Читать книгу Manual de informática forense II - Luis Enrique Arellano González - Страница 37

La preservación de la cadena de custodia sobre la prueba indiciaria criminalística es un objetivo que afecta a la totalidad de los miembros del Poder Judicial, los operadores del Derecho y sus auxiliares directos.

Entre estos últimos debemos incluir al personal de las fuerzas de seguridad, a las policías judiciales y al conjunto de peritos oficiales, de oficio y consultores técnicos o peritos de parte.

Por esta razón, el establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de métodos y procedimientos que aseguren la confiabilidad de la información recolectada, único elemento integrador a proteger en los activos informáticos cuestionados, ya que incluye la trazabilidad (29), la confidencialidad, la autenticidad, la integridad y el no repudio de estos, es una necesidad imperiosa para asegurar el debido proceso en cualquiera de los fueros judiciales vigentes.

En términos sencillos, implica establecer un mecanismo que asegure a quien debe juzgar que los elementos probatorios ofrecidos como prueba documental informática son confiables. Es decir, que no han sufrido alteración o adulteración alguna desde su recolección, hecho que implica su uso pertinente como indicios probatorios, en sustento de una determinada argumentación orientada a una pretensión fundada en derecho.

El juez debe poder confiar en dichos elementos digitales por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalístico clásico, y evaluarlos en tal sentido desde la sana crítica, la prueba tasada o las libres convicciones según sea el caso y la estructura judicial en que se desarrolle el proceso.

Consideramos a la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia, y que tiene como fin asegurar la inocuidad y esterilidad técnica en el manejo de dichos indicios, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial.

Para asegurar estas acciones es necesario establecer un riguroso y detallado registro, que identifique la evidencia y su posesión, con una razón que indique lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no).

Desde la detección, identificación, fijación, recolección, protección, resguardo, empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la escena es la misma que se está presentando ante el evaluador y/o decisor.

Para quienes deseen ampliar el tema referido a cadena de custodia en general, existen muchas analogías con la cadena de custodia utilizada en la preservación de muestras biológicas (para realizar estudios comparativos de ADN, entre otras posibilidades) (30).

Subsidiariamente, pero a idéntico tenor, es importante considerar el significado implícito en los indicios recolectados, el valor que van a tener en el proceso de investigación, análisis y argumentación del cual dependen. En dicho marco de referencia, adquirirán su relevancia y pertinencia, de ahí la necesidad de evitar en lo posible la impugnación de ellos en razón de errores metodológicos propios de cada disciplina en particular (no son idénticas las cadenas de custodia de muestras biológicas y las de armas o documentos impresos o virtuales). Es por esta razón que existen componentes genéricos y componentes particulares en toda cadena de custodia. Por ejemplo, el realizar un acta de secuestro es un elemento genérico, pero el asegurar la integridad de la prueba mediante un digesto (hash) sobre el archivo secuestrado es un elemento propio de la cadena de custodia informático forense.

Suele asociarse a la cadena de custodia con el proceso judicial orientado a dilucidar acciones delictivas, sin embargo esta no se agota en el orden penal. En particular, la cadena de custodia informático forense debe preservarse en todas las transacciones virtuales susceptibles de ser valoradas económicamente. Cuando un banco realiza una transferencia de fondos o un consumidor adquiere un producto por medios virtuales (Internet, entre otros) requiere de esa operación la misma confiabilidad que puede aportarle la cadena de custodia informático forense, es decir, afecta en todo momento a la comunidad virtual y a sus actores involucrados.

Al recolectar las pruebas, lo importante es el significado, el valor que van a tener en el proceso de investigación, y por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar al haberse acatado el procedimiento.

Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria ante el encargado de decidir a partir de ella, es necesario que sea garantizada respecto de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Desde su recolección hasta su disposición final, debe implementarse un procedimiento con soporte teórico, científico, metodológico criminalístico, estrictamente técnico y procesalmente adecuado. Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar profundamente consustanciados de su rol a cumplir dentro de este, sus actividades a desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.

Definición: Podemos definir a la cadena de custodia informático forense como un procedimiento controlado y supervisable, que se aplica a los indicios materiales o virtuales relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia, y que tiene como fin asegurar la confiabilidad de la prueba documental informática recolectada en un determinado lugar del hecho real o virtual desde su identificación hasta su disposición definitiva por orden judicial.

Sin embargo, esta definición es abarcativa, pero genérica; la prueba documental informática tiene componentes particulares diferenciativos que la tornan sumamente diversa a la hora de recolectarla, preservarla y trasladarla.

La prueba documental informática consiste en indicios digitalizados, codificados y resguardados en un contenedor digital específico. Es decir, toda información es información almacenada (aun durante su desplazamiento por una red, está almacenada en una onda electromagnética). Es necesario diferenciar entre el objeto que contiene a la información (discos magnéticos, ópticos, cuánticos, ADN, proteínas, etc.) de su contenido, información almacenada, y sobre todo de su significado.

Para este caso consideramos:

1. Información: Todo conocimiento referido a un objeto o hecho, susceptible de codificación y almacenamiento.

2. Objeto: Conjunto físicamente determinable o lógicamente definible.

La información puede estar en uno de los siguientes estados:

1. Almacenada: Se encuentra en un reservorio a la espera de ser accedida (almacenamiento primario, secundario o terciario), es un estado estático y conforma la mayoría de las recolecciones posibles; sin embargo, difiere de la mayoría de los indicios recolectables en que puede ser accedida por medios locales y/o remotos.

2. En desplazamiento: Es decir, viajando en un elemento físico determinado (cable, microonda, láser, etc.), es susceptible de recolección mediante intercepción de dicho elemento y está condicionada por las mismas cuestiones legales que la escucha telefónica o la violación de correspondencia.

3. En procesamiento: Es el caso más complicado y constituye la primera decisión a tomar por el recolector. Ante un equipo en funcionamiento, donde la información está siendo procesada, es decir modificada, actualizada y nuevamente resguardada, debe decidir si apaga o no el equipo. Esta decisión es crítica y puede implicar la pérdida de información y la destrucción de la prueba documental informática pretendida (31). La solución por medio del acceso remoto, indetectable por el accedido, es un tema que aún no se encuentra en discusión en nuestro país (32).

En cuanto a su significancia probatoria, tendrá la validez que le asigne su inserción como elemento pertinente y conducente a la argumentación presentada como sustento de la pretensión jurídica manifestada. Es decir, no deja de ser un documento más, que difiere de la prueba documental clásica (bibliográfica, foliográfica y pictográfica) únicamente en el soporte (digital vs. papel).

Sin embargo, es necesario tener en cuenta que un bit no es similar sino idéntico a otro bit. De ahí que una copia bit a bit de un archivo digital es indiferenciable de su original, esto significa que no puede establecerse cuál es el original y cuál su copia, salvo que hayamos presenciado el proceso de copiado y tengamos conocimiento sobre cuál era el contenedor del original y cuál el de la copia (método indirecto e independiente de los archivos considerados). Esto no resulta en un inconveniente sino en una ventaja, desde el punto de vista de la cadena de custodia, ya que permite preservar las copias, manteniendo el valor probatorio del original y evitando riesgos para este. Se puede entregar al perito una copia de los archivos dubitados y preservarlos en su reservorio original en el local del tribunal y con las seguridades que este puede ofrecerle (entre otros, caja fuerte) (33).

Mientras que en la recolección física de prueba indiciaria tradicional se secuestra el indicio y se lo traslada, en la recolección de documental informática esta acción puede realizarse o no, ya que es suficiente con copiar bit a bit la prueba y luego trasladar dicha copia. Es una extensión del caso anterior, donde no es necesario entregar el original al perito, sino que alcanza con su copia. La recolección de prueba, mediante copia debidamente certificada, puede sustituir perfectamente al original, es aplicable a los casos en que la información esté almacenada en reservorios vitales para la operación de una determinada entidad u organización estatal o privada. Supongamos la necesidad de secuestrar información almacenada en uno de los servidores operativos del Banco Central. Es evidente que el secuestro de dicho servidor podría sacar de operación a la entidad con las consecuencias que dicho hecho implicaría, mientras que su copia, certificación mediante hash y ante la autoridad judicial, administrativa o notarial correspondiente, en nada afectaría a la continuidad del servicio y serviría perfectamente como elemento probatorio.

Los mecanismos de certificación digital (hash, firma electrónica, firma digital) son mucho más confiables y difíciles de falsificar que los mismos elementos referidos a la firma y certificación ológrafas. Sin embargo, la susceptibilidad de los operadores del Derecho ante el nuevo mundo virtual hace que tengan sensaciones de inseguridad que no tienen sustento alguno en la realidad matemática que brinda soporte a los mecanismos referidos. Se adopta una actitud sumamente crítica y negativa frente a la seguridad que estos brindan, en parte como consecuencia de la necesidad implícita de confiar en algoritmos que no se conocen. Entender, comprender y analizar un algoritmo de cifrado por clave pública es una tarea de expertos y que no está al alcance de una formación matemática básica como la que posee la mayoría de los operadores del Derecho. Por otra parte, el individuo inserto en la sociedad tiende más a confiar en la medicina (por eso no cuestiona los métodos del médico legista o del psiquiatra forense) que en la matemática, con la que se relaciona mucho menos (34). Es un proceso lento de aceptación, que como todo en Derecho seguramente llegará a posteriori del desarrollo social y tecnológico que nos rodea e impulsa hacia el futuro.

La cadena de custodia informático forense tiene por objeto asegurar que la prueba ofrecida cumple con los requisitos exigibles procesalmente, lo que implica que debe asegurar:

1. Trazabilidad:

a. Humana (determinación de responsabilidades en la manipulación de la prueba, desde su detección y recolección hasta su disposición final).

b. Física (incluyendo la totalidad de los equipos locales o remotos involucrados en la tarea, sean estos de almacenamiento, procesamiento o comunicaciones).

c. Lógica (descripción y modelización de las estructuras de distribución de la información accedida y resguardada).

2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio).