caso, física. A continuación, se puede observar una fotografía de la selección realizada.

 

Una vez ejecutado el procedimiento de extracción física estipulado por la propia herramienta, el contenido del terminal comienza a extraerse y a almacenarse en un disco duro externo. Este procedimiento puede visualizarse en la siguiente fotografía.

 

Al finalizar la extracción física del terminal, la herramienta informa del éxito o fracaso de la misma, mediante una pantalla en la que se pueden observar los datos extraídos. Dicha pantalla se puede visualizar fotografía que se adjunta a continuación.

 

Finalmente, la extracción física recién adquirida, deberá ser analizada con el software forense UFED Physical Analyzer, proporcionado también por Cellebrite. A continuación, se puede observar una captura de pantalla de dicho programa, con la extracción física del terminal investigado recién adquirida y cargada, con el IMEI y otros datos identificativos del dispositivo difuminados.

 

Tras haber interactuado con la Cellebrite UFED Touch 2, así como haber ejecutado la extracción forense de un Samsung Galaxy S6 con el mismo, se puede apreciar, con respecto a la versión anterior de la herramienta (la Cellebrite UFED Touch), una importante mejoría en la fluidez del nuevo aparato, así como una mayor rapidez en la extracción forense de los dispositivos inteligentes objetos de investigación.

El TJUE considera la IP dinámica como dato personal frente al Estado

Recientemente, el Tribunal de Justicia de la Unión Europea falló, en la sentencia sobre el asunto C-582/14, a favor de un ciudadano de la República Federal de Alemania, al respecto de la consideración de una IP dinámica, como dato personal que debe ser tratado como tal por el Estado, si concurren determinadas circunstancias. La argumentación de la Curia europea, utilizando un criterio relativo, considera por tanto a la dirección IP dinámica como un dato personal al respecto de prestadores de servicios de la Sociedad de la Información (como por ejemplo, un Estado a través de sus páginas web), siempre y cuando dicha dirección IP dinámica se halle acompañada de otro u otros datos personales que permitieran a un tercero (normalmente, el proveedor del servicio u operador), identificar al usuario, así como que el prestador del servicio pudiera tener un interés legítimo en identificar al mencionado usuario, como por ejemplo para prevenir ataques informáticos contra páginas web estatales. Este criterio, está en contraposición con el criterio objetivo que siguen entidades como la Agencia Española de Protección de Datos, que consideran a la dirección IP, estática o dinámica, como un dato personal bajo cualquier circunstancia.

 

Así pues, si una entidad prestadora de servicios de la Sociedad de la Información, dispone de una dirección IP que, combinada con otros datos como la fecha de conexión, es capaz de permitir a un tercero la identificación del usuario y, el prestador del servicio pudiera tener un interés legítimo en identificar a dicho usuario, dicha dirección IP dinámica tendría la consideración de dato de carácter personal. Esto significa que, para que la dirección IP dinámica registrada por un prestador de servicios de la Sociedad de la Información sea considerada como dato personal, deben concurrir los siguientes supuestos:
• Que exista una tercera entidad, como el operador, capaz de identificar al usuario a través de la dirección IP y otros datos combinados con ésta, como la fecha de conexión.
• Que el prestador de servicios de la Sociedad de la Información, debido a un interés legítimo para conocer la identidad del abonado, disponga de recursos legales para averiguar la mencionada identidad a través del proveedor de acceso al servicio.

 

Las consideraciones expuestas derivan de la definición que, el artículo 2.a) de la Directiva 95/46/CE sobre protección de datos, otorga a los datos personales, definiéndolos como “toda información de una persona física identificada o identificable”. La clave radica en la palabra “identificable”. En primera instancia, la demanda fue rechazada y el Tribunal de Apelación condenó al Estado Alemán a borrar la dirección IP cuando fuese acompañada de algún dato que permitiese revelar la identidad del usuario, como la dirección de correo electrónico. Sin embargo, dicho Tribunal consideró que no procedía obligar al prestador del servicio de la Sociedad de la Información (en este caso, el Estado), a borrar la dirección IP acompañada de la fecha de conexión, puesto que la identificación del abonado no puede realizarse de forma directa, sino a través del operador.

Por el contrario, el TJUE, acogiéndose a la definición ya expuesta sobre lo que es un dato personal según la Directiva Europea sobre protección de datos, que considera que un dato personal es también aquél que permite identificar al usuario de forma indirecta (sujeto “identificable”), ha fallado que la dirección IP dinámica, acompañada de la fecha de conexión, es un dato personal.

 

El perito informático que escribe estas líneas, ya desgranó en su día la dimensión jurídica de la dirección IP en un artículo técnico sobre peritaje informático, así como la manera en que el perito informático debe afrontar la realización de un informe pericial informático en el que, de una forma u otra, alguna de las pruebas del proceso se asiente sobre la identificación de un abonado con una determinada dirección IP. También se desgranó, en otro artículo técnico, cómo el perito informático puede asesorar técnicamente a una empresa u organización en la consecución de sus objetivos tecnológicos.

En línea con la asesoría tecnológica que puede prestar un perito informático, aplicada a lo que se explica en al presente artículo, se puede deducir fácilmente que, si la fecha de conexión no acompañase a la dirección IP, ésta no tendría que ser obligatoriamente considerada como dato personal, siendo su tratamiento completamente distinto. Para ello, sería necesario que los datos fuesen sometidos a un proceso denominado disociación o anonimización, de tal forma que, al final del mismo, ningún usuario quede identificado ni pueda ser identificable. Dicho procedimiento aparece regulado en el artículo 3.f) de la Ley Orgánica de Protección de Datos, así como en el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la mencionada Ley Orgánica. Igualmente, el Dictamen 05/2014 sobre técnicas de anonimización, publicado por el Grupo de Trabajo sobre la protección de las personas en lo que respecta al tratamiento de datos personales, ofrece una serie de técnicas que deben seguirse, a nivel europeo, en cualquier proceso en el que se desee disociar o anonimizar datos personales, de tal forma que cualquier perito informático podría ayudar, a cualquier organización, a poner en marcha dichas técnicas al objeto de disociar o anonimizar los datos personales que maneje la mencionada organización.

 

La disociación o anonimización de datos es un proceso técnico muy complejo, en el que únicamente un perito informático colegiado conocedor de la Ley, las técnicas informáticas disponibles y la forma en que éstas pueden ser implementadas, puede ayudar a una organización, a disociar los datos personales de terceros que dicha organización maneje, evitando que ésta pueda ser denunciada por operar con datos personales sin que éstos tengan tal consideración y tratamiento.

El perito informático frente a la propiedad intelectual del software

La propiedad intelectual del software es un asunto controvertido. La propiedad intelectual de los programas informáticos o software, se rigen, en España, como cualquier otra obra susceptible de ser catalogada como intelectual, bajo la Ley de Propiedad Intelectual, siendo que esta ley incluye, en su texto, la Ley 16/1993, de 23 de diciembre, de incorporación de la Directiva 91/250/CEE, de 14 de mayo, sobre la protección jurídica de programas de ordenador. Así pues, en primer lugar, lo que se hace necesario es determinar qué es un programa de ordenador.

Un programa de ordenador, según el artículo 96.1, correspondiente al Título VII de la Ley de Propiedad Intelectual, es “toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación”.

Asimismo, el mismo artículo indica, en el siguiente párrafo que, “a los mismos efectos, la expresión programas de ordenador comprenderá también su documentación preparatoria. La documentación técnica y los manuales de uso de un programa gozarán de la misma protección que este Título dispensa a los programas de ordenador”. Por tanto, un programa de ordenador no sólo comprende las instrucciones o código fuente del mismo, sino también y, no menos importante, la documentación asociada a éste.

 

Así las cosas, en varias ocasiones, un perito informático es requerido para la realización de un informe pericial informático que dictamine si la autoría de la propiedad intelectual de un determinado sistema informático, le corresponde a una determinada persona física o jurídica o no. El perito informático, en este caso, deberá analizar, en primer lugar, la relación existente entre el demandante de la autoría de la propiedad intelectual y el demando, pudiendo ser dicha relación laboral o comercial. Asimismo, el perito informático tendrá que determinar, mediante investigación técnica, qué personas físicas crearon realmente el software, puesto que, aquellas personas que reclaman la autoría de un desarrollo informático, no siempre son realmente los que desarrollaron el sistema.

En el caso de tratarse de una relación laboral, la autoría de la propiedad intelectual siempre corresponderá a la empresa desarrolladora, salvo pacto contractual en contrario, mientras que la autoría moral corresponderá siempre al desarrollador o desarrolladores del sistema. Si la relación es comercial, la autoría de la propiedad intelectual siempre recaerá sobre la empresa desarrolladora, salvo especificación de lo contrario en el contrato. Por tanto, a esta empresa le corresponderán, en principio, los derechos de explotación del programa, es decir, los derechos de reproducción, comunicación pública, transformación y distribución.

