Más de 400 personas asistieron al IV Foro de las Evidencias Electrónicas que se celebró el pasado 15 de junio de 2007 en el Hotel Ritz.

El acto, organizado por Albalia Interactiva y el despacho de abogados Garrigues, contó, en la conferencia de clausura, con la intervención del secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, quien incidió en el “protagonismo creciente” de la sociedad en internet, donde cada día se crean 100.000 nuevos “blogs” y el número de internautas -actualmente 2.000 millones de personas- se duplica cada cuatro años.

Según sus palabras, casi cinco millones de españoles harán su declaración de la renta a través de internet este año. El secretario de Estado subrayó el impacto de la red en los modelos de negocio y aseguró que España, “con más de 20 millones de internautas”, es una comunidad “muy potente” que evoluciona “al ritmo europeo” en materia electrónica, aunque “aún quedan muchos retos en materia de seguridad”, agregó.

Sobre esta cuestión, el magistrado de la Sala Segunda del Tribunal Supremo Manuel Marchena criticó la “pereza institucional para asumir los compromisos normativos” que requiere la sociedad de la información, porque “los jueces necesitan un marco jurídico claro que aplicar, por ejemplo la intervención del correo electrónico”.

El portavoz del Consejo General del Poder Judicial, Enrique López, abogó por un concepto de prueba electrónica de carácter trasnacional y por la formación de un grupo de peritos oficiales especialistas en materia informática que asesoren a los jueces.

Por su parte, el presidente del Foro, Antonio Garrigues Walker, afirmó que para avanzar en “democracia electrónica” y saber realmente “cómo está España” en materia de nuevas tecnologías con respecto a otros países, hay que mejorar “nuestros conocimientos y técnicas estadísticas”.

Entre las medidas que se están implantando en España contra la “ciberdelincuencia”, la mayor parte de los participantes en el acto coincidieron en alabar la implantación del DNI electrónico, que permitirá, entre otras cosas, identificar a los remitentes de los emails y evitar los correos-basura que expanden los virus.

El evento tuvo lugar gracias a la Colaboración de Red.es y al patrocinio de AnCert, Consejo General del Poder Judicial, Cybex, El Derecho, Informática El Corte Inglés, Postal Trust, Secuware, SGAE, Symantec y T-Systems.

La Presentación del 4º Foro de las Evidencias Electrónicas corrió a cargo de D. Antonio Garrigues Walker. Presidente del Foro y la Ceremonia de Apertura la protagonizó D. José Marqueño, Presidente del Consejo General del Notariado.

En la primera sesión sobre la Prueba Electrónica intervinieron Dña. Mª Ángeles Manzano, Socia de Garrigues, D. Enrique López, Vocal del Consejo General del Poder Judicial y D. Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo, con la moderación de D. César Belda, Notario y Director General de Feste.

En la segunda sesión sobre Ciberdelincuencia intervinieron D. Juan Salom, Comandante del Grupo de Delitos Telemáticos, en la Unidad Central Operativa de la Guardia Civil, D. Jorge Martín, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica en la Comisaría General de Policía Judicial y D. Juan Carlos Ruiloba, Jefe del Grupo de Delincuencia Tecnológica y Delitos contra la Propiedad Intelectual e Industrial de Barcelona, con la moderación de D. Jorge Alcalde, periodista y Director de la Revista Quo.

Tras el café tuvo lugar la tercera Sesión, centrada en la Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, con las intervenciones de D. Pablo Hernández, Director de los Servicios Jurídicos de la SGAE, Dña. Bárbara Navarro, Directora Antipiratería de NBC Universal y D. Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería, y la moderación de D. José María Anguiano, Socio de Garrigues.

En la cuarta sesión centrada en los Aspectos Técnicos de la Prueba Electrónica y que moderé yo (D. Julián Inza, Presidente de Albalia Interactiva, como certeramente anunciaba el programa) dió apenas tiempo para hacer 2 rondas de preguntas a D. Vicente Calzado, Director de la División de Tecnología de Informática El Corte Inglés, D. Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems, D. Carlos Jiménez, Presidente de Secuware, D. Matías Bevilacqua, Director Tecnológico de Cybex y D. Juan Ramón Fontán, Advisory Services Manager de Symantec.

El bloque técnico se cerró con la intervención de D. Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática, que sirvió de referencia posteriormente a la intervención del secretario de estado.

Tras una breve intervención a modo de Resumen y Conclusiones por D. Antonio Garrigues Walker, el Foro acabó con la Ceremonia de Clausura en la D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España.

Tras el acto formal, la fiesta continuó en los jardines del Hotel Ritz. Un cóctel en el que retomar contactos de colegas y que permite la relación entre técnicos y juristas.

