El arte de la computación forense

Revista Nº 10 Ene.-Mar. 2005

Carlos Samuel Álvarez Cabrera 

Abogado en derecho informático y propiedad intelectual 

(Colombia) 

Sumario

En el campo criminal, el desarrollo cibernético ha creado nuevas conductas que afectan a la sociedad. Combatirlo requiere una igualdad de armas y la recolección de pruebas de una manera efectiva para que pueda ser aportada en el proceso penal de una manera entendible para el funcionario y fiel con la evidencia recaudada, es una de ellas. 

Temas relacionados

Hacker; evidencia digital; información privilegiada; cadena de custodia; aseguramiento de prueba; logs; firewalls.

Introducción

En la mayoría de las organizaciones de hoy, existen sistemas de seguridad informática que pretenden evitar el acceso, lectura, modificación, destrucción o publicación no autorizada de información privilegiada. En este sentido, las medidas de seguridad implementadas en la mayoría de los casos buscan simplemente, levantar controles de acceso físico —biometría, smart cards o similares— o virtual —firewalls—.

Las inversiones necesarias para acceder a esta tecnología suelen ser importantes y, sobre ellas, reposa la tranquilidad de los directivos y los encargados de la seguridad de la información. Sin embargo, suelen no ser suficientes para, ante un incidente grave de seguridad, un hack(1) exitoso, por ejemplo, sustentar un proceso judicial en contra del presunto delincuente.

Esto se explica con un ejemplo sencillo: un empleado accede a contenido pornográfico desde su puesto de trabajo, en su horario laboral, en el equipo que le fue asignado por la empresa y a través de las redes de la misma. Dicho empleado es detectado por los funcionarios de seguridad informática quienes, estudiando los logs(2) del proxy(3), alertan tanto al superior del infractor como a la gerencia de recursos humanos.

Para demostrar la actividad ilícita del empleado, los encargados usan una impresión de los mencionados logs y, ante la claridad de la evidencia, este es expulsado de la compañía sin recibir indemnización alguna. Con el obvio dolor por haber perdido su puesto de trabajo, entabla un proceso judicial en contra de su ex empleador.

En el juicio su argumento consiste en alegar y demostrar que los logs, siendo archivos de texto, son modificables y, que por esta razón, bien pudieron ser alterados con mala intención por los oficiales de seguridad de la información, con quienes había tenido una muy reciente discusión. El juez le da la razón al ex empleado y la compañía se ve en la obligación de pagarle una cuantiosa indemnización y de resarcir el daño causado a su buen nombre, puesto que su caso fue ampliamente difundido entre sus ex compañeros de trabajo “para que tomaran escarmiento”. La empresa perdió el pleito por no cumplir satisfactoriamente con las reglas que rigen la recolección, análisis y presentación de la evidencia digital.

El presente escrito pretende explorar algunos de los aspectos fundamentales de la computación forense desde la perspectiva legal, particularmente en su relación con la aceptación de la evidencia digital por parte de un juez. Para el efecto, se analizará jurisprudencia estadounidense que guía la materia y que, en el contexto internacional, marca un estándar para ser tenido en cuenta por parte de los funcionarios judiciales y del sector privado.

De esta forma, se analizará el test de Daubert, que establece los criterios que debe cumplir la evidencia digital para ser aceptada por un juez de ese país. Partiendo, de un recuento del caso con el fin de acercarnos a la aplicación de los principios que este dispone, para luego analizar la audiencia Daubert, en la que el juez, antes del juicio, decide si la evidencia es admisible o no, y finalizando con una perspectiva de la situación actual de los países en vías de desarrollo frente al tema de la computación forense.

1. Generalidades del proceso forense digital

1.1. Introducción al proceso forense(4) 

Resumiendo genéricamente las mejores prácticas en esta materia, aunaremos las opiniones que al respecto presentan la Organización Internacional de Evidencia Computacional(5), la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de los Estados Unidos de América(6) y otras autoridades mundiales en este tema.

El proceso forense en materia de evidencia digital, a muy grandes rasgos, se divide en tres momentos: la recolección de la evidencia, su análisis y su presentación.

En la recolección, antes que nada, el investigador debe asegurarse de no modificar la información contenida en el medio magnético, usando para ello programas confiables de generación de copias exactas de los datos contenidos en él, como: EnCase, ProDiscover IR, Acronis True Image, Drive Image, entre otros. La exactitud de las copias obtenidas se define mediante el cálculo del checksum de cada archivo copiado utilizando la aplicación de un algoritmo, generalmente el MD5. Al aplicar el algoritmo se obtiene un hash —identificación única para cada archivo— y se comparan, entonces, el hash del archivo original con el hash de la copia —así para cada uno de los miles de archivos que puede contener el medio magnético—; al encontrar que los hashes coinciden se concluye que la copia es exacta.

Después de obtenida una copia maestra del medio magnético original, de esta se deben adquirir, cuando menos, dos copias adicionales, también verificadas mediante la comparación de los hashes. La copia maestra debe ser guardada en un contenedor antiestático, al vacío y entregada a quien tendrá el papel de custodio para que proceda a asegurarla bajo llave.

En este punto se da inicio a la segunda fase del procedimiento forense: el análisis del medio magnético; el cual se debe realizar sobre las copias verificadas que se obtuvieron a partir de la copia maestra. En ellas el investigador puede ya utilizar herramientas de búsqueda profunda de datos, de recuperación de archivos borrados o sobre escritos, de desencriptación, propiamente forenses(7) e, incluso, aplicaciones comunes de oficina.

En la etapa de presentación el investigador, el abogado y el fiscal deben tener en cuenta normas de estrategia como las presentadas por el National Center for Forensic Science, debiendo para el efecto determinar hasta qué punto deben capacitar a la audiencia en temas técnicos —al juez, por ejemplo—, decidir sobre la conveniencia de pedir el testimonio de un experto, etc.

1.2. El First Responder

El First Responder(8) es el funcionario que tiene la responsabilidad de asegurar inicialmente la prueba digital, evitando, antes que nada, las caídas o cortes intencionales en el flujo de energía en el lugar registrado. Posteriormente, teniendo la certeza de que los usuarios de los equipos no están en contacto con ellos —un clic es suficiente para que se intente eliminar la evidencia y el proceso forense se prolongue innecesariamente— y, finalmente, ubicando todos los medios magnéticos en los que pueda haber evidencia —teléfonos celulares, computadores personales de escritorio, portátiles, de bolsillo, beepers, faxes, sistemas GPS, circuitos digitales cerrados de televisión y controles digitales de acceso, etc.— sabiendo de antemano cuáles pueden ser apagados y cuáles no, de acuerdo a las circunstancias(9).

Al proceder a recoger la evidencia contenida en los medios magnéticos correspondientes, si es un investigador preparado y bien dotado, simplemente hará uso de su kit forense(10), el cual le permitirá obtener las imágenes digitales exactas de la información sin modificarla —o realizando modificaciones documentadas y plenamente conocidas— y sin alterar la presencia de elementos probatorios tan tradicionales como las huellas digitales.

Al tiempo que tendrá cuidado de dejar constancia exacta de todas las actividades que realice en el procedimiento, de manera que si su experticio es controvertido, pueda demostrar que efectivamente siguió las mejores prácticas aceptadas por la industria y que, por tanto, la evidencia que ha aportado al proceso puede ser aceptada por el juez.

1.3. Requerimientos de validez de la prueba digital

La cadena de custodia es el procedimiento que permite demostrar la forma en la que la evidencia fue recolectada, analizada y preservada, antes de ser presentada ante una Corte. De la definición de una cadena adecuada y del cumplimiento de sus pasos depende la aceptación, por parte del juez, de la prueba dentro del proceso.

Joan Feldman y Rodger Kohn(11) afirman que, en materia de evidencia digital, la cadena de custodia debe probar como mínimo:

Que la información no ha sido modificada ni añadida; que se realizó una copia completa de los datos; que el proceso de copia utilizado es confiable y que todos los medios magnéticos fueron asegurados.

Frente a la necesidad de respetar la cadena, so pena de ver invalidadas las pruebas, resaltan algunas obligaciones que deben ser cumplidas. Estas se refieren, por ejemplo, a los requisitos que deben cumplir los logs para ser admitidos por un juez y a las expectativas de privacidad que guardan los ciudadanos con respecto al uso de los sistemas de información.

En cuanto a los primeros, de acuerdo con lo establecido por el US Code Title 28. Section 1723, se tiene que deben ser creados durante el transcurso normal de los negocios de la empresa(12); en los casos en los que solamente se crean logs cuando se detecta un incidente de seguridad, se sabe que no serán admitidos en un proceso judicial. Adicionalmente, debe probarse que no han sido modificados; para el efecto, suele emplearse tecnología de firma digital, o de cifrado de datos, para verificar la autenticidad de los archivos de logging. Puesto que dichos archivos suelen ser, sino la única, sí la mejor prueba, se debe aplicar el concepto de diligencia debida —due diligence— al protegerlos.

Frente a los segundos, y según expresó la Corte Suprema de los Estados Unidos en el caso O’Connor v. Ortega(13), para tener total certeza de que un usuario, al interior de la empresa, no tiene ninguna expectativa de privacidad, es indispensable que la política de seguridad de la información que exista al interior de la organización defina el nivel de privacidad que puede un empleado esperar al usar los sistemas de esta; así, la Corte Suprema definió que la legalidad del monitoreo realizado sobre los empleados, en su sitio de trabajo, depende de la definición que esta práctica tenga en las mismas políticas corporativas y de si estas han sido comunicadas o no a los empleados —por ejemplo, mediante la firma y expresa aceptación a ser monitoreados—.

Adicionalmente, la implementación de banners automáticos que adviertan a los empleados sobre su no expectativa de privacidad es fundamental para que estos no puedan alegarla posteriormente; el Equipo de Respuesta a Emergencias Computacionales(14) llega incluso a sugerir un modelo de banner a implementar.

Después de darle al lector estos breves, pero suficientes, elementos introductorios al tema del cómputo forense, podemos entrar a estudiar los criterios judiciales americanos sobre la admisibilidad de la evidencia digital.

2. La evidencia digital en los Estados Unidos

2.1. Daubert v. Merrell Dow Pharmaceuticals, Inc. y la Regla 702(15) 

En los Estados Unidos, para ser admisible en una Corte, la evidencia debe ser pertinente y adecuada y su valor probatorio debe ser tal que sobrepase cualquier prejuicio; sin embargo, la evidencia digital presenta dificultades particulares en cuanto a la pertinencia, pues puede ser fácilmente duplicada y modificada. Por esta razón, para asegurar esta característica, que es indispensable, la prueba digital debe pasar el test de Daubert para que pueda ser judicialmente tenida como tal.

A partir de 1923 la admisibilidad de pruebas científicas era determinada por el test de Frye(16), según el cual la evidencia era admisible en una corte solo si la comunidad científica aceptaba generalmente los principios en los que se basaba(17); según este test, la responsabilidad de aceptar o no la evidencia científica correspondía a los expertos, mediante el uso de publicaciones especializadas, y no al juez(18). Posteriormente, en el caso Daubert, que dio pie al surgimiento del test que lleva su nombre, la Corte Suprema determinó que la Regla 702 de las Reglas Federales de Evidencia(19), de 1973, había suplantado a Frye. Según esta regla es admisible la evidencia cuya validez esté sustentada en métodos y procedimientos científicos.

Existe actualmente una discusión sobre si la evidencia digital es una prueba científica o un testimonio técnico; de la respuesta que se dé a esta cuestión se definirá si se han de aplicar los criterios del test de Daubert —si se asume que es prueba científica— o si corresponde a la aplicación de la Regla 702 de las Reglas Federales de Evidencia —en caso de que se estime que es un testimonio técnico—(20).

En el caso Daubert v. Merrell Dow Pharmaceuticals, Inc., los demandantes, dos menores de edad y sus padres, alegaban que los graves defectos físicos con los que nacieron los niños habían sido causados por la ingestión, durante el embarazo, por parte de la madre, de la droga llamada Bendectin. La Novena Corte de Distrito, sobre la base del dictamen de un experto acreditado, que fue presentado por la defensa y que había revisado una gran cantidad de literatura científica sobre el tema, determinó que no estaba comprobado que el uso de esta medicina provocara defectos de nacimiento.

Los demandantes habían presentado, en el juicio, los conceptos de ocho expertos igualmente acreditados, quienes fundamentaron su conclusión de que Bendectin sí podía producir defectos de nacimiento en estudios animales, análisis químico-estructurales y el reanálisis(21) de varios estudios estadísticos no publicados. La Corte determinó que esta evidencia no cumplía con el estándar de aceptación general requerido para la aprobación de un testimonio científico, puesto que eran las Reglas Federales de Evidencia las que definían dicho estándar y no el test del caso Frye.

La Corte llegó a esta conclusión al tener en cuenta que el doctor Steven Lamm, médico epidemiólogo cuyo testimonio fue aportado por la defensa, era una autoridad reconocida en temas relacionados con la exposición humana a sustancias químicas y que, para sustentar su argumento, había estudiado toda la literatura de Bendectin en relación con los defectos de nacimiento —más de 30 estudios publicados sobre más de 130.000 pacientes—, pudiendo demostrar así que la droga en cuestión no era un teratógeno —sustancia capaz de producir malformaciones fetales— y que su ingestión, durante el primer trimestre del embarazo, no era un factor de riesgo(22).

Por su parte, teniendo en cuenta esta posición y su fundamento, los demandantes presentaron el testimonio de ocho expertos que basaron sus argumentos en, por un lado, estudios sobre animales in vitro e in vivo, que les permitieron encontrar una relación de causalidad entre el consumo de la droga y las malformaciones; por otro lado, en estudios farmacológicos que demostraban que la estructura química del Bendectin era similar a la de algunas sustancias que provocaban defectos de nacimiento y, finalmente, en el reanálisis de estudios epidemiológicos estadísticos anteriores, que nunca habían sido publicados.

Frente a estas dos posiciones tan bien estructuradas, la Corte aceptó el enfoque de la defensa, que alegaba que para que la evidencia científica sea admisible en una Corte, el principio sobre el que se fundamenta debe tener aceptación generalizada en el campo al que pertenece.

La Corte rechazó los argumentos de la demanda al considerar que no cumplían este requerimiento puesto que, en su parecer, las opiniones de los ocho expertos, por no estar fundamentadas en evidencia epidemiológica, no eran admisibles: los estudios de células animales, los hechos en animales vivos y los análisis de estructura química que servían de sustento no eran capaces de, por sí solos, constituir un tema a ser debatido por un jurado; por otra parte, los análisis elaborados de nuevo sobre los estudios anteriores, que incluían el recálculo de datos relacionados con malformaciones, eran inadmisibles porque tales estudios no habían sido publicados ni sometidos a debate.

Citando un fallo anterior(23), la Corte dijo que la opinión de un experto, basada en una técnica científica, es inadmisible a menos que esa técnica sea generalmente aceptada en la comunidad científica pertinente. La metodología, usada por un experto para sustentar su opinión, que difiera significativamente de los procedimientos aceptados por las autoridades reconocidas en la materia, no puede ser tenida por “generalmente aceptada como una técnica confiable”. La Corte mencionó que otras cortes de Distrito habían encontrado que la falta de publicación de los estudios que sustentan un argumento científico es altamente problemática y que, frente a investigaciones que han sido objeto de discusión por parte de la comunidad científica, no tienen valor alguno.

Ahora bien, la computación forense es un área de estudio altamente tecnológica que tiene sus fundamentos en las ciencias de la informática, en las matemáticas, la física y otras, y que requiere conocimientos en ingeniería eléctrica, mecánica y de sistemas. Por esta razón, su aplicación a procesos particulares es muy compleja y no existe un test específico que permita determinar si la evidencia digital es o no científicamente válida. Esta necesidad se puede suplir aplicando los principios definidos por la Corte en Daubert:

Que las teorías y las técnicas empleadas por el científico hayan sido probadas, objeto de escrutinio y publicadas, y que tengan una rata de error conocida. A su vez, que cumplan los estándares que gobiernen su aplicación y cuenten con amplia aceptación en la comunidad de expertos.

Estos criterios no pretendían ser exhaustivos ni una lista de chequeo(24); la Corte aclaró que, para ser admitida, el examen sobre la prueba debía concentrarse particularmente en los principios y la metodología empleados por el experto, no en las conclusiones alcanzadas por este. Según lo anterior, la evidencia digital debía cumplir dos principios fundamentales: ser pertinente(25) y ser derivada de un proceso científico y apropiadamente validada(26).

2.2. La aplicación de los criterios de Daubert

Con posterioridad al caso Daubert, surgió la pregunta acerca de la aplicabilidad de los criterios que este aportaba para la aceptación judicial de la prueba digital. Se presentaron algunos juicios en los que, aplicando los criterios del test, se llegó a sentencias que no reconocían el valor de testimonios científicos válidos solamente porque no cumplían con los criterios de Daubert. Este tema fue abordado en la decisión Kumho Tire Co. v. Carmichael; Kumho logró extender la confianza(27) a todos los testimonios técnicos expertos, aun si no se fundamentaban en principios científicos, de ingeniería o especializados de alguna otra naturaleza.

Como resultado de este fallo, los conceptos emitidos actualmente por los expertos en computación forense siempre pueden ser refutados debido a la falta de confianza que genera el que no necesariamente deban estar sustentados en procesos científicos. Las cortes y los abogados deben buscar indicios de veracidad y confianza razonablemente relacionados con el campo de conocimiento del experto, buscando que sus argumentos técnicos sean aceptados por el juez.

Por esta razón, la prueba y la verificación de teorías y técnicas forenses, el escrutinio de la comunidad científica, la existencia de ratas de error conocidas, la presencia de estándares de investigación forense y las diferencias de opinión entre los expertos, deben ser elementos a tener en cuenta a la hora de buscar la admisibilidad de una prueba digital.

3. La audiencia Daubert(28) 

En los procesos en los que al juez le serán presentados elementos probatorios de naturaleza digital, le corresponde a este analizar su admisibilidad en una audiencia, anterior al juicio, conocida con el mismo nombre del test. En ella, el mismo fallador —no el jurado— debe determinar si la metodología y las técnicas utilizadas para recolectar, analizar y presentar la evidencia son adecuadas, haciéndola confiable. En este proceso el juez debe tener en cuenta cuatro criterios:

3.1. Pruebas: ¿la metodología usada ha sido probada?

Los criterios del test permiten, con un muy alto nivel de detalle, examinar tanto las herramientas de recolección de evidencia, como las de análisis, presentando una alta atención a los elementos utilizados en la obtención de las imágenes o copias de los medios magnéticos en los que se encontraba inicialmente la evidencia. El test define, entonces, dos categorías de pruebas que deben ser aplicadas a estas herramientas: los falsos positivos y los falsos negativos.

La prueba de falsos negativos asegura que la herramienta sea capaz de copiar, efectivamente, toda la información contenida en el medio magnético —input—; esto quiere decir, que si la herramienta dice ser capaz de copiar los contenidos de un directorio, todos los archivos incluidos en él deben ser efectivamente copiados —output—. De igual manera, si la herramienta indica ser capaz de crear una lista de los archivos borrados, entonces todos estos archivos deben ser listados en el output obtenido. Las pruebas realizadas para verificar esta categoría son simples: se guarda información conocida y contenida en un medio magnético, se utiliza la herramienta para obtener la copia exacta y luego se comparan la copia y el medio magnético original.

La prueba de falsos positivos asegura que la herramienta no incluya información que no está realmente presente en el medio magnético original; así, esta no debería incluir en su output nombres de archivos que no existen en su input. Para verificar si una herramienta incluye o no falsos positivos, se suele utilizar una segunda herramienta; se compara el output que cada una presenta y se obtienen las conclusiones.

Los métodos para verificar los falsos positivos y negativos de las herramientas de copiado exacto de medios magnéticos no han sido del todo inventados. Por consiguiente, el investigador forense no debe asumir que una metodología particular es la más adecuada, porque todas se encuentran actualmente bajo la revisión de la comunidad forense internacional.

3.2. Rata de error: ¿el procedimiento utilizado genera errores conocidos?

Permiten conocer los errores, o las ratas de error, generados por la aplicación del procedimiento. En términos generales, existen dos categorías: error en la implementación de la herramienta y error de abstracción.

La primera se refiere a los defectos que suelen estar presentes en el código mismo del programa usado para hacer la copia o imagen del medio magnético original, o al uso de especificaciones equivocadas(29); la segunda hace referencia a las decisiones de uso de la herramienta en materias para que las que no fue inicialmente diseñada. Ahora bien, asignar la rata de error a los errores de abstracción es sencillo, pero al tratar de asignar una a los errores de implementación se encuentra una dificultad.

