El complejo proceso para extraer pruebas de computadoras y celulares decomisados por caso UPAD
Durante los allanamientos decomisaron teléfonos y computadoras al presidente y el exministro de la presidencia
(CRHoy.com).-Durante el histórico allanamiento realizado por el caso de la Unidad Presidencial de Análisis de Datos (UPAD), las autoridades decomisaron los celulares del Presidente de la República Carlos Alvarado y el exministro de la Presidencia, Víctor Morales Mora, quien tras su renuncia vuelve a su cargo de diputado.
Al mandatario le retuvieron su teléfono móvil personal y el oficial, mientras que a Morales le quitaron el único celular que portaba en ese momento. Además, las autoridades se llevaron las computadoras de ambos desde el pasado viernes 27 de febrero; ese día, mandaron a llamar a Alvarado y Morales para que se hicieran presentes en su despacho en Casa Presidencial, ya que no se encontraban en Zapote.
En total se allanaron 10 puntos, entre ellos las casas de los investigados, así como el Ministerio de Planificación Nacional (Mideplan). En las viviendas también se decomisaron equipos electrónicos sin que se especificara de qué tipos de aparatos se trata, ni la cantidad de los mismos. Los allanamientos en esas casas se hicieron en vista de que los asesores usaban sus computadoras personales para labores de la UPAD.
En la diligencia judicial en la que estuvo presente la Fiscala General, Emilia Navas, participaron 45 agentes del Organismo de Investigación Judicial (OIJ), así como los magistrados de la Sala III; debido a que el allanamiento se hizo en uno de los supremos poderes de la República, se requería la autorización de dicha sala penal para proceder con el operativo.
Navas explicó que cuando se hizo la solicitud de la diligencia ante la Sala Tercera, se incluyó la petitoria del decomiso de todos los dispositivos electrónicos de los investigados, incluyendo teléfonos celulares, ya fueran de uso personal o laboral.
El carro en el que viajaba el Presidente también fue objeto de una minuciosa revisión para determinar si había más dispositivos electrónicos, pero ante la consulta de si habían encontrado algún aparato más en el vehículo, la Fiscalía respondió que no se podía referir al respecto, ya que eso tiene que ver con el fondo de la investigación.
Esto es lo que sigue
Ahora lo que sigue es un proceso para extraer la información de los teléfonos y las computadoras, con el fin de recopilar evidencia en la causa abierta que se sigue por la creación de la UPAD, bajo el expediente No. 20-005433-0042-PE por los presuntos delitos de violación de datos personales, abuso de autoridad y prevaricato.
El Ministerio Público confirmó que todos los dispositivos electrónicos decomisados en los allanamientos del 27 de febrero todavía no han sido devueltos a sus propietarios. Previo a esto, se debe realizar la apertura de los aparatos para extraer la información relacionada con el caso que se investiga.
“Actualmente, la Sala III tiene el expediente de investigación y el próximo lunes 9 lo estaría regresando a la Fiscalía General, por lo que, cuando esto suceda, el despacho procederá a gestionar la solicitud formal de dicha apertura ante el mismo grupo de magistrados.
Sin embargo, el Ministerio Público ya está realizando algunas coordinaciones necesarias para ir formulando la petición correspondiente”, indicó la Fiscalía.
“Tuvimos una mesa de trabajo con los expertos en delitos informáticos para determinar cómo extraer la información del servidor y las computadoras, determinar si los correos electrónicos, la comunicación, la evidencia y los documentos podían estar en computadoras o en la nube”, detalló por su parte la Fiscala General.
Sin rastros de borrado
“No hay ninguna evidencia de que se haya eliminado información de las computadoras o dispositivos electrónicos que tenemos secuestrados, eso se va a determinar en el momento en que haga el respaldo formal, la apertura de la evidencia que nos dé la información por parte de la Sección de Delitos Informáticos del OIJ.
Nada apunta a que efectivamente se haya desaparecido, intentado borrar o borrado; lo importante es que esos rastros también quedan en caso de que se haya hecho”, señaló Navas sobre la posibilidad de que hubiese eliminado algún contenido de los equipos analizados.
“Es importante aclarar que el OIJ cuenta con expertos que nos acompañaron a todos los puntos del allanamiento, en todos los lugares contábamos con estos profesionales que en el caso de tener acceso directamente a los servidores o a las computadoras, hicieran los respaldos respectivos. En el primer punto en Casa Presidencial, pudieron conectarse directamente al servidor de donde recuperaron información no solo de las computadoras, sino de los respaldos que había de ellas en el mismo servidor de Casa Presidencial.
Dentro de la misma ciencia forense digital va a ser una tarea importante por parte del OIJ poder determinar la integridad de esos datos, cualquier movimiento a nivel digital genera algún tipo de rastro que puede ser visibilizado y analizado, eso quiere decir que si logramos determinar que se eliminó algún tipo de elemento, tenemos también los respaldos que se hacen ya sea de manera automática o manual dentro del mismo servidor, que pueden concordar o no con los datos que manejan las computadoras tanto personales como de trabajo que se encontraron en los equipos”, detalló en la misma línea el fiscal José Pablo Miranda.
“Tenemos bastante material informático para analizar y muchas fuentes de información para cruzar para determinar si mantienen coherencia de datos entre todas, o si en unas hay más o menos datos, logrando determinar de una manera más amplia, más general y con una ciencia forense informática mucho más exacta si se borraron o no.
Además de eso tenemos otras fuentes de información que podrán venir a corroborar si existen o no los datos, como las solicitudes que logramos sustraer y secuestrar de información a terceras entidades públicas de información”, añadió el fiscal.
También explicó que en los aparatos electrónicos respaldados, lo que se hace es una imagen forense, es una copia igual bit por bit del documento electrónico original, es decir, son copias idénticas garantizando autenticidad, seguridad e integridad de los datos, que es una de las reglas de la evidencia digital.
Procedimiento complejo
La revisión o auditoría de aparatos digitales requiere herramientas forenses, metodologías y profesionales especializados, que deben analizar archivos de múltiples fuentes tales como documentos, correos electrónicos, imágenes, registros financieros, chats y publicaciones en redes sociales, entre otras.
Estos ficheros binarios están en distintos formatos y pueden almacenarse ya sea en discos duros, tarjetas de memoria, en la nube o plataformas de interacción, todas ellas deben someterse a análisis para establecer la trazabilidad de la información.
Expertos consultados por CRHoy.com describen cómo se lleva a cabo un complejo procedimiento de análisis de computación forense para recabar la prueba documental digital necearia.
Aunque no significa que este sea exactamente el método que utilice la Sección de Delitos Informáticos del OIJ, el proceso es estándar en este tipo de investigaciones.
A continuación una entrevista con 2 especialistas en materia de informática forense, que aclaran una serie de dudas sobre el trabajo que se realiza cuando se analizan dispositivos electrónicos como celulares y computadoras para aportar evidencia a las autoridades. Luis Alonso Ramírez, gerente regional de Ciberseguridad en GBM y Alfonso Crespo, Socio de Forensics & Integrity Services en EY, explican la metodología que se utiliza en un análisis de auditoría informática.
¿En qué consiste una auditoría forense?
Alfonso Crespo
Es el proceso de recopilar, evaluar y analizar evidencia de manera exhaustiva, mediante el uso de diferentes técnicas que permitan confirmar o descartar la existencia de un ilícito que puede ser fraude, lavado de dinero, corrupción, o cualquier otro incumplimiento a una ley local, internacional, o normativa interna de una organización.
El auditor forense también apoya para responder una investigación iniciada por alguna autoridad o entidad regulatoria, resolver las interrogantes de algún inversionista; atender las acusaciones hechas por un denunciante; para despejar dudas sobre ciertos patrones inusuales de la operación y revisar inquietudes sobre informes financieros.
Algunas de las técnicas utilizadas para recopilar, evaluar y analizar las evidencias son: entrevistas de entendimiento y/o forenses; análisis forense de datos; cómputo y contabilidad forense; descubrimiento electrónico; respuesta a incidentes de seguridad informática, diligencia de integridad y verificación de antecedentes.
Luis Alonso Ramírez
El propósito de las técnicas forenses informáticas es buscar, preservar y analizar información en sistemas informáticos para encontrar evidencia potencial para un juicio. Muchas de las técnicas que los detectives usan en las investigaciones de la escena del crimen tienen contrapartes digitales, pero también hay algunos aspectos únicos en las investigaciones por computadora.
Solo abrir un archivo hace que este cambie: la máquina registra la hora y fecha en que se accedió. Si los detectives confiscan una computadora y luego comienzan a abrir archivos, no hay forma de saber con certeza que no cambiaron nada. Los abogados pueden impugnar la validez de la evidencia cuando el caso va a la corte.
¿Qué clase de software se usa en una labor de este tipo?
Alfonso Crespo
El uso de software especializado es sumamente importante, que permita al auditor tener las habilidades tecnológicas para acceder y revisar las diferentes evidencias electrónicas o físicas, así como proteger la integridad de estas evidencias sin que sea alterada durante su análisis, y que pueda tener validez probatoria ante el caso bajo estudio.
El software utilizado varía dependiendo de la técnica empleada por el auditor, así como la etapa de ejecución.
En técnicas de análisis forense de datos se utiliza software de procesamiento de volúmenes altos de datos, que permita analizar la información estructurada y no estructurada con el objetivo de identificar tendencias, detectar comportamientos irregulares y descubrir evidencia relevante en caso de investigaciones.
En procedimientos de cómputo forense y descubrimiento electrónico se utilizan herramientas para colectar y preservar evidencia de dispositivos electrónicos (computadoras, teléfonos móviles, servidores y discos duros, entre otros), procesar esta evidencia para separar la información relevante de la no relevante en la investigación, así como software que permita presentar los resultados de una forma gráfica y legible ante una autoridad pública, privada, o representantes de las compañías.
Luis Alonso Ramírez
La computadora es un testigo confiable que no puede mentir. La evidencia digital contiene una cuenta sin filtrar la actividad de un sospechoso, registrada en sus palabras y acciones directas. Para identificar todos los detalles ocultos que quedan después o durante un incidente, se utilizan herramientas forenses digitales de hardware y software.
Estas herramientas para la informática forense deben permitir recuperar los datos de manera segura, eficiente y legal. Las nuevas herramientas forenses digitales permiten tamizar, extraer u observar cuidadosamente los datos en un dispositivo sin dañarlo ni modificarlo.
Estos instrumentos forenses digitales son de diferentes tipos, algunos ejemplos son: análisis forenses de bases de datos, captura de disco y datos, de correo electrónico, archivos, visores de archivos, análisis de Internet, de dispositivos móviles, análisis forense de redes y de registros. Algunas herramientas cumplen más de una función simultáneamente.
¿Cuando los datos están encriptados, cómo se pueden acceder a ellos?
Luis Alonso Ramírez
El encriptado puede ayudar a proteger los datos que se envían, reciben y almacenan utilizando un dispositivo. Por ejemplo, los mensajes de texto guardados en su teléfono inteligente, registros en su reloj deportivo e información bancaria enviada a través de su cuenta en línea.
La encriptación es el proceso que codifica el texto legible para que solo pueda leerlo la persona que tenga el código secreto o la clave de descifrado. Ayuda a proporcionar seguridad de datos para información confidencial.
Para tener acceso a los datos encriptados únicamente se puede hacer utilizando el código secreto o la clave de descifrado.
O en casos extremos y muy complejos, aplicando procesos inversos de encriptación para decodificar la información cifrada aplicando múltiples técnicas automáticas de ingreso de claves o contraseñas para tener acceso a los datos encriptados, generalmente sin éxito por la complejidad del algoritmo de cifrado.
Alfonso Crespo
En auditorías forenses corporativas, la forma más sencilla es tener el consentimiento de los empleados para acceder a la información utilizando las contraseñas de estas personas que permita la desencriptación de los archivos. Si estos empleados no suministran sus datos, es posible acceder a las llaves de desencriptación a través de los administradores de tecnología de las organizaciones.
En casos donde la información de desencriptación no es suministrada o es de desconocimiento de la persona y las organizaciones, se utilizan técnicas y herramientas autorizadas y reconocidas por autoridades que permiten desencriptar los archivos dependiendo del tipo y motivo de encriptación.
¿Cuál es el perfil de profesionales que participa usualmente en una auditoría forense?
Alfonso Crespo
Son especialistas en las ciencias de la computación (programadores, telemáticos, analistas de datos), con capacidades para el empleo de técnicas informáticas y el uso de herramientas avanzadas en una investigación.
Abogados que permitan interpretar las legislaciones y normativas que se cree fueron violentados, así como valorar las posibles repercusiones legales de la investigación.
Periodistas que empleen su capacidad de buscar y tener acceso a fuentes de información pública, que permitan complementar la investigación.
Adicionalmente, los profesionales forenses cuentan con especialidades y certificaciones con la CFE (Certified Fraud Examiner) de la Asociación de Examinadores de Fraude Certificados (ACFE), que brinda al forense una serie de conocimiento sobre los esquemas utilizados por quienes cometen fraudes en compañías a nivel mundial, y en industrias específicas.
La certificación de ISO 37001, que permite a los forenses incrementar sus capacidades en procedimientos de prevención e investigación de actos de corrupción, como sobornos, conflicto de interés. En cómputo forense existen certificaciones como las emitidas por SAN en materia de análisis forense de datos, especialización en manejo de ciberamenazas, las certificaciones propias de las herramientas forenses como NUIX, Encase, entre otras.
Luis Alonso Ramírez
El perfil profesional debe tener amplia experiencia en análisis forense digital, basado en redes y sistemas operativos. Conocimiento en el uso de herramientas forenses digitales. Experiencia específica relacionada con el manejo de incidentes y eventos de seguridad de la información o investigaciones forenses y análisis de malware.
Deseable que posea certificaciones profesionales en investigación forense digital, al menos las siguientes CDFE: Certified Digital Forensics Examiner, CHFI: Computer Hacking Forensic Investigator, CFCE: Certified Forensic Computer Examiner, CCE: Certified Computer Examiner o en CSFA: Cyber Security Forensic Analyst.
En caso de archivos que se hayan borrado del dispositivo, ¿la información siempre queda en el aparato ya sea un teléfono o una computadora? Es decir, pese a que se elimine, ¿se puede recuperar?
Luis Alonso Ramírez
Si limpia la papelera de reciclaje, los archivos y las carpetas no se eliminan para siempre. Cualquier persona puede usar un software de recuperación especial y restaurar los datos eliminados (archivos y carpetas) porque el archivo eliminado todavía existe en el disco duro hasta que se sobrescriba con otros datos.
Se puede recuperar siempre y cuando no se haya aplicado el método de borrado Gutmann, que es un algoritmo para eliminar de forma segura el contenido de un disco duro u otro medio de almacenamiento magnético. Su funcionamiento consiste en escribir sobre los datos originales una serie de 35 diferentes patrones de tal forma que sea extremadamente difícil (para efectos prácticos, imposible) saber el contenido original.
O también que no hayan utilizado el estándar DoD 5220.22 creado por el Departamento de Defensa de los EE.UU. Su función consiste en la sobreescritura con un valor fijo determinado una vez (por ejemplo 0x00), seguidamente se escribe su valor complementario (0xff) una vez, y finalmente se repasa con valores aleatorios una ocasión. El disco se verifica para comprobar la escritura correcta de los valores.
Alfonso Crespo
Esta pregunta es recurrente y en la actualidad la respuesta depende del tipo de tecnología de la fuente de datos que se quiera extraer. En discos duros de platos giratorios, cuando un archivo se elimina de un dispositivo electrónico, este queda almacenado temporalmente en un sector del disco rígido hasta que el dispositivo sea formateado en su totalidad o restaurado a nivel de fábrica.
En caso de tecnología más moderna como memorias flash, la volatilidad de los datos se incrementa debido a cómo se almacenan. En todo caso de ser formateado, no es posible recuperar la información.
En cuanto a la información almacenada en la nube o sistemas remotos respaldados en servidores externos, ¿de igual manera es posible determinar el rastro de la información? En otras palabras, ¿se puede determinar quién subió la información, cuándo y cómo se modificó?
Alfonso Crespo
En el caso de información en la nube es posible rastrear el registro y modificación de la información en dispositivos externos, siempre y cuando las organizaciones activen módulos adicionales de los sistemas de información que guarden el registro (logs) de las actividades de sus usuarios.
Una vez activado los módulos de registros de actividades, existen herramientas que permiten analizar de forma masiva estos registros para analizar comportamientos.
Independientemente de que la información se encuentre en la nube, sistemas remotos o backups, las técnicas forenses de análisis nos permiten tener visibilidad de los metadatos de los archivos, los cuales nos dan información de fechas de creación, de última modificación, usuarios y otros detalles que pueden dar claridad a las preguntas que se deban de responder.
Luis Alonso Ramírez
Sí se puede determinar, los sistemas operativos de los servidores, los equipos de comunicación con el ambiente nube y todo sistema externo en Internet cuenta con bitácoras de registros de actividad de usuario, en los cuales se registran las actividades de autenticación, acceso a información, carga o descarga.
Así mismo, también documentan la creación, modificación o eliminación.
Investigaciones en proceso
Adicional a la investigación que realiza la Fiscalía, el Congreso conformó una comisión legislativa y la Defensoría de los Habitantes y el Colegio de Abogados emitieron un primer reporte de los hallazgos sobre la UPAD. En el caso del ente defensor, su informe determinó que la Unidad Presidencial de Análisis de Datos tuvo acceso a información sensible de los ciudadanos.
Aunque son indagaciones independientes, “los insumos de las investigaciones que se hagan en la Asamblea Legislativa y la Defensoría de los Habitantes son importantes para cualquier caso en el Ministerio Público”, considera Emilia Navas.
La Fiscala General confirmó que la única información extraída de los dispositivos que se va a usar es la relacionada con la causa, “en cualquier caso, cuando se decomisan dispositivos electrónicos se respalda la información que tiene el aparato, pero la única que se utiliza es la que tiene relación con los hechos que se investigan, nunca se usa información que hay en los aparatos, que no tenga relación con la investigación”.
Sin embargo, si se halla alguna otra prueba relevante que no tenga relación con el caso de la UPAD, se puede aportar como elemento probatorio para otra causa. “Podemos encontrarnos fotos, videos, que tal vez no tengan nada que ver, ya que son del ámbito meramente personal, que vamos a tener que verlos, pero se van a discriminar a la hora de extraerlos para presentarlos en el expediente.
Si se encuentra, al igual que en cualquier caso penal, alguna evidencia de la comisión de otro delito, se toma como una noticia criminis, es decir, una noticia criminal de un nuevo hecho delictivo que deriva en la apertura de un nuevo expediente bajo una otra sumaria donde se investiga un nuevo delito basado en ese indicio”, aclaró José Pablo Miranda.
El resto de información almacenada en las computadoras o teléfonos que no sea relevante para el expediente 20-005433-0042-PE, no se aporta como tal.
