Está en la página 1de 183

WWW.AUDITOOL.

ORG

AUDITORÍA FORENSE
DIGITAL

INFORMÁTICA FORENSE
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Auditoría Forense Digital


Informática Forense

Libro de Auditoría Forense Digital


con Énfasis en la Informática Forense

2018

AUDITOOL
Red Global de Conocimientos en Auditoría y Control Interno

Este material hace parte de un curso que viene con una presentación que se compone
de láminas y audios en formato de curso virtual. Para más información ingrese al sitio
www.auditool.org como socio. Auