Computacin Forense

Un reto tcnico-legal para el prximo milenio

Jeimy J. Cano, M.Sc., Ph.D

Universidad de los Andes
jcano@uniandes.edu.co Conferencia presentada en el marco del I Congreso Internacional de Ing. De Sistemas y Ciencias de la Computacin. Universidad Industrial de Santander. Bucaramanga, Colombia. Nov.2000

Agenda
Definiciones
Evidencia Digital Computacin Forense

Ciencias Forenses Evidencia Digital Vs. Evidencia Fsica Computer Crime, Cybercrime o delito informtico? Ciencias Forenses Vs. Ciencias de la computacin mbito legal: La prueba en informtica Retos legales y tcnicos Referencias
JCM-2000 All Rights Reserved. 2

Definiciones
Evidencia digital:
Es un tipo de evidencia fsica. Esta construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados con herramientas y tcnicas especiales.(Casey 2000, pg.4)

Computacin forense
Es la aplicacin legal de mtodos, protocolos y tcnicas para obtener, analizar y preservar evidencia digital relevante a una situacin en investigacin. (Kovacich 2000, pag.243)

Esta presentacin se concentrar en revisar los retos de la ciencias computacionales en el contexto de las ciencias forenses y el derecho.
JCM-2000 All Rights Reserved. 3

Ciencia Forense
Provee principios y tcnicas que facilitan la investigacin y persecucin de ofensas catalogadas como criminales.
Implica la aplicacin de la ciencia al campo legal Cualquier principio cientfico o tcnica puede ser aplicada para:
Identificar, Recuperar, Reconstruir y Analizar evidencia durante un investigacin de un crimen.

Aplicando mtodos cientficos los especialistas forenses pueden analizar la evidencia para:
Crear hiptesis, efectuar pruebas para verificar dichas hiptesis, generando posibilidades claras sobre lo que ocurri.
JCM-2000 All Rights Reserved. 4

Ciencia Forense

Escena crimen

Evidencia Fsica Vctima Sospechoso

Principio de Intercambio de Locard. En CASEY.2000. Pg.4

JCM-2000 All Rights Reserved. 5

Evidencia Digital Vs Evidencia Fsica

Evidencia Digital
Es un tipo de evidencia fsica, menos tangible que otras formas de evidencia (DNA, huellas digitales, componentes de computadores) Ventajas
Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fcil identificar si la evidencia ha sido alterarda, comparada con la original. An si es borrada, es posible, en la mayora de los casos, recuperar la informacin. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios

JCM-2000

All Rights Reserved.

Computer Crime, Cybercrime o Delito Informtico?

Cybercrime
De acuerdo con CASEY.2000. Pg.8:
Cualquier actividad criminal que involucra computadores y redes. En particular esta definicin est orientada a revisar situaciones donde el computador de una red no fue usado para el crimen, sino que contiene evidencia digital relacionada con el crimen. - ORIENTADA A LA EVIDENCIA

De acuerdo con PARKER.1998. Pg.57:

Toda actividad que conlleva un abuso (atentado contra la informacin, causando prdida de utilidad, integridad y autenticidad) y mala utilizacin (atentado con la informacin, causando prdida de disponibilidad, posesin y confidencialidad) de la informacin, asociada con el uso del conocimiento de sistemas de informacin o tecnologas informticas. - OREINTADA AL DISCURSO LEGAL
JCM-2000 All Rights Reserved. 7

Computer Crime, Cybercrime o Delito Informtico?

Computer Crime
De acuerdo con ICOVE et al. 1995. Pg.17:
Son un conjunto de actividades que pretenden destruir o robar equipos de computacin, a travs de sabotaje electrnico o apropiacin no autorizada de datos o sistemas con el fin claro de obtener un beneficio econmico.

De acuerdo con CASEY.2000. Pg. 9:

Es un tipo especial de cybercrime, que merece una revisin por separado.

De acuerdo con la ley del Reino Unido:

Los computer crimes hacen relacin a actividades como: robo de servicios computacionales, acceso no autorizado a computadore protegidos, software pirata, alteracin o robo de informacin almecenada en medios electrnicos, extosin va medios electrnicos, robo de contraseas y transmisin de comandos o virus destructivos.
All Rights Reserved. 8

JCM-2000

Computer Crime, Cybercrime o Delito Informtico?

Delito Informtico
Cualquier comportamiento crimingeno en el cual la computadora ha estado involucrada como material o como objeto de la accin criminal o como mero smbolo. (Carlos Sarzana, Mx) Se conceptualiza en forma tpica y atpica, entendiendo la primera como las conductas tpicas, antijurdicas y culpables en que se tienen las computadoras como instrumento o fin, y por la segunda actitudes ilcitas en que se tienen a las computadoras como instrumento o fin. (Julio Tellez Valds, Mx) Toda accin dolosa que cause un perjuicio a personas naturales o jurdicas que puede producir o no un beneficio material para su autor, pudiendo o no perjudicar de manera directa o indirecta a la vctima, caracterizando dicha accin dolosa por la utilizacin de actividades o medios informticos. JCM-2000 All Rights 9 (Orlando Solano B. Col.) Reserved.

Computer Crime, Cybercrime o Delito Informtico?

Elementos Comunes a las definiciones
Revisando las definiciones se identifican elementos comunes:
Sujeto actor o actores de la conducta daosa que produce el hecho
No es clara en todas las definiciones presentadas Algunas veces se deja por fuera de la definicin o se asume implcita

Un medio adecuado para comenter el acto ilcito, o sea el dispositivo informtico por medio del cual se lleva a cabo la accin.
Se encuentra referenciado en todas las definiciones Se hace particular nfasis a medios informticos En pocas definiciones se hace claridad sobre el lugar de la evidencias, dado el medio utilizado.

Un objeto, o sea, el bien que produce el beneficio ilcito para el o los autores
Se consideran generalmente los objetos resultado de procesamiento de datos, los datos, la informacin resultado.

JCM-2000

All Rights Reserved.

10

Computer Crime, Cybercrime o Delito Informtico?

Propuesta de Anlisis
Principios de la Seguridad Informtica Verbos rectores Confidencialidad Integridad Disponibilidad Modificar X X X Eliminar X X Revelar X Monitorear X Acceder X Configurar X X Objetos Afectados
Hardware, software, datos, documentacin, comunicaciones, personal
JCM-2000 All Rights Reserved. 11

Ciencias Forenses Vs. Ciencias de la Computacin

Comprender la existencia de la evidencia en formato digital. Asegurar la integridad de la evidencia recolectada Comprensin de los computadores y su operacin Reconocimiento de la evidencia digital
Dnde se encuentra Cmo se encuentra almacenada Cmo se modifica, quin la modifica, quin es su dueo

Cantidad de evidencia recolectada Habilidades tcnicas y procedimientos forenses El manejo y control de los documentos electrnicos.
JCM-2000 All Rights Reserved. 12

La prueba en informtica
Cul es el fin de la prueba?
La Corte Constitucional al respecto comenta:
El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la conviccin suficiente para que pueda decidir con certeza sobre el asunto del proceso.

Al igual que un documento normal, la evidencia electrnica debe cumplir las sgtes condiciones:
Compuesto por un texto, tenor o contenido
Contenido relevante al mbito jurdico: Construido para ser usado

Un autor
Claramente identificado Origen y originalidad

Inteligible Carcter de durabilidad o permanencia superior al objeto que representa Transportable

JCM-2000 All Rights Reserved. 13

La prueba en informtica
Problemas en informtica
Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital. Facilidad de la duplicacin y dificultad en la verificacin del original
Dnde est el original de la evidencia digital?

Almacenamiento y durabilidad de la informacin en medios electrnicos. Reconocimiento legal del mismo Identificacin problemtica del autor de los documentos El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada. La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido. Desconocimiento de las tcnicas de intrusin de sistemas.
JCM-2000 All Rights Reserved. 14

La prueba en informtica
Seguridad Informtica: Una posible solucin
Principios
Confidencialidad Integridad Disponibilidad

Servicios
Autenticacin Autorizacin No-repudiacin Auditabilidad

Mecanismos de Seguridad Informtica

Firmas digitales Certificados digitales Algoritmos de encripcin simtrica y asimtrica Intrusion detection systems, Control de intregridad de archivos Logs de auditora Mecanismos de control de estampillas de tiempo.
All Rights Reserved. 15

JCM-2000

Retos legales y tcnicos

Retos Legales
Comprender de manera cercana el fenmeno informtico y sus implicaciones en las conductas criminales. Buscar elementos probatorios, apoyados en mecanismos informticos que, permitan ofrecer validez y originalidad a un documento electrnico. Desarrollar habilidades tcnico-forenses para intregrar la investigacin criminal con las tcnicas computacionales de proteccin. Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informtica, a los bienes jurdicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delicuencia informtica. Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislacin en el rea informtica.
JCM-2000 All Rights Reserved. 16

Retos legales y tcnicos

Retos Tcnicos
Desarrollar prcticas y procedimientos de programacin que busquen disminuir los problemas de seguridad en los productos de software y hardware. Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados. Conciencitizar sobre las responsabilidades jurdicas de los ingenieros:
Previsibilidad, debido cuidado y diligencia

Definir prcticas y polticas de seguridad informtica, como pruebas preconstituidas para la organizacin. Establecer un programa interdisciplinario que incorpore en la formacin tcnica, las consideraciones legales. La computacin forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informtico.
JCM-2000 All Rights Reserved. 17

Referencias
KRAUSE, M. y TRIPTON, H. (1999) Handbook of Information Security Management 1999. Auerbach. Crc Press. Cap.6 JOHNSON, J. (2000) The joy of incident handling response process. Securityportal.com. May 15. Scientific Working Group on Digital Evidence -SWGDE. (2000) Digital evidence: Standards and Principles. Forensic Science Communications. April. Vol2. No.2 ARMSTRONG, I. (2000) Computer Forensic. Secure Computing Magazine. April. SIGFRIED, K. (2000) Electronic Forensic. Securityportal.com. May 8. NORTHCUTT, S. (1999) Network Intrusion Detection. An Analyst s handbook. News Riders.
JCM-2000 All Rights Reserved. 18

Referencias
CASEY, E. _(2000) Digital Evidence and Computer Crime. Academic Press. STEPHENSON, P. (1999) Investigation Computer Related Crime. Crc Press. SHAW, P. (1998) Managing Legal and Security Risk in computing and communications. Butterworth Heinemann. IVOCE, SEGER y VONSTORCH. (1995) Computer Crime. A Crimefighter s handbook. O Really. KOVACIVH, G. (2000) High Technology Crime. Investigator s handbook. Butterworth Heinemann RIBAS, J. (1999) Aspectos jurdicos del comercio electrnico en Internet. Aranzadi Editorial. PARKER, D. (1998) Fighting computer crime. A new framework for protecting information. Wiley & Son. BOLOGNA, J y SHAW, P. (2000) Avoiding cyberfraud in small business. Wiley & Son. All Rights Reserved. JCM-2000 19

Referencias
PARRA, J. (1999) Manual de Derecho probatorio. Ediciones Librera Profesional. GUERRERO, M. (1998) Penalizacin de la Criminalidad Informtica. Proyecto Acadmico. Ediciones Jurdicas Ibaez. SOLANO, O. (1997) Manual de Informtica Jurdica. Ediciones Jurdicas Ibaez. WRIGHT, M. (1998) The need for information security education. Computer Fraud & Security. BOHM, N. (2000) How strong do plataforms need to be from legal perspective?. Information Security Technical Report. Vol.5. No.1

JCM-2000

All Rights Reserved.

20

Recursos en el WEB
Asociaciones
http://www.gocsi.com - Computer Security Institute http://www.acfe.org - Assoc. Certified Fraud Examiners http://www.icsa.com - International Information Systems Security Assoc. http://www.htcia.org - High Technology crime investigation Assoc. http://www.cops.org - International Assoc. of Computer Investigative Specialist (IACIS)

Warez Sites
http://www.astalavista.com

Ciencias Forenses
http://www.aafs.org - American Academy of Foreinsic Science. http://www.forensics.com - Computer Forensics, Inc. http://www.computer-forensics.com - Computer Forensics Ltd. Http://www.forensics-intl.com - New Technologies, Inc.(NTI).

Programas de certificacin
JCM-2000

Certified Fraud Examiner - http://www.acfe.org Certified Information Systems Security Professional - http://www.isc_2.org
All Rights Reserved. 21