EL INTERROGATORIO Y LA TOMA DE DECLARACIN EN LA INVESTIGACIN DE DELITOS INFORMATICOS

Planteamiento de un cuestionario bsico Patxi Lzaro Un doble objetivo: ampliar la investigacin y prevenir errores La Informtica Forense dispone de tcnicas eficaces para la adquisicin y el anlisis de evidencias digitales, asi como de procedimientos adecuados para la elaboracin de informes y su posterior defensa ante la autoridad judicial. Tambin adolece de limitaciones, como cualquier otra disciplina especializada. En este caso nos enfrentamos a la dificultad de atribuir la autora de los hechos que se investigan a una persona determinada. Aunque el cometido del investigador forense no consiste en acusar al sospechoso es preciso que su investigacin sirva para aportar elementos de evidencia, tanto digitales como fsicos, que ayuden a probar o en su caso a desestimar- los cargos planteados de un modo racional y fundamentado. La metodologa de trabajo del investigador forense est basada en el principio de Locard, segn el cual toda interaccin con un ordenador -o con cualquier otro objeto utilizado en la escena del crimen- deja un rastro detectable, que en el caso de un delito informtico se aprecia en los soportes de almacenamiento de datos o en la configuracin del sistema. Este rastro detectable por lo general consiste en archivos modificados, entradas en logs o persistencia de datos voltiles en la RAM. Los procedimientos de la investigacin informtica forense solo llegan hasta el teclado del ordenador. Dar desde ah el salto hasta los dedos culpables del individuo que se supone ha cometido el acto delictivo, probando asi de manera demostrable la autora de los hechos, es otra historia que requiere un enfoque menos tecnocntrico y ms convencional basado en mtodos tradicionales de bsqueda de informacin. Lo sofisticado de las nuevas tecnologas, la potencia del software forense y el carcter determinista y mecnico de los procesos informticos transmiten a veces una falsa impresin de infalibilidad de los mtodos aplicados por el investigador. A veces, en medio de la tiniebla informativa y evidencial erramos el tiro y un culpable se escapa de rositas. En otras ocasiones, y por culpa de un anlisis superficial u otras circunstancias que deberamos haber tenido el tino de prever, la persona equivocada termina cargando con el muerto. Pequeos empresarios, profesionales independientes, empleados y ciudadanos particulares han visto destruida su reputacin porque, sin ellos saberlo, sus ordenadores eran utilizados como repositorios de pornografa infantil, almacenes de warez o plataformas de ataque contra otros sistemas informticos 1. A no ser que se utilice software de anonimato o una red Tor, a traza del delito es correcta hasta la IP de origen, pero una vez all puede perderse o afectar a las personas equivocadas. Tal vez despus la situacin se aclare, pero el dao estar hecho, y no hay compensacin moral o econmica que pueda restablecer una reputacin perdida o enmendar un error judicial, sobre todo cuando la prensa ya est enterada. Una labor bien cumplida es necesaria no solamente para culminar con xito la investigacin, sino tambin para evitar que se cometan fallos lamentables y en ocasiones trgicos para la persona injustamente acusada. Tcnicas de investigacin convencional por excelencia fueron y siguen siendo el interrogatorio del sospechoso y la toma de declaracin a vctimas, testigos y otras partes afectadas. Las respuestas facilitadas proporcionan informacin contextual que puede ser utilizada para la reconstruccin de los hechos y el planteamiento de atribuciones de autora fundamentadas. El objetivo del interrogatorio no
1

Pueden verse algunos casos bastante ilustrativos en el libro de Joaquim Serrahima La amenaza digital (Editorial Profit, Barcelona 2010).

-1-

consiste en cristalizar la responsabilidad penal del acusado, sino en obtener datos contrastables con otras informaciones y otros elementos de evidencia, digitales o de cualquier otro tipo, relacionados con el caso. En las pginas que sigue se ofrece un modelo de cuestionario adaptado al delito tecnolgico y al abuso de dispositivos informticos -intrusiones, robos de identidad, revelacin de secretos y vulneracin de leyes contra la propiedad intelectual, acoso, pornografa infantil, etc.- que puede ayudar a investigadores forenses y agentes de polica encargados de una primera intervencin a conseguir las respuestas que sus copiadoras de discos duros y sus herramientas de anlisis forense les niegan. Las preguntas estn basadas en el trabajo de Brett Shavers, agente de polica estadounidense y autor de un libro de reciente publicacin sobre la materia 2. Preguntas para la vctima La vctima, en condicin de perjudicado, objetivo de una agresin o simplemente denunciante, es en la mayor parte de los casos la primera persona con la que la polica o el investigador se encuentran en una intervencin. Como protagonista pasivo necesita el mayor grado de empata y ayuda inmediata. Sus derechos han sido vulnerados, su privacidad violada y su seguridad personal amenazada. Adems su proximidad inmediata a los acontecimientos y la intensidad con la que se ha visto forzada a vivirlos la convierten en punto de partida casi obligado a la hora de iniciar las pesquisas. Con las preguntas que siguen lo que interesa no es comprobar la pericia de la vctima en el manejo de ordenadores, sino esclarecer el papel desempeado por los dispositivos digitales en la comisin del delito. Lo habitual es que la vctima est poco familiarizada con las tecnologas de la informacin. Por este motivo constituye un blanco fcil para acosadores, phishers, pervertidos sexuales y delincuentes informticos. Se trata de averiguar de qu modo una vctima ha sido atacada para asi poder determinar la identidad del agresor. Un anlisis minucioso de las respuestas facilitadas reducir la probabilidad de pasar por alto elementos potenciales de evidencia como mensajes de voz, listados sacados por impresora, pginas de Internet, etc. a) Robos de identidad, intrusiones en cuentas bancarias, etc. Con qu frecuencia utiliza usted el ordenador? Dispone de cortafuegos, antivirus u otro software de proteccin? Ha tenido alguna vez virus en su ordenador? Ha facilitado a alguien su nombre, apellidos o DNI por correo electrnico o en pginas web? En caso afirmativo tenga la amabilidad de responder a lo siguiente: aun conserva esos correos? Ha hablado por telfono con la persona a la que facilit dicha informacin? Posee algn tipo de informacin de contacto sobre esa persona? Ha enviado o recibido faxes con informacin personal? Ha recibido de bancos u otras instituciones correos electrnicos en los que se le solicitaba informacin relativa a sus cuentas bancarias o sus datos para el acceso a travs de Internet (login y contrasea)? En caso afirmativo: facilit usted la informacin que le pedan? Conserva aun esos correos? Alguno de sus conocidos le ha dicho que reciba spam desde la cuenta de correo electrnico de usted? De ser as, indquenos, si lo recuerda: cundo sucedi eso? Cambi usted su contrasea de correo electrnico? Haba tenido anteriormente un percance similar?

Brett Shavers: Placing the Suspect Behind the Keyboard: Using Digital Forensics and Investigative Techniques to Identify Cybercrime Suspects - Syngress; 1 edition (March 12, 2013)

-2-

Le consta que en sus cuentas bancarias haya habido accesos extraos o actividad no autorizada? - En caso afirmativo, lo ha puesto en conocimiento del banco? Alguien ms aparte de usted conoce los datos de acceso a su servicio de banca on line? De ser asi, quin? Y por qu motivo habra de utilizarla? Tienen esas personas permiso para acceder a su cuenta?

Tiene usted un perfil en Facebook, Twitter u otras redes sociales? En cuyo caso intente hacer memoria y tenga a bien responder a lo siguiente: Ha agregado o seguido a personas extraas? Acostumbra a poner on line informacin personal como fecha de nacimiento, dnde vive, etc.?

b) Preguntas para vctimas en casos de amenazas y acoso por correo electrnico, en sitios de Internet y redes sociales Guarda usted todos los mensajes que considera ofensivos? Conoce a las personas que mandan los mensajes ofensivos? Quin cree usted que puede ser la persona que le est acosando? Ha respondido usted a esos mensajes? Dio usted permiso para que publicaran fotografas suyas en Internet? Han sido manipuladas algunas de esas fotografas? Comparte usted sus imgenes personales con alguien? Con qu frecuencia recibe usted mensajes y/o comentarios ofensivos? Sabe si alguien ha publicado algo en Internet hacindose pasar por usted? Ha recibido llamadas telefnicas ofensivas? En tal caso dganos: Dispone de cuenta en algn servicio de telefona IP? Conoce al acosador? Conserva algn mensaje de voz de esa persona? Cuando comenzaron las ofensas o las amenazas? Tiene copias sacadas por impresora, pantallazos o archivos de respaldo de textos ofensivos publicados por otras personas?

Preguntas dirigidas a administradores de sistemas, gestores de redes informticas y/o proveedores de acceso a Internet Despus de la vctima el eslabn ms importante en el proceso de esclarecimiento de los hechos delictivos lo constituye el administrador de sistemas o el responsable de la infraestructura presuntamente utilizada para cometer el delito digital. El contacto con l se consigue mediante rdenes judiciales o mandatos administrativos. En algunos pases, como Estados Unidos, a lo largo de los ltimos aos la legislacin ha introducido modificaciones que descargan a los proveedores de acceso de las responsabilidades civiles derivadas de la obligacin de confidencialidad, por lo que recabar la cooperacin de un ISP o el administrador de sistemas de una gran empresa resulta muy fcil. El riesgo de que los clientes demanden a los ISP por revelar informacin confidencial es inexistente desde que a comienzos del nuevo milenio el legislativo estadounidense estableci instrumentos como la CFAA, la Ley Sarbanes Oxley, la Patriot Act y otras normativas similares en materia de seguridad de datos y

-3-

lucha contra las intrusiones informticas. En Europa tampoco debera haber problemas a la hora de solicitar la colaboracin de un ISP en casos de delitos informticos. Las diferentes configuraciones de sistema, la rotacin de archivos de registro o logs(que hace que los posibles elementos de evidencia puedan perderse en caso de retrasarse la intervencin) y la diversidad de los requisitos legales en cuanto a conservacin de datos correspondientes a las conexiones de los clientes, asi como el acceso a los mismos, confieren al testimonio de los responsables de la infraestructura un lugar prioritario en el orden de volatilidad de la informacin 3. Si se tarda mucho en solicitar la ayuda del ISP o entrevistar a su encargado, dicha informacin puede desaparecer. El cuestionario para administradores tiene como principal objetivo reducir el riesgo de deterioro de la evidencia vinculada a la infraestructura de red.

Qu archivos de registro (logs) se guardan en relacin con la actividad de los clientes o los usuarios de la red? De ser asi; durante cunto tiempo se conservan? Qu informacin contienen esos archivos de registro? Existe un registro de los intentos de acceso fallidos? Existe un registro de las direcciones IP de origen y de destino? Existen copias de respaldo (backup) de los archivos de actividad de los clientes o usuarios de la red? En caso afirmativo: estn disponibles esos backups? Durante cuanto tiempo permanecen archivados antes de ser eliminados o borrados? Disponen las personas en cuestin vctima, agresor, otros- de una cuenta en este sistema? En caso afirmativo, cules son las cuentas de correo electrnico de las personas en cuestin? Existe un registro que documente la trazabilidad en las comunicaciones entre los clientes o usuarios del sistema? De ser asi: es posible poner esa trazabilidad a disposicin de la polica? Dicha trazabilidad incluye las llamadas telefnicas y el correo electrnico? Dnde residen fsicamente los datos correspondientes al cliente en cuestin? Suele pedirse algn tipo de documentacin personal al cliente que solicita la creacin de una cuenta? - De ser as, qu tipo de informacin se exige? Qu informacin conserva este sistema acerca de sus usuarios o clientes? Cules son las direcciones de Internet utilizadas por los usuarios para acceder a sus cuentas? Pueden los clientes compartir archivos desde sus cuentas? Explique cmo hacen los clientes para guardar datos y archivos en sus cuentas. Quedan datos o documentos de algn tipo despus de que una cuenta de usuario haya sido cancelada o eliminada del sistema? Disponen de encriptacin las cuentas de los clientes? Son seguras las conexiones (por ejemplo mediante SSL)? Se guardan los justificantes de pagos y otra documentacin contable?

La volatilidad de la informacin es un concepto utilizado para evaluar, de mayor a menor, el diferente grado de fragilidad de la evidencia potencial capturable en una adquisicin forense. En el primer y ms prioritario nivel estara la informacin contenida en memoria RAM, la cual ha de ser adquirida antes de ser sobreescrita por otros programas o eliminada de manera irrecuperable por un apagado del sistema. La informacin menos voltil es la que queda almacenada en discos duros, soportes de datos extrables y listados de impresora. En una etapa intermedia encontramos los logs del administrador de acceso, que permanecen almacenados en servidores y dispositivos de red, pudiendo perderse por apagado accidental o por una sobreescritura de los archivos de registro al alcanzar estos un tamao mximo, lo cual obliga a borrar las entradas ms antiguas para incluir otras nuevas.

-4-

Pueden bloquear la cuenta de un cliente y mantener guardados todos sus datos en espera mientras tramitamos la orden judicial?

Cuestionario para el sospechoso Es en el interrogatorio del sospechoso donde el investigador hallar las mayores dificultades y donde se har ms patente la necesidad de seguir una estrategia clara y coherente en la bsqueda de informacin. Lo normal es que tanto la vctima como el administrador de sistemas colaboren sin condiciones. Esta buena voluntad no es de esperar en el caso del acusado. La situacin ms ventajosa se da cuando aquel decide cooperar voluntariamente y confiesa; la peor cuando, acogindose a su derecho a guardar silencio, no presta declaracin y rehsa someterse a cuestionarios de cualquier tipo. Entre ambos extremos existe un rango de posibilidades amplio y difcilmente sistematizable. Segn las circunstancias el interrogador se ver obligado a proceder de un modo u otro. En todo momento ha de tener presente que su misin no consiste en poner al descubierto contradicciones en los alegatos del inculpado, sino en obtener informaciones cruzadas que sirvan para ampliar el conocimiento de los hechos y sean contrastables con otros extremos ya conocidos por los trabajos de investigacin precedentes o el testimonio de otras personas. A veces se incluyen preguntas cuya respuesta es conocida para evaluar la disposicin del inculpado a decir la verdad. En una investigacin sobre hechos complejos como la comisin de un delito tecnolgico- normalmente este tipo de preguntas vienen incluidas en el cuestionario, aunque de todos modos no tienen carcter decisivo para la finalidad que se persigue. Tanto si es el encargado de llevar a cabo el interrogatorio l mismo, como si participa en l en calidad de asesor de un agente de polica o psiclogo encargado de estos cometidos, el investigador debe olvidarse de cualquier tipo de especulacin relativa a la veracidad de las respuestas que recibe. No hallndose sujetos al precepto de decir verdad, los acusados contestarn lo que les de la gana. Cuestionar sus respuestas detrae esfuerzo mental de otras tareas de anlisis. Lo nico que el investigador tiene que hacer es escuchar con atencin y tomar nota. La informacin obtenida de un inculpado que consiente en someterse al cuestionario es igualmente valiosa con independencia de que diga la verdad o mienta, omita hechos o los tergiverse del modo que l piense que ms le puede favorecer. La meta del investigador no consiste en emparedar al sospechoso ni en impedir que eluda sus responsabilidades civiles y penales. De eso ya se encargar ms tarde la Administracin de Justicia. Ms bien se trata de obtener una nocin precisa acerca de sus conocimientos informticos y su competencia en el manejo de dispositivos digitales. Esto es necesario para esclarecer los hechos a base de contrastar informacin procedente de diversas fuentes, y tambin para hallar pistas que pudieran conducir a elementos de evidencia o indicios de otras acciones delictivas relacionadas con los hechos y que aun no se conocen. El cuestionario se divide en bloques temticos. La carga de trabajo en trminos de tiempo y de presin psicolgica sobre el sospechoso- puede parecer excesiva, pero obviamente tampoco hay por qu aplicarla en su totalidad. Habr preguntas que en unos casos proceden y en otros no. En la mayor parte de las situaciones el investigador podr hacer una seleccin adecuada. a) Preguntas sobre competencia tecnolgica

Tiene usted formacin en Informtica o Ciencias de la Computacin? En tal caso, podra decirnos dnde y cuando estudi? Describa la carrera, el contenido de sus estudios o la especialidad concreta. Ha sido usted docente, en centros oficiales, academias, entidades privadas o por cuenta propia, de alguna materia relacionada con las nuevas tecnologas? - Dnde y cundo? Alguna vez ha montado su propio ordenador?

-5-

Alguna vez ha cambiado componentes de ordenador? - Cules? Cul es su sistema operativo? Con qu frecuencia utiliza el ordenador? - Das por semana, horas al da. Se maneja usted bien con el ordenador para tareas elementales como navegar por Internet o escribir documentos de texto? Alguna vez ha escrito cdigo o desarrollado programas informticos? Conoce algn lenguaje de programacin? En caso afirmativo, cul. Instala usted mismo el software de su ordenador? - Qu programas? Alguna vez ha reformateado su disco duro? En caso afirmativo: con qu frecuencia? Cundo lo hizo por ltima vez? Por qu razn decidi reformatear el disco duro? Alguna vez ha desfragmentado su disco duro? De ser asi, con qu frecuencia? Cundo lo hizo por ltima vez? Dispone de antivirus, cortafuegos o algn software de proteccin? De ser as, cmo se llama el software?Lo tiene actualizado? Ha tenido alguna vez virus en su ordenador? En tal caso nos gustara saber si limpia usted mismo de virus el ordenador, y si en estos momentos, que usted pueda saber, tiene algn virus. Sabe usted cul es la diferencia entre un virus, un troyano, un gusano y un rootkit? Tiene libros sobre ordenadores o tecnologas de la informacin? - De qu tratan esos libros? Dnde los tiene? Alguna vez ha escrito libros de informtica, artculos tcnicos, tutoriales de empleo de hardware o software u otra documentacin por el estilo? Tiene una pgina web? Un blog, foro, lista de correo? - De ser asi, mencione la direccin en Internet Cundo comenz a trabajar en la web, el foro o la lista de correo? Cul es la temtica de los sitios de Internet en los cuales interviene?

b) Preguntas relativas a borrado seguro y empleo de tcnicas de encriptacin, esteganografa, etc. Este es un apartado crtico del cuestionario, donde el sospechoso mostrar, como es de esperar, sus mayores grados de reticencia. Quiz no sea conveniente insistir, ya que el sospechoso puede ponerse nervioso y pensar que se le quiere llevar a una trampa. Poner nfasis en lo relacionado con el uso de la encriptacin o la esteganografa 4 resulta improductivo para las diligencias y el trabajo del investigador. El sospechoso puede imaginarse que usted est buscando intencionadamente el conflicto con otras partes de su declaracin para suministrar argumentos al fiscal o a la parte contraria. Se recomienda anunciar este bloque de preguntas como cuestin de mero trmite antes de pasar a otras cuestiones relacionadas con la propiedad y el control de dispositivos informticos. Plante las preguntas con naturalidad y evitando en lo posible el modo directo. No utilice rdenes ni interrogantes del tipo: "Dganos esto o lo otro", ni "Por qu hace tal o cual cosa?", sino "Nos puede indicar si alguna vez se ha visto en la circunstancia de aquello o lo de ms all?" Intente crear un ambiente de cordialidad y de confianza. Tenga algn detalle con el sospechoso, como por ejemplo ofrecerle un caf
4

Las tcnicas estenogrficas permiten, mediante el empleo de herramientas de software especiales, camuflar informacin secreta generalmente documentos o archivos de texto- en el interior de un archivo informtico de apariencia inocua, como imgenes digitales, multimedia o video.

-6-

o permitirle que fume un cigarrillo. Si para continuar la investigacin es necesario disponer de unas contraseas -cuentas de correo electrnico, servicios de almacenamiento on line, etc.- que solo el inculpado conoce, pruebe a pedrselas amablemente, de un modo natural y sin vehemencias.

Puede decirnos si utiliza encriptacin para archivos, volmenes u ordenadores enteros? En caso afirmativo, qu tipo de encriptacin? Qu software de encriptacin utiliza? Hay algn motivo en especial para el uso de la encriptacin? Tiene archivos ocultos? - Cmo los oculta? Tiene particiones ocultas? Volmenes ocultos en discos duros internos y/o externos? Cmo los oculta? Dispone de algn volumen oculto dentro de contenedores encriptados (por ejemplo mediante el software TrueCrypt)? Utiliza programas de esteganografa o software de ocultacin de archivos? En caso de ser asi, tenga a bien indicarnos lo siguiente: qu tipo de software?De qu manera y con qu frecuencia utiliza este software? De qu tipo son los archivos que oculta? Quines son las personas que no quiere que los vean? Puedo saber cmo hace para borrar los archivos que ya no necesita? Utiliza la papelera de Windows? Vaca la papelera de Windows? Utiliza herramientas de borrado seguro? - Qu software de borrado seguro utiliza? Con qu frecuencia lo utiliza? Cundo lo utiliz por ltima vez? Alguna vez ha hecho borrado seguro de todo el disco duro? - Cundo? Haba alguna razn especial? Nos puede indicar qu mtodo de borrado seguro us? Nos podra decir cules son sus contraseas? Ha utilizado otras contraseas con anterioridad? - Cules? Hay alguien ms que conozca sus contraseas? - Quin es? Qu contraseas conoce esa persona? Cundo las utiliza? Tiene usted una lista escrita en papel o un archivo informtico en el que figuren sus contraseas? Cul es la informacin de acceso (login + password) a cada uno de los dispositivos informticos de su propiedad?

c) Dispositivos informtico

Es usted propietario de este dispositivo (ordenador, smartphone, PDA, etc.)? En caso afirmativo lo compr? Cmo lo obtuvo? Quin se lo dio? Si no le pertenece, quin es el propietario? Y de paso, hay alguna razn que explique por qu el dispositivo se halla en su poder? Cundo se hizo con l? Tiene usted permiso del propietario? Para qu utiliza usted el dispositivo habitualmente? En qu ubicaciones lo ha utilizado? Domicilio, puesto de trabajo, lugares pblicos?

-7-

Es segura la habitacin en la que se encuentra el dispositivo?- Por ejemplo: est protegida con una cerradura? Quin tiene llaves de esas dependencias? Existe acceso mediante tarjeta? Ha permitido a otras personas el manejo de sus llaves o tarjetas? De ser as, indique nombres, motivo y ocasiones en las que hacen uso de ellas. Alguien ms est autorizado para usar el dispositivo? - Quin? Quin lo us por ltima vez? Con qu frecuencia lo utiliza? Alguien ms conoce los datos de acceso al dispositivo (login+password)? De ser asi, quin? Cul es el login o nombre de usuario de esa persona? Alguien ms utiliza la cuenta de usted? Quin, por qu y en qu ocasiones? Tiene usted otros dispositivos? En caso afirmativo, dnde se encuentran ahora? Ha tenido otros dispositivos con anterioridad? Alguien ms tiene acceso a sus dispositivos? - Quin? Cundo us el dispositivo por ltima vez? Cul fue la ltima vez que alguien utiliz el dispositivo? - Quin fue? Para qu lo us? Dio usted su consentimiento? Tiene usted configurado acceso remoto a su ordenador? En tal caso: indicar detalles de configuracin. Qu software utiliza? Desde dnde accede remotamente a su ordenador? Qu actividad lleva usted a cabo habitualmente cuando se conecta remotamente a su ordenador? Alguien ms se conecta remotamente a su ordenador?- De ser asi, indicar quin y por qu motivos.

d) Otros dispositivos utilizados por el sospechoso Qu otros dispositivos posee usted (ordenadores porttiles, telfonos mviles, discos duros externos, etc.)? Cuntos ordenadores de sobremesa y porttiles posee usted? Tiene usted otros tipos de ordenadores? Dnde estn los otros ordenadores? Para qu los utiliza? Qu es lo que hace con ellos? Recuerda el momento en que utiliz por ltima vez cada uno de esos dispositivos? Alguien ms tiene acceso a ellos? - Quin? Cundo o en qu situaciones? Cuntos telfonos mviles posee usted? - Dnde estn? Cul es su compaa telefnica? Ha hecho fotos o videos con esos telfonos? En tal caso dnde tiene guardadas las imgenes y los videos? Utiliza el ordenador de su puesto de trabajo para fines personales? De cuntos ordenadores dispone para uso personal? Tiene asignado un ordenador en su puesto de trabajo?

-8-

Ha descargado archivos para uso personal en su ordenador del trabajo? De qu otro modo utiliza usted los ordenadores del trabajo para fines particulares? Alguno de esos dispositivos del trabajo solicita contrasea para ser utilizado? - Cules son esas contraseas? Utiliza sus ordenadores del trabajo para actividades lucrativas propias?

e) Software utilizado por el sospechoso

Qu tipo de programas utiliza usted? Suites ofimticas, MS-Office, Photoshop, programas de contabilidad, juegos, herramientas de red, etc? Suele descargar programas de Internet? - De qu tipo? Alguna vez ha modificado el cdigo o la configuracin de un programa? Ha utilizado software pirateado, crackeado o warez? - Cul? Lo cracke usted mismo? Cmo? Comparti copias del software crackeado? Ha instalado el software XYZW? De ser asi, Cundo lo utiliz por ltima vez? Cmo y para qu lo utiliza? Cmo lo consigui? Ha cambiado la configuracin por defecto?

f) Uso de Internet por el sospechoso

Dispone de acceso a Internet en su domicilio? - Indique su ISP, desde cundo lo tiene y si ha tenido con anterioridad otros proveedores de acceso a Internet Tiene WiFi? - Su WiFI es abierto o protegido? Qu tipo de proteccin utiliza, WEP, WPA...? Nos puede decir el login y la contrasea (del punto de acceso inalmbrico)? Hay alguna otra persona que tenga acceso a su conexin de Internet? - Quin? Cmo y para qu utiliza esa persona su conexin de Internet? Cundo lo hizo por ltima vez? Dispone de conexiones alternativas a Internet (una segunda cuenta, otra tecnologa de acceso como cable, PLC, satlite, redes mviles, phonera? En caso afirmativo, Dnde? Con qu frecuencia las utiliza? Por qu razn dispone de acceso alternativo a Internet? Qu navegadores utiliza? Microsoft Internet Explorer, Firefox, Chrome, etc.? Borra el historial de Internet? - Cmo? Con qu frecuencia? Por qu? Utiliza algn mtodo para ocultar su IP o algn tipo de software para asegurar su anonimato? Instala usted mismo ese tipo de programas? Qu motores de bsqueda (Google, Yahoo, Bing, Shodan, etc.) utiliza habitualmente? Guarda los enlaces o aade pginas al men de marcadores? En tal caso, qu pginas marca habitualmente como favoritas? Cules ha marcado ltimamente? Qu trminos de bsqueda introduce habitualmente en los motores de bsqueda? Ha buscado algn trmino en especial de un tiempo a esta parte? Acostumbra a borrar el historial de Internet despus de terminar su sesin? Recuerda cul fue la ltima vez que borr el historial de navegacin?

-9-

Qu es lo que suele buscar con ms frecuencia en Internet? Documentos, imgenes, PowerPoints, imgenes, videos...? Descarga ese material a su ordenador? Realiza compras por Internet? En caso afirmativo, Qu tipo de compras? Qu productos o servicios? Tiene cuentas en eBay, Amazon u otros sitios de ventas o de subastas on line? Tiene cuentas en PayPal u otros servicios de pagos on line? En caso afirmativo, estara dispuesto a decirnos cul es su login y su contrasea? Ha utilizado alguna vez redes privadas virtuales? Tiene una red privada virtual para comunicar remotamente con su ordenador a travs de Internet? En tal caso, estara dispuesto a darnos los parmetros de configuracin y las contraseas de acceso? Ha utilizado alguna vez Tor o un sistema similar de navegacin annima por Internet? - En caso afirmativo, Podra indicarnos cul fue la ltima vez que accedi a Internet a travs de la red Tor, y cules eran las pginas a las que quera conectarse?

g) Almacenamiento de archivos

Guarda archivos en el disco duro de su ordenador? En caso afirmativo, podra indicarnos en que carpetas o ubicaciones? Organiza los archivos guardados? Cmo los organiza? Qu tipo de archivos guarda? Hace copias de seguridad de su disco duro? En tal caso, lo hace simplemente copindolos o utiliza para ello un software especial? De ser asi, qu tipo de software utiliza para hacer backups? Encripta los backups? Est dispuesto a revelarnos las contraseas? Alguien ms tiene acceso a sus backups? Dnde podemos encontrar esos backups? Suele utilizar discos externos o llaves USB? - De ser asi, Cuntos de estos dispositivos posee? Qu es exactamente lo que guarda en ellos? Estara dispuesto a revelarnos su paradero? Utiliza servicios de almacenamiento de archivos en la nube? En caso afirmativo, qu guarda exactamente all? Estara dispuesto a revelarnos los identificadores de acceso y los cdigos de usuario? Y tambin las claves en caso de que dichos archivos estn encriptados? Comparte estos archivos guardados en la nube con otros usuarios? En tal caso, estara dispuesto a decirnos quines son esas personas? Sabe de alguien ms que tenga acceso a su area de almacenamiento de archivos en la nube? Quin, por ejemplo? Alguien ms ha subido archivos a su area de almacenamiento en la nube? En caso afirmativo, quin, cuando y cul fue la ltima vez que lo hizo?

h) Redes P2P y archivos compartidos

- 10 -

Utiliza algn tipo de software para compartir archivos? E-Mule, eDonkey, LimeWire? En caso afirmativo, cul? Con qu frecuencia lo utiliza? Busca archivos con este software? Los comparte tambin? Tiene el software instalado con las opciones por defecto o ha hecho algn cambio en la configuracin? En tal caso, indquenos qu cambios (carpetas Incoming, servidores de conexin, trackers, puertos, nmero de conexiones simultaneas, etc.) Ha oido hablar del protocolo Bittorrent? Utiliza clientes de software para este protocolo? Alguna vez ha construido un torrent? Qu tipo de archivos descarga o comparte? Tiene software de descargas del tipo descrito con anterioridad instalado en los ordenadores del trabajo? Conoce los riesgos para la privacidad vinculados a una configuracin defectuosa de los programas P2P? Entiende lo que significara, por ejemplo, tener la unidad C:\ de un ordenador configurada como carpeta Incoming y de archivos compartidos? Conoce las implicaciones legales que tiene la descarga de archivos sujetos a derechos de propiedad intelectual?

i) Chat, foros, telefona VoIP Las preguntas relacionadas con la actividad social en Internet resultan tiles no solo para hacerse idea del perfil y el grado de desenvolvimiento del sospechoso en la web 2.0; tambin pueden ser tiles para verificar coartadas y localizar a otras personas relacionadas con los hechos como cmplices, testigos, observadores pasivos, vctimas u otros delincuentes.

Chatea usted? - En caso afirmativo, qu cliente IRC utiliza? Utiliza algn otro sistema de conversaciones on line? Est dispuesto a revelarnos su nombre de usuario y sus contraseas? Le importa decirnos cmo se le ocurri elegir ese nombre de usuario? Con qu frecuencia chatea? Con quin lo hace? Cul fue la ltima vez que estableci contacto con alguien en el chat? Recuerda quin era esa persona? Conoce usted su identidad real? Recuerda de qu estuvieron hablando? Intercambiaron archivos mientras chateaban? - En caso afirmativo, qu tipo de archivos? Con quin intercambi archivos? Qu le mand usted a la otra persona y qu le mand ella a usted? Participa en juegos on line? En caso afirmativo, indique cules. Juega con menores on line?

- 11 -

Se ha encontrado alguna vez en persona con alguno de sus contrincantes o con alguien que hubiera conocido en los juegos on line? Tiene cuenta en algn servicio de telefona VoIP? Por ejemplo Skype...? En caso de ser as, cules son sus identificadores y sus contraseas de acceso? Ha tenido otras cuentas de este tipo en el pasado? Identificadores y contraseas. Tienen otras personas acceso a sus cuentas VoIP? En tal caso, indicar quines son, con qu frecuencia se conectan y cul fue la ltima vez que lo hicieron. Frecuenta usted foros, grupos de news o hilos de comentarios en blogs? Si es asi, podra indicarnos detalles? Escribe comentarios o deja mensajes? Sobre qu temas? Con qu frecuencia? Cul fue la ltima vez? Comparte archivos en esos grupos? Lleva a cabo algn tipo de actividad en Facebook que no tenga que ver con la de su perfil personal? Asume otras identidades? Participa en conversaciones? Se relaciona con alguien en las redes sociales? Frecuenta sitios de contactos? Tiene cuentas en alguno de estos sitios? En tal caso, estara dispuesta a indicarnos cul es?

k) Pederastia y pornografa infantil Cuando le digan que ha de ponerse por primera vez frente a un pederasta, acosador infantil o alguien acusado de traficar con pornografa infantil en Internet, tal vez su primera impresin sea la de que se las va a ver con una especie de monstruo, o que tales entrevistas deberan ser realizadas por psiclogos muy experimentados en el tema. Esa no suele ser la situacin que se da con mayor frecuencia. Leyendo lo publicado hasta la fecha sobre psicologa de pederastas y agresores sexuales, llama la atencin el que la mayor parte de los autores describan al pedfilo como una persona en apariencia normal, bien situado, de aspecto inofensivo y pacfico, conformista y sin antecedentes penales. En el supuesto de que el investigador se vea obligado a interrogar a un sospechoso de esta clase, o a prestar asistencia a los agentes de polica que tengan que hacerlo, d por hecho que no se encontrar con escenas extremas, sino ms bien confundido ante una versin privada, en pantuflas y batn de andar por casa, pero no por ello menos inquietante, de eso que Hannah Arendt llamaba la banalidad del mal. Quin podra decir que un individuo como el que tiene delante es un acosador o alguien a quien los cuerpos de seguridad del estado sorprendieron colgando en Internet fotos con violaciones de bebs? Si no se trata de un error policial o de piratas que invadieron su ordenador con un troyano para instalar un repositorio de warez y pornografa infantil, tiene todo el aspecto de no ser ms que un pobre hombre 5 enfermo y necesitado de tratamiento. Pero, un monstruo? un malvado? No lo parece en absoluto. No hay que sobrevalorar las apariencias. Antes de acudir al interrogatorio es aconsejable que el investigador se baje de Internet algn texto informativo autorizado sobre la personalidad y psicologa de este tipo de criminales6 y lo lea para darse cuenta de lo complicado que puede ser el tema. Las perspectivas de obtener informacin no parecen del todo malas. La personalidad de los pederastas est muy estudiada y no resulta difcil, al menos para un psiclogo experimentado, saber cundo mienten. Tampoco hay que esperar mucha resistencia. Un hacker chino se siente moralmente respaldado por su patriotismo y sus convicciones polticas; un falsificador de tarjetas o una mula resiste por lealtad -o miedo- a la banda de delincuentes informticos para la cual trabaja. Un defraudador de impuestos dar la cara todava con mayor insolencia porque sabe que lo que tiene el
5

Entindase lo de hombre en sentido genrico, porque tambin hay mujeres involucradas en casos de pederastia y pornografa infantil. 6 Por ejemplo, Javier Cmara: Perfil del pederasta, Pornografa infantil: Cuanto ms consumes mayor es el deseo que se genera" El Imparcial, 5 de mayo de 2013 (Disponible en Internet: http://www.fundacionhumanae.org/doc/pederasta.pdf)

- 12 -

Ministerio Fiscal no es suficiente para iniciar acciones con perspectivas suficientes de xito (de lo contrario ya estara sentado en el banquillo). Pero el pederasta est solo; sabe que lo han excluido de la comunidad, es un apestado y nadie mover un dedo por l. No piense sin embargo que son los sentimientos de culpabilidad lo que le derrota, pues este tipo de criminales son incapaces de tenerlos. Al final el pederasta solo es vencido por la presin de un entorno de tolerancia cero.

Sabe usted lo que es la pornografa infantil o la pederastia en su caso- y por qu est considerada delito? Ha visto antes de ahora pornografa infantil? En caso afirmativo: cundo fue la primera vez? Con qu frecuencia la ha consumido? La sigue consumiendo en la actualidad? En qu circunstancias ve usted pornografa infantil? Cmo sabe que es pornografa infantil? Ha realizado bsquedas de pornografa infantil on line? Qu buscador de Internet utilizaba? Qu trminos de bsqueda introduca? Ha encontrado alguna vez pornografa infantil en Internet? Ha descargado alguna vez las imgenes halladas en Internet? Guardaba las imgenes en un disco duro o cualquier otro soporte de datos? Ha subido alguna vez pornografa infantil a Internet? En alguna ocasin se ha servido de programas P2P para acceder a archivos de pornografa infantil? Ha descargado pornografa infantil mediante software P2P? Ha compartido pornografa infantil a travs de software P2P? Alguna vez ha encontrado pornografa infantil en Internet de manera casual? La descarg al disco duro? Borr alguno de esos archivos? Comparti alguno de esos archivos? Hay pornografa infantil en su ordenador? En tal caso, en qu carpeta la tiene guardada? Cmo llegaron all los archivos? Describa el tipo y aspecto de la pornografa infantil que hay en ese ordenador. Qu formatos grficos utiliza: JPG, AVI...? Ha cambiado el nombre de alguno de esos archivos? Acostumbra a organizar los archivos? Por grupos, edades, tipos de acto? Alguna vez ha copiado pornografa infantil a CD-ROM, llaves USB, discos duros externos o soportes de datos de cualquier otra clase? Alguna vez ha eliminado pornografa infantil de su ordenador? Puede decirnos el nmero total de imgenes o videos que podra tener?

- 13 -

Alguna vez ha enviado o recibido archivos de pornografa infantil como adjuntos en el correo electrnico? A quin se los envi o de quin los recibi? Puede decirnos la fecha? De qu forma intercambia, vende o trafica con pornografa infantil? Ha recibido alguna vez pornografa infantil en forma de correo electrnico no solicitado? Ha sacado alguna vez por impresora archivos de pornografa infantil? - En caso afirmativo, aun tiene las fotos? Dnde podramos encontrarlas? Cundo las sac por impresora? Qu impresora utiliz? Ha enviado a alguien esas fotografas? - Con quin las ha compartido? Alguna vez ha copiado o escaneado fotografas de porno con menores? - Qu fotocopiadora o escaner ha utilizado para ello? Cundo hizo las copias? Tiene fotografas de nios que no sean pornogrficas? Algn miembro de su familia sabe que usted tiene pornografa infantil? - En caso afirmativo, quin? Tambin tiene pornografa infantil esa persona? Han compartido pornografa infantil esa o esas personas y usted? Qu edad cree que tienen los nios que salen en las imgenes? Alguna vez ha hecho fotografas de nios vestidos? Alguna vez ha hecho fotografas de nios desnudos? Alguna vez ha hecho fotografas de nios en actos sexuales? Quines son esos nios y dnde los conoci? Dnde se les puede encontrar ahora? Cmo conoci a los nios? Hubo contacto fsico entre ellos y usted? Alguna vez ha establecido contacto con menores a travs de Internet? Tuvo lugar la comunicacin por correo electrnico, chat, e-mail...? Puede decirnos qu correo electrnico, cuenta IRC o perfil de Facebook utilizaba? Envi fotos al menor? Cmo se hace llamar el menor en Internet? Cmo se llama el menor en la realidad? Qu edad tena? Qu sucedi durante el primer encuentro y los otros posteriores? Tuvo que viajar a mucha distancia? Le llev algn regalo?

- 14 -

Mantuvo relaciones sexuales con el menor? Conoce a alguien que haya tomado fotografas de menores realizando actos sexuales? Ha tenido ocasin de ver alguna de esas fotografas o alguno de esos videos? Quin tom las imgenes o los videos? Las distribua de algn modo? - Cmo? Sabe si se encontr con los menores? En caso afirmativo, cundo y dnde? Tiene nocin de dnde pueden estar ahora esos nios? Tiene fantasas sexuales con nios cuando ve esas fotos? Le excita? Conoce las implicaciones legales que tienen la posesin y el trfico de pornografa infantil? Conoce algo sobre las penas prescritas por la ley para actos de pederastia y abuso infantil? Sabe por qu ha sido detenido y por qu se le est interrogando? Alguna otra vez ha tenido que responder por acusaciones del mismo tipo que las que en la actualidad se plantean contra usted? Conoce a alguien que haya tenido que responder por acusaciones como la que en la actualidad se plantea contra usted. Conoce a las vctimas? Ha sido acusado con anterioridad de este mismo tipo de delito? Aqu o en el extranjero? Alguna vez ha sido acusado de delitos de otro tipo?

Conclusiones A quien posee un martillo todos los problemas le parecen clavos. Un grave riesgo metodolgico de la investigacin informtica forense reside en que, confiados en la potencia y sofisticacin de los mtodos de adquisicin y anlisis de datos mediante herramientas de software, nos sintamos impulsados a extrapolar la fiabilidad de los mismos ms all del mbito definido por las limitaciones del mtodo. La pericia y el arte del investigador, como se ha dicho al principio, solo llegan hasta el teclado del ordenador. Cuando est presente en un interrogatorio o en una toma de declaracin no debe perder de vista el hecho de que el individuo que tiene delante no forma parte del sistema informtico investigado. Usted no le ha visto manejar el ratn ni escribir los correos comprometedores. Basndose en lo que sabe por el anlisis de los elementos de evidencia adquiridos por las herramientas forenses habituales, sern muy contadas las ocasiones en las que resulte posible determinar con certeza la autora de la accin criminal sin disponer de otras informaciones procedentes de mtodos de investigacin convencionales. El cometido del investigador, en todo lo que queda fuera del campo de actuacin de sus herramientas de hardware y de software, consiste en ayudar a las fuerzas del orden a obtener informacin que permita a la autoridad judicial decidir acerca de la existencia o no de actos delictivos cometidos de manera intencionada y culpable. En general los mtodos de investigacin, tanto los convencionales de la polica como los tecnolgicos del informtico forense, son lo bastante eficaces para resolver la mayor parte de los casos. Pero en ocasiones, afortunadamente con frecuencia cada vez menor, se cometen errores de atribucin con graves consecuencias en trminos de molestias personales, prdida de reputacin de un individuo inocente e incluso la necesidad de desarraigarse por completo para a comenzar una vida nueva en un lugar donde nadie le conozca. La realizacin de entrevistas adaptadas a la investigacin de delitos

- 15 -

tecnolgicos persigue prevenir el problema de las falsas atribuciones a la vez que una correcta conclusin de las diligencias judiciales y la labor investigadora alcanzando objetivos concretos: conseguir informacin contextual til para la investigacin, cobertura de posibles lagunas y sistematizacin de conocimientos relacionados con el hecho delictivo.

- 16 -