A tales efectos, cuando se produzca la cesión del derecho de uso de un programa de ordenador y, salvo especificación de lo contrario en el contrato, se entenderá que dicha cesión no es exclusiva, asumiendo simplemente que ésta se produce para satisfacer las necesidades del usuario. Por otra parte, dadas las peculiaridades de un sistema informático, existen en la Ley de Propiedad Intelectual una serie de disposiciones aplicables únicamente a éstos, recogidas en el artículo 100 de la mencionada ley, que se resumen en las siguientes:

a) La primera, se refiere a la no necesidad de autorización al cesionario, salvo acuerdo contractual en contrario, por parte del titular de los derechos de propiedad intelectual, es decir, de la empresa desarrolladora, a modificar el programa, siempre y cuando dicha modificación se lleve a cabo para corregir determinados errores o que esta modificación sea necesaria para la utilización del programa por parte del usuario legítimo (el cesionario), con arreglo a la finalidad propuesta. La STS 492/2003, de 17 de mayo, confirmó este artículo de la ley, haciendo prevalecer el derecho del cesionario a la modificación del programa para la corrección de errores, sobre el derecho de propiedad intelectual de la empresa desarrolladora.
b) La segunda, se refiere a que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, no necesitará otorgar autorización al cesionario para que éste realice versiones sucesivas del programa.
c) Por último, la tercera, indica que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, tampoco necesitará otorgar autorización para que el cesionario realice los cambios oportunos en el programa al objeto permitir la interoperabilidad del mismo con otros programas.

La Ley de Propiedad Intelectual no distingue, en ningún momento, la regulación de los programas desarrollados a medida respecto de los programas estándar o paquetes de software, por lo que estos planteamientos permitirían, en principio, la posible utilización de programas de ingeniería inversa, capaces de reconvertir el código objeto, ejecutable directamente por un ordenador, a código fuente, legible y modificable por un programador, de cualquiera de estos paquetes, siempre dentro del marco de la corrección de errores, el arreglo a la finalidad propuesta y el hecho de que no existiese un acuerdo contractual en contrario. La realidad, sin embargo, es que la mayoría de los contratos de uso, conocidos como EULAs (End User License Agreement) o, en castellano, CLUFs (Contrato de Licencia para el Usuario Final), de los paquetes de software de pago más importantes del mercado, disponen que el usuario no podrá modificar, bajo ningún concepto, los programas informáticos que han sido adquiridos bajo licencia de uso.

 

Con respecto a los desarrollos de software a medida y, salvo disposición contractual en contrario, la entrega del código fuente al cesionario no significa la transmisión de los derechos de propiedad intelectual sobre el programa desarrollado, sino únicamente los derechos de uso del mismo.

Por otra parte, la empresa desarrolladora puede, en calidad de depositaria de los derechos de propiedad intelectual del software (siempre que el contrato no indique la contrario), tomar medidas para evitar la distribución no autorizada del mismo. Asimismo, la empresa contratante también puede protegerse de la quiebra de la empresa desarrolladora y, por tanto, de la dificultad o imposibilidad de acceder a los fuentes para, como la ley y la jurisprudencia le asisten, poder modificarlos en caso de que se presente la necesidad de corregir errores, de evolucionar el programa o de permitir la interoperabilidad del programa con otros programas. Este tipo de medidas de protección, que pueden tomar tanto la empresa desarrolladora, como la contratante, se recogen en los mencionados contratos de escrow, siendo el escrow una modalidad contractual anglosajona, en la que las partes se sirven de un tercero independiente (third party), en el cual ambos confían, para garantizar el cumplimiento de las obligaciones de la otra parte.

La característica más importante del contrato de escrow, aplicado al desarrollo de software, es el depósito del código fuente ante dicho tercero independiente. En España, el depósito de dichos fuentes se realiza, normalmente, ante notario, en calidad de fedatario público, figura que es completamente distinta al notary del sistema anglosajón (common law). El notario que, al tratarse de una modalidad de contrato de desarrollo de software, es conveniente que también se apoye en un perito informático colegiado, como asesor tecnológico independiente, desarrollará las cláusulas del contrato de escrow según la voluntad de las partes y lo hará firmar a ambas, en presencia, si se estima oportuno, del perito informático, que habrá supervisado el contenido puramente técnico del contrato, asesorando a la parte que le hubiere contratado o, a ambas, de forma absolutamente independiente, si le hubieren contratado las dos partes.

 

En el caso de que las partes no hayan pactado ninguna cláusula al respecto en el contrato de desarrollo a medida, se considera que la propiedad intelectual del software desarrollado corresponde a la empresa desarrolladora pero, tal y como se ha indicado, le Ley de Propiedad Intelectual y la jurisprudencia del Tribunal Supremo, autorizan a la contratante a modificar el código fuente, dentro de lo razonable y siempre que sea necesario para el correcto funcionamiento del programa, sin necesitar la autorización del titular de los derechos de propiedad intelectual.

Las partes pueden pactar en el contrato, además, un acuerdo de licencia de uso con carácter indefinido, o una propiedad intelectual compartida del software desarrollado, de tal forma que una de las empresas, la que se pacte, tenga la potestad de comercializar el software, teniendo la otra parte derecho a recibir un canon o contraprestación por dicha comercialización. Evidentemente, para la empresa contratante, lo más interesante será siempre la transmisión de los derechos de propiedad intelectual por parte de la empresa desarrolladora.

Asimismo, respecto de los derechos de explotación, a lo sumo, sería posible una cesión en exclusiva e ilimitada en el tiempo, cuestión que, de acuerdo con la Ley de Propiedad Intelectual, deberá pactarse expresamente en el contrato porque, de lo contrario, se entenderá que la cesión es de carácter no exclusivo, lo que implicará que la empresa desarrolladora podría distribuir el programa a otros clientes. Así pues, en principio y, de acuerdo con la Ley de Propiedad Intelectual, se presume que el desarrollador licencia el uso del programa desarrollado, salvo que se pacte expresamente la transmisión de la propiedad intelectual.

La realidad del mercado establece que, lo más habitual, es pactar la exclusividad en el desarrollo, de tal forma que la empresa desarrolladora no podría, bajo ningún concepto, comercializar a otras empresas el programa desarrollado, teniendo en cuenta, sobre todo, que muchas de estas potenciales empresas serías competidoras de la contratante. Es necesario tener en cuenta en este caso que, la contratante, estaría prestando sus ideas y financiando el desarrollo del software, de tal forma que, si no se pacta la referida exclusividad, éste podría ser vendido posteriormente a empresas que, seguramente, serían potenciales competidores de la misma.

La diferencia entre los contratos de tipo EULA o de adhesión, ya mencionados anteriormente y, un desarrollo a medida, es que en el primer caso, el comprador no tiene más remedio que aceptar las condiciones de la empresa desarrolladora o distribuidora y, en el segundo caso, las partes negocian. Es más, es altamente recomendable que negocien, ya que es importantísimo determinar, en el contrato, si se cede el código fuente y si la contratante tendrá el derecho a modificar el programa sin el permiso de la desarrolladora, quedando estas cuestiones por defecto absolutamente de parte de la contratante. Es decir, si no se especifica ninguna cláusula aludiendo a esta cuestión en el contrato, la ley y la jurisprudencia autorizan a la contratante, sin contar con la autorización de la desarrolladora y, tal y como se ha venido indicando en el presente artículo, a modificar el software, bien para corregir errores, bien para evolucionarlo o bien para conseguir su interoperabilidad con otros programas.

 

El matiz principal entre la Ley de Propiedad Intelectual y la STS 492/2003, de 17 de mayo, es que antes de la sentencia, se daba por hecho que, si no se había especificado ninguna cláusula contraria en el contrato, la empresa desarrolladora conservaba los derechos de explotación, cediéndose únicamente a la contratante, los derechos de uso de manera no exclusiva, es decir, supeditándolo todo a lo negociado en el contrato. Sin embargo, a partir de la mencionada sentencia, se entiende que, por defecto, es decir, si no se especifica ninguna cláusula contraria en el contrato, la contratante tiene todo el derecho a poder modificar el software, sin autorización de la desarrolladora, con arreglo a continuar utilizándolo al objeto de cumplir con la finalidad para la que fue concebida el mismo.

Por tanto, se entiende que, salvo disposición contractual en contrario, la ley y la jurisprudencia asisten a la empresa contratante en el hecho de que, la empresa desarrolladora, deberá cederle el código fuente a la primera, al objeto de que ésta pueda modificar el software de acuerdo a las necesidades de utilización del mismo con arreglo a la ya mencionada finalidad propuesta.

Como conclusión, se extrae que la redacción del contrato es parte fundamental en el desarrollo a medida de un sistema informático, puesto que absolutamente cualquier vicisitud o eventualidad posterior se someterá al mismo, razón por la cual es imprescindible contar, por ambas partes, con la asesoría legal y técnica más especializada, es decir, con un abogado especialista en propiedad intelectual y con un perito informático colegiado, que actúe como asesor técnico independiente.

Estándares nacionales e internacionales que puede seguir un perito informático para realizar el análisis forense de una evidencia y para la elaboración de un peritaje informático

Cuando un perito informático enfrenta la realización de un peritaje informático, es interesante que pueda seguir ciertas guías o pautas que le permitan, por un lado, recolectar, preservar y analizar una evidencia informática adecuadamente y, por otro, presentar un informe pericial informático más claro. Existen numerosos estándares nacionales e internacionales en el ámbito de la recolección, preservación y análisis de evidencias informáticas y, desde hace relativamente poco tiempo, un estándar nacional en el ámbito de la elaboración de un peritaje informático. Pese a la falta de regulación profesional a nivel nacional, tanto de la Ingeniería en Informática como de la Ingeniería Técnica en Informática, estos estándares nacionales e internacionales permiten al perito informático disponer de una serie de guías que, si bien no es obligatorio cumplir, siempre serán de ayuda para una mejor práctica forense y elaboración de un peritaje informático.

Existe numerosa bibliografía en Internet para realizar un pequeño resumen de las normas más importantes del ámbito forense, en la que el profesional que suscribe se ha apoyado para escribir el presente artículo, como el Trabajo de Fin de Grado de Ingeniería Informática de Don Juan Miguel Tocados Cano. Así, el conjunto de los estándares más importantes, tanto nacionales, como internacionales, que el perito informático tiene a su disposición para analizar y preservar una evidencia informática, así como para realizar un informe pericial informático, se detalla a continuación.

 

Estándares a nivel nacional

 

UNE 197010:2015

A nivel nacional, la norma UNE 197010:2015, de “Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)”, define la forma en que debe redactarse un informe pericial informático. Esta norma está basada en la norma UNE 197001:2011, de “Criterios generales para la elaboración de informes y dictámenes periciales”, siendo ésta una norma de carácter genérico para la realización de informes periciales de cualquier disciplina, tomada como base para elaborar la ya mencionada norma UNE 197010:2015.

La citada norma, publicada por AENOR, especifica los criterios que deben seguirse para la realización de informes periciales informáticos. Así, la norma UNE 197010:2015 define principalmente la tipología del documento del informe pericial, sin entrar a valorar ni el aseguramiento de la escena, ni la recolección, ni la preservación, ni el análisis de las evidencias.

 

UNE 71505:2013

También a nivel nacional, la norma UNE 71505:2013, publicada por AENOR, tiene como objetivos los que se enumeran a continuación:

  • Descripción y definición de los conceptos de seguridad relativos a la gestión de evidencias informáticas.
  • Identificación de las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Especificación de los controles de seguridad que deben aplicarse a la gestión de evidencias informáticas
  • Descripción de los formatos de intercambio de las evidencias informáticas y de los mecanismos técnicos aplicables para el mantenimiento de la confiabilidad de las mismas.

Según establece la norma, los atributos que debe cumplir cualquier evidencia informática para ser considerada confiable, son los siguientes:

  • Autenticación e integridad
  • Disponibilidad y completitud
  • Cumplimiento y gestión

Asimismo, según la norma, el ciclo de vida de la evidencia informática comprende los siguientes procesos:

  • Generación
  • Almacenamiento
  • Transmisión
  • Recuperación (extracción y exportación)
  • Tratamiento (consolidación, agregación, correlación)
  • Comunicación de las evidencias informáticas.

Los procesos del Sistema de Gestión de Evidencias Electrónicas que se describen en esta norma, invitan a los usuarios a prestar atención a la importancia de:

  • La comprensión de los requisitos de seguridad de la información de una organización, en relación con las evidencias informáticas, así como la necesidad de establecer una política de seguridad para dichas evidencias y sus objetivos.
  • La implantación y la operación de los controles para administrar los riesgos de seguridad de la información de una organización, en el marco de los riesgos de negocio generales, en relación con las evidencias informáticas.
  • La supervisión y la revisión del rendimiento y la eficacia del Sistema de Gestión de las Evidencias Electrónicas.
  • El aseguramiento de la mejora continua sobre la base de la medición objetiva.
  • La comprensión y la decisión, así como el establecimiento e implementación, o no, de su integración en un Sistema de Gestión de la Seguridad de la Información.

La norma UNE 71505:2013 se divide, a su vez, en tres normas, que se detallan a continuación.

 

UNE 71505:2013-1: Vocabulario y principios generales

En esta primera parte se pueden consultar diversos términos y definiciones generales que son comunes a toda la norma, es decir, tanto a ésta como a las dos partes restantes. También se da una visión general del proceso de gestión y de la relación entre las partes. Esto se consigue dando, en primer lugar, una descripción de términos y definiciones, seguido de una descripción a alto nivel del proceso y de las tareas relacionadas con la gestión de evidencias informáticas y, finalmente, una pequeña descripción de las dos partes restantes que forman esta norma.

Entrando en las generalidades de la administración de evidencias informáticas, se puede observar que la norma adopta un enfoque por procesos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora del SGEE de la organización. Dentro de este enfoque, se debe destacar la importancia de la comprensión de los requisitos de seguridad de la información de la organización y la necesidad de implantar una política de seguridad de las evidencias informáticas, junto con sus objetivos. También será importante implantar controles para administrar los riesgos de seguridad de la información, a la vez que se supervisan el rendimiento y la eficacia del SGEE.

Por último, se decidirá si se va a integrar, o no, dicho SGEE en un SGSI.

 

UNE 71505:2013-2: Buenas prácticas en la gestión de las evidencias electrónicas

En esta parte de la norma se establecen los controles y procesos que deben aplicarse a la gestión de seguridad de las evidencias informáticas y su integración en el ciclo PHVA (que será explicado más adelante), de gestión de la seguridad de la información de la organización. Se ha de tener en cuenta, en primera instancia, la confiabilidad, es decir, maximizar la veracidad y la exactitud de las evidencias informáticas que se posean, basándose en sistemas, procesos y procedimientos confiables. Para esto se deberán cumplir varias premisas:

  • En primer lugar, se deben asegurar la autenticación y la integridad, que garantizarán que la información no ha sido alterada. Se podría decir que una evidencia informática auténtica es aquella que es lo que afirma ser y que ha sido creada, almacenada y/o enviada en el momento en que se afirma, por la persona que afirma haberla creado, almacenado y/o enviado. Por otra parte, la integridad se refiere a la no alteración de la evidencia informática, que es necesario proteger contra modificaciones no autorizadas.
  • Seguidamente, deben asegurarse la disponibilidad y la completitud. La disponibilidad consiste en la cualidad que permite que una evidencia informática pueda ser localizada, recuperada, presentada e interpretada; mientras que la completitud referencia la representación completa de la información que contiene la evidencia. Asegurando estas dos cualidades, se garantizará el acceso y la utilización a la evidencia en los tiempos requeridos.
  • Finalmente, para asegurar la confiabilidad de una evidencia, deberán cumplirse también los atributos de cumplimiento y gestión, que garantizarán que la evidencia que se ha obtenido se ciñe a lo esperado después de haberse gestionado y habiéndose utilizado los procedimientos que se planificaron previamente.

Para alcanzar la confiabilidad se deberá disponer de un SGEE cuyas generalidades ya fueron expuestas en la primera parte de esta norma. La gestión de las evidencias informáticas de una organización incluye:

  • Establecimiento de políticas, estrategias, controles y procedimientos
  • Asignación de responsabilidades y competencias
  • Integración de la gestión de las evidencias informáticas en los sistemas y en los procesos que dan soporte a la organización

La gestión de las evidencias proporciona una serie de beneficios, debido a que el SGEE puede servir de ayuda en actividades posteriores o en una futura toma de decisiones.

Por otra parte, en esta norma se sigue el ciclo de mejora continua PHVA (Planificar, Hacer, Verificar y Actuar), como se describe a continuación:

  • Planificar (establecimiento del SGEE): establecer la política del SGEE, los objetivos, los procesos y procedimientos correspondientes  a  la  gestión  de  riesgos  y  a  la  mejora  de la confiabilidad de las evidencias informáticas, al objeto de proporcionar unos resultados de acuerdo a los objetivos y políticas globales de la organización
  • Hacer (implantación y puesta en marcha del SGEE): implantar y poner en marcha la política, controles, procesos y procedimientos del SGEE
  • Verificar (control y revisión del SGEE): evaluar y, cuando aplique, medir el comportamiento de los procesos de acuerdo a la política del SGEE, a los objetivos y a la experiencia práctica, así como informar de los resultados a la dirección para su revisión
  • Actuar (mantenimiento y mejora del SGEE): tomar medidas correctivas y preventivas, basadas en los resultados de la auditoría interna del SGEE y de la revisión por la dirección, o de otra información importante, para conseguir la mejora continua del SGEE

Como ya se advirtió, se adopta un enfoque por procesos para el SGEE y esto requerirá que las organizaciones comprendan los requisitos y la necesidad de establecer una política y unos objetivos para gestionar correctamente las evidencias informáticas, diseñando e implantando controles adecuados para la gestión de los riesgos globales del negocio en relación con las evidencias. Las organizaciones también deberán controlar y revisar la eficacia del SGEE adoptado y tratar mejorarlo continuamente.

El proceso de planificación consta de varias fases:

  • Definición del alcance y análisis de riesgos: el alcance del SGEE podrá ser global sobre la organización o bien sobre una parte de ésta. Una vez determinado el alcance, éste deberá contener los elementos sobre los que se requiere evidencia y aquéllas que forman parte del SGEE. Para dicho alcance, se deberá efectuar un análisis de riesgos orientado a la seguridad de la información y considerando los aspectos legales y operacionales relativos a las evidencias.
  • Identificación de recursos y planificación de procesos: una vez se hayan definido los objetivos, se deberá proceder con la identificación de los recursos, tanto humanos, como de infraestructura y financieros, para la gestión del sistema, junto a los roles y responsabilidades. Asimismo, se planificarán los procesos necesarios para implantar el SGEE, que se corresponderán con los objetivos obtenidos a partir del análisis de riesgos previo. A la hora de la implantación, se deben asignar claramente las funciones y responsabilidades a cada integrante del SGEE. Estas responsabilidades deberían asignarse asegurando una correcta separación de funciones.

Es importante también, documentar todos los procesos de gestión de seguridad de las evidencias informáticas. La documentación deberá detallar las actividades de la organización y las evidencias informáticas que le corresponden, especificando los periodos de conservación y qué acciones se tomarán para su eliminación, así como las instrucciones necesarias para transferir las evidencias a otros medios de almacenamiento sin perder la integridad o la confidencialidad de las mismas.

Se deberá tener en cuenta que el SGEE es tan solo una parte del sistema de gestión de la organización, existiendo otros sistemas como por ejemplo el SGSI. Ante la existencia de varios sistemas, será necesaria una correcta integración entre todos ellos, con fin de mejorar la eficiencia y la eficacia del sistema global de la organización.

Como punto final a esta parte de la norma, existen dos anexos en los que se describen una serie de buenas prácticas específicas para el SGEE, mencionando los controles a implantar y también una matriz de funciones ejecutables por cada uno de los roles del SGEE.

 

UNE 71505:2013-3: Formatos y mecanismos técnicos

En la última parte de la norma, se definen el formato de intercambio de las evidencias informáticas y de los mecanismos que ayudarán a mantener la confiabilidad de éstas, dentro del entorno de la organización, así como al intercambio de dichas evidencias entre organizaciones. La elección de un formato de intercambio normalizado garantizará la interoperabilidad entre diferentes organizaciones y la confiabilidad del contenido de las evidencias.

En cuanto a los mecanismos, normas y estándares de seguridad aplicados a la evidencia informática, tendrán como objetivo garantizar su autenticidad e integridad para mantener su valor probatorio ante un proceso judicial, de forma que un perito informático pueda analizar y verificar, tanto la autenticidad como la integridad de las evidencias. Entre estos mecanismos podemos citar la firma electrónica, cuya finalidad es probar la integridad y la identidad de la evidencia a la que está asociada. Tiene diferentes variantes, como CMS, XADES, CADES, PADES, etc. No obstante, carece de dos propiedades básicas, que son la fiabilidad de la fecha de creación y la robustez de los algoritmos criptográficos, a largo plazo, en los que  está  basada.  El sello  de  tiempo proporciona  a  la  firma electrónica la propiedad de no repudio, garantizando que la clave de la firma estaba vigente en el momento en que los datos fueron firmados.

Por otra parte, con la utilización de criptografía asimétrica, será más fácil garantizar la confidencialidad. Algunos algoritmos válidos son 2TDEA, 3TDEA, AES-128, 192 o 256. La elección del algoritmo a utilizar se deberá realizar en base al periodo de tiempo de validez que se prevé que tendrá la evidencia. Teniendo esto en cuenta, la organización establecerá una política de conservación a largo plazo. Llegando al formato de intercambio de las evidencias informáticas, se citará la estructura general, que se divide en tres campos diferentes:

  • Cabecera: contendrá datos que aportarán contexto al contenido, a la estructura y a las credenciales de seguridad de la evidencia informática, como el tamaño de la propia cabecera, el creador, el número de archivo, los archivos totales, etc.
  • Contenido: almacenará información principal de la evidencia informática.
  • Credenciales de seguridad: datos de identificación para la autenticación y validación de integridad de la evidencia informática, es decir, aquellos datos generados por los mecanismos de firma electrónica y sello de tiempo.

Finalmente, existen una serie de anexos con información adicional útil, como los algoritmos criptográficos válidos según la criticidad de la información y el periodo de tiempo previsible de validez, información sobre cuál es la fuente legal de tiempo en España, una relación de formatos de firma y sellos de tiempo admitidos, los requisitos para la reproducción e impresión de las evidencias informáticas, así como un pequeño ejemplo del formato de un fichero contenedor de la evidencia en XML.

 

UNE 71506:2013

Esta norma tiene como objetivo definir el proceso de análisis forense dentro del ciclo de gestión de evidencias informáticas, según se describe en la UNE 71505, complementándola. En ella se establece una metodología para la preservación, adquisición, documentación, análisis y presentación de las evidencias informáticas.

Se ofrecen, en primer lugar, una serie de términos, definiciones y abreviaturas que, junto a los proporcionados en la norma UNE 71505-1, serán de utilidad dentro del documento para el perito informático. A continuación, se habla en detalle de las diferentes fases del proceso de análisis forense, que serán explicadas en las secciones posteriores.

Finalmente, se encuentran una serie de anexos, que se detallan a continuación:

  • El primer anexo es un modelo de informe pericial, en el que se toma como referencia el modelo de informe propuesto por la norma UNE 197001, referenciada al principio del artículo, debiendo incluirse los siguientes apartados:
  1. Asunto
  2. Evidencias/muestras recibidas
  3. Resolución o estudios efectuados sobre las evidencias/muestras
  4. Situación final de las evidencias/muestras
  5. Conclusiones finales
  6. Anexos del informe
  • El segundo anexo trata genéricamente sobre las competencias con las que ha de contar el personal involucrado en las diversas fases del análisis forense, separadas en diferentes categorías, competencias técnicas, profesionales y personales.
  • El último anexo descrito en la norma se refiere al equipamiento para el análisis forense de las  evidencias  informáticas.  Se  debe  contar  con  herramientas  tanto  hardware  como software reconocidas por la comunidad forense internacional, aun no existiendo una normalización.

Preservación

En esta fase se pretende mantener en todo momento la validez y confiabilidad de las evidencias originales, siempre teniendo en cuenta una serie de principios, como disponer de protocolos que aseguren la integridad de las evidencias sometidas a estudio, de tal forma que se eviten modificaciones intencionadas, la exposición a campos magnéticos o la conexión accidental a redes inalámbricas. Los peritos informáticos que tengan el primer contacto con las evidencias deberán almacenar, precintar y sellar éstas en los soportes oportunos, a fin de preservar otro tipo de evidencias como pudieran ser huellas o restos orgánicos que estén asociados con el ADN, etc., así como llevar la indumentaria adecuada para evitar descargas electrostáticas y utilizar soportes aislados para evitar interferencias externas.

Del  mismo  modo,  el  personal  técnico  deberá  almacenar  dichas  evidencias  en  un  lugar seguro hasta que finalice el proceso pericial o, si no se dispone de dicho lugar, en una caja fuerte en el mismo entorno de trabajo.

Adquisición

Se realizará aquí un clonado a bajo nivel de los datos originales, siguiendo un procedimiento documentado para asegurar que el proceso de adquisición es reproducible y repetible, calculando el código hash de cada evidencia.

Si el lugar del incidente está delimitado físicamente, se deben seguir una serie de precauciones antes de proceder a la adquisición, que se detallan a continuación:

  1. Alejar a todas las personas no autorizadas de la escena
  2. Identificar al administrador de los sistemas en caso de necesitar apoyo técnico
  3. Mantener el estado de los dispositivos, si están encendidos, no apagarlos y viceversa
  4. Buscar posibles notas asociadas a las contraseñas o PINs de acceso a los equipos
  5. Fotografiar la escena, para documentar el estado inicial y para una posible reconstrucción posterior
  6. Etiquetar dispositivos y cableado
  7. Localizar equipos inalámbricos instalados y determinar los modos de conexión que usan
  8. No desconectar fuentes de alimentación cuando las evidencias estén almacenadas en soportes volátiles
  9. En los distintos dispositivos digitales, revisar la existencia de dispositivos de almacenamiento adicionales introducidos en ellos

Es importante el estado en el que se encuentran los sistemas, de modo que el proceso de adquisición no será el mismo en sistemas apagados que en sistemas encendidos, en los que comprometer la integridad de las posibles evidencias es relativamente fácil.

Sistemas apagados

Si los sistemas están apagados, las recomendaciones básicas, para el perito informático, son realizar un borrado seguro del soporte que va a contener el clonado forense y, una vez realizado dicho borrado, utilizar dispositivos bloqueadores de escritura (hardware o software) para garantizar la no alteración de los datos originales, calculando el resumen hash tanto de la información contenida en el soporte original, como en el soporte copia obtenido, comprobando que ambos resúmenes son idénticos.

En el caso de dispositivos móviles, si llevan la tarjeta SIM, se debería extraer la información contenida en ésta. Por otra parte, en caso de que no se tuviera conocimiento del número PIN o PUK, se debería solicitar este último a la operadora de telefonía mediante una autorización judicial. El dispositivo también contendrá información en la memoria interna, por lo que también debe realizarse una copia a bajo nivel de los datos allí almacenados.

Es importante recordar que se deberá calcular el hash de toda para cada conjunto de información extraída.

Sistemas encendidos

Cuando los sistemas están se encuentran en funcionamiento, se deberá proceder a su adquisición según el orden de volatilidad, de mayor a menor volatilidad. El grado de volatilidad posee, por lo general, dos niveles:

  • Información de la memoria RAM, particiones y archivos de intercambio (swap), procesos de red y del sistema operativo en ejecución.
  • Información de los sistemas de ficheros y datos contenidos en los sectores de los dispositivos por bloques.

En el caso de tratarse de entornos virtualizados, en los que cada una de las máquinas virtuales estará formada por varios ficheros, como el de configuración del hardware del equipo, el utilizado para la memoria y uno o varios discos físicos o virtuales. Aquí, la información a obtener serán los discos duros virtuales y un volcado de la parte de la memoria RAM utilizada por este entorno. De este modo, una vez obtenidos todos los ficheros de configuración de la máquina virtual y de los discos virtuales, se deberá ser capaz de reproducir el entorno original para su análisis.

Cuando se manipulan dispositivos móviles, éstos deberán ser aislados debidamente, de forma que no entren en contacto con redes inalámbricas que puedan manipular accidentalmente los datos contenidos dentro de ellos, para lo cual se utilizarán artilugios conocidos como jaulas de Faraday.

La metodología de análisis a seguir, consiste en realizar un clonado de las partes accesibles de la tarjeta SIM e introducir el clon de la tarjeta en el terminal. Una vez encendido el terminal, se realizará una copia a bajo nivel de los datos contenidos en su memoria interna. Si algún modelo específico de terminal no fuera soportado por las herramientas forenses disponibles, se podrá trasladar al informe la información que se lea en la pantalla o proceder como en el caso de los sistemas apagados.

Una vez se ha terminado con el proceso de análisis de los datos, no se deberá introducir de nuevo ni la batería ni la tarjeta SIM original y se deberá, como siempre, calcular el hash de toda la información extraída.

Documentación

Cualquier análisis forense requerirá un control sobre las evidencias que van a ser sometidas a estudio. Por tanto, se documentará todo el procedimiento desde que se inicia el análisis hasta que acaba, a través de la redacción del informe pericial a enviar al solicitante, indicando todos los procesos y herramientas utilizadas y el momento en que fueron ejecutados dichos procesos, siguiendo una secuencia temporal definida con vistas a elaborar un registro auditable.

Consecuentemente, la cadena de custodia debe tener implementado un sistema de gestión documental  donde  van  a  quedar  reflejados  todos  los  pasos  llevados  a  cabo.  Esta  gestión documental incluirá los siguientes documentos, entre otros:

  • Documento de recepción de evidencias informáticas, pudiendo llevar así un control de las peticiones de análisis y de las propias evidencias a estudiar.
  • Registro de la documentación recibida, teniendo en cuenta que entre los documentos que acompañarán a la evidencia, se puede encontrar una descripción de las evidencias y de la cadena de custodia hasta que dichas evidencias llegan al entorno de análisis, así como los estudios solicitados en dicho análisis y los permisos necesarios para realizar dichos estudios.
  • Registro de las evidencias, en el que se describirá detalladamente cada evidencia y su estado, en el momento de la recepción de la misma.
  • Registro del tratamiento inicial en el que se describirá el proceso de clonado (volcado de datos o realización de la imagen).
  • Registro de situación de evidencias, en el que se reflejarán las operaciones practicadas a una evidencia, dónde se practicaron, por quién y en qué momento.
  • Registro de tareas del análisis inicial.
  • Registro de  tareas  del  análisis  de  datos  definitivo,  junto a  la  expresión  temporal  de  los procesos llevados a cabo, así como la ubicación temporal de la evidencia si se paralizara temporalmente su estudio.

Análisis

Durante la fase de análisis, se llevarán a cabo una serie de procesos y tareas que intentarán dar respuesta a preguntas relacionadas con una intrusión, como su origen, la lista de sistemas afectados, los métodos usados, etc. Todos estos procesos y tareas deberán realizarse de forma metódica, auditable, repetible y defendible.

Al llegar las evidencias al laboratorio forense, deberán ejecutarse una serie de acciones previas:

  1. Comprobar que lo que se precisa estudiar está dentro de la competencia del laboratorio.
  2. Formar un mapa contextual de las evidencias, según la documentación adjunta, las relaciones entre las mismas y de éstas con los distintos actores implicados.
  3. Revisar la cadena de custodia previa a la llegada de las evidencias al laboratorio.
  4. Solicitar las autorizaciones que se precisen para el estudio solicitado, según la legislación vigente.
  5. Comprobar que las evidencias no están deterioradas y que se pueden someter a estudio.
  6. Si aparecen nuevas evidencias no contempladas anteriormente, se generará un nuevo proceso de gestión, custodia y trazabilidad siguiendo la norma UNE 71505, previamente descrita, notificándose al solicitante.
  7. Revisar la  hora  de  la BIOS del  equipo  sometido  a  estudio,  de  modo  que  pueda  ser comparada con la fecha del momento en que se active el análisis forense.
  8. Establecer unos criterios de prioridades.

Teniendo estas premisas en cuenta, se describirán a continuación las acciones y procesos que se llevarán a cabo, en líneas generales, durante la fase de análisis de las evidencias.

Recuperación de los ficheros borrados

Consiste en una recuperación total o parcial de los datos ubicados en áreas del disco no asignadas por el sistema en ese momento y en el espacio del disco sin utilizar, así como tratar de recuperar carpetas y archivos huérfanos, de los que se ha perdido su vinculación. Asimismo, se buscarán también archivos completos o fragmentos de éstos a través de sus cabeceras.

En el informe pericial se especificará claramente de dónde se ha extraído la información y qué método se usó para dicha recuperación.

Estudio de las particiones y sistemas de archivos

Este proceso tendrá como finalidad estudiar las diversas estructuras de los contenedores de almacenamiento de los dispositivos a estudiar (particiones, sistemas RAID, etc.).

El proceso incluirá una serie de tareas básicas:

  • Enumeración de las particiones actuales y de las que hubieran existido anteriormente.
  • Identificar zonas del disco ocultas no visibles para el sistema operativo, como las HPA o DCO.
  • Identificar los sistemas de archivos en los contenedores o en las particiones, con la identificación del contenedor que almacena el sistema operativo de inicio y el tipo de arranque o selector multiarranque.
  • Identificar también los sistemas de archivos de los discos compactos y los posibles archivos cifrados y/o protegidos por contraseña.
  • Proceder al montaje de los archivos contenedores de otros (comprimidos, empaquetados, etc.), verificando las cabeceras de los distintos formatos y sus resúmenes digitales.

Al realizar un análisis de la memoria RAM se estudiarán, para un momento temporal concreto, los procesos activos, ficheros abiertos, puertos y tomas de corriente activas, así como claves de acceso a programas o volúmenes cifrados del soporte de almacenamiento.

Estudio del sistema operativo

Se estudiará durante este proceso el sistema operativo instalado, la actividad de los usuarios existentes en dicho sistema y su política de seguridad.

El proceso englobará ciertos pasos:

  • Identificar el sistema operativo principal del equipo y su localización, así como otros sistemas operativos utilizados, su fecha de instalación y sus actualizaciones.
  • Identificar a los distintos usuarios junto a los privilegios y permisos de éstos dentro del sistema operativo, así como las fechas de último acceso al equipo de cada uno de los usuarios y su política de seguridad.
  • Identificación de los dispositivos hardware y software reconocidos por el sistema operativo o que pudieran haber estado instalados anteriormente.
Estudio de la seguridad implementada

La finalidad de este proceso será estudiar si las evidencias informáticas sometidas a estudio han sido comprometidas. Con el mismo fin se intentará identificar el posible software malicioso existente dentro de las distintas particiones identificadas, evaluando el grado de intrusión en el sistema informático y qué archivos fueron los comprometidos.

Análisis detallado de los datos obtenidos

Se incluirá el análisis detallado de las evidencias, teniendo en cuenta los análisis previos. Del mismo modo, se clasificarán los datos y opcionalmente se indexarán los mismos utilizando palabras clave, con el fin de agilizar posteriormente las búsquedas de indicios.

Un análisis forense detallado contemplará los siguientes aspectos:

  1. Hardware instalado, fecha, hora, datos de configuración regional, etc.
  2. Dispositivos físicos conectados en algún momento al equipo.
  3. Estudio del escritorio o pantalla principal y papelera de reciclaje.
  4. Conexiones de red y tarjetas instaladas y su dirección MAC, los protocolos usados y las direcciones IP.
  5. Estudio de las comunicaciones llevadas a cabo desde el equipo.
  6. Estudio del registro del sistema y de los logs de auditoría del sistema operativo.
  7. Información contenida en los espacios no asignados en las particiones y en el espacio no ocupado por los archivos lógicos.
  8. Información contenida en los archivos de hibernación, paginación, particiones y archivos de intercambio (swap), etc.
  9. Análisis de la cola de impresión.
  10. Enlaces a archivos y archivos accedidos recientemente.
  11. Estudio de las carpetas de usuario.
  12. Estudio de las aplicaciones instaladas.
  13. Estudio de los metadatos, en caso de ser de interés.
  14. Análisis de las aplicaciones de virtualización.
  15. Estudio de las bases de datos instaladas y de sus sistemas gestores.
  16. Estudio del software de cifrado y de los ficheros y particiones cifradas.
  17. Estudio de la navegación por Internet (cookies, historial, etc.).
  18. Análisis de correos electrónicos.
  19. Análisis de registros de mensajería instantánea y conversaciones, junto a la lista de contactos.

Presentación

Esta fase final consiste en plasmar toda la información obtenida durante el proceso de análisis de las evidencias en un informe pericial, firmado por el perito informático, dirigido al organismo o entidad que solicitó el estudio, teniendo en cuenta que este informe irá dirigido muchas veces a un público sin conocimientos técnicos profundos dentro del campo de la informática, por lo que deberá mantenerse un equilibrio entre la inteligibilidad y el rigor de lo escrito en el informe. Una vez redactado, se debe remitir el informe al organismo solicitante, junto al documento de control de evidencias, finalizando así el proceso de custodia de las evidencias y aportando trazabilidad a dicho proceso.

 

Estándares a nivel internacional

 

ISO/IEC 27037:2012

El estándar ISO/IEC 27037:2012 “Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence”, es una norma para la identificación, recolección, adquisición y preservación de evidencias digitales. El estándar ISO/IEC 27037:2012 proporciona directrices para actividades específicas como la identificación, recolección, adquisición y preservación de potenciales evidencias informáticas que pueden tener valor probatorio. Este estándar provee, al perito informático, de guías con respecto al proceso de manejo de la evidencia digital, así como orienta a las organizaciones en sus procedimientos de intercambio de evidencias digitales entre jurisdicciones (por ejemplo, para que un juzgado pueda, a fin de ser analizada por un perito informático, enviar una evidencia digital a otro, manteniendo la cadena de custodia de dicha evidencia).

El estándar ISO/IEC 27037:2012 incluye directrices de conservación de la evidencia y la cadena de custodia para dispositivos digitales de almacenamiento, como discos duros, memorias USB, discos ópticos y magnéticos, teléfonos móviles, PDAs, tarjetas de memoria, sistemas de navegación por satélite, cámaras de vigilancia (CCTV), ordenadores con conexión a la red, redes basadas en el protocolo TCP/IP y similares, etc.

Los principios fundamentales de la norma son los siguientes:

  • Metodología del proceso: la evidencia debe ser adquirida utilizando un método no intrusivo o mínimamente intrusivo.
  • Auditoría del proceso: el procedimiento seguido y la documentación generada deben poder ser auditados por peritos informáticos ajenos a los que adquirieron las evidencias, con una trazabilidad del proceso de recolección de las mismas.
  • Reproducción del proceso: el procedimiento debe poder ser repetido por peritos informáticos ajenos a los que lo ejecutaron por primera vez, partiendo de las mismas premisas y obteniendo los mismos resultados.
  • Defensa del proceso: el procedimiento debe poder ser defendido, demostrando la adecuación de las herramientas utilizadas en el mismo.

Asimismo, el tratamiento de las evidencias para cada tipología de dispositivo, es el siguiente:

  • Identificación: localización de la evidencia, sea física o lógica
  • Adquisición: recolección de la evidencia o de una copia forense de la misma, así como de la documentación asociada a ésta
  • Preservación: conservación de la evidencia como elemento inalterado, al objeto de que pueda ser admitido como prueba, es decir, conservando su cadena de custodia

 

ISO/IEC 27042:2015

El estándar ISO/IEC 27042:2015 “Information technology – Security techniques – Guidelines for the analysis and interpretation of digital evidence”, es una norma para el análisis e interpretación de evidencias digitales. El estándar ISO/IEC 27042:2015 proporciona directrices sobre cómo un perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).

Las definiciones que proporciona la norma para su utilización en la realización de un peritaje informático, son las siguientes:

  • Evidencia digital potencial: información identificada como posible evidencia digital, es decir, que aún no ha sido analizada, almacenada en un medio físico, o transmitida a través de la red en formato binario.
  • Evidencia digital: información identificada como evidencia digital, tras su correspondiente análisis forense utilizando las herramientas adecuadas, almacenada en un medio físico, o transmitida a través de la red en formato binario.
  • Evidencia digital legal: información identificada como evidencia digital que ha sido aceptada en un procedimiento judicial (prueba o pieza de convicción, según la terminología jurídica).
  • Investigación: aplicación de exámenes, análisis e interpretaciones sobre una potencial evidencia digital hasta convertirla en una evidencia digital legal.
  • Examen: conjunto de procedimientos que se aplican para identificar y recuperar una evidencia digital potencial de una o varias fuentes.
  • Análisis: evaluación de la evidencia digital potencial al objeto de valorar su posible importancia en una investigación.
  • Interpretación: síntesis o composición para explicar, dentro de su alcance, los hechos llevados a cabo en los exámenes y análisis que componen una investigación.

El estándar habla, asimismo, de los modelos analíticos que pueden utilizar los peritos informáticos, que se dividen en las siguientes categorías:

  • Análisis estático: es una inspección de la evidencia digital potencial (contenido de ficheros, datos borrados, etc.), a fin de determinar si puede ser considerada evidencia digital. Debe examinarse en crudo y utilizarse procedimientos que eviten la alteración de la evidencia digital potencial.
  • Análisis en vivo: es una inspección de evidencias digitales potenciales en sistemas activos, como memorias RAM, teléfonos móviles, tabletas, redes, etc. El análisis debe realizarse en caliente. A su vez, el análisis en vivo, se divide en:
    • Análisis en vivo de sistemas que no pueden ser copiados ni se puede obtener una imagen de los mismos: el riesgo para el perito informático de analizar en vivo este tipo de sistemas es evidente, ya que la potencial evidencia digital, puede perderse al no poderse realizar una copia de la misma. Por tanto, es muy importante minimizar el riesgo del análisis y llevar un registro de todos los procedimientos ejecutados.
    • Análisis en vivo de sistemas que pueden ser copiados o se puede obtener una imagen de los mismos: este tipo de sistemas deben analizarse interactuando con ellos directamente, prestándose sumo cuidado a la hora realizar emulaciones de software o hardware y utilizando para ello máquinas virtuales certificadas, o incluso los entornos reales para obtener unos resultados más cercanos a la realidad.

Asimismo, la ISO/IEC 27042:2015, enumera ciertas indicaciones o guidelines que debe incluir el perito informático en su informe pericial, a no ser que existan indicaciones judiciales en su contra. Dichas guidelines son las siguientes:

  • Calificaciones del perito informático
  • Información inicial de que dispone el perito informático y su equipo
  • Naturaleza del incidente que va a ser investigado por el perito informático
  • Fecha, hora y duración del incidente
  • Lugar del incidente
  • Objetivos de la investigación
  • Miembros del equipo de investigación supervisados por el perito informático
  • Fecha, hora y duración de la investigación
  • Lugar de la investigación
  • Hechos sustentados por una evidencia digital y hallados durante la investigación
  • Daños en la evidencia digital y sus implicaciones en los siguientes estadios del proceso de investigación
  • Limitaciones de todos los análisis realizados
  • Detalle de procesos y herramientas utilizadas
  • Interpretación de la evidencia digital por parte del perito informático
  • Conclusiones
  • Recomendaciones para futuras investigaciones

Por otra parte, la norma recalca que los hechos deben separarse totalmente de las opiniones del perito informático, de tal forma que dichas opiniones deberán ser fundadas y estar soportadas por los hechos que se desprendan de las evidencias digitales investigadas. El perito informático no podrá incluir, por tanto, en el informe pericial, ningún tipo de juicio de valor o afirmación que no se sustente en hechos puramente científicos.

Por último, el estándar concluye con determinadas indicaciones para los peritos informáticos, que hablan sobre la formación y el mantenimiento de las habilidades requeridas para ejecutar con la debida calidad las actividades conducentes a la gestión de la evidencia digital. Así, estas indicaciones son:

  • Definición de competencia profesional como habilidad para obtener un resultado a partir de la aplicación del conocimiento.
  • La incompetencia de una persona puede lastrar la investigación o, incluso, echarla a perder.
  • La competencia profesional de un perito informático debe ser medida e identificada con métricas como: carreras universitarias, exámenes, certificaciones, currículum, experiencia profesional, formación continua, asistencia a eventos formativos como congresos, simposios o conferencias, etc. En España, según las Leyes de Enjuiciamiento Civil y Criminal, el perito deberá estar en posesión de la titulación oficial correspondiente a la materia del dictamen para el ejercicio de la profesión, siendo el caso del peritaje informático, la Ingeniería o Ingeniería Técnica en Informática.
  • La competencia profesional de un perito informático deberá ser medida de forma periódica y en periodos regulares, incluyendo nuevas áreas de conocimiento.
  • Un perito informático será considerado competente, cuando de los análisis de sus investigaciones se obtengan resultados equivalentes a los de otro perito informático.
  • La competencia profesional deberá ser validada por terceros independientes del profesional.

