Van den Eynde

Concierte una Visita:

93 317 06 54
andreu@icab.es

Paseo de Gracia 12-14, 4º 2ª
08007 Barcelona

Prueba Electrónica (III): Cloud, Troyanos, Herramientas forenses, etc.

09/04/2014

BotnetRetomo el tema de la prueba electrónica para cerrar la trilogía de posts con un batiburrillo de ideas, trucos, problemas, etc., relacionados con internet y la prueba electrónica surgidos a raíz de las ponencias y debates del Congreso de Prueba Electrónica de Milán al que he hecho referencia en mi primer y segundo posts sobre el tema.

INVESTIGACIÓN PENAL MEDIANTE TROYANOS

Debo admitir que tras escuchar al Magistrado francés David Benichou cambió bastante mi percepción sobre la investigación criminal mediante troyanos. Benichou partía de la necesidad de afrontar (porque lo conoce muy bien) la difícil tarea de resolver crímenes perpetrados por organizaciones criminales que usan tecnología compleja y métodos que van siempre un paso por delante de los investigadores. El Magistrado ponía como ejemplo de cómo funcionan determinados elementos criminales un caso en el que se detuvo a un sospechoso que no disponía de ningún teléfono móvil, circunstancia que desconcertó a los investigadores. Alguien se dio cuenta de que el detenido, sin embargo, llevaba 2 relojes de pulsera y dentro de la maquinaria de uno de ellos se encontró escondida una tarjeta SIM usada por la red criminal.

El Magistrado Benichou es testigo de las dificultades de la investigación criminal en supuestos en los que el elemento tecnológico resulta imprescindible, como los casos en los que se necesita de la colaboración de ISPs americanos que no ayudan con la rapidez necesaria o no ayudan en modo alguno. Paradójicamente los mismos ISPs que, sin embargo, no han dudado en colaborar con el programa PRISM.

Pero lo interesante de sus reflexiones es el punto de vista ofrecido para justificar la investigación a través de programas troyanos desde una perspectiva que no puede descartarse siempre que se respeten escrupulosamente los derechos fundamentales. Según el Magistrado los troyanos son precisamente la única forma de efectuar un bypass a los ISPs y por tanto garantizar investigaciones en las que no se dependa de instituciones privadas para resolver un delito, ya que el troyano puede interceptar la conexión misma sin necesidad de requerir un auxilio técnico de los ISPs.

Lo único importante sería limitar judicialmente el alcance de los troyanos, definir su campo de actuación y prospección de acuerdo a un juicio de proporcionalidad, como podría ser una limitación de su alcance a meras funciones de keylogger de pulsaciones de teclado o capturas de pantalla.

Las previsiones del futuro Código Procesal Penal apuntan al debate sobre la introducción de troyanos que, desde el punto de vista apuntado, serían herramientas útiles para la investigación criminal siempre que se diseñaran y autorizaran bajo un control judicial estricto.

Está claro a mi entender que el tema crucial no es tanto el método técnico de investigación sino los límites que a dicho método se pongan para garantizar el respeto a los derechos fundamentales, en la línea de la reciente discusión sobre la retención de datos de tráfico a la que hace referencia por ejemplo un post del compañero David Maetzu y algunas de las consideraciones que ya apunté en otro post.

PACKERS, BOTNETS, CLOUD FORENSICS Y OTROS TEMAS

Hay distintos temas interesantes que simplemente expondré en este apartado genérico, pues algunos de ellos no tienen relación entre sí pero son útiles al debate sobre la prueba electrónica.

En primer lugar el abogado inglés Sandip Patel dijo una obviedad pero que resulta interesante recordar sobre el eterno debate de la admisibilidad de la prueba electrónica. La novedad de la prueba electrónica y el desconocimiento de sus características genera siempre una susceptibilidad que en ocasiones no tiene ningún sentido. Ningún Juez denegaría la admisión como prueba de “media carta manuscrita”, es decir, de un documento que por ejemplo llegara al Tribunal faltándole una parte, sin perjuicio del valor probatorio que se otorgase a tal documento o a las menciones de ese trozo de papel. Dice entonces Patel con acierto que por qué tendría que ser distinta la prueba electrónica y por qué de ordinario se plantean más dudas de admisibilidad que respecto a otro tipo de pruebas. Si a un Tribunal llega parte de una prueba electrónica, ello tendrá su relevancia al tiempo de su valoración probatoria pero no hay razones para cuestionar su admisibilidad si no existe un principio de prueba de contrario de su falsificación.

El experto en seguridad informática Bob Burls nos introdujo en el mundo de los métodos de ciberdelincuencia más modernos y por tanto en un sinfín de neologismos y nuevos términos. En primer lugar nos habló de los Packers como fórmulas de ocultación de archivos ejecutables y por tanto como técnica para evitar la ingeniería inversa de malware y dificultar la detección por parte de los antivirus. También habló de la utilización de máquinas virtuales en la comisión del crimen que nos aleja por tanto de la clásica finalidad de determinación del autor a través de la localización física del equipo informático. Habló Burls de la darknet y de los precios actuales de las botnets (al parecer se pagan 100 bots a 50 dólares americanos) así como de los bogons. En definitiva, la tradicional intervención de alguien que ha trabajado en investigación de delitos y que genera el inevitable efecto en la audiencia de inseguridad total, dando ganas de tirar el smartphone a la primera papelera que se encuentre.

El policía finlandés Jari Janavanien introdujo también temas interesantes sobre cloud forensics explicando las dificultades de investigación de evidencias en la nube ya que su rastro desaparece más rápidamente y por la necesidad de investigar adaptándose a cada caso concreto (para investigar en Gmail se tiene que trabajar desde el entorno Gmail). Se habló de unos estándares de investigación forense digital muy interesantes, en concreto los de la Asociación de Jefes de Policía de Inglaterra, Gales e Irlanda del Norte publicado en el protocolo ACPO (¡cómo se echa en falta en España la existencia de protocolos técnicos de investigación criminal!).

Una de las cosas más interesantes explicadas por Janavanien fue las reflexiones sobre el uso del Hash criptográfico como técnica de búsqueda de archivos y los problemas que ello puede acarrear. Si el investigador usa el valor Hash como dato para localizar archivos debe tener en cuenta que hay operaciones o comandos que modifican el Hash y otros que no y puso los siguientes ejemplos:

  • Modificar el tamaño de un archivo MODIFICA su valor Hash.
  • Imprimir un archivo MODIFICA su valor Hash.
  • Mover un archivo a una memoria USB o dentro del equipo NO MODIFICA el valor Hash.
  • Renombrar un archivo NO MODIFICA su valor hash.
  • Abrir un archivo (por ejemplo un Excel) MODIFICA el Hash si lo guardamos (aunque no hayamos efectuado cambios) pero NO lo MODIFICA si cancelamos sin guardar.

PRUEBA INFORMÁTICA Y ABOGADOS PENALISTAS

Siempre es interesante escuchar la perspectiva del penalista y algunos temas que propuso el compañero italiano Giuseppe Vaciago fueron de mucho interés. Sólo los enumeraré porque daría para mucho su discusión profunda.

En primer lugar distingue Vaciago entre la investigación digital de pruebas irrepetibles (por fugaces) y la post-mortem. Evidentemente no es lo mismo estudiar un hecho informático que se está desarrollando que analizar un equipo informático desconectado. Ello tiene una importancia práctica muy habitual en supuestos de investigaciones efectuadas por la policía sobre equipos informáticos en funcionamiento en los que la defensa intenta en ocasiones cuestionar la prueba al no poder practicar pericial contradictoria, cuando ello resulta técnicamente imposible si algunas evidencias tienen que ver con procesos que la policía analiza in situ al acceder a un equipo informático en funcionamiento.

Vaciago aboga por el uso de software forense de código abierto puesto que para él es lo único que podría permitir una admisibilidad plena de la prueba de acuerdo con los estándares de admisibilidad que se usan, por ejemplo, en la jurisdicción americana (el test de Daubert). Evidentemente ello se aleja de los usos actuales donde incluso la policía utiliza software propietario como ENCASE. En principio toda prueba informática post-mortem sobre equipos informáticos tendría que ser técnicamente repetible y, por tanto, controlable.

¿Qué debe hacer el abogado penalista durante la fase de investigación de un delito informático y con relación a la prueba informática?

  1. Controlar que la prueba obtenida por la policía no exceda de la autorizada por el Juez y cumpla con la legalidad en su obtención.
  2. Que la policía especializada trabaje bajo estándares de investigación forense informática válidos.
  3. Contratar a un perito informático inmediatamente.
  4. Obtener una copia-espejo (bit a bit) de la prueba para someterla a un análisis contradictorio si fuera conveniente.

Vaciago nos informa de herramientas muy útiles de investigación, como los sistemas para efectuar una validación con huella de tiempo de una página web de forma gratuita como Hashbot o paquetes más complejos de investigación forense digital como X1 Discovery.

Y finalmente se introduce un tema muy sugerente: el de la afectación de la información en Internet a la opinión de los jurados en juicios con Tribunal del Jurado, citando un caso inglés en el que una jurado entró en contacto a través de Facebook con una acusada del juicio en el que participó, determinando no sólo la anulación del juicio sino su propia condena por delito contra la Administración de Justicia.

ADN cadena de custodia cifrado contraseña Delito informático Derecho Penal económico error judicial forense Hacking internet investigación Menores nulidad prueba Psicología del testimonio Redes Sociales Rueda de reconocimiento testigo troyano True Crypt

Buscar

Sobre mí

Andreu Van Den Eynde Me dedico desde hace 18 años a la defensa y asesoramiento especializados en materia penal, ejerciendo como abogado ante los juzgados y tribunales españoles en la defensa de los intereses de mis clientes en todo tipo de conflictos.

Contacto

Paseo de Gracia 12-14, 4º 2ª
08007 Barcelona

93 317 06 54 | Fax 93 412 07 39
andreu@icab.es


Muestra un mapa más grande