Esta rata podría determinarse, para cada herramienta, dependiendo de la cantidad y severidad de fallas de seguridad en cada una; sin embargo, esto obligaría a tener el historial individualizado de fallas, que no es accesible para los programas de código cerrado. Esto ha obligado al desarrollo de una medida de error basada en el nivel de ventas de cada herramienta, asumiendo que las mejores son las más vendidas, lo cual no siempre es cierto.

3.3. Publicación: ¿el procedimiento utilizado ha sido publicado y sujeto al escrutinio de la comunidad científica?

El procedimiento usado debe haber sido publicado y expuesto al escrutinio de los expertos; bajo el test de Frye este era el principio que determinaba las decisiones de aceptación o rechazo de evidencia científica. Sin embargo, en el tema de pruebas digitales las publicaciones son bastante recientes y no alcanzan a cubrir las metodologías usadas por cada herramienta forense.

Por esta razón, se han venido utilizando, ante las Cortes americanas, publicaciones tecnológicas que indican altos niveles de uso de las herramientas y algunas de sus capacidades. Sin embargo, no son suficientes para demostrar la metodología usada por cada herramienta para extraer la información y realizar las copias exactas.

Particularmente, en cuanto al análisis de sistemas, es necesario que las especificaciones de estos estén publicadas; de algunas se encuentra suficiente información disponible, como las relativas al sistema FAT, mientras que de otros, como el ya mencionado NTFS, no(30). Esta falta de información se complica aún más si se tiene en cuenta que una parte muy importante del análisis forense es la recuperación de archivos borrados; esta tarea nunca es incluida dentro de las especificaciones de los sistemas, razón por la cual no existen estándares uniformes que definan cómo realizar la tarea, obligando al investigador a documentar la metodología utilizada en cada caso para que pueda ser controvertida.

3.4. Aceptación: ¿el procedimiento es generalmente aceptado en la comunidad científica?

Constituye un marco de trabajo para la evaluación, de procedimientos publicados, por parte de la comunidad científica. Se trata, como está expresado, de la aceptación de los procedimientos, no de las herramientas; los diseñadores de programas de software cerrado suelen alegar los niveles de uso de sus aplicaciones, entre la comunidad forense, buscando con ello demostrar aceptación de procedimientos.

En realidad, lo único que logran es demostrar que a esos usuarios les han parecido adecuados la interfaz del programa y el eventual soporte postventa que puedan recibir. Los programas forenses de código abierto, en cambio, documentan todos los procedimientos usados, permitiendo a la comunidad su análisis real.

4. La computación forense en la vida judicial de los países en vías de desarrollo

4.1. El desconocimiento generalizado y la falta de recursos

Es evidente que en nuestros países, lamentablemente, los funcionarios encargados de hacer cumplir la ley y de sancionar su quebrantamiento no tienen, en términos generales, instrucción alguna en materias de tecnologías avanzadas. Para muchos de ellos, el computador es un simple procesador de texto y, tristemente, recuerdan con nostalgia aquel único curso de capacitación que sus respectivas agencias les dieron, en las viejas épocas en las que Windows 95 era una novedad.

En los cuerpos de seguridad que manejan temas críticos, v.gr. inteligencia, antiterrorismo y lucha antidrogas y que, por consiguiente, cuentan con tecnología reciente y adecuada para el cumplimiento efectivo de su labor, se presenta a veces cierto nivel de ignorancia en los asuntos relativos al manejo de la evidencia digital. ¡Craso error! Todos los recursos invertidos en una investigación criminal crítica que haya resultado positiva pueden perderse si la evidencia no es admitida por el juez.

En Colombia, los funcionarios tienen presentes, casi de manera exclusiva, los principios generales del derecho probatorio, según los cuales, para ser admitidas, las pruebas deben ser, entre otros, conducentes, pertinentes y útiles. Con el ánimo de contextualizar al lector en el significado de estos términos según las particularidades de nuestra propia ley, explicamos a continuación, brevemente, estos conceptos utilizando la clara exposición del profesor Jairo Parra Quijano:

La conducencia se refiere a la idoneidad legal de la prueba para demostrar el hecho; considera este autor que es una comparación entre la ley y la prueba. Ejemplificando esta explicación llegamos a un caso muy simple: utilizando herramientas de recuperación de datos borrados o sobre escritos, el investigador forense encuentra archivos de texto en los que el sospechoso afirma ser el propietario de varios bienes inmuebles; estos archivos no son conducentes para demostrar la propiedad que esa persona dice ejercer sobre tales bienes.

Pertinencia: según el mismo autor, es la adecuación entre los hechos que se pretenden llevar al proceso y aquellos que son materia de prueba en este.

Utilidad: la prueba debe servir efectivamente en el proceso de convencimiento del juez. En principio, son inútiles las inconducentes y las superfluas; como también lo son las que pretendan demostrar un hecho contrario a una presunción de derecho —que no admite prueba en contrario—, las que pretenden demostrar un hecho presumido, demostrar un hecho ya demostrado y demostrar lo que ha sido objeto de juzgamiento previo, ya siendo cosa juzgada.

Sin embargo, conocer estos principios básicos está lejos de ser suficiente en un mundo en el que la mayoría de delitos incluyen pruebas contenidas en medios magnéticos. Así, los delitos que se dirigen contra los sistemas de información mismos, como las intrusiones no autorizadas —hacks—; aquellos que, dirigiéndose contra bienes jurídicos tradicionales, usan los sistemas de información como un medio, y los delitos eminentemente tradicionales, todos, guardan cada vez más relación con la evidencia digital. Y los investigadores y los jueces siguen sintiendo temor frente a la tecnología(31).

4.2. La realidad procesal colombiana

En nuestro ejercicio profesional hemos tenido la oportunidad de ver cómo los funcionarios judiciales desconocen el sistema de cadena de custodia definido por el Fiscal General de la Nación para garantizar la preservación adecuada de los medios de prueba que sirven a estos de sustento en la toma de decisiones. Esta realidad se presenta tanto en la capital misma del país como en regiones apartadas y, lo peor de todo, es que este sistema fue diseñado pensando en los medios de prueba relativos a delitos tradicionales, sin que se encuentre en él ningún contenido específico sobre mejores prácticas en el manejo de la evidencia digital ni en cuanto a herramientas forenses adecuadas.

Así, si los mismos funcionarios judiciales desconocen cómo deben asegurar la prueba en materias no tan complejas como las digitales, v.gr. falsificaciones de drogas y adulteración de alimentos, ¿qué podremos esperar en el tema digital?

Podríamos esperar que, con el nivel de conocimiento promedio que los jueces tienen en estas materias, rechacen, por ejemplo, pruebas obtenidas por el investigador a través del uso de software espía sin la orden necesaria del funcionario judicial o los correos electrónicos de un sospechoso, obtenidos a través de una intrusión no autorizada al prestador del servicio de e-mail. En casos como estos, deberían simplemente aplicar los principios generales del derecho probatorio, según los cuales las providencias judiciales deben fundarse en pruebas legal, regular y oportunamente allegadas al proceso, siendo evidentemente ilegales las que usamos como ejemplos acá; un caso fácil, según asumimos diría H.L.A. Hart.

Ahora, asumiendo ese mismo nivel promedio de conocimiento, ¿qué pasaría si a un juez le fueran presentados los logs en los que consta la actividad en línea del delincuente o la relación de tiempos de creación, acceso y modificación de algunos archivos importantes en la investigación? Sumemos esto a que muy seguramente ni el mismo abogado defensor tendría el conocimiento necesario para hacer entender al juez lo que corresponda.

Al respecto, probablemente el juez no exigiría garantías de autenticidad ni de integridad de esos logs, ni tendría los elementos necesarios para exigir, a quien le presenta las fechas mencionadas, los argumentos técnicos que le permitan tener el nivel adecuado de certeza sobre la no modificación malintencionada o accidental de las mismas. Y ese abogado defensor no conocería la necesidad de presentarle al juez la descripción exacta del método validado, publicado y aceptado que se utilizó para recoger, analizar y preservar esa evidencia.

Esta situación nos llevará, inevitablemente, a que los jueces y fiscales, por su desconocimiento, por un lado eviten tomar decisiones importantes y, por el otro, creyendo conocer los temas técnicos complejos, tomen decisiones equivocadas que involucren la libertad de los sindicados. Ambas posibilidades son del todo condenables puesto que el Estado está en la obligación de proveer la administración de justicia para los ciudadanos y este deber no es excusable por la ignorancia de sus agentes.

En cuanto a la mencionada cadena de custodia, nuestro Código Penal establece que el funcionario judicial debe tomar las medidas necesarias para evitar que los elementos de prueba sean alterados, destruidos u ocultados, pudiendo, para el efecto, ordenar diversas normas de protección de dichos elementos materiales. Esta obligación, en nuestro contexto, genera bastantes inquietudes; así, incluso antes de formular cualquier duda respecto del procedimiento forense en sus etapas avanzadas, ¿los funcionarios judiciales obtendrán copias, así no sean verificadas, de la información contenida en los medios magnéticos que deben analizar? Desde esta inquietud caben otras, v.gr. ¿los investigadores dispondrán de la dotación de bolsas antiestáticas y al vacío necesarias para guardar los medios magnéticos?, ¿dispondrán de laboratorios forenses en los que la información copiada pueda ser analizada en condiciones controladas?(32).

Afortunadamente los investigadores de las agencias de seguridad del Estado pueden acudir al artículo 247 del Código de Procedimiento Penal, que les permite recurrir a asesores especializados. De esta forma, los jueces y fiscales pueden contar con la ayuda de expertos del sector privado, quienes, ante el llamado de la justicia, han de utilizar las herramientas forenses adecuadas y las mejores prácticas así reconocidas por la comunidad científica internacional. La participación de estos expertos es útil en todas las fases del proceso forense, desde el momento mismo de la recolección de la evidencia hasta su presentación ante el juez.

Conclusiones

Esta realidad hace necesario, en países como Colombia, que el tema del manejo forense de la evidencia digital sea abordado con la certeza de que los delincuentes no cuentan con los límites que enmarcan la actuación de las autoridades —presupuestales, morales, legales, etc.—, lo que les permite, por un lado, contar con tecnología que con frecuencia sobrepasa aquella de que disponen las autoridades y, por otro lado, cometer sus actos delictivos sin más barreras que las que su mismo negocio ilegal les imponga —sin que les importe, como es obvio, violar la ley o acrecentar su lista de víctimas fatales—.

No se trata siquiera de generar una discusión; se trata de tomar decisiones que implican la destinación de recursos a una nueva labor a la que el Estado no puede hacer ojos ciegos. Es un hecho que hoy todas las investigaciones penales pueden recurrir a la evidencia en formato digital para lograr la convicción en el funcionario que debe decidir así que, pretender adelantarlas con los medios tradicionales es tanto como investigar homicidios sin tener conocimientos de balística. Es por esta razón que esas decisiones deben ser tomadas, con urgencia, por nuestros gobernantes.

Adicionalmente, está visto que las autoridades judiciales y de policía estadounidenses marcan el estándar en materia de investigaciones de alta tecnología. Así que es indispensable que nuestros jueces, fiscales e investigadores conozcan sus técnicas, metodologías, herramientas y criterios, de manera que no solamente aprendan de sus conocimientos, sino de los errores que ya han cometido y corregido.

Creemos que sería torpe definir, para nuestros países, unos criterios de admisibilidad de evidencia digital diferentes de aquellos propuestos por el caso Daubert y su actual aplicación en las cortes americanas. Sería tanto como intentar la reinvención del automotor sin tener en cuenta los desarrollos de Henry Ford; una insensatez.

Es procedente, en cambio, su juicioso estudio y la definición adecuada de los mecanismos legales a través de los cuales serán incorporados a la legislación colombiana y de los demás países en vías de desarrollo, que han de tender, si se pretende que sean eficaces y correspondientes a las necesidades sociales, a ser tan actualizables como por definición lo es la tecnología.

Bibliografía

Fuentes de contenido legal

Código de Procedimiento Civil colombiano.

Código de Procedimiento Penal colombiano.

L. 600/2000.

Corte Suprema de Justicia de los Estados Unidos. O’Connor v. Ortega, 480 U.S. 709 (1987).

Corte Suprema de Justicia de los Estados Unidos. Daubert v. Merrell Dow Pharmaceuticals, Inc., U.S. 579 (1993).

Reporter of Decisions of the Supreme Court of the United States. Daubert v. Merrell Dow Pharmaceuticals, Inc. Washington, D.C. En URL: http://supct.law.cornell.edu:8080/supct/html/92-102.ZO.html

Corte Suprema de Justicia de los Estados Unidos. Frye v. United States, 54 App. D.C. 46, 293 F. 1013 (1923).

Corte Suprema de Justicia de los Estados Unidos. United States v. Solomon, 753 F. 2d 1522, 1526 (CA9 1985).

U.S. Code Title 28, Section 1732 y Regla 803 (6) de las Reglas Federales de Evidencia.

Otras fuentes

Asociación Internacional de Jefes de Policía y Servicio Secreto de Estados Unidos. Mejores prácticas en el manejo de la evidencia digital. MECTF, Miami 2003.

Brill, Alan y otros. American Bar Association – Section of Science and Technology Law. Unlocking, discovering and Using Digital Evidence. En URL: www.bakerbotts.com/attorneys/bio.asp?id=439

Carrier, Brian. @Stake. Open Source Digital Forensics Tools. En URL: www.atstake.com/research/reports/acrobat/atstake_opensource_ forensics.pdf

Cyber Crime and Intellectual Property Section, United States Department of Justice. Searching and seizing computers and obtaining electronic evidence in criminal investigations. En URL: www.cybercrime.gov

Feldman, Joan y Kohn, Rodger I. Top Ten Things to do when Collecting Electronic Evidence. En: URL: http://library.lp.findlaw.com/scripts/getfile.pl?file=/legpub/glass/glass000013.html

International Organization of Computer Evidence. Guidelines for best practice in the forensic examination of digital technology. En URL: http://www.ioce.org/2002/ioce_bp_exam_digit_ tech.html

Kornblum, Jesse. United States Air Force Office of Special Investigations. Preservation of Fragile Digital Evidence by First Responders. En URL: www.dfrws.org/dfrws2002/papers/Papers/Jesse_Kornblum.pdf

Pérez, María Verónica y Leroux, Olivier. Research Center for Computing and Law. Collecting and Producing Electronic Evidence in Cybercrime Cases. En URL: www.ctose.org/info/Namur Docs/Leroux.ppt

Scientific Work Group on Digital Evidence. Digital Evidence: Standards and Principles. En URL: www.fbi.gov/programs/lab/fsc/backissu/april 2000/swgde.htm

The National Center for Forensic Science. Digital Evidence in the Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation. En URL: www.ncfs.org/DE_ courtroomdraft.pdf

Witter, Franklin. SANS Institute. Legal Aspects of Collecting and Preserving Computer Forensic Evidence. En URL: www.giac.org/practical/gsec/Franklin_Witter_GSEC.pdf

(1) Intrusión no autorizada a los sistemas de información, a través de medios computacionales.

(2) Archivos de texto en los que consta la actividad que ha tenido lugar, permitiendo identificar al usuario, la vía de conexión e información adicional.

(3) Servidor que permite el acceso de numerosos clientes o terminales a internet a través de una única conexión.

(4) Esta introducción es solamente eso; no pretende ser una guía de mejores prácticas y, por esa razón, el lector debe tener en cuenta que describe el procedimiento forense de una forma meramente genérica, sin entrar en detalles técnicos estandarizados que deben cumplirse para lograr la aceptación judicial de la prueba.

