Universo Compliance (XIII): La Investigación Forense Digital: '¿Elemental?, querido Watson'

Por Carmen Alberca Jaquero, Consultora del Área Governance, Risks & Compliance de ECIX

“Elemental, querido Watson”. Con esta conocida frase el famoso personaje de las novelas de Sir Arthur Conan Doyle confirmaba que había llegado a una deducción en base a un conjunto de evidencias probatorias, contrastables, sustentadas en circunstancias, pruebas e indicios incriminatorios.

El último estudio publicado por KPMG, “Data Loss Barometer. A global insight into lost and stolen information” pone de manifiesto que el sector de la empresa privada está experimentando un incremento de ciberataques, pasando de un 8% en 2010 a un espectacular 52% en 2012.

Ante esta acuciante situación, las empresas privadas deben prepararse para un posible ciberataque. Por un lado, de forma proactiva, realizando evaluaciones de riesgos periódicas y gestionando planes de acción para alcanzar un nivel adecuado de seguridad frente a los posibles escenarios de riesgo a los que están expuestas. Por otro lado, un enfoque reactivo debería disparar la ejecución de un proceso de gestión de incidentes, donde la investigación y preparación forense proporcionará las directrices y pautas para identificar, analizar y presentar evidencias digitales admisibles procesalmente. Ahora bien, la empresa víctima de un ciberataque, no siempre decidirá denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado el incidente, previa evaluación de la situación inicial y de las consecuencias que podría suponer a la compañía la repercusión mediática y financiera de la divulgación de los hechos.

Antes de que un especialista forense inicie la investigación, la empresa deberá cumplir con medidas técnicas, jurídicas y organizativas necesarias. Las medidas técnicas garantizan la obtención y disponibilidad de evidencias digitales: (i) logs y bitácoras de sistemas que permitan verificar cuándo han sido realizadas las actividades llevadas a cabo por los usuarios de los mismos, (ii) número y tipo de datos registrados en los logs, como por ejemplo, fecha y hora, usuario que realiza una acción, puesto de trabajo utilizado, acción realizada, resultado, archivo o sistema accedido, (iii) tiempo de vida de los registros de logs de sistemas, ya que es recomendable almacenarlos, con carácter de mínimos, durante el tiempo de prescripción del presunto delito o falta; y (iv) copias de seguridad de sistemas críticos, con la finalidad de poder restaurar los sistemas al estado inmediatamente anterior al incidente y así poder recoger posibles evidencias.

Para asegurar la admisibilidad de las evidencias recogidas, garantizando la integridad, disponibilidad y autenticidad, la empresa debería abordar las siguientes tareas organizativas de preparación forense:

– Asignación de identificadores de usuario únicos de forma que se pueda atribuir una acción a una persona de forma inequívoca.
– Política de cambio de contraseñas que establezca obligatoriamente el cambio de las contraseñas periódicamente.
– Política de uso aceptable de los recursos tecnológicos de la empresa que identifique de forma clara y concisa las obligaciones y responsabilidades de cada trabajador de la compañía.
– Difusión y confirmación fehaciente de recepción por cada uno de los trabajadores.

Las evidencias digitales recolectadas después de la materialización de un incidente o ciberataque, deben recogerse de forma que se garantice su admisibilidad ante un juicio o requerimiento judicial mediante determinados controles de índole técnica, como:

– Almacenamiento en formato “sólo lectura” que permita la escritura y borrado y nunca la modificación o alteración de los registros almacenados para poder ser aportados como evidencia en un informe forense manteniendo la cadena de custodia.

– Autenticación de doble factor para acceso y uso de sistemas críticos de la compañía. Esta medida garantizará la asignación de responsabilidades sobre acciones a los usuarios.

– Mancomunación de procesos y acciones críticos. Para aquellas decisiones más sensibles para la compañía (firma de contratos, aprobación de gastos, emisión de facturas, etc.), deberán intervenir dos o más usuarios previamente autorizados.

– Correlación de eventos. Los sistemas de correlación de eventos centralizan en un único sistema todos los logs de eventos de todos los sistemas de la organización, lo que simplifica la investigación forense.

– Auditorías de control de acceso. Periódicamente se verificará que los usuarios autorizados para acceder a los sistemas, así como los permisos de acceso otorgados son los necesarios para el desempeño de sus funciones.

Si una empresa sufre un incidente de seguridad que pudiera tener un impacto grave en uno o varios escenarios de riesgo (legales, financieros, operativos, reputacionales, etc.), debería contactar con la mayor premura posible y si lo considera relevante, con un especialista informático forense para que realice una investigación, pudiendo derivar en la elaboración de un informe de análisis forense, y que se articula en las siguientes fases:

1.Requisitoria pericial.
2.Entrevista aclaratoria.
3.Inspección ocular.
4.Detención, identificación, recolección y traslado o remisión de pruebas observadas.
5.Tratamiento metodológico e investigación de las pruebas informático-forenses.
6.Demostración lógica y tecnológica estricta de las conclusiones alcanzadas.
7.Generación del informe informático pericial.
8.Preparación de la Defensa.
9.Entrega formal del informe pericial al solicitante.

Validez legal de las evidencias de un análisis forense digital

El objetivo de la investigación forense es garantizar la robustez, relevancia y consistencia de las evidencias. Para que una evidencia digital sea admitida por un Tribunal debe cumplir, entre otros requisitos, con las propiedades de: admisibilidad en cuanto al cumplimiento de la legislación aplicable y derechos fundamentales de las personas (derecho a la intimidad y secreto de las comunicaciones), autenticidad que certifique la autenticidad e identidad de los hechos a probar (cadena de custodia), integridad que asegure la no alteración de las evidencias digitales, proporcionalidad al hecho a demostrar, sin recoger más información de la necesaria y fiabilidad del proceso de recolección y conservación de pruebas.

Si el análisis forense se lleva a cabo con la finalidad de presentar las pruebas recogidas en un proceso judicial, el personal encargado de realizarlo tendrá que tener un profundo conocimiento de la legislación aplicable así como de las directrices y principios generales anteriormente descritos.

Cabe destacar, entre otras, las siguientes referencias legislativas a nivel nacional: (i) Ley Orgánica 10/1995, de 23 de Noviembre, del Código Penal (Art 197), (ii) Ley de Enjuiciamiento Criminal, (iii) Constitución Española (Art.1), y (iv) Ley 1/2000, de 7 de Enero, de Enjuiciamiento Civil (Arts. 335-2, 346).

Por tanto, para asegurar llevar a buen término una investigación forense digital, es altamente recomendable que la empresa tome las medidas técnicas y organizativas preventivas para preservar el valor de las evidencias y no contaminar el escenario del delito. Realizar copias de seguridad de los sistemas afectados lo antes posible para preservar en el punto temporal más cercano a la ocurrencia de los hechos, el estado de los equipos, no manipular los sistemas afectados antes del peritaje para evitar acusación de manipulación de evidencias, y si fuese necesario, realizarlo en presencia de un notario o testigos documentando las acciones realizadas, no apagar o desconectar los sistemas afectados ya que la información volátil, como conexiones activas, ficheros temporales o memoria virtual del equipo, se puede perder, documentar toda actuación realizada sobre las potenciales evidencias y siempre en presencia de testigos independientes y sin intereses que puedan validar las pruebas, por último, y no menos importante, no alertar a presuntos infractores puede resultar decisorio para evitar la destrucción o contaminación de las evidencias.

Parece ser pues que el método deductivo empleado por Sherlock Holmes, no sería un método técnico-legal completo para la obtención y aportación de las pruebas requeridas ante un proceso judicial. Éste debería adquirir la capacitación y formación en métodos de investigación acordes al cambiante mundo tecnológico y jurídico transfronterizo.