Archivo de la categoría: Valor probatorio

Peritajes electrónicos (Computer Forensics)

5 respuestas

Aunque el proceso que describe el periodista no es ortogonal y está muy simplificado, es una primera aproximación para no expertos.
Se describe en http://www.elpais.es/articulo.html?d_date=&xref=20060119elpcibpor_4&type=Tes&anchor=elpcibpor

Estos son los pasos que se indican

  1. Toma de contacto. Conversación con los relacionados en el caso, con el objetivo de tener una idea clara de lo que ha ocurrido y planear la investigación. En este caso se sospechaba de un empleado que había accedido a una máquina de otro empleado para sustraer un documento.
  2. Copia del disco duro. Acompañado del representante de los trabajadores y de los directores, se requisa el ordenador del sospechoso para, delante de todos, realizar una copia íntegra, bit a bit, del disco duro. Esta copia servirá para la investigación, y el ordenador requisado será guardado para su custodia en la caja fuerte de la empresa. Si se dispone de otros medios de almacenamiento externo, como CD o discos USB, se requisan también para su posterior análisis.
  3. Análisis del disco duro. Se buscan indicios de virus, troyanos o gusanos, así como herramientas de ataque, con la idea de realizar una foto del ordenador y saber para qué se usa realmente, así como el nivel del usuario. A continuación se localiza y analiza la información que ha sido borrada. Seguidamente, se realiza una escala temporal lo más exacta y detallada posible. Es decir, conociendo aproximadamente la fecha del suceso, se reconstruye el escenario segundo a segundo: acceso a ficheros, creación o borrado de ficheros, ejecución de comandos, accesos a páginas de Internet, etcétera. Como se trata de un robo de información confidencial, se busca en todo el disco, tanto en archivos existentes, como en archivos borrados y espacio no utilizado.
  4. Análisis de logs. Revisión y análisis de todos los logs o huellas de actividad, de la máquina y de todos los elementos relacionados, tales como cortafuegos, IDS, impresoras y servidores.
  5. Cadena de custodia. Una vez que hemos obtenido las pruebas, es fundamental documentarlas y mantener lo que se denomina cadena de custodia, que garantiza el origen de las pruebas, imprescindible si hay juicio.
  6. Presentación de resultados.
  7. Acciones legales si fuera necesario.

En mi opinión, hay 2 grandes pasos:

  1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
  2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

Resolución de 6ª Conferencia Internacional sobre Ciberdelincuencia

Deja un comentario

En la 6ª Conferencia Internacional sobre Ciberdelincuencia celebrada en El Cairo (Egipto), del 13 al 15 de abril de 2005, los delegados participantes acordaron difundir una importante resolución, que se anexa a continuación.

Los delegados participantes en la 6 a Conferencia Internacional sobre Ciberdelincuencia,

RECONOCIENDO la amenaza que supone el uso de la tecnología moderna para las infraestructuras fundamentales de los países,

RECONOCIENDO que el uso indebido de la tecnología moderna con fines ilícitos por parte de las organizaciones delictivas supone un riesgo creciente para los sistemas financieros,

RECONOCIENDO que el uso indebido de la tecnología moderna con fines de comunicación, propaganda y actos violentos por parte de grupos terroristas supone un peligro de ciberterrorismo en rápido aumento,

RECONOCIENDO la necesidad urgente de aumentar el grado de información en los funcionarios dedicados a la justicia penal, los ciudadanos, la administración y el sector privado, así como la necesidad de contar con mayores recursos,

RECONOCIENDO la necesidad fundamental de disponer de un sistema rápido y seguro para el intercambio de información sobre el uso ilícito de la tecnología moderna,

RECONOCIENDO la necesidad de formación a escala mundial, así como de normalización de las pautas legales y de procedimiento;

RECOMIENDAN:

  • Que se utilice el Convenio sobre Ciberdelincuencia del Consejo de Europa como referencia en materia de normas internacionales procedimentales y legales mínimas para la lucha contra la ciberdelincuencia. Se instará a los países a suscribirlo. Este Convenio se distribuirá a todos los países miembros de Interpol en los cuatro idiomas oficiales.
  • Que Interpol aumente sus esfuerzos dentro de la iniciativa sobre formación y normas operativas con objeto de proporcionar unos estándares internacionales para la búsqueda, el decomiso y la investigación de pruebas electrónicas.
  • Que la formación y la asistencia técnica sigan considerándose prioritarias en la lucha internacional contra la ciberdelincuencia, incluidas la preparación de los cursos adecuados y la creación de una red internacional de escuelas de formación y de instructores, lo que implica el uso óptimo de herramientas y programas tales como los cursos itinerantes Interpol y los módulos de enseñanza en línea. Las iniciativas de formación y asistencia técnica deben ser transversales, y en ellas deben participar los sectores públicos y privado, entre las que figuran las universidades
  • Que se inicie y desarrolle la esencial cooperación y comunicación con instituciones supranacionales, como pueden ser las Naciones Unidas, y con entidades nacionales dedicadas a la lucha contra la ciberdelincuencia, y se impulse una respuesta rápida.
  • Que la información relativa a casos de ciberdelincuencia se recopile en la base de datos de Interpol y se transmita en forma de resultados analíticos, a fin de ayudar a los países miembros a adoptar las estrategias de prevención apropiadas.
  • Que se creen grupos de trabajo de Interpol sobre delincuencia informática en las regiones donde actualemente aún no existen. Los conocimientos adquiridos por los grupos de trabajo ya constituidos deberán utilizarse para apoyar la creación de los nuevos.
  • Que la Secretaría General de Interpol organice una conferencia en la que participen, entre otros, representantes de los distintos organismos que trabajan en el ámbito de la justicia penal, a fin de determinar un marco para la cooperación en matera de lucha contra la ciberdelincuencia.
  • Que Interpol encabece la promoción de estas recomendaciones, que son esenciales para combatir eficazmente la delincuencia informática y proteger a los ciudadanos de todo el mundo en el ciberespacio.

El Cairo, 15 de abril de 2005