 

RFC 3227

La RFC (Request For Comments) 3227 es un documento que recoge las principales directrices para la recolección y el almacenamiento de evidencias digitales, constituyendo un verdadero estándar para la recopilación y almacenamiento de evidencias. La RFC 3227 define un proceso para la recolección de evidencias que ayuda al perito informático a adquirir y catalogar las evidencias digitales.

Así pues, el proceso definido incide en la adquisición de una imagen del sistema que debe adquirirse lo más fidedigna posible, realizando notas detalladas que incluyan fechas e indicando si se está utilizando la hora local o el horario UTC, minimizando los cambios en la información que se está recolectando (eliminando si es posibles los agentes externos que pudieran ejecutar dichos cambios), priorizando la recolección sobre el análisis, recogiendo la información por orden de volatilidad (es decir, recopilando primero la información de las memorias cachés y de la memoria principal -RAM- y, posteriormente, recolectando la información de la memoria secundaria -discos duros-, seguidamente de las memorias USB y, finalmente, de las unidades ópticas, logs de sistemas y documentos.

El perito informático, según este estándar, deberá intentar por todos los medios que se pierda la mínima información posible, tomando la mejor decisión con respecto a si se deben extraer las evidencias de los ordenadores encendidos que han sido intervenidos (siempre ante fedatario público o autoridad que levante acta del proceso), o desconectar la máquina de la red a fin de evitar que se active cualquier programa informático diseñado para eliminar la información de las unidades físicas conectadas al ordenador, bien a distancia (botón de pánico), bien de forma programada. Es necesario señalar que esta desconexión provocará la desmagnetización de las cachés y de la memoria principal, cuya información se perderá irremediablemente, razón por la cual es necesario analizar y decidir in situ cuál es la mejor opción en función de lo que el perito informático perciba en los diferentes sistemas intervenidos.

Se deberán obviar también las informaciones proporcionadas por los programas del sistema, ya que éstos pueden haberse visto comprometidos. Tampoco deben ejecutarse programas que modifiquen los metadatos de los ficheros del sistema.

Asimismo, el perito informático deberá prestar especial atención a no vulnerar, bajo ningún concepto, la privacidad de las personas, cumpliendo en todo momento con la Constitución, que protege la privacidad del individuo en su artículo 18, así como con las leyes que desarrollan dicho artículo. Es necesario prestar también especial cuidado sobre la información comprometida de la organización, puesto que puede darse el caso que se hallen almacenadas fórmulas, planos, o cualquier otro tipo de activos sometidos a las leyes de la propiedad industrial.

Por tanto, la recolección de la evidencia debe seguir los principios de:

  • Admisibilidad: la prueba debe ser admisible por un Tribunal de Justicia
  • Autenticidad: debe ser posible vincular la prueba al incidente o delito
  • Completitud: la prueba debe ser completa, no parcial
  • Confiabilidad: no se debe poner en duda el proceso de recolección de la prueba, por lo que debe conservarse de forma absolutamente escrupulosa la cadena de custodia, al objeto de evitar que el Tribunal inadmita la prueba
  • Credibilidad: la prueba debe ser fácilmente comprensible por el Tribunal que vaya a evaluarla

El estándar define igualmente un procedimiento de recolección de evidencias, que debería ser lo más detallado posible, inequívoco y reduciendo al mínimo la cantidad de toma de decisiones necesaria durante el proceso de recolección. Así pues, se define que el proceso debe ser transparente, de tal forma que todos los métodos utilizados para la recolección de la prueba deben ser reproducibles, lo que significa que el procedimiento debe ser forense (del latín forensis, “público y notorio”), así como el deber de la utilización de métodos estándares.

Se debe crear un listado con todos los sistemas involucrados en el incidente, al objeto de recoger posteriormente la prueba, estableciendo una relación de las evidencias que es más probable que sean admitidas, pecando por exceso, en lugar de por defecto, si fuese necesario, en la toma de precauciones para la recolección de la evidencia.

Para cada sistema informático, se debe obtener el correspondiente orden de volatilidad en cada una de sus memorias, desconectando cada sistema del exterior para evitar alteraciones en las evidencias, reuniendo posteriormente las evidencias con las herramientas forenses necesarias. Es necesario, asimismo, registrar el grado de sincronización del reloj del sistema y, a la vez que se van recolectando evidencias, indagar en la posibilidad de qué otros elementos pueden llegar a considerarse evidencias. Además, es necesario documentar cada paso y recoger en un documento las personas involucradas en el procedimiento, tomando nota de quién estaba allí y de qué estaba haciendo cada uno, así como de sus observaciones y reacciones. Finalmente, es necesario calcular los resúmenes o códigos hash para cada una de las evidencias, sin alterar éstas, al objeto de iniciar un procedimiento de cadena de custodia de las pruebas.

Por otra parte, el procedimiento de archivo de las evidencias define cómo deben almacenarse las pruebas. La evidencia debe estar claramente protegida y, además, debidamente documentada. Así pues, el perito informático necesitará, muy probablemente, la ayuda de un fedatario público (en España, un notario o un secretario judicial), que otorguen fe pública al acto de generación de la cadena de custodia mediante el cálculo del código hash correspondiente a la prueba. Además, se debe generar documentación conducente a la descripción clara de cómo se encontró la evidencia, cómo se manipuló y quién tiene bajo la custodia de quién está la evidencia en cada momento, detallando los cambios que se produzcan en la custodia de ésta.

El acceso a las evidencias almacenadas deberá ser limitado y deberán documentarse también las personas que tendrán permiso para acceder a las mismas, así como los cambios de custodia que se produzcan en las pruebas. Sería conveniente, asimismo, implementar un mecanismo que detecte accesos no autorizados a las pruebas.

Todos los programas que el perito informático necesite para realizar el análisis forense de las pruebas, deberá ser preparado con anterioridad en medios ópticos de “sólo lectura”, como CDs o DVDs, debiendo incluir, al menos, un programa de cada una de las siguientes tipologías:

  • Un programa para el examen de los procesos
  • Un programa para examinar el estado del sistema
  • Un programa para realizar copias bit a bit
  • Un programa para calcular sumas de verificación o códigos hash
  • Un programa para la generación de imágenes básicas y para analizar éstas
  • Una secuencia de comandos para automatizar la recopilación de pruebas.

Además, se deberá estar preparado para garantizar la autenticidad y fiabilidad de las herramientas que se utilicen.

 

RFC 4810

La RFC 4810 define un estándar que debe seguirse para la preservación de la información al objeto de que, la existencia de determinados archivos, creados en un determinado momento del tiempo, pueda ser probada, así como su integridad desde el instante de su creación hasta el momento en que es presentada como evidencia por un perito informático. Igualmente, la RFC define qué tipo de sistemas de ficheros pueden dar soporte a este tipo de escenarios y qué requisitos deben cumplir los mismos.

Finalmente, la RFC define la forma en que una firma digital debe poder ser verificada tras haber transcurrido un tiempo indeterminado desde la generación de la misma.

 

RFC 4998

La RFC 4998 define un estándar que debe seguirse para la preservación de la información, incluyendo información firmada digitalmente, al objeto de demostrar su existencia e integridad durante un periodo de tiempo que puede ser indeterminado. La RFC define qué tipo de sistemas de ficheros pueden dar soporte a estos escenarios y qué requisitos debe cumplir un Registro de Evidencias, en el que se apoye un perito informático, para garantizar la existencia de dicha información, al objeto de evitar que pueda ser repudiada.

 

RFC 6283

La RFC 6283 define un estándar para demostrar la existencia, integridad y validez de información, incluyendo información firmada digitalmente, durante periodos indeterminados de tiempo. La RFC define, además, la sintaxis en lenguaje extensible de marcas XML, así como las reglas de procesado, que deben seguirse para la creación de evidencias íntegras de información de largo periodo al objeto de evitar su repudio.

Peritaje informático sobre análisis y detección de malware, virus o programas espías en teléfonos móviles de tipo iOS (Apple), Android o Windows Phone

Es muy frecuente que, en los tiempos que corren y debido a la masificación de los teléfonos inteligentes o smartphones, un cliente requiera a un perito informático la realización de una investigación forense para comprobar si en su teléfono existe algún tipo de malware informático, programa espía, keylogger o algún otro tipo de software malicioso. La ejecución de un análisis forense es un paso previo y absolutamente necesario para la realización de un peritaje informático y la presentación de una posible denuncia ante el Cuerpo Nacional de Policía o la Guardia Civil, siempre y cuando en el análisis forense se detecte la presencia de malware y pueda determinarse su procedencia.

La mejor forma que tiene el perito informático de enfrentarse a una posible infección de malware, virus o programas espías en un teléfono móvil o tableta es realizando un escáner de malware con la herramienta UFED Physical Analyzer de Cellebrite. Para ejecutar este escáner, es preciso, en primer lugar, realizar una extracción física o lógica de la evidencia utilizando la herramienta Cellebrite UFED Touch (es preferible la extracción física a la lógica, ya que la extracción física genera una imagen absolutamente clónica del estado del terminal en el momento de ejecución de la misma, incluyendo el sistema de archivos completo, pero llevar a cabo dicho tipo de extracción requiere de la alteración previa del terminal en forma de rooteo, por lo que sería preciso realizar ambas acciones ante notario –rooteo y extracción física-). En los terminales más modernos de tipo iOS (los cuales, en general, deben ser extraídos con la herramienta UFED Physical Analyzer en lugar de con la Cellebrite UFED Touch), aún no es posible realizar extracciones físicas, pero sí se pueden realizar extracciones lógicas avanzadas. Para la realización de este ejemplo, se ha realizado una extracción lógica (no física) de un terminal LG X150.

Una vez el perito informático ha realizado la extracción física, lógica o lógica avanzada de la evidencia, debe cargarla en el programa UFED Physical Analyzer, al objeto de que, sobre la misma, se ejecute el análisis de malware. A continuación, se muestra una captura de pantalla con la imagen forense  del terminal LG X150 cargada  (extracción lógica).

peritaje_informatico_virus_movil_1

Para la ejecución del análisis de malware es necesario navegar hacia el menú Herramientas, pinchar en la opción Escáner de malware y, posteriormente, en el botón Explorar malware. A continuación, se adjunta captura de pantalla correspondiente a la mencionada selección.

peritaje_informatico_virus_movil_2

Una vez seleccionado el botón Explorar malware, el análisis de malware comienza y se puede comprobar su progreso en la parte inferior izquierda de la pantalla. A continuación, se adjunta captura de pantalla de la instantánea tomada en el momento de la ejecución del análisis.

peritaje_informatico_virus_movil_3

Al finalizar el análisis, la herramienta UFED Physical Analyzer indicará si el dispositivo móvil analizado es portador de algún tipo de malware, programa espía, keylogger, etc. Como se puede observar en la siguiente captura de pantalla, el resultado ha sido negativo en este caso.

peritaje_informatico_virus_movil_4

Si el resultado hubiese sido positivo, habría sido necesario analizar la procedencia del malware, para realizar un peritaje informático que el cliente pudiera presentar en su denuncia ante el Cuerpo Nacional de Policía o ante la Guardia Civil (el informe de un perito informático es condición sine qua non para interponer una denuncia de este tipo). Si el origen del malware no pudiera ser identificado, el perito informático debería realizar una investigación completa de la extracción forense del terminal, al objeto de tratar de encontrar direcciones IP o de correo electrónico, números telefónicos, etc., que pudieran desvelar pistas sobre el origen del malware. En definitiva, se deben buscar, para el malware, posibles orígenes cuya titularidad, el perito informático, no podría, a priori, determinar, ya que carece de autorización judicial, siendo la Policía Judicial la que debería proceder a su identificación, una vez se haya obtenido la pertinente autorización del juez (para lo cual, el informe pericial informático deberá presentar indicios muy sólidos y pistas muy contundentes sobre el origen del malware).

Los acusados del ‘caso Anonymous’, absueltos gracias a un peritaje informático

Según recoge la sentencia dictada el 6 de julio de por la Magistrada titular del Juzgado de lo Penal número 3 de Gijón, Doña María Asunción Covadonga Domínguez Luelmo, así como diversos medios de comunicación que se han hecho eco de la misma, los tres acusados por el ‘caso Anonymous’, han sido absueltos de todos los cargos y ya no pesa ninguna acusación sobre los mismos, aunque la sentencia no es firme y puede ser recurrida en apelación a la Audiencia Provincial de Asturias por el Ministerio Fiscal. La juez considera que las pruebas presentadas habían perdido su cadena de custodia, por lo que sobre los acusados no concurría el derecho a la tutela judicial efectiva, consagrado en el artículo 24 de la Constitución Española.

 

Ahondando en el sentencia, el perito informático demostró que los resúmenes informáticos o, en lenguaje técnico, códigos hash de los discos duros incautados a los acusados, no coincidían con los que habían sido obtenidos por los investigadores policiales en el momento de la intervención de dichos discos duros, habiendo sido anotados, los mencionados códigos hash, en un acta firmado por la secretaria judicial presente en la intervención. Los códigos hash no coincidían con los que posteriormente calculó el perito informático y, por tanto, la prueba se ha declarado contaminada e inválida. La jurisprudencia, en la STS 685/2010, de 7 de julio, así como en la STS 356/2016, de 26 de abril, tal y como aparecen mencionadas en la sentencia objeto del presente artículo, determina que únicamente con la mera sospecha de la pérdida de la cadena de custodia de una prueba, no se puede invalidar ésta, sino que es necesaria una certeza de que dicha pérdida en la cadena de custodia es real. Debe recordarse que es a través de la cadena de custodia como se satisface la garantía de la “mismidad de la prueba”, según la STS 1190/2009, de 3 de diciembre. La juez, en este caso, ha considerado que la certeza en la pérdida de la cadena de custodia es absoluta, ya que se trata de un cálculo matemático y, por tanto, absolutamente exacto y nunca aproximado, en el que basta con modificar uno sólo de los miles de millones de bits que contiene un disco duro, como recoge la propia sentencia, para que el resumen o hash sea distinto.

 

Asimismo, como ya ha sido señalado en varias ocasiones por este perito informático en diversos artículos escritos en esta página web, así como en importantes medios jurídicos en los que este profesional colabora, la correcta obtención del código hash de un disco duro ante fedatario público (notario o secretario judicial), es vital para el establecimiento de la cadena de custodia en las pruebas informáticas, de tal forma que ésta permita asegurar la tutela judicial efectiva de un acusado o, simplemente, iniciar correctamente un proceso de conservación de la “mismidad de la prueba”, en caso de que un particular deseara emprender acciones judiciales contra otro o contra una empresa, siempre y cuando dichas acciones judiciales vayan a estar sustentadas en pruebas informáticas. Esta obtención del código hash del disco duro o, en general, de la prueba, evitará posibles acusaciones de manipulación de la misma sobre el perito informático de parte encargado del caso o, simplemente, evitará suspicacias sobre la prueba achacables a la parte actora en cualquier pleito que se inicie y que descanse sobre pruebas informáticas.

 

Por otra parte, como ya se indicó en un artículo de esta misma página web, la jurisprudencia establece en la Sentencia 1599/1999 del Tribunal Supremo, que no es necesario que el secretario judicial esté presente en el volcado de un disco duro pero, si se toma la decisión, como aparece recogido en la sentencia objeto de este artículo, de que dicho funcionario esté presente para otorgar mayor fiabilidad y seguridad al proceso, no se puede ignorar lo que éste hace constar como fedatario, es decir, el conjunto de los códigos hash de las pruebas obtenidos en el momento de la intervención, de tal forma que, posteriormente, si éstos no coinciden con los calculados por el perito informático, se ponga de manifiesto que las pruebas han sido efectivamente contaminadas. El secretario judicial es, por tanto, en caso de estar presente, el encargado de velar por que las actuaciones de los investigadores forenses se elevan a documento público, pese a que la jurisprudencia dictamina que no se hace necesaria su presencia en los volcados informáticos debido a su carencia de conocimientos técnicos.

 

Leyendo la sentencia, en el proceso del ‘caso Anonymous’ se observa que, o bien se cometió un error al transcribir los códigos hash de los discos (no al obtener los mismos, ya que este procedimiento es realizado por una clonadora forense o un programa informático forense estándar y ninguno de éstos se equivoca), o bien que las pruebas fueron realmente alteradas a posteriori, presumiblemente de forma accidental, por los investigadores policiales. Estos errores ponen de manifiesto, como indica en un artículo periodístico el abogado defensor de uno de los acusados, ahora absuelto, que las Fuerzas y Cuerpos de Seguridad del Estado deberían ser acompañados por profesionales peritos informáticos independientes que, como siempre ha defendido este profesional, deben ser peritos informáticos colegiados, de tal forma que, en las intervenciones policiales y siempre bajo la tutela de los investigadores forenses y del secretario judicial, se encarguen de manipular y clonar o volcar las pruebas informáticas correctamente, transcribiendo los códigos hash de las pruebas de forma fidedigna.

 

El ‘caso Anonymous’ demuestra que el perito informático es un profesional cada vez más importante en la sociedad actual, totalmente informatizada en todos sus órdenes, así como absolutamente indispensable en los procesos judiciales actuales. Es necesaria, por tanto, la creación a nivel nacional de un Cuerpo de Peritos Informáticos Colegiados que acompañen a los investigadores policiales en las intervenciones y velen por la correcta manipulación de las pruebas informáticas, evitando su contaminación y conservando la cadena de custodia sobre las mismas.