Podemos definir informática forense (computer forensics) como la rama tecnológica y legal encargada de la investigación sistemática de medios informáticos y telemáticos en busca de evidencias electrónicas, presentes tras un acto delictivo o ilegítimo, así como la posterior gestión de las mismas.

Las evidencias electrónicas son rastros existentes en los equipos informáticos que, debidamente preservados, y puestos en relación con información existente en otros ordenadores o en el contexto de otras evidencias o de hechos probados permiten demostrar que se ha llevado a cabo una acción, por medios informáticos o no, e, incluso, quien o quienes la han llevado a cabo.

No se trata de  un arte al que solo afecte la tecnología, sino que, como muchas otras facetas de la Seguridad Informática y de las Telecomunicaciones, presenta importantes implicaciones legales.

El perito o informático forense, debe ajustarse a ciertas metodologías, frecuentemente apoyadas mediante actas notariales, para que las evidencias electrónicas sirvan como pruebas fehacientes de un posible delito ante eventuales procesos judiciales.

Estas metodologías pueden encuadrarse dentro de lo que se considera el procedimiento genérico de investigación forense, que consta de dos fases principales:

1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Uno de los elementos esenciales es la correcta incautación de la prueba, que respete los derechos de las partes y no de pie a que se descarte en un tribunal.

Otro aspecto que hay que cuidar es la correcta preservación de la cadena de custodia de todo el ciclo de vida de la evidencia, de forma que existan garantías de que la prueba no puede ser manipulada.

El análisis de la información se orienta al tipo de prueba y al tipo de incidente, y sus conclusiones se reflejan en el Informe Pericial, que el perito deberá, en caso necesario, ratificar ante el juez.

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.

Mercè Molist es uno de los mejores periodistas tecnológicos del mundo (en masculino neutro). Posiblemente la mejor periodista tecnológica sobre temas de seguridad en español y catalán. Yo siempre disfruto de sus artículos. De todos. Y estoy pendiente de los medios en los que publica para ver cuando sale un artículo suyo.

Recientemente ha publicado su entrevista a Kevin Mitnick, el famoso hacker (básicamente experto en ingeniería social) al que ayudó a detener Tsutomu Shimomura. Mitnick fué detenido en 1995 y salió en libertad en enero del 2000 a través de un acuerdo con el gobierno estadounidense, en el que se contemplaba que durante tres años no podía acercarse a ningún equipo electrónico (ordenadores, teléfonos, etc.). La historia se ha recogido de forma novelada en el libro “Takedown” de John Markoff con Shimomura, y ha sido llevada a la pantalla grande en una película sin excesivo éxito. La versión de Mitnick se recogió en The Fugitive Game: Online with Kevin Mitnick de Jonathan Littman. Takedown se ha publicado en español, pero el traductor no tenía excesivos conocimientos técnicos y mucha jerga está mal traducida, por lo que los más frikis deberían leerlos en inglés.

Mercè ha realizado una interesante entrevista a Kevin Mitnick que referencia en su blog y que recoge en su página personal.

Enhorabuena por la entrevista.

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %

Estos días estoy recopilando una lista de Blogs relacionados con las Evidencias Electrónicas, las Evidencias Digitales, la Informática Forense, la Computación Forense, las Peritaciones Informáticas, las Pruebas Digitales, …

(seguramente podría dedicar un post en este blog a discutir los diferentes términos que se pueden aplicar a disciplinas tan conexas).

He pedido ayuda a los amigos participantes en la lista de correo del Foro de las Evidencias Electrónicas para elaborar la relación de blogs, y de momento he recogido este pequeño elenco:

• Inforenses de Javier Pagès
• Página de Informática Forense de Rafael Ausejo

Además, aunque de temática muy amplia, el Blog de Enrique Dans, también toca a veces temas de seguridad y de capacidad probatoria de hechos en los que se ha utilizado la informática.

Yo, por mi parte, ya había ido encontrando algunos blogs de temática conexa:

• Bruce Schneier
• Hispasec
• Javier Muñoz
• Javier Prenafreta
• Sergio Hernando
  

Los sitios webs de abogados con marcado tono personal también me valdrían para este listado:

• Carlos Sánchez Almeida y Javier Maestre Rodríguez
• Javier Ribas
  

Y otros en los que se utilizan lenguas que me gustaría conocer:

• Forensic Blog (en alemán)

Como pienso ir actualizando este post en concreto, voy a crear un mecanismo de control de versiones:

• V1.0 (10 de julio de 2006) Versión inicial de las listas

Son tan escasos los artículos dedicados a este tema especializado en medios generalistas, que es de agradecer la nota en la contraportada de Computing del 10 de mayo de 2006, firmado por Marga Verdú.

Aunque el proceso que describe el periodista no es ortogonal y está muy simplificado, es una primera aproximación para no expertos.
Se describe en http://www.elpais.es/articulo.html?d_date=&xref=20060119elpcibpor_4&type=Tes&anchor=elpcibpor

Estos son los pasos que se indican

1. Toma de contacto. Conversación con los relacionados en el caso, con el objetivo de tener una idea clara de lo que ha ocurrido y planear la investigación. En este caso se sospechaba de un empleado que había accedido a una máquina de otro empleado para sustraer un documento.
2. Copia del disco duro. Acompañado del representante de los trabajadores y de los directores, se requisa el ordenador del sospechoso para, delante de todos, realizar una copia íntegra, bit a bit, del disco duro. Esta copia servirá para la investigación, y el ordenador requisado será guardado para su custodia en la caja fuerte de la empresa. Si se dispone de otros medios de almacenamiento externo, como CD o discos USB, se requisan también para su posterior análisis.
3. Análisis del disco duro. Se buscan indicios de virus, troyanos o gusanos, así como herramientas de ataque, con la idea de realizar una foto del ordenador y saber para qué se usa realmente, así como el nivel del usuario. A continuación se localiza y analiza la información que ha sido borrada. Seguidamente, se realiza una escala temporal lo más exacta y detallada posible. Es decir, conociendo aproximadamente la fecha del suceso, se reconstruye el escenario segundo a segundo: acceso a ficheros, creación o borrado de ficheros, ejecución de comandos, accesos a páginas de Internet, etcétera. Como se trata de un robo de información confidencial, se busca en todo el disco, tanto en archivos existentes, como en archivos borrados y espacio no utilizado.
4. Análisis de logs. Revisión y análisis de todos los logs o huellas de actividad, de la máquina y de todos los elementos relacionados, tales como cortafuegos, IDS, impresoras y servidores.
5. Cadena de custodia. Una vez que hemos obtenido las pruebas, es fundamental documentarlas y mantener lo que se denomina cadena de custodia, que garantiza el origen de las pruebas, imprescindible si hay juicio.
6. Presentación de resultados.
7. Acciones legales si fuera necesario.

En mi opinión, hay 2 grandes pasos:

1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

Ya es legal interceptar las telecomunicaciones.

El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. (publicado en el BOE núm. 102, de 29-04-2005, pp. 14545-1458 establece en su sección terecera el régimen de interceptación de las telecomunicaciones.  

Sorprende el poco eco que ha tenido la publicación de esta norma (incluyo en forma de comentario toda la sección referida a la interceptación de las telecomunicaciones)

En el “post” anterior quería poner un link al pionero criminalista Locard en la Wikipedia, y como no lo he visto, me he entretenido un poco en armar su semblanza, que no me resisto a transcribir a continuación.

Edmond Locard nació en Francia (1877-1966). Es uno de los pioneros de la ciencia Criminalística.Doctor en medicina y Licenciado en derecho. Trabajó como ayudante de otro pionero forense Alexandre Lacassagne y estudioso de Alfonso Bertillon. Fue director del gabinete de la policía de Lyon y uno de los principales pioneros de la Investigación Policial con Técnicas Científicas, denominada Criminalística. Escribió tratados de Criminalística y Poroscopia.

Fundó el Laboratorio de Criminalística de Lyon en 1910. Es autor de “Traité de Criminalistique”, tratado en 7 tomos y una verdadra referencia de criminalítica, en el que afirmaba que “escribir la historia de la identificación es escribir la historia de la criminología”. También es suya la frase “los restos microscópicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros.”

Las técnicas del Dr. Locard dmostraron su utilidad con el Servicio Secreto Francés durante la I Guerra Mundial, ya que era capaz de “conocer, tras examinar las manchas de los uniformes de los prisioneros y de los soldados, los lugares por los que habían pasado”.

Locard tenía su criterio sobre personajes del imaginario literario como Sherlock Holmes o Dupin: “Lo admirable en Sherlock Holmes es ese perfecto conocimiento de todo lo que se necesita haber estudiado para descubrir criminales; en lo cual es considerablemente superior a los policías de Edgar Allan Poe y de Émile Gaboriau. Sherlock no es más inteligente que Dupin, pero conoce mejor su oficio. En una época en que ningún especialista había escrito ningún tratado, su cerebro contiene la primera síntesis de la técnica policiaca”

Expertos criminalistas han señalado recientemente que el llamado “Principio de intercambio de Locard”, referido como tal en gran parte de la literatura criminalística y reconocido como uno de los más importantes de esta ciencia, no había sido formulado como tal por el propio Locard en su monumental obra.

Aunque sí que es cierto que Locard hizo la observación “Il est impossible au malfaiteur d’agir avec l’intensit que suppose l’action criminelle sans laisser des traces de son passage” , es decir “es im