En el Taller Regional de Buenas prácticas en Seguridad y Crimen Cibernético ha dado una conferencia sobre Evidencia Digital Tonya Fox del Departamento de Seguridad Nacional de los Estados Unidos. A continuación transcribo sus principales ideas.
Para entender la prueba digital es importante entender la
prueba digital o informática, como la obtenemos y que se hace con ella. Se vuelve una fotografía de la vida del acusado o de una víctima. Esto nos permite ver líneas de tiempo, podemos obtener información financiera, recursos o fuentes, tenemos un mundo fotográfico, podemos entrar en chat, sabemos donde han estado, que les interesa. Todo delito, no tiene por qué ser instrucción en computadora, puede involucrar el uso de las mismas. Muchos delincuentes y otras personas no somos conscientes de la evidencia digital o el rastro que dejamos cuando estamos navegando. Nos permite identificar sospechosos en otros delitos, no necesariamente el que estamos investigando. La prueba digital puede estar en
cualquier entorno, podemos documentar la incautación, identificar la prueba digital y fotografiarla, sobre todo si no son expertos en informática forense. Hay que tener mucho cuidado si no son expertos en informática forense. La preparación
de la escena es muy importante, hay que analizar de manera limpia y de manera coherente, es la oportunidad de recabar de la información. Hay que actuar en forma coherente y por eso
comenzamos con un plan de información de que vamos a hacer. Podemos ser parte de un equipo mas experimentado que nos ayude a ser más eficiente. Tenemos que
tener en cuenta las herramientas que tenemos, los guantes son fundamentales, bolsas antiestáticas. Hay que tener cuidado cuando tocamos evidencia, no queremos que queden nuestra huella digitales.
Muchas veces los delincuentes no salen del sótano de su
casa, hay gente que solo pertenece al mundo digital que ha creado, hay miedo a ser sacado de esa burbuja. Nosotros tomamos muchas fotografías de los puntos de entrada y de salida. Pueden haber fuentes de energía externas, routers adicionales, hay que estar conscientes de todo. Hay que ejecutar ciertas prácticas de privacidad. Hay que cuidarse de
determinados dispositivos que puedan estar utilizando para bloquear la entrada. No queremos que los sospechosos puedan alterar la prueba digital. Ellos son muy astutos y en 45 segundos pueden alterar la evidencia y no queremos que
eso suceda. Sacamos llaveros digitales, dispositivos de aproximación, teclados, mouse. No se debe permitir que el sospechoso los asista, porque va se va a dar sabotaje, puede ser peligroso que ejecuten programas y modifiquen la evidencia.
Cuando se incauta prueba, hay que tomar todo lo que se
encuentra, desde unos lentes de sol, discos, cd, manuales de computadora, no solo la torre, monitores.
Hay que entrevistar a los usuarios del ordenador. Usted le puede preguntar la configuración del sistema, las contraseña, la encriptación de algunos archivos, preguntarle quien más tiene acceso a esa computadora. Algunos sistemas pueden
tener protección especial o privadas (como registro médicos) que se necesita una autorización especial. No se toca pero se informa a la fiscalía que ese material existe. Las fotografías detalladas, también queremos ver que hay en la
pantalla, queremos una fotografía de atrás de la computadora, puede haber una etiqueta con una contraseña, ver que tiene conectado. Hay que poner etiquetas al ir tomando las fotos, para que después pueda armarla como estaba. Hay que
etiquetar cada cable y conexión.
Respecto al tema de preservación de la evidencia es
importante que sea la misma persona que etiquete todas las pruebas. Hay que tener en cuenta la custodia de la
prueba, la cadena de custodia y es importante también hacer un boceto del lugar.
También el transporte de la evidencia es importante, hay que
tener en cuenta las temperaturas, y tal vez necesitemos alquilar un vehículo especial. Nuestros coches no tienen insignias especiales, todo el sistema de transmisión está en la valija, por lo que no podemos poner la evidencia al lado
de nuestras radios, porque puede llegar a dañarla. Si no estamos seguros de si una computadora está prendida, no se puede apretar la barra espaciadora porque altera el status del sistema, hay que tocar el mouse. Si está apagada no la prendemos, si está prendida no la apague. Hay que desconectar el modem para que nadie en forma remota pueda
destruir la información.
El apagado es forzoso, la manera de apagar es desenchufar,
pero no de la pared, sino de la computadora, porque puede haber una forma de energía secundaria. En el caso de las laptop es importante sacar la batería para que se apague. No podemos apagar las computadoras en una empresa, si la
apaga capaz que borra información del negocio y podemos ser posteriormente demandados.
Embalado de la prueba digital. Utilizar bolsas antiestáticas.
Utilizar distintos procesos para distintos tipos de evidencia. Hay que etiquetar y poner la fecha. Si se abre hay que resellarla e indicar eso.
Tenemos un laboratorio forense con los que trabajamos, unas
100 oficinas, así que rápidamente podemos procesar estar pruebas digitales. Todo lleva su papeleo, su trámite en paralelo, no es tan fácil. Pero uno tiene un derecho legal a obtener la evidencia y a procesarla, hubo una orden de
allanamiento que nos permitió acceder a esta evidencia digital. Tenemos listas de palabras claves, términos técnicos, direcciones de correos electrónicos, todo lo que facilite el procesamiento.
Nos preo5000 millones de teléfonos móviles en el mundo, más
del 60 % de la población mundial contienen información personal, valores probatorios. En los próximos 5 años muchas más gente tendrá acceso a la internet de sus equipos móviles, esto es el resultado de la venta de celulares, tablets y Pcs. Los teléfonos móviles y todo lo que contienen es de mucho
interés para nosotros. Hay calendarios, se toman notas, hay contraseñas, mail, archivos, etc.
Las mejores prácticas: hay que asegurar el teléfono, pueden
haber números telefónicos y fotos, que se usa como protectores de pantallas. Si tienen el software original o embalajes originales. Si está apagado déjelo apagado, quite la
batería. A veces la evidencia visible es la mejor, comprobar si tiene contraseñas. Cuando se apaga hay una protección rf que es necesaria, por ejemplo puede haber una alarma a determinada hora. La información está almacenada en el mismo celular. A veces puede haber problemas, si ustedes se
llevan el celular y viajan en el auto, puede estar registrado por el gps del teléfono, contiene las ultimas llamadas, puede haber texto entrante, los amigos del sospechoso pueden borrar la información en forma remota.
Prevenir acceso a al red: apagar el celular puede prevenir
consecuencias graves. Se puede envolver en papel de aluminio para que no se reciban mas llamadas y no exista interferencia, cuantas mas capas de aluminio mejor. Hay que desactivar el wi-fi, bluetooh e IrDa. Si el móvil lo dejamos prendido y ha sido incautado tenemos que quitar la batería, llevarse el
cargador si lo encuentran es muy importante. No queremos que la batería actúe como antena. Apagar el teléfono podría comprometer la contraseña y podría ser negativo. Si se quita la batería se podría resetear el teléfono y perder información.
Eludir la contraseña: existen herramientas para esto
dependiendo del sistema. Hay que solicitar información, hay que saber a quien pertenece, cual es el número de teléfono, cual es el pin. Nos llevamos todos, tarjetas sim, cargadores,
hay gente que conserva en la caja toda la información referente a la compra. Entonces, si el teléfono está prendido no lo apague, aíslelo. Se pueden tomar fotografías del teléfono. Si no contiene tarjeta sim no pongan ninguna información, el experto deberá crear un clon para la tarjeta sim para recuperar
los datos.
Existen retos y desafíos con las diferentes plataformas. En algunos se pueden quitar la batería otros no. Algunos tienen encriptación de contraseña y otros no. Hay muchos vendedores, tanto como teléfonos. Hay diferentes
posibilidades de conectividad.
Mejores prácticas: hay que tener en cuenta la contaminación
cruzada, sigan las políticas y procedimientos de operativos estándares, hay que consultar con el experto en informática forense.
Si no hay políticas o procedimientos especiales hay que
crearlos. No importa si practican con equipos viejos. Tengan en cuenta que es lo que la defensa puede argumentar. La evidencia es evidencia, lo que van a cuestionar es el procedimiento para obtenerla.
Jueves 12 de julio de 2012