La importancia de buscar a un experto en informática forense

Ing. Marco Ramiro Marín-Ace

Senior consultant, digital forensics FTI Consulting

 

En el actual mundo tecnológico, la informática forense ha cobrado cada vez más relevancia para el entorno judicial. Numerosas pugnas se han esclarecido, o hasta resuelto, gracias a los servicios que brinda esta disciplina, que se hace necesaria cuando surgen litigios por casos de incumplimientos contractuales o asuntos regulatorios en los que están implicados riesgos de conductas de fraude y corrupción.

 

Esta especialidad, siguiendo una metodología científica en el momento de recabar y resguardar los datos que encuentra, opera en cualquier investigación en la que los medios electrónicos son la principal fuente de información. Por supuesto, el propósito de este artículo es explicar el porqué y la importancia de buscar a un experto con la formación adecuada que aporte información relevante desde el punto de vista jurídico.

 

Siguiendo los rastros

 

Hay tres preguntas que resultan particularmente esenciales y determinantes dentro de una compañía, cuando surge un hecho que lleva a un litigio: ¿quién sabía?, ¿qué sabía? y ¿cuándo lo supo?

 

El camino para hallar las respuestas, apoyados en medios electrónicos, comienza en el principio de intercambio de Locard, propuesto por el científico y criminalista francés Edmon Locard y que es clave en la informática forense. De acuerdo con él, “siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”.

 

Los rastros de los datos encontrados en los correos electrónicos, las comunicaciones del Skype corporativo, los mensajes de texto o de WhatsApp, los archivos de Word, Excel, PowerPoint y, en general, cualquier elemento que sea electrónico pueden ayudar a entender de forma sustancial quién sabía, qué sabía y cuándo lo supo.

 

En este contexto, la evidencia digital cobra singular importancia en la estructuración de algunos de los elementos materiales probatorios, sin embargo, no se debe perder de vista que también puede ser fácilmente eliminada, alterada o modificada.

 

El dictamen pericial

 

El Código General del Proceso define el dictamen pericial como la forma de verificar hechos que interesen al proceso y que requieran especiales conocimientos científicos, técnicos o artísticos.

 

A su vez, el mensaje de datos¹ es definido como la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como podrían ser, entre otros, el intercambio electrónico de datos (IED), internet, el correo electrónico, el telegrama, el télex o telefax.

 

Teniendo en cuenta lo anterior, el dictamen pericial se perfila como una de las herramientas más idóneas a las que equipos jurídicos de cualquier organización pueden acudir con el fin de demostrar un hecho o una conducta ante los operadores judiciales, cuando los datos o la información relevante están almacenados en un medio electrónico o son transmitidos a través de un mensaje de datos.

 

Estándares internacionales

 

Existe todo un marco regulatorio y normativo internacional que proporciona un respaldo a la actividad pericial, diseñado para ofrecer garantías de calidad y objetividad sobre las cuales se sustenta la labor de los expertos y su reconocimiento por parte de los operadores judiciales.

 

Las actividades de tecnología forense para la elaboración de dictámenes periciales deben tomar como referencia estándares internacionales como la ISO/IEC 27037:2012², Guía para la identificación, colección, adquisición y preservación de evidencias digitales; la ISO/IEC 27042:2015³, Guía para el análisis e interpretación de evidencia digital; y la UNE 71506:2013⁴, Metodología para el análisis forense de las evidencias electrónicas.

 

Es conveniente entonces que los equipos legales de las empresas, encargados de la presentación o contradicción de dictámenes periciales forenses, cuenten con un conocimiento mínimo de estándares que les permita formular las preguntas clave a los peritos.

 

Recolectando la evidencia digital

 

La principal labor de un perito en computación forense es llevar a cabo, de manera apropiada, la recolección de la evidencia digital —es decir, la copia forense del dispositivo electrónico, computador, teléfono celular, correo electrónico, Skype y otros canales—, evitando que sufra alteraciones o modificaciones durante el procedimiento. Para que la evidencia no corra el riesgo de ser excluida en el escenario judicial o arbitral es importante que, al momento de la ocurrencia de un incidente de seguridad y de hacer las copias forenses, el trabajo lo lleve a cabo un experto con el conocimiento adecuado.

 

Una vez hecha la copia forense, mantener la cadena de custodia de este elemento se convierte en un procedimiento fundamental, sobre todo a la hora de tener que explicar, ante distintas instancias, que el procedimiento es auditable, repetible, reproducible, justificable y que cumple con los principios de integridad y disponibilidad de los datos.

 

Buscando los datos relevantes

 

El objetivo es buscar, en ese universo de información, los datos que pueden ser relevantes, útiles y pertinentes según el caso, mediante herramientas como palabras clave, filtros de tiempo, lectura e interpretación de los datos encontrados.

 

El correo electrónico sigue siendo un medio de comunicación formal ampliamente utilizado en las organizaciones para transmitir decisiones, documentos y notificaciones relevantes, pero también es usado para informar sobre la probable ocurrencia de un hecho o conducta y sobre las personas que intervinieron. Mediante un dictamen pericial y su ratificación, el perito estará en capacidad de explicar por qué ese mensaje existió, se transmitió y llegó a su destinatario.

 

Otros medios de comunicación, empleados en las organizaciones de manera más inadvertida, como el servicio de mensajería de Skype o chats de aplicaciones como WhatsApp, también pueden ser objeto de recolección, procesamiento y presentación por un experto perito forense.

 

En algunas ocasiones podría suceder que un empleado de la compañía tenga la intención de ocultar o dañar información que está en su computadora, y es en estos casos cuando el experto hace la valoración de la evidencia e intenta recuperar los datos eliminados, acceder a archivos protegidos por contraseña, con las debidas autorizaciones, o identificar documentos y registros de los sistemas de información, con el fin de establecer una cadena de eventos (time line) que confirme o no la hipótesis que esté siendo presentada ante instancias judiciales, administrativas o arbitrales. El resultado de estas búsquedas es lo que se conoce como producción de evidencia digital.

 

Sustentando el dictamen

 

El dictamen pericial está sujeto a la ratificación —o sustentación— de los procedimientos y hallazgos del perito en una audiencia. En este escenario, en el que el perito es interrogado y contrainterrogado por las partes, es donde se pone a prueba la experiencia y el conocimiento del experto.

 

Son la seguridad y la exactitud de las respuestas las que aportarán a la validez del medio probatorio y a que se avalen los procedimientos y hallazgos del peritaje. El demostrado conocimiento técnico de los expertos sobre el qué, quién, cuándo, cómo y dónde puede contribuir de manera superlativa a esclarecer los hechos y conductas en disputa.

 

NOTAS:

1. Ley 1581 del 2012.

2. https://www.iso.org/standard/44381.html

3. https://www.iso.org/standard/44406.html

4. https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma?c=N0051414