(5) Guidelines for best practice in the forensic examination of digital technology. International Organization on Computer Evidence, http://www.ioce.org/2002/ioce_bp_exam_digit_tech.html

(6) Searching and seizing computers and obtaining electronic evidence in criminal investigations. CCIPS – USDOJ, www.cybercrime.gov

(7) Sleuth Kit, F.I.R.E., Autopsy y otras.

(8) El investigador que llega, en primer lugar, a la escena del crimen.

(9) El investigador no puede conocer toda la tecnología; por esa razón suele ocurrir que en un allanamiento deba simplemente apagar el equipo, sabiendo que modificará y perderá alguna información, incautarlo y ponerlo luego a disposición del experto indicado para el tema de que se trate.

(10) Las mejores prácticas indican que debe componerse de guantes quirúrgicos, bolsas sellables, bolsas antiestáticas, herramientas para desarmar equipos, un disco duro portátil de 200 GB, un computador portátil, o un Dragon Desktop por ejemplo y, en él, instalados los programas forenses adecuados, entre otros.

(11) Feldman, Joan E. & Kohn, Rodger I. Top Ten Things to do when Collecting Electronic Evidence. URL: http://library.lp.findlaw.com/scripts/getfile.pl?file=/legpub/glass/glass000013.html

(12) US Code Title 28, Section 1732 y Regla 803 (6) de las Reglas Federales de Evidencia.

(13) O’Connor v. Ortega, 480 U.S. 709 (1983).

(14) CERT - Computer Emergency Response Team, dirigido por la Carnegie Mellon University.

(15) Daubert v. Merrell Dow Pharmaceuticals, Inc., U.S. 579 (1993).

(16) Frye v. United States, 54 App. D.C. 46, 293 F. 1013 (1923).

(17) El test de Frye tiene su origen en un fallo judicial que involucraba al precursor de los polígrafos actuales —un detector de mentiras basado en la presión sanguínea sistólica—. En la sentencia se lee: “... La fuerza probatoria del principio —científico— debe ser reconocida y, mientras que las Cortes recorren largos caminos para aceptar testimonios de expertos alcanzados mediante la aplicación de principios científicamente reconocidos, aquello que permite alcanzar la conclusión debe contar con una aceptación general en el campo particular al que pertenece”.

(18) Carrier, Brian. Open Source Digital Forensics Tools. En: www.atstake.com/research/reports/acrobat/atstake_opensource_forensics.pdf

(19) Regla 702: “If scientific, technical, or other specialized knowledge will assist the trier of fact to understand the evidence or to determine a fact in issue, a witness qualified as an expert by knowledge, skill, experience, training, or education, may testify thereto in the form of an opinion or otherwise”.

(20) Sin embargo, esta discusión tiene efectos que no salen del ámbito teórico; así se concluya que la evidencia digital es un testimonio técnico, en cuyo caso debería aplicarse la Regla 702 de las Reglas Federales de Evidencia, se encontrará que en cumplimiento de esta los mejores criterios a utilizar para determinar la admisibilidad de la evidencia digital son los presentados por Daubert.

(21) Reanalysis.

(22) Daubert v. Merrell Dow Pharmaceuticals, Inc., opinión publicada por el Reporter of Decisions of the Supreme Court of the United States, en la ciudad de Washington, D.C., antes de su impresión definitiva en los reportes. En: http://supct.law.cornell.edu:8080/supct/html/92-102.ZO.html, sitio de la Universidad de Cornell.

(23) United States v. Solomon, 753 F. 2d 1522, 1526 (CA9 1985).

(24) En la práctica de la seguridad informática, como en muchas otras áreas, el uso de listas de chequeo o check lists es muy usual y recomendado. Estas permiten tener la certeza de que todos los elementos requeridos, y todos los pasos de los procesos, se hayan recopilado y cumplido efectivamente.

(25) La evidencia pertinente, o relevant, es definida en Estados Unidos como aquella que tiene una tendencia a hacer que un hecho, del que depende la determinación del acto a probar, sea más o menos probable de lo que sería sin ella.

(26) Ídem, Daubert.

(27) Reliability.

(28) Pre–trial Daubert Hearing.

(29) Por ejemplo: la herramienta forense utiliza las especificaciones del sistema para realizar su análisis; si estas son públicas, los únicos errores que se deriven de su aplicación provendrán de fallas en la programación de la herramienta. Si las especificaciones son cerradas —closed source software—, como NTFS, pueden presentarse errores adicionales porque estas no son enteramente comprendidas.

(30) El conocimiento de las especificaciones de los sistemas es tan importante que en una edición de 1996 de la revista forense del FBI, en la sección Software Guidelines, se advierte que los fabricantes del software usado para realizar las imágenes forenses deben estar dispuestos a dar acceso, al código fuente de sus programas, a los litigantes que los hayan usado con fines judiciales, independientemente de que deban estos protegerlo adecuadamente.

(31) Cuántas decisiones y acciones judiciales se dejarán de tomar porque el funcionario correspondiente no entiende la tecnología y prefiere abstenerse a evitar la comisión de un delito, o a privar de la libertad al delincuente porque desconoce el valor de la prueba digital. El miedo al prevaricato, delito cualificado cometible por estos funcionarios, opera en verdad.

(32) Mejores prácticas en el manejo de la evidencia digital propuestas por la Asociación Internacional de Jefes de Policía y el Servicio Secreto de Estados Unidos.