TITULO: “PERMISIBILIDAD DE EVIDENCIA DIGITAL EN EL PERÚ, PARA EL PROCESO LEGAL DE
DELITOS INFORMÁTICOS” " PERMISSIBILITY OF DIGITAL EVIDENCE IN PERU TO DUE PROCESS COMPUTER CRIME”
Lima-Lima-Perú
1
INDICE 1. TITULO DEL TEMA DE INESTIGACION 2. TIPO Y NIVEL DE INVESTIGACION 3. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA 3.1.
PLANTEAMIENTO DEL PROBLEMA
3.2.
DELIMITACIÓN DEL PROBLEMA
3.3.
PREGUNTA DE INVESTIGACIÓN
3.4.
OBJETIVOS
3.4.1. GENERAL 3.4.2. ESPECÍFICOS 3.5.
JUSTIFICACIÓN
3.5.1. NOVEDAD Y ORIGINALIDAD IMPORTANCIA INTERÉS 3.5.2. VIABILIDAD Y LIMITES 3.5.3. RECURSOS HUMANOS 3.5.4. ACCESO A LA INFORMACIÓN 3.5.5. GRADO DE DIFICULTAD 3.6.
DELIMITACIÓN METODOLÓGICA METODOLÓGICA
3.6.1. ESPACIAL 3.6.2. TEMPORAL 3.6.3. SOCIAL 4. MARCO TEÓRICO 4.1.
ANTECEDENTES
4.2.
CONSTRUCCION DEL MARCO TEÓRICO
5. FORMULACIÓN FORMULACIÓN DE HIPÓTESIS 5.1.
HIPÓTESIS PRINCIPAL
5.2.
HIPÓTESIS SECUNDARIAS SECUNDARIAS
5.3.
VARIABLES
5.3.1. INDEPENDIENTES 5.3.2. DEPENDIENTES 5.4.
INDICADORES
5.5.
OPERACIONALIZACIÓN OPERACIONALIZACIÓN DE VARIABLES ESTE INDICADORE I NDICADORESS 2
INDICE 1. TITULO DEL TEMA DE INESTIGACION 2. TIPO Y NIVEL DE INVESTIGACION 3. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA 3.1.
PLANTEAMIENTO DEL PROBLEMA
3.2.
DELIMITACIÓN DEL PROBLEMA
3.3.
PREGUNTA DE INVESTIGACIÓN
3.4.
OBJETIVOS
3.4.1. GENERAL 3.4.2. ESPECÍFICOS 3.5.
JUSTIFICACIÓN
3.5.1. NOVEDAD Y ORIGINALIDAD IMPORTANCIA INTERÉS 3.5.2. VIABILIDAD Y LIMITES 3.5.3. RECURSOS HUMANOS 3.5.4. ACCESO A LA INFORMACIÓN 3.5.5. GRADO DE DIFICULTAD 3.6.
DELIMITACIÓN METODOLÓGICA METODOLÓGICA
3.6.1. ESPACIAL 3.6.2. TEMPORAL 3.6.3. SOCIAL 4. MARCO TEÓRICO 4.1.
ANTECEDENTES
4.2.
CONSTRUCCION DEL MARCO TEÓRICO
5. FORMULACIÓN FORMULACIÓN DE HIPÓTESIS 5.1.
HIPÓTESIS PRINCIPAL
5.2.
HIPÓTESIS SECUNDARIAS SECUNDARIAS
5.3.
VARIABLES
5.3.1. INDEPENDIENTES 5.3.2. DEPENDIENTES 5.4.
INDICADORES
5.5.
OPERACIONALIZACIÓN OPERACIONALIZACIÓN DE VARIABLES ESTE INDICADORE I NDICADORESS 2
5.6.
MATRIZ DE CONSISTENCIA
6. DISEÑO 7. POBLACION Y MUESTRA 8. RECOLECCION DE DATOS 8.1.
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
8.2.
VALIDEZ Y CONFIABILIDAD DE LOS INSTRUMENTOS I NSTRUMENTOS
8.3.
BASE DE DATOS
9. ADMINISTRACIÓN DEL PROYECTO 9.1.
CRONOGRAMA
9.2.
FINANCIAMIENTO
BIBLIOGRAFIA ANEXO GLOSARIO CONCLUSIONES
3
El problema en la persecución penal de los delitos informáticos radica en que este tipo de infracciones infracciones son difícilmente difícilmente descubiertas descubiertas o perseguidas, por otro lado no se cuenta cuent a con una legislación especial que regule estas conductas de forma actualizada, la necesidad de las herramientas tecnológicas científicas que ayuden al examen de la y su posterior presentación como medio de prueba ante los tribunales de justicia. Jeiny J.Cano
4
RESUMEN El presente proyecto proyecto de investigación investigación se centra en la necesidad de dar dar a conocer a la sociedad peruana el fenómeno de los delitos informáticos, sus consecuencias
y su realidad a nivel nacional, nacional, científicamente científicamente pretende
plantear la necesidad de tener las herramientas científicas para poder perseguir legalmente legalmente y aportar las evidencias evidencias necesarias necesarias que sirvan como medio de prueba dentro dentro de un proceso penal penal para combatir combatir los delitos informáticos a través de la informática forense. ABSTRACT
This research project focuses on the need to raise awareness of Peruvian society the phenomenon of cybercrime, its consequences and its national reality, scientifically intended intended to raise the need for scientific tools to legally pursue and provide the evidence needed to serve as evidence in criminal proceedings to combat computer crime through computer forensics.
5
INTRODUCCIÓN La evolución de las denominadas tecnologías de la información y comunicaciones, T.I.C, ha llevado a la humanidad a un desarrollo acelerado en cuanto a las comunicaciones, los sistemas de información, la forma en que la información se transmite; y debido a que la información se ha convertido en un bien jurídico de gran valor. Los beneficios que ha traído la revolución digital son de gran magnitud para la humanidad, pero como proceso de evolución también trae consecuencias negativas, abriendo puertas a conductas inescrupulosas y acciones delictivas que muchas veces, dejan tras de sí evidencias en los dispositivos de almacenamiento o en la red. Estas evidencias son de vital importancia para la resolución de procesos legales, sin embargo
la inadecuada manipulación de estas puede traer como
consecuencia la alteración, destrucción parcial o total de la evidencia, lo cual lleva al cuestionamiento o invalidación de las mismas en un proceso legal. En el Perú el avance de tecnología no es ajeno, y por ello las vulnerabilidades en los SI, los mismos, aunque el proceso de validación de evidencia digital es limitado al igual que en muchos países, pero el punto principal es dar a conocer estas limitaciones que obstruyen la ED, el cual pudo ser una solución eficaz en un proceso de judicialización y penalización correspondiente. Este problema incurre en la seguida proliferación de los delitos informáticos , y la pertinente solución a su disminución, la deficiencia en el área legislativa, el poco conocimiento en técnicas para la obtención de evidencia digital, no contar con una policía capacitada, es por eso que se debe seguir avanzando en nuevas formas para hacer que esa evidencia recolectada sea más objetiva y veraz , a través de herramientas de aplicación de software , el debido personal capacitado para lograr aquello.
6
1. TITULO DEL TEMA DE INVESTIGACIÓN “PERMISIBILIDAD DE EVIDENCIA DIGITAL EN EL PERÚ, PARA EL PROCESO LEGAL DE DELITOS INFORMÁTICOS” " PERMISSIBILITY OF DIGITAL EVIDENCE IN PERU TO DUE PROCESS COMPUTER CRIME" 2. TIPO Y NIVEL DE INVESTIGACIÓN
El tipo de investigación a emplear será la investigación multidisciplinaria (es el proceso de análisis del tema compresible acción con la participación del especialista, a fines o de otras áreas del conocimiento científico). El nivel de investigación es el descriptivo (buscan especificar las propiedades, las características y los perfiles de actores, grupos, comunidad o cualquier otro fenómeno que efectuó mental a un análisis, pueden ofrecer la posibilidad de predicciones).
3. DESCRIPCION DE LA REALIDAD PROBLEMÁTICA 3.1. PLANTEAMIENTO DEL PROBLEMA La evidencia digital (ED) como factor fundamental en los procesos de judicialización de los delitos informáticos se convierte en desventaja para el sistema legal de los estados, dada la fragilidad y volatilidad de la misma. Este trabajo tiene la finalidad de plantear un modelo de análisis de prueba digital en arquitecturas de cómputo que permita a las partes involucradas en el proceso de analizar y verificar la autenticidad, confiabilidad suficiencia y conformidad con las leyes y reglas de la administración de justicia de la ED presentada. Asimismo ofrece elementos de análisis asociados a las limitaciones del modelo, los cuales se consideran como una manera de avanzar y desafiar las Posibilidades de la evidencia digital como un campo abierto de investigación en el mundo de los negocios y las instituciones de la rama judicial. 7
3.2. DELIMITACIONES DEL PROBLEMA En los últimos años en Perú ya se hacen presentes las investigaciones sobre posibles Ilícitos donde se ven implicados elementos informáticos Al ser la informática forense una disciplina que no tiene muchos años siendo practicada en nuestro medio, se cometen errores al momento de manejar la evidencia digital parte fundamental en investigaciones de éste tipo, lo cual resta credibilidad al
ser tratada de manera inadecuada y por ende es
vulnerable a ser inadmisible en un proceso penal. Proponer un Método
de análisis Informático Forense que permita
la
recopilación confiable de datos y evidencia digital, mantener de los elementos probatorios la autenticidad, confiabilidad, suficiencia y conformidad con la legislación vigente en nuestro país; estos cuatro conceptos son fundamentales para lograr que la evidencia sea admisible.
Para tal efecto se desarrollan procedimientos para la identificación, recopilación,
preservación y análisis de la evidencia digital, además de un
procedimiento para que la evidencia digital sea permitida legalmente, con la finalidad de precautelar la integridad de la misma y hacer que ésta sea aceptable en un proceso jurídico en nuestro país.
3.3. PREGUNTAS DE INVESTIGACIÓN Antes de adentrarnos en tema, tenemos que trazarnos las siguientes interrogantes:
Que técnicas y procedimientos utiliza la informática forense para la recolección de evidencia digital Que instrumentos limitan la evidencia digital para ser aceptado en un proceso legal en el Perú Que normas regulan y penalizan los delitos informáticos en el Perú
8
Que técnicas puede mejorar la informática forense para hacer mas objetivas las pruebas digitales.
3.4. OBJETIVO 3.4.1. GENERAL Dar a conocer los procedimientos técnicos legales de la evidencia digital 3.4.2. ESPECÍFICO
Reconocer los factores limitantes en el proceso de recolección de evidencia digital
conocer las normas que regulan y penalizan los delitos informáticos en el Perú
conocer las herramientas de aplicación de software para la autenticidad y confiabilidad de evidencia digital
3.5. JUSTIFICACIÓN Es factible el desarrollo del método de análisis informático pues se aplican en su diseño y su construcción de herramientas aplicando el método científico. Porque al analizar las limitaciones al presentar la evidencia, creara nuevas investigaciones para seguir avanzando y que estos obstáculos ya no dejen que las acciones delictivas queden sin ser penalizadas por la poca objetividad de pruebas en un proceso legal. El método de análisis informático forense será una herramienta importante, pues realiza un diagnostico legal que permita la presentación de evidencias digitales aceptables ante las instancias legales oportunas.
3.5.1. NOVEDAD Y ORIGINALIDAD
9
Existen programas de enmascaramiento o que no permiten ver la verdadera dirección ya sea de correo electrónico o del número IP (número de identificación de red). la persecución penal de los delitos informáticos radica en que este tipo de infracciones son difícilmente descubiertas o perseguidas ya que los sujetos activos actúan sigilosamente, y poseen herramientas capaces de borrar todo rastro de intrusión en la consumación del delito, por otro lado no se cuenta con una legislación especial que regule estas conductas de forma actualizada, la necesidad de las herramientas tecnológicas científicas que ayuden al examen de la evidencia digital y su posterior presentación como medio de prueba ante los tribunales de justicia manteniendo de siempre la cadena de custodia y la identidad de la evidencia
3.5.2. IMPORTANCIA Abordando el tema de evidencia digital y esta , planteada mediante procesos técnicos - científicos por la informática forense , ayudando a la resolución en el proceso de investigación de delitos informáticos y su respectiva penalización , nos muestra que es posible lo que antes se creía de difícil alcance , Y es que la importancia de la evidencia digital son los resultados que se obtienen , ya que es un gran paso para lo que antes simplemente se “permitía” y quedaba impune por falta de pruebas , conocimiento limitado, leyes desactualizadas y endebles el poco interés político por parte de los legisladores y la falta de implementación y desarrollo de una ciencia más competente para el desafío y técnicas de intrusos informáticos.
3.6.
VIABILIDAD Y LIMITES
10
3.6.1. RECURSOS HUMANOS
el proyecto de investigación ha sido previamente consultado con expertos en la materia , relacionados en nuestro proyecto de investigación
3.6.2. ACCESO A LA INFORMACIÓN
La información obtenida ha sido a través de artículos, revistas, blogs, , artículos del código penal del Perú ,consultas a expertos tanto en sistemas de información como penalistas en derecho informático, . Búsqueda, lectura y comprensión de tesis en relación al tema a tratar, en fin estudio arduo de la literatura y el posterior análisis.
3.6.3. GRADO DE DIFICULTAD
Si bien el tema es muy abordado y la información de este accesible ya que el problema es bastante general, no lo es tanto a nivel nacional y hemos tenido que ahondar en un profundo análisis y aplicar estas teorías internacionales
a nuestro contexto, otra de nuestras
limitaciones fue abarcar también en el derecho, para fortalecer la información del proyecto ya que lo requería nuestro problema.
3.7.
DELIMITACIONES METODOLOGICAS
3.7.1. ESPACIAL Nuestro proyecto esta abarcado en el espacio global , nacional, aunque con ciertas limitaciones , ya que el constante avance tecnológico hace efecto a nuevos estudios cada vez más rigurosos.
3.7.2. TEMPORAL
11
Cada vez la tecnología avanzara y la búsqueda de nuevas técnicas y estrategias para abordar nuestro tema y para la resolución de problemas similares dentro de nuestro contexto.
3.7.3. SOCIAL El proyecto de investigación, contiene temas relacionados al ámbito social en el que tendrá un gran avance significativo en el tema, toda vez que uno de los elementos del estado esté conformado por su población. 4. MARCO TEORICO 4.1. ANTECEDENTES La
informática
forense
surgió
o
dio
sus
primeros
pasos
aproximadamente hace 25 años en Estados Unidos, cuando el FBI se dio cuenta que los criminales empezaron a usar la tecnología para cometer sus crímenes. En 1984 el FBI inicio un programa llamado el Programa de Medios Magnéticos que dio origen al CART, un equipo de análisis computacional. En 1988 Michael Anderson un agente del IRS (servicio de rentas internas), armó un grupo de especialistas y se reunieron con 3 compañías involucradas en la recuperación de datos, compañías que luego se convirtieron en Symantec. En una de estas reuniones se crearon las clases de Especialistas de Recuperación de Evidencia Computacional, en 1988 y 1989 en el centro de entrenamiento federal FLETC, y también se creó la IACIS, Asociación Internacional de Especialistas en la Investigación Computacional.
12
Entre 1993 y 1995 junto con el Departamento de Hacienda de Canadá se formó el programa CIS para incluir a todas las agencias de la tesorería estadounidense en el entrenamiento. Al mismo tiempo se formó la IOCE1, Organización Internacional en Evidencia Computacional, cuyo propósito es proveer un foro internacional para el intercambio de la información relacionada con la investigación computacional y la Informática forense. Internas), armó un grupo de especialistas y se reunieron con 3 compañías involucradas en la recuperación de datos, compañías que luego se convirtieron en Symantec. En una de estas reuniones se crearon las clases de Especialistas de Recuperación de Evidencia Computacional, en 1988 y 1989 en el centro de entrenamiento federal FLETC, y también se creó la IACIS, Asociación Internacional de Especialistas en la Investigación Computacional. Entre 1993 y 1995 junto con el Departamento de Hacienda de Canadá se formó el programa CIS para incluir a todas las agencias de la tesorería estadounidense en el entrenamiento. Al mismo tiempo se formó
la
IOCE1,
Organización
Internacional
en
Evidencia
Computacional, cuyo propósito es proveer un foro internacional para el intercambio de la información relacionada con la investigación computacional y la informática forense. Para ese entonces la informática forense ya se había consolidado como un campo vital en el área de la investigación, y que a medida que la tecnología avanzaba de forma acelerada así tenían que hacerlo las organizaciones encargadas de la informática forense.
13
Para el 2003 el CART trabajaba en 6500 casos y estaba examinando 782 Terabytes de datos. Actualmente las compañías de Software producen software forense más robusto y los agentes de la ley y militares entrenan a más personal para responder a los crímenes que involucren tecnología.
4.2.
CONSTRUCCION DEL MARCO TEORICO
4.2.1. DELINCUENCIA INFORMATICA 4.2.1.1. DELITOS INFORMATICOS En primer lugar debemos partir de
la idea general de establecer la
definición de delito para poder desarrollar de mejor forma la definición de delito informático, en principio se puede definir al delito como toda acción u omisión típica, antijurídica y culpable, sin embargo existe extensa doctrina nacional y extranjera que establece la definición de delito como tal, la mayoría de ellas define al delito cuando cumplen los elementos que lo constituyen, de ahí que se pueda establecer que delito “es la conducta humana consciente y voluntaria que produce un efecto en el mundo exterior (acción), que se encuentra prohibida por la ley (tipicidad), la cual es contra derecho (antijuridicidad) y que la persona ha incumplido a pesar que conoce y valora la norma (culpabilidad)”,algunos doctrinarios establecen que la persona debe estar en capacidad de comprender lo ilícito de su acción (imputabilidad). Partiendo de la idea anterior se podría definir el delito informático como “toda acción u omisión culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima,. Tipificado por la ley, que se realiza en el entorno informático y sancionado con una pena”
14
El autor mexicano Julio Téllez Valdez señala que los delitos informáticos son “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)”. Los clasifica de dos maneras:
Como instrumento o medio
Como fin u objetivo
Como instrumento o medio Se utilizan a las computadoras para realizar falsificaciones de documentos de uso comercial. Tal es el caso de recibos de sueldos, comprobantes, escrituras.
Como medio Son conductas criminales en donde ara realizar un delito utilizan una computadora como medio o símbolo
Como fin u objetivos Son conductas criminales que van dirigidas central a computadora, sus accesorios o sus programas como entidad física. Es decir que son conductas criminales dirigidas contra la entidad física el objeto o maquina electrónica o su material con objeto de dañarla.
4.2.2.2. SUJETOS DEL DELITO INFORMÁTICO
En derecho penal, la ejecución de la conducta punible supone la existencia de dos sujetos, a saber, un sujeto activo y un sujeto pasivo. Por el tema que concierne a los delitos informáticos se parte de la idea que sólo las personas (físicas o individuales), pueden cometer delitos, en virtud que
15
sólo las personas tienen
razonamiento y capacidad para dirigir sus
acciones. De esta suerte, el bien jurídico protegido será en definitiva el elemento localizador de los sujetos y de su posición frente al delito. Así, el titular del bien jurídico lesionado será el sujeto pasivo, quien puede diferir del sujeto perjudicado, el cual puede, eventualmente ser un tercero.
Sujeto activo Este está constituido por la persona física o personas físicas, que con su proceder establecen un resultado lesivo para los demás, lesionando o poniendo en peligro el bien jurídicamente tutelado En el Código Penal guatemalteco, el sujeto activo por su participación en el delito se clasifica en autores y cómplices. Ahora bien si se refiere a los delitos informáticos, las personas que los cometen, las cuales tienen ciertas características que no tienen el perfil común de los delincuentes, tienen un alto grado de conocimientos, recursos, habilidades especiales para el manejo de la informática y las tecnologías de la información y comunicaciones –T.I.C-, generalmente por la actividad laboral que realizan se encuentran en lugares especiales desde donde se maneja la información de carácter sensible, o bien son diestros en el manejo de los sistemas informáticos, aun cuando, en muchas ocasiones, sus actividades no faciliten la realización de este tipo de delitos. En el ambiente de las tecnologías de la información y comunicaciones a los sujetos responsables de los delitos informáticos se les describe de varias formas, siendo las más comunes: hacker, cracker y pirata informático.
El sujeto pasivo es quien sufre las consecuencias de la comisión de un delito siendo la sociedad y la víctima o agraviado en primer término, pero además es necesario tomar en cuenta que en principio el sujeto pasivo del delito, es la persona física o jurídica que resiente la actividad delictiva, es el titular del bien jurídicamente tutelado que es dañado o puesto en peligro por la
16
conducta del responsable y en los casos de los delitos informáticos pueden ser personas individuales o bien personas jurídicas como sociedades mercantiles, instituciones crediticias, bancos, financieras, aseguradoras, etc., que manejan un considerable volumen de información y datos, estos últimos representativos de valores o moneda administrada en forma electrónica, así mismo las personas que se dedican a prestar específicamente servicios relacionados con las tecnologías de la información y comunicaciones como proveedores de la internet y sus aplicaciones, a los gobiernos a través de la administración tributaria también es un sujeto pasivo, en virtud que se alteran los programas de ordenador de los sistemas de control tributario de los contribuyentes, para cometer delitos relacionados con el incumplimiento del pago de impuestos (manipulación de la
información); todos estos utilizan sistemas
automatizados de información, generalmente conectados a otros.
4.2.1.3. CLASIFICACIÓN DE LOS DELITOS INFORMÁTICOS
La tipificación o clasificación de los delitos procura, salvaguardar los bienes jurídicos. Los bienes jurídicos son intereses relevantes de las personas en tantos sujetos sociales, considerados especialmente valiosos, dignos de protección penal frente a conductas que los dañen o ponen en peligro, entonces por ejemplo: con respecto al delito del hurto, el bien jurídico es la propiedad; en caso del delito de homicidio el bien jurídico protegido es la vida; y, en el caso de las nuevas tecnologías el bien jurídico protegido es la información.
Fraudes: Delitos de estafa a través de la maniobra de datos o programas para la obtención de un lucro ilícito (caballos de troya, falsificaciones, etc.).
Sabotaje informático: Daños mediante la destrucción o modificación de datos, programas o documentos electrónicos contenidos en redes o
17
sistemas informáticos (bombas lógicas,
virus informáticos, malware,
ataques de negación de servicio, etc.). Espionaje informático:- Divulgación no autorizada de datos reservados 10
Pornografía Infantil: Inducción, promoción, producción, venta, distribución facilitamiento de prostitución, cuando se utilizan menores con fines de exhibicionistas o pornográficos.
Infracciones de Propiedad Intelectual: Copia o reproducción no autorizada de programas informáticos de protección legal.
Seguridad lógica: virus, ataques de denegación de servicio, sustracción de datos, hacking, descubrimiento y revelación de secretos, suplantación de personalidades, sustracción de cuentas de correo electrónico. Delitos de injurias calumnias y amenazas a través del e-mail, new, foros, chat o SMS.
4.2.1.4. DELITOS CONTRA LA CONFIDENCIALIDAD, LA INTEGRIDAD Y LA DISPONIBILIDAD DE LOS DATOS Y LOS SISTEMAS INFORMÁTICOS.
Acceso ilícito: El acceso deliberado e ilegitimo a la totalidad o a una parte de un sistema informático, ya sea infringiendo medidas de seguridad, con la intención de obtener datos informáticos
Interceptación ilícita: Interceptación deliberada e ilegítima, por medios técnicos, de datos informáticos comunicados en transmisiones no públicas efectuadas a un sistema informático, desde un sistema informático o dentro del mismo, incluidas las emisiones electromagnéticas procedentes de un sistema informático que contenga dichos datos informáticos.
Interferencia en los Datos: Comisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos informáticos.
18
Interferencia en el sistema: Obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, provocación de daños, borrado, deterioro, alteración o supresión de datos informáticos.
Abuso de los dispositivos: Comisión deliberada e ilegítima de la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta
4.2.1.5 CASOS DETECTADOS EN PERÚ PHISHING: los autores quienes incluso operan desde otros países, ingresan a la página web de alguna entidad financiera, en la que escogen a su víctima; la contactan mediante su correo electrónico y le envían un portal falso del banco y bajo pretexto de que la institución está en un proceso de actualización le piden sus datos y el PIN. CLONACIÓN DE TARJETAS: la víctima es afectada desde que asiste a un local o un centro comercial o un centro comercial donde entrega su tarjetas de crédito para pagar sus compras o consumo, y el delincuente duplica su tarjeta en un scanner sofisticado y se dan modos para seguirla y averiguar su clave, con las que después vacían su cuenta. SABOTAJE INFORMÁTICO: esta modalidad de fraude sucede cuando alguna persona, que puede ser ingeniero de sistemas,. Informático o conocedor de la internet, de forma maliciosa obstaculiza, modifica o comete cualquier otra acción que atente contra el normal funcionamiento de un sistema de información personal o de una institución. FALSEDAD Y AMENAZAS: la suplantación de identidad electrónica todavía no está en la legislación peruana, pero consiste en que cierta persona averigua el correo electrónico ajeno y una vez que consigue ingresar modifica el
19
contenido de cartas o documentos, o envía mensajes con diferentes destinatarios con diferentes fines a destinatarios 4.2.2. PREVENCIÓN DEL A DELINCUENCIA INFORMATICA Los ataques a la información dirigidas a la revelación no autorizada de la misma, de la modificación o destrucción accidental o intencional o la incapacidad para procesar esa información son algunos de los aspectos más importantes que se deben de proteger con el fin de prevenir los ataques por parte de la delincuencia informática ya sea nacional o internacional se debe contar con dos variables importantes que son: 4.2.2.1. LA SEGURIDAD INFORMÁTICA Se define como “el conjunto de técnicas y métodos que se utilizan para proteger tanto la información como los equipos informáticos en donde esta se encuentra almacenada ya sean estos individuales o conectados a una red frente a posibles ataques premeditados y sucesos accidentales” La seguridad informática a su vez está dividida en cinco componentes a saber: Seguridad física Es aquella que tiene relación con la protección del computador mismo, vela porque las personas que lo manipulan tengan la autorización para ello, proporciona todas las indicaciones técnicas para evitar cualquier tipo de daños físicos a los equipos informáticos. Seguridad de datos Es la que señala los procedimientos necesarios para evitar el acceso no autorizado, permite controlar el acceso remoto de la información, en suma protege la integridad delos sistemas de datos. Back up y recuperación de datos
20
Proporciona los parámetros básicos para la utilización de sistemas de recuperación de datos y Back up de los sistemas informáticos. Permite recuperar la información necesaria en caso de que esta sufra de daños o se pierda.
Disponibilidad de los recursos Este cuarto componente procura que los recursos y los datos almacenados en el sistema puedan ser rápidamente accesados por la persona o personas que lo requieren. Permite evaluar constantemente los puntos críticos del sistema para así poderlos corregir de manera inmediata. 4.2.2.2 La Seguridad normativa (políticas de seguridad) Conjunto de normas y criterios básicos que determinan lo relativo al uso de los recursos de una organización cualquiera, derivada de los principios de legalidad y seguridad jurídica, se refiere a las normas jurídicas necesarias para la prevención y sanción de las posibles conductas que puedan ir en contra de la integridad y seguridad de los sistemas informáticos. En definitiva para que exista una adecuada protección a los
sistemas
informáticos y telemáticos se deben conjugar tanto la seguridad informática como la seguridad legal y así poder brindar una adecuada protección y tutela tanto técnica como normativa.
4.2.3. NORMAS QUE REGULAN LOS DELITOS INFORMÁTICOS EN EL PERU (CÓDIGO PENAL)
Artículo 207-A.- El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, 21
acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas. Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas. Alteración, daño y destrucción de base de datos, sistema, red o programa de computadoras
Artículo 207-B.- El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa. Delito informático agravado
Artículo 207-C.- En los casos de los Artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando: 1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo.
4.2.3. LAS CIENCIAS FORENSES Es importante antes de desarrollar el tema de la informática forense que se tenga un panorama básico de lo que son las ciencias forenses en el sentido que se entienden como la utilización de procedimientos y conocimientos científicos para encontrar, adquirir, preservar y analizar las evidencias de un delito y presentarlas apropiadamente a los tribunales de justicia. Las ciencias forenses tienen que ver principalmente con la recuperación y análisis de la
22
llamada evidencia latente, como por ejemplo: las huellas digitales, la comparación de muestras de ADN, etc. Las ciencias forenses combinan el conocimiento científico y las diferentes técnicas que este proporciona con los presupuestos legales a fin de demostrar con la evidencia recuperada la existencia de la comisión de un acto considerado como delito y sus posibles responsables ante un tribunal de justicia. Posteriormente con el avance de la ciencia y la tecnología, las ciencias forenses han alcanzado un desarrollo inconmensurable, pero ese desarrollo a veces no ha ido de la mano del avance de la legislación penal. Esto se debe al retraso en la incorporación de nuevos elementos de prueba y sobre todo en la demora de la admisibilidad de nuevas evidencias o pruebas. Este es el caso por ejemplo de la prueba de ADN que fue admitida en un juicio recién en el año de 1996, pero su desarrollo y comprensión se logró desde la década de los ochentas. Las ciencias forenses siempre están en constante evolución, siempre buscando nuevos métodos, procesos para encontrar y fijar las evidencias de cualquier tipo, creando nuevos estándares y políticas. Son ochocientos años de experiencia como disciplina científica. 4.2.3.1 informática forense En principio se puede definir a la informática forense como, una ciencia forense que se ocupa de la utilización de los métodos científicos aplicables a la investigación de los delitos informáticos y donde se utiliza el análisis forense de las evidencias digitales, en fin toda información o datos que se guardan en una computadora o sistema informático. El doctor Santiago Acurio Del Pino define a la Informática Forense como “la ciencia forense que se encarga de la preservación, identificación, extracción, documentación e interpretación de la evidencia digital, para luego ésta ser presentada en un juzgado o tribunal competente”
23
A la informática forense se la dado diferentes denominaciones como por ejemplo, computación forense, análisis forense digital o exanimación forense digital La informática forense se caracteriza principalmente por la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. En conclusión la informática forense por tanto será la ciencia forense formal que se encarga del estudio de los métodos y técnicas de identificar, extraer, analizar, preservar y presentar a través de técnicas y herramientas la información, que permitan al Investigador forense digital poder entregar un informe en donde presente los hallazgos de manera lógica y con un sustento claro de lo que desea mostrar, y a la actividad que realiza el investigador es la investigación forense o exanimación forense aplicando los métodos y técnicas desarrolladas por la informática forense La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas
para luego analizarlas. La tecnología, en caso de la
identificación, recolección y análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y los elementos de convicción necesarios. La escena del crimen es el computador y la red a la cual éste está conectado. Para realizar un buen trabajo en su área de experiencia. Esta situación debe ser igual en el campo de la informática forense, es por tanto necesario que las personas encargadas de este aspecto, tengan parámetros básicos de actuación, no sólo en la identificación, incautación y recolección de evidencias digitales, sino también en su procesamiento, cumpliendo siempre con los principios del debido proceso. El objetivo principal de la informática forense es el de recobrar los registros y mensajes de datos existentes dentro de un equipo informático, de tal manera 24
que toda esa información digital, pueda ser usada como prueba ante un tribunal. Es importante señalar que la informática forense necesita de una estandarización de procedimientos y de acciones a tomar, esto en razón de las características específicas que las infracciones informáticas presentan. Son entonces estas propiedades que contribuyen a la existencia de una confusión terminológica y conceptual presente en todos los campos de la informática, especialmente en lo que dice relación con sus aspectos criminales. 4.2.3.2 clasificaciones Computer forensics, cuya traducción por lo general se hace como computación forense. Esta expresión podría interpretarse de dos maneras:
Disciplina del as ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso.
Como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información, residente en dichos equipos..
4.2.3.3. Objetivos La informática forense en estos tiempos digitales es muy importante, pero la importancia real proviene de sus objetivos, que son la recolección, comparación, análisis y evaluación de datos procedentes de cualquier medio informático, de tal forma que sea como prueba dentro de un tribunal de justicia. La frase clave es “que pueda ser usado como prueba dentro de un tribunal de justicia”, es esencial tener en mente esta frase el momento que se comienza una investigación informática forense, ya que de esta forma se penalizará a los delincuentes en base a las regulaciones legales de cada país.
25
4.2.4. EVIDENCIA DIGITAL “La evidencia digital se constituye en todos aquellos datos e información histórica y presente almacenada en archivos lógicos para que se pueda procesar mediante algoritmos abiertos y auditables, con la finalidad de ser expuestos de manera muy sencilla ante los tribunales de justicia” Para Miguel López Delgado la evidencia digital “es el conjunto de datos en formato binario, esto se comprende en los archivos, su contenido o referencias a éstos, que se encuentren en los soportes físicos o lógicos de un sistema comprometido por un incidente informático” Otros autores como Anthony Reyes se refieren a la evidencia digital como “objetos de datos” en relación a la información que es encontrada en los dispositivos de almacenamiento o en las piezas de almacenamiento de multimedia, que no son más que cadenas de unos y ceros, es decir de información binaria o digital grabada en un dispositivo magnético (como discos duros o los disquetes), en uno de estado sólido o memoria solida (como las memorias flash y dispositivos USB) y los dispositivos ópticos (como los discos compactos y DVD)” Como se ha mencionado la evidencia digital se puede encontrar en una gran cantidad de dispositivos, tales como computadores personales, en IPODS, teléfonos celulares, los cuales tienen sistemas operativos y programas que combinan en un particular orden esas cadenas de unos y ceros para crear imágenes, documentos, música y muchas cosas más en formato digital. Pero también existen evidencia digital existente en datos que no están organizados como archivos sino que son fragmentos de archivos que quedan después de que se sobrescribe la información a causa del borrado de los archivos viejos y la creación de los archivos nuevos, esto se llama SLACK SPACE, o espacio 26
inactivo. También pueden quedar almacenados temporalmente en los archivos de intercambio o en la misma memoria RAM.
4.2.4.1 características de la evidencia digital
la evidencia digital se puede clasificar, comparar, e individualizar, es decir es el proceso por el cual se buscan características generales de archivos y datos, características que diferencian evidencia similar y que deben ser utilizadas a criterio del investigador, por ejemplo: Contenido: Un e-mail, por ejemplo, puede ser clasificado por su contenido como SPAM, y puede ser individualizado a partir del contenido de sus encabezados, información que por lo general no es visible para el usuario. Por ejemplo, por su dirección de origen.
Registros generados por computador: Estos registros son aquellos, que como dice su nombre, son generados como efecto de la programación de un computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro.
Registros no generados sino simplemente almacenados por o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales.
Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: 27
Los registros híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores. La idea fundamental es que si se hace una clasificación adecuada basándose en la experiencia y en las técnicas adecuadas se podrá hacer hablar a las "evidencias”. 4.2.4.2. Tipos de evidencia digital Con el incremento del número de delitos informáticos presentados en todo el mundo, gran cantidad de países se han visto obligados a tener en cuenta este concepto en sus Legislaciones y a reglamentar la admisión de la evidencia digital en una corte. La evidencia digital debe ser cuidadosamente recopilada y manejada, para posteriormente cumplir con los requisitos de admisibilidad en una corte. Independiente de una legislación particular, es esencial garantizar la confiabilidad e integridad de la evidencia. Una vez que se obtiene la evidencia digital, esta se puede clasificar en los siguientes tipos:
Best evidence Evidencia primaria u original, no es copia. Es la forma más convincente de evidencia, también la más difícil de cuestionar, sin embargo, hay que ser cuidadoso en lo que se considera evidencia primaria. Lo que puede lucir primario en la superficie puede no serlo. Es importante validar, no solo la fuente si hay preguntas sobre su autenticidad, sino la autenticidad misma, pues con no escasa frecuencia, los investigadores pueden haber trabajado y certificado o basado sus opiniones sobre evidencia falsa o falseada.
Secondary Evidencia secundaria, no es tan sólida como la evidencia primaria. Frecuentemente son copias de la evidencia primaria, y las copias pueden ser alteradas, lo que disminuye la fuerza como evidencia probatoria.
28
Direct evidence Evidencia directa, prueba o invalida un hecho sin la necesidad de utilizar presunciones o inferencias. Un ejemplo, es el examen de un testimonio directo de un testigo que ha observado o presenciado el evento.
Conclusive evidence Evidencia concluyente, es una evidencia muy poderosa. Por sí misma establece una condición o un hecho. La evidencia concluyente es más fuerte que cualquier otro tipo de evidencia. Solo puede extraerse una conclusión única y razonable de la evidencia concluyente. 4.2.4.3. Fase de recolección de evidencia digital a.
Identificación: La fase de identificación se refiere a la recopilación de
información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta: ¿Qué información se necesita? ¿Cómo aprovechar la información presentada? ¿En qué orden ubico la información? ¿Acciones necesarias a seguir para el análisis forense? El producto final de esta fase, debe entregar un documento detallado con la información que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final. La identificación debe prever los desafíos que se pasarán durante los procesos de las fases de preservación y extracción. Esta fase culmina con un Plan a seguir. a.1. Solicitud Forense: La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo 29
de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis. La información incluida en el documento debe ser la siguiente:
DESCRIPCIÓN DEL DELITO INFORMÁTICO o
Fecha del incidente
o
Duración del incidente
o
Detalles del incidente
INFORMACIÓN GENERAL o
o
o
o
Nombre de la dependencia Responsable del sistema afectado Nombres y Apellidos
o
Cargo
o
E-mail
o
o
o
o
Área
Teléfono Extensión Celular Fax
INFORMACIÓN SOBRE EL EQUIPO AFECTADO o
Dirección IP
o
Nombre del equipo
o
Marca y modelo
o
Capacidad de la RAM
o
Capacidad del disco duro
o
Modelo del procesador
o
Sistema operativo (nombre y versión)
o
Función del equipo
o
Tipo de información procesada por el equipo
a.2. Asegurar la escena Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal competente a quien se le pueda 30
asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología. a.3. Identificar las evidencias El siguiente paso y muy importante es la identificación de la evidencia presentada que es la escena del crimen, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales. b. FASE DE PRESERVACIÓN Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. En esta fase, es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso. b.1. Copias de la evidencia Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash2 tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creación de la copia, nombrar cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Si además se extrae los discos duros del sistema para utilizarlos como evidencia, se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta “EVIDENCIA ORIGINAL”, incluir además las correspondientes sumas hash, fecha y hora de la extracción del equipo, datos de la persona que realizó
31
la operación, fecha, hora y lugar donde se almacenó, por ejemplo en una caja fuerte. Tener en cuenta que existen factores externos como cambios bruscos de temperatura o campos electromagnéticos que pueden alterar la evidencia. Toda precaución es poca, incluso si decide enviar esos discos a que sean analizados por empresas especializadas. b.2. 5.3.2. Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento. El documento debe contener la siguiente información: Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre, su cargo, un número identificativo, fechas y horas, etc. Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó. Cuando se cambie la custodia de la evidencia también se deberá documentar cuándo y cómo se produjo la transferencia y quién la transportó. Todas estas medidas harán que el acceso a la evidencia sea muy restrictivo quedando claramente documentado, posibilitando detectar y pedir responsabilidades ante manipulaciones incorrectas, intentos de acceso no autorizados o que algún otro dispositivo electromagnético se use dentro de un determinado radio. c. 5.4. FASE DE ANÁLISIS Antes de iniciar esta fase se deben preparar las herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de 32
los servidores. Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, se inicia la fase más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación. c.1. Preparación para el análisis Antes de comenzar el análisis de las evidencias se deberá: o
Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar.
o
Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
o
Si se dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
o
Instalar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En esta misma estación de trabajo y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos
o
En otro equipo instalar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y archivos en sus discos duros. La idea es utilizar este segundo equipo como “conejillo de Indias” y realizar sobre él prueba y verificaciones conforme vayan surgiendo hipótesis sobre el ataque.
33
d. FASE DE DOCUMENTACIÓN Y PRESENTACIÓN DE LAS PRUEBAS Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente. d.1. Utilización de formularios de registro del incidente Es importante que durante el proceso de análisis se mantenga informados a los administradores de los equipos y que tras la resolución del incidente se presenten los informes Técnico y Ejecutivo. El empleo de formularios puede ayudar bastante en este propósito. Éstos deberán ser completados por los departamentos afectados o por el administrador de los equipos. Alguno de los formularios que se deben preparar son:
o
Documento de custodia de la evidencia
o
Formulario de identificación de los equipos y componentes
o
Formulario de incidencias tipificadas
o
Formulario de publicación del incidente
o
Formulario de recogida de evidencias
o
Formulario de discos duros.
d.2. Informe Técnico Este informe consiste en una explicación detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense. A modo de orientación, deberá contener al menos, los siguientes puntos:
o
Introducción
o
Antecedentes del incidente
o
Recolección de los datos
34
o
Descripción de la evidencia
o
Entorno del análisis
o
Descripción de las herramientas
o
Análisis de la evidencia Información del sistema analizado
Aplicaciones
Servicios
Vulnerabilidades
o
Características del SO
Metodología
Descripción de los hallazgos
Huellas de la intrusión
Herramientas usadas por el atacante
Alcance de la intrusión
El origen del ataque
o
Cronología de la intrusión
o
Conclusiones
o
Recomendaciones específicas
o
Referencias
o
Anexos
d.3. 5.5.1.2. Informe Ejecutivo Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración e incluso algunos directivos. En este informe debe constar lo siguiente:
35
o
Introducción.-
Descripción del objetivo del análisis del
sistema
previamente atacado y comprometido, también se incluye la información de la evidencia proporcionada.
o
Análisis.- Descripción del entorno de trabajo y de las herramientas de análisis forense seleccionadas así como la cantidad de tiempo empleado en el mismo.
o
Sumario del incidente.- Resumen del incidente tras el análisis de la evidencia aportada.
o
Principales Conclusiones del análisis.- Detalle de las conclusiones a las que se llegó una vez terminado el proceso de análisis.
o
Solución al incidente.- Descripción de la solución para recuperación del incidente.
o
Recomendaciones finales.- pasos que se deben realizar para garantizar la seguridad de los equipos y que el incidente no vuelva a suceder.
4.2.4.4. CRITERIOS DE ADMISIBILIDAD Y VALOR PROBATORIO La admisibilidad está ligada con el aspecto legal, y precisamente basándose en legislaciones modernas, existen cuatro criterios que se deben tener en cuenta para analizar, al momento de decidir sobre la admisibilidad de la evidencia:
Autenticidad La evidencia digital será autentica siempre y cuando se cumplan dos elementos:
El primero, demostrar que dicha evidencia ha sido generada y
registrada en el lugar de los hechos. El segundo, la evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma. A diferencia de la evidencia física o evidencia en medios no digitales, en los digitales se presenta gran volatilidad y alta capacidad de manipulación.
36
Por esta razón es importante aclarar que es indispensable verificar la autenticidad de las pruebas presentadas en medios digitales contrarios a los no digitales, en las que aplica que la autenticidad de las pruebas aportadas no será refutada. Para asegurar el cumplimiento de la autenticidad se requiere que una arquitectura exhiba mecanismos que certifiquen la integridad de los archivos y el control de cambios de los mismos. Al contar con mecanismos y procedimientos de control de integridad se disminuye la incertidumbre sobre la manipulación no autorizada de la evidencia aportada, y el proceso se concentra en los hechos y no en errores técnicos de control de la evidencia digital bajo análisis.
Confiabilidad Los registros de eventos de seguridad son confiables si provienen de fuentes que son creíbles y verificables”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. El mismo autor menciona que una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usuarios del sistema y que posea un registro centralizado e íntegro de los mismos registros.
Suficiencia o completitud de las pruebas Esta es una característica que igual a las anteriores es crítica en el éxito de las investigaciones, frecuentemente la falta de pruebas o la falta de elementos
37
Probatorios ocasionan la terminación de un proceso que pudo haberse resuelto. Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario contar con mecanismos que proporcionen integridad, sincronización y centralización, para lograr tener una vista completa de la situación. Para lograr lo que se menciona es necesario hacer una verdadera correlación de eventos, la cual puede ser manual o sistematizada. En este sentido, actualmente uno de los pilares en los que se basa la gestión de riesgos de seguridad de la información es, sin duda, el análisis y la gestión de logs y la correlación de eventos, lo que se entiende por SIEM (Security Information and Event Management). Si se analiza esta posibilidad, es posible obtener relaciones entre los datos y eventos presentados, canalizando las inquietudes y afirmaciones de las partes sobre comportamientos y acciones de los involucrados, sustentando esas relaciones con hechos y con registros que previamente han sido asegurados y sincronizados.
Conformidad con las leyes y las regulaciones de la administración de justicia Esta característica se refiere a que la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico. Así como también a los procedimientos internacionalmente aceptados para la recolección, aseguramiento, análisis y reporte de la evidencia digital, en este sentido como se había mencionado en un capitulo anterior existen iniciativas internacionales como las del IOCE (International Organization of Computer Evidence), la Convención de Cibercrimen presentado por la comunidad Europea, el Digital Forensic Research Workshop, entre otros, donde lo que hacen es establecer lineamientos de acción y parámetros que incluyen el tratamiento de la evidencia en medios
38
electrónicos, los cuales a manera de recomendación deberían ser analizados y revisados por las leyes Ecuatorianas para su posible incorporación y aplicación.
4.2.5. HERRAMIENTAS PARA LA RECOLECCIÓN Y CONFIABILIDAD DE EVIDENCIA DIGITAL Las herramientas para la recolección de evidencia representan el tipo de herramienta más importante en la informática forense, porque su centro de acción se enfoca en el que para muchos es el punto central. Su uso es necesario por varias razones: o
Gran volumen de datos que almacenan los computadores actuales.
o
Variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.
o
Necesidad de recopilar la información de una manera exacta, que permita verificar que
la copia
es
idéntica al original
y además mantener
inalterada la escena del delito. o
Limitaciones de tiempo para analizar toda la información.
o
Volatilidad de la información almacenada en los computadores, alta vulnerabilidad al borrado, con una sola instrucción se pueden eliminar hasta varios gigabytes.
o
Empleo de mecanismos de encriptación, o de contraseñas.
o
Diferentes medios de almacenamiento, discos duros, CDs y cintas.
4.2.5.1. ENCASE Es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al investigador forense durante el análisis de un crimen digital. Se escogió detallar sobre esta herramienta por tratarse del software líder en el mercado, el producto más ampliamente difundido y de mayor uso en el campo del análisis forense.
39
Algunas de las características más importantes de EnCase son:
o
Copiado Comprimido de Discos Fuente. Encase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los originales. Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, de esta forma permite trabajar en una gran diversidad de casos al mismo tiempo, examinándola evidencia y buscando en paralelo.
o
Búsqueda y Análisis de Múltiples partes de archivos adquiridos. EnCase permite al investigador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos zip y otros tipos de dispositivos de almacenamiento de información. Con Encase, el investigador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y también buscada mediante Encase en un solo paso.
o
Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.
o
Varios Campos de Ordenamiento, Incluyendo marcas de tiempo. Encase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres marcas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones.
40
o
Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.
4.2.5.2. TOOLKIT The Coroner‟s Toolkit (TCT) es un suite de aplicaciones escritas por Dan Farmer y Wietse Venema para un curso organizado por IBM sobre un estudio forense de equipos comprometidos, estas herramientas funcionan bajo sistemas UNIX, este kit de herramientas fue presentado por primera vez en agosto de 1999. Las aplicaciones más importantes de la suite son: o
grave-robber.- Una utilidad para capturar información sobre inodes , y que luego pueda ser procesada por el programa mactime del mismo toolkit.
o
unrm y lazarus.- Herramientas para la recuperación de archivos borrados (logs, RAM, swap, etc.).
