ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 5 min de lectura

10 Tips para entender el Análisis Forense Informático en Chile

Diez consejos prácticos sobre análisis forense informático en Chile, abarcando aspectos legales, técnicos y procedimentales del peritaje digital.

Introducción

En estos tiempos donde la ciberseguridad acaparó la preocupación del gobierno, vemos que la generación de incidentes aumenta día a día, y en ocasiones, las organizaciones sienten la necesidad natural de investigar lo ocurrido. Este proceso de investigación puede definirse desde la base de ocurrencia de un delito, el que según nuestra legislación actual, puede corresponder a un sabotaje o espionaje informático.

El presente documento tiene la intención de otorgar al lector una pincelada de la realidad nacional respecto al análisis forense informático (o digital), incorporando una visión desde el aspecto procesal penal y cómo influye el desempeño de la tecnología en la obtención de resultados.

1. ¿Qué es el Análisis Forense Informático?

El Análisis Forense Informático (AFI) se define como el proceso de identificación, preservación, recolección, transporte, análisis y presentación de la evidencia digital acorde a los procesos legalmente aceptados y sus procedimientos. En nuestro país comúnmente se le denomina peritaje, y quienes realizan dichos informes son los peritos, aunque también se les puede nombrar como “testigos expertos” por el fiscal en una causa penal.

Es considerada una ciencia forense ya que utiliza procesos verificables (tal como el método científico) para determinar hechos en materias civiles, criminales o administrativas. El proceso debe ser reproducible y obtener los mismos resultados tal como lo indica la ciencia.

2. ¿Cuál es el objetivo de hacer un peritaje?

El objetivo principal es aclarar un evento o incidente técnicamente en el cual se vean involucrados soportes de almacenamiento de información digital. Con ello se espera obtener una interpretación de lo ocurrido para terceras personas que no son necesariamente del área.

La realización de peritajes no tan solo tiene que ver con delitos informáticos, sino también con delitos tradicionales cometidos con medios computacionales.

Lo más aproximado puede ser el Código Procesal Penal Chileno (CPP). Los artículos 314 y 315 versan sobre el informe de peritos y su contenido. El primer artículo señala: “los demás intervinientes podrán presentar informes elaborados por peritos de su confianza”. “Los informes deberán emitirse con imparcialidad”.

El artículo 315 da una pista importante de la forma y contenido que debe tener el peritaje: descripción del objeto, del estado y modo en que se encuentra, la relación circunstanciada de todas las operaciones practicadas y su resultado.

4. ¿Por dónde comenzar?

La ISO 27037/2015 establece dos figuras importantes: Digital Examiner First Responder (DEFR) y Digital Examiner Specialist (DES). El DEFR corresponde a la persona encargada de dar primera respuesta, identificar evidencia, recolectar y preservar. El perfil DES apunta a la adquisición y se requiere su participación en aquellas actividades más complejas.

El año 2017 el Instituto Nacional de Normalización de Chile (INN) adaptó dicho documento bajo la Norma Chilena NCh 27037:2015.

5. ¿Cómo realizar el proceso de identificación?

Tips para resolver incertidumbres:

  • Conseguir una adecuada entrevista.
  • Tomar el control de la situación y supervisar el acceso a la evidencia potencial.
  • Determinar quién es el responsable del lugar.
  • Documentar la escena, fotografía o video. Detallar conexiones, cables y periféricos conectados.
  • Si el dispositivo está encendido, no apagarlo y si está apagado no encenderlo.
  • Si el encargado del área lo permite, buscar notas, documentación o papelería con contraseñas y apuntes vinculados al incidente o evento.

Aspectos según la ISO 27037:

  • Resguardar su integridad física.
  • Aislar el lugar del incidente.
  • Trabajar acompañado de alguien que sirva de testigo.
  • Evaluar la existencia de riesgos o peligros para su personal.
  • Discernir sobre el tipo de evidencia que se está obteniendo.

6. ¿Existe alguna dificultad al realizar un análisis forense?

El aspecto técnico puede revestir un grado de dificultad dependiendo del caso. Por lo general, el forense enfrenta una dificultad mayor que resolver el origen del incidente y esto es poder satisfacer la opinión del cliente.

Sin contar con una cámara de videovigilancia sobre el usuario del equipo, es prácticamente imposible atribuir responsabilidades a una persona con nombre y apellido. La mayoría de las veces el forense se refiere al “usuario del equipo” que, siendo las “19:00 horas”, ejecutó “x aplicación”.

7. ¿Qué tipo de equipamiento se necesita?

Armar una estación forense es relativamente sencillo. El problema se genera cuando debemos cumplir plazos acotados y analizar evidencias de forma masiva. La comunidad informática está dividida entre herramientas Open Source y las de pago. El software forense de pago es extremadamente costoso.

En nuestro país podemos realizar peritajes con las herramientas que estimemos pertinentes. Solo debemos estar seguros de que si vamos a utilizar alguna herramienta libre, los resultados puedan ser cotejados con alguna aplicación similar.

8. ¿Qué se necesita para un gran laboratorio forense?

  • Sala de adquisición
  • Storage de evidencia (SSD para procesamiento, SATA para almacenamiento)
  • Blade Servers (poder de procesamiento)
  • Storage de Casos (histórico)
  • Data Base Server
  • Estación de Trabajo (para analistas)

9. ¿Debemos tener experiencia previa para ir a un juicio oral?

En el caso de la fiscalía, la mayoría de las veces los informes periciales son presentados en juicio. El analista forense informático tiene un grado mayor de dificultad ya que debe prestar testimonio en juicio oral jurando o prometiendo frente a los jueces, y puede ser cuestionado por el abogado defensor.

Tanto el abogado defensor como el fiscal apuntan sus primeras interrogantes hacia la experiencia que tiene el testigo sobre su labor como forense. Los artículos 314 y 315 del CPP esperan del perito conocer “los principios de su ciencia o reglas de su arte u oficio”.

10. ¿Qué otras referencias pueden ser útiles?

  • Decreto 83 del 12/01/2005 de la Secretaría General de la Presidencia
  • Ley 19223, que tipifica figuras penales relativas a la informática
  • Código Penal de Chile
  • Código Procesal Penal Chileno
  • NIST, Guide to Integrating Forensic Techniques into Incident Response
  • NIST, Computer Security Incident Handling Guide
  • Association of Chief Police Officers, Good Practice Guide for Digital Evidence (UK)
  • Department of Justice, Prosecuting Computer Crimes (USA)
  • Department of Justice, Searching and Seizing Computers (USA)
  • Official ISC2 Guide to the CCFP Common Base Knowledge
  • US Department of Homeland Security, Best Practices for Seizing Electronic Evidence
  • Cloud Security Alliance, Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing
  • ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence

Creado por Andrés Godoy

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo