Evidencias digitales forenses ante un proceso judicial

evidencias digitales

Las evidencias digitales son información de valor probatorio en un juicio, que no hay que confundir con la recuperación de datos. La evidencia digital es cualquier información de valor probatorio que se almacena o transmite en forma digital (datos en binario a bajo nivel). Se trata de entender y contestar preguntas referidas a cómo, cuándo y desde dónde se produjo el incidente, así como cuál fue su impacto y a qué afectó. La Informática forense se centra en recuperar evidencias que el usuario ha ocultado, eliminado o simplemente dejado atrás mientras realizaba sus actividades. Las pruebas pueden ser inculpatorias o exculpatorias.

Forense digital corresponde a “la aplicación de la informática y los procedimientos de investigación para un propósito legal que implica el análisis de las evidencias digitales, la cadena de custodia, la validación con matemáticas, el uso de herramientas validadas, la repetibilidad y la presentación de informes y la posible presentación por parte de los expertos”, tal como definió Zatyko en 2007.

En cuanto a su aplicabilidad, la informática forense se puede aplicar en investigaciones penales. Por ejemplo: pornografía infantil, robo de identidad y homicidios. La herramienta Autopsy es la más usada por cuerpos y fuerzas de seguridad, militares y también en entornos corporativos para investigar un hecho ocurrido en un ordenador. La particularidad, es que ahora esos metadatos son más fácilmente entendibles (ojo que también manipulables) y ofrecen mayor información. Lo cierto es que no siempre los metadatos son esenciales, e incluso importantes.

Elementos que se analizan en ingeniería digital forense

Taxonomía de recuperación de ficheros según Garfinkel & Metz:

  • Recuperación
  • Recuperación basada en bloques
  • Recuperación estadística
  • Cabecera y pie de fichero
  • Cabecera y tamaño máximo del fichero
  • Cabecera y tamaño embebido del fichero
  • Recuperación con validación
  • Recuperación de fragmentos
  • Reempaquetado de los ficheros

Otros métodos

  • Búsqueda estadística
  • Búsqueda semántica
  • Estructura del sistema de ficheros
  • Disco HDD/SDD
  • Metadata (Generalmente se usa Exiftool y Metasploit)
  • Data carving para recuperar archivos borrados (generalmente se usa Scalpel)
  • Análisis RAM. La búsqueda e impresión de cadenas embebidas en binarios se puede realizar mediante un análisis del volcado de memoria (dump) (Generalmente se suele usar “strings”)
  • En el caso de imágenes, se usan tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU) (generalmente se usa “AnálisisJPEG”) Un aspecto importante del análisis forense es la identificación de las fuentes que generan las imágenes, pues éstas son utilizadas en multitud de servicios online (por ejemplo, las redes sociales) y pueden proporcionar información relevante.
  • Reporte ejecutivo y técnico. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio. Debe contener:
    • Resumen del informe
    • Evidencias analizadas
    • Hallazgos y detalles de apoyo
    • Investigar pistas (pistas pendientes)
    • Conclusiones

 No invalidar la evidencia digital

Es importante entender que se define a la evidencia digital como el conjunto de datos o información en formato binario, como por ejemplo ficheros, su contenido o referencias a éstos (metadatos), capturas de tráfico o conexiones de red, imágenes de discos o tarjetas, o memoria volátil del sistema atacado, entre otros, que puedan ser utilizados en una corte para esclarecer un hecho o incidente de seguridad. En otras palabras, es todo aquel elemento que pueda almacenar información de forma física o lógica que logre ayudar a esclarecer un caso. Esta debe ser relevante, es decir que tenga relación con el delito bajo investigación y que haya sido obtenida en un modo legal. Además, debe estar correctamente identificada (respetando su cadena de custodia) y ser confiable es decir que no haya sido modificada.

Existen varias metodologías, entre las cuales podemos mencionar la RFC 3227; en ella se explica detalladamente el modo correcto de preservar una evidencia digital

  1. No cambiar el estado del dispositivo. Si esta encendido, no se debe apagar y al contrario no se debe encender.
  2. Recopilar evidencias siguiendo el orden de mayor a menor volatilidad, es decir, aquellos que perdemos cuando se apaga el equipo.
  3. No confiar en la información proporcionada por los programas del sistema. Es muy común que los sistemas comprometidos puedan haber sido manipulados por los atacantes o algún código malicioso, con el fin de entorpecer la investigación de los analistas forenses ocultando o falseando evidencias (esto se conoce como técnicas antiforenses). Son definidas como metodologías para comprometer la disponibilidad de la evidencia en un proceso forense. De esta forma, se intenta manipular el material de una pericia destruyendo, ocultando, eliminando y/o falsificando la evidencia.
    1. Técnicas de borrado o destrucción de la información. Algunas se basan en el Algoritmo de Gutmann. En algunos casos pueden servir para recuperar archivos afectados por algunas familias particulares de ransomware.
    2. Esteganografía o Técnicas de ocultación de la información. los atacantes ocultan mensajes u objetos dentro de otros archivos, de tal forma que no se perciba su existencia.
    3. Técnicas de sobreescritura de metadatos. tiene como fin engañar, creando falsas pruebas para cubrir al verdadero autor, incriminando a terceros y por consiguiente desviando la investigación. Otra suele ser sobrescribir los propios tiempos de acceso, de manera que la línea de tiempo no pueda construirse de forma fiable.
    4. Técnicas de cifrado de la información que tienen como objetivo dificultar la lectura de datos para los analistas. Existen muchas aplicaciones utilizadas con tal fin, como es el caso de UPX, PEcompact o Themida; por otra parte, también existen mecanismos antiVM que se encargan de matar la aplicación en caso de que sea ejecutada en un entorno virtualizado con el objetivo de su estudio.
    5. Técnicas en las comunicaciones; de este modo se utilizan proxies con el objetivo de enmascarar la IP de un atacante. Un ejemplo muy activo de estas técnicas lo vemos en la mayoría de los ataques e inclusive en los códigos maliciosos como CTB-Locker, que se comunican a través de Tor con su C&C.
  1. No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los archivos del sistema

 Estado jurisprudencial

Problemas comunes que plantea la prueba digital son las dificultades de asegurar la identidad, confidencialidad, integridad, autenticidad y trazabilidad de la prueba. La prueba digital es prueba documental, pues un documento es una información que se incorpora a un soporte por el ser humano. No toda la información que ofrece en la prueba digital es el contenido de la información que ofrece, sino que de la propia información se desprenden datos adicionales de especial valor. Esos datos adicionales son los metadatos. De hecho, en la prueba documental tradicional, esos metadatos existen (prueba de ello es que el tipo de tinta o de papel pueden servir para comprobar la autenticidad de documento). No contiene la Ley de Enjuiciamiento Criminal normas sobre valoración de la prueba, pero si sobre la forma de obtener las pruebas en los artículos 588 bis y siguientes en los que se regula la interceptación de las comunicaciones telefónicas y telemáticas, la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen, el registro de dispositivos de almacenamiento masivo de información y los registros remotos sobre equipos informáticos. Sin embargo: una cosa es la obtención y aportación de la prueba, y otra diferente es la naturaleza del documento aportado como prueba, así como la valoración de dicha prueba.

En el ámbito penal, hay una figura desconocida en el ámbito civil (incluso cabría decir que en el mismo ámbito penal) y es la llamada cadena de custodia de las evidencias digitales. Esa cadena de custodia en realidad sólo es indirectamente regulada en dos artículos de la Ley de Enjuiciamiento Criminal: Art. 334. Y Art 338.

Normas sobre prueba digital en el proceso civil: Art. 319.- Fuerza probatoria de los documentos públicos. Art. 326.- Fuerza probatoria de los documentos privados. Art. 382.-  Instrumentos de filmación, grabación y semejantes. Valor probatorio

Normas comunes a la prueba digital, sea en procesos penales o civiles. El reglamento eIDAS 910/2014 que se ocupa específicamente de la identificación electrónica y servicios de confianza en transacciones electrónicas.

Valor de la firma y sello electrónico: Artículo 25 del reglamento eIDAS, artículo 35 del reglamento eIDAS,

Integridad y fecha digital: Artículo 3.33 del reglamento eIDAS y Artículo 41 Efecto jurídico de los sellos de tiempo electrónicos del reglamento eIDAS.

 

Consuelo Sánchez-Castro Díaz-Guerra
Abogada

 

 

 

 

Fuentes

Sammons, The Basics of Digital Forensics, 2nd ed. Syngress, 2014.

Casey, Handbook of Digital Forensics and Investigation. Academic Press, 2009.

https://www.welivesecurity.com 

RFC 3227 https://www.ietf.org/rfc/rfc3227.txt

Computer Security Lab (COSEC) de la Universidad Carlos III de Madrid