Estas aplicaciones identifican y recuperan la
información oculta en los sectores del disco duro. o
Mactime.- El programa sirve para visualizar en los archivos y directorios su timestamp MAC (Modification, Access, y Change).
o
5. FORMULACION DE LA HIPOTESIS 5.1. HIPOTESIS PRINCIPAL Las limitaciones en la evidencia digital obstruyen la objetividad ante un tribunal de justicia peruano. 5.2. HIPOTESIS SECUNDARIAS 5.2.1. Primera hipótesis secundaria: Las herramientas de aplicación de software, podrían hacer que la evidencia recolectada por la ciencia forense sea mas eficaz
41
5.2.2. Segunda hipótesis secundaria: Las modificaciones en el código penal peruano lograrían las expectativas para penalizar las acciones delictivas en informática. 5.2.3. Tercera hipótesis secundaria:
5.3. VARIABLES 5.3.1. INDEPENDIENTES La optimización de herramientas de software para la autenticidad de la evidencia digital 5.3.2. DEPENDIENTES Autenticidad y confiabilidad de evidencia digital para un proceso legal.
5.4. INDICADORES 5.4.1. PARA LA VARIABLE INDEPENDIENTE
Grado de conocimiento de los especialistas forenses, en el proceso de recolección de evidencia.
Grado de aceptación de los tribunales de justicia en un proceso de esta índole.
5.4.2. PARA LA VARIABLE DEPENDIENTE
Actitud de la población ante la disminución de delitos informáticos por la aceptación de evidencia digital.
Grado de influencia en los países
Grado de seguridad nacional
5.5. OPERACIONALIZACION DE VARIABLES E INDICADORES 5.6. MATRIZ DE CONSISTENCIA
5.
DISEÑO El presente proyecto de investigación será de nivel analítico descriptivo.
6.
POBLACION Y MUESTRA
a. Ámbito: Nacional
42
b. Temporalidad
: Futura
c. Universo
: Población de 200 hab.
d. Tamaño de muestra: n e. Selección de muestra: Aleatorio f. Unidad de universo: 1 hab. Del universo o población g. Unidad de muestra
: 1 hab. De la muestra
h. Calculo de tamaño De muestra: Formula n: (N*400)/(N*399) N : Población Gn : muestra 400 : constante 399 : constante Fn = (200*400)/(200+399) Fn= 333 i. Muestreo por selección aleatoria
7.
RECOLECCION DE DATOS
8.1. TECNICA DE RECOLECCION DE DATOS
Se ha recurrido a fuentes oficiales de organismos internacionales, consulta a expertos en derecho informático .A si mismo se ha recurrido a fuentes independientes que abordan el tema permisibilidad de evidencia digital en el Perú. 8.2. INSTRUMENTOS DE RECOLECCION DE DATOS
El instrumento de recolección de datos que se empleara para ambas variables será la encuesta.
8.3. VALIDEZ Y CONFIABILIDAD DE LOS INSTRUMENTOS
43
Los instrumentos disponen de un grado de confiabilidad alto que permitirá certificar la validez de los resultados.
8.4. BASE DE DATOS
En el presente proyecto se ha estimado considerar tablas y gráficos que demuestran cualitativa y cuantitativamente las informaciones que nos darán a conocer todo lo requerido para nuestro proyecto. 8. ADMINISTRACION DE PROYECTO 9.1. CRONOGRAMA N°
ACTIVIDADES
1
Planeamiento del proyecto
2
MAY
4
Elaboración de instrumentos
JUL
AG
X
bibliográfico Recolección de datos
JUN
X
Selección del material
3
5
ABR
X X
Procesamiento de la
X
información
6
Análisis de datos
7
Sistematización
X
8
Informe final
x
9
Sustentación del proyecto
x
9.3.
X
FINANCIAMIENTO
SUBTOTAL (S/.)
TOTAL (S/.)
a. 2 viáticos x 2 días x 2 miembro
40.00
80.00
2. consulta a expertos ( derecho
100.00
200.00
1. Recursos humanos
44
informático) X 2 sesiones a. 02. cien. Papel bond 80 grs.
30.00
60.00
0.50
5.00
3. Procesamiento electrónico
150.00
150.00
4. Tipeo (secretaria) x 2 meses
150.00
300.00
100.00
100.00
6. Empastados
12.00
12.00
7. Imprevistos
50.00
50.00
. 10 lápices
5. Impresión (200 carillas x 5 ejemps)
TOTAL GENERAL
542.00
1,057.00
BIBLIOGRAFIA
Bidart Campos, G., “Derecho Constitucional”, t. II, p.486, Ediar, Bs. As., (1966)
Clariá Olmedo, J., “Tratado de Derecho Procesal Penal”, t. V., p.33, Ediar, Bs.As., (1966)
Carbone, C., “Prueba: Cuestiones modernas”, Dir. Morello, A., p.126, La Ley, (2007)
Clariá Olmedo, J., “Derecho Procesal Penal”, actualizado por Chiara Díaz, C., t. II, p.320, Rubinzal – Culzoni Editores, (2001) Cafferata Nores, J., “La prueba en el proceso penal”, p.101, Lexis Nexis, (2008)
Gómez, L., “El Protocolo de Actuación para Peritajes Informáticos en el ámbito judicial”, Revista de Derecho y Nuevas Tecnologías, http://www.rdynt.com.ar, y Simposio Argentino de Informática y Derecho, JAIIO, Santa Fe, Argentina, 45
Septiembre, (2008)
Salt, M., “Tecnología informática: un nuevo desafío para el Derecho Procesal , (2009)
Riquert, M., “Algo más sobre la legislación contra la delincuencia informática en Mercosur: a propósito de la modificación al Código Penal argentino por ley ,Alfa-Redi, Agosto, (2008)
Palazzi, P., “Los Delitos Informáticos en el Código Penal – Análisis de la ley 26.388”, Abeledo Perrot, (2009)
Carbone, D., “Comentario a la ley de delitos informáticos. 26.388. Nuevos delitos-viejos delitos”, Microjuris, (2008
ANEXO
ANEXO N°1 REPORTE DE DELITOS INFORMÁTICOS EN EL PERU
46
ANEXO N°2 PROCESO DE RECOLECCIÓN DE EVIDENCIA DIGITAL
47
ANEXO N°4: ENCUESTA
48
49
1. Sexo
7. ¿desde
Hombre
cuando
surge
la
informática forense como ciencia
Mujer
para el análisis de evidencia
2. Edad
digital?
_______________________ 3. ¿sabe sobre la tipificación de delitos informáticos? si
50 60 70
no
4. ¿Qué artículos del código penal regulan las acciones delictivas en la informática?
No sabe/ No contesta
8. ¿conoce software para el proceso de recolección y autenticidad de
_______________________ 5. ¿sabe usted que es
evidencia
evidencia digital?
SI
NO
digital? MENCIONELO:________________
9. ¿cree que otras aplicaciones de 6. ¿cree que las normas en el código
software menos conocidas
penal del Perú, son una de las
podrían ayudar a vencer ciertas
limitaciones para un proceso de
limitaciones en el proceso de
judicialización y penalización de
recolección de evidencia digital?
los delitos informáticos?
SI
SI
NO
10. ¿Cuáles
NO
son
limitaciones
las de
la
principales evidencia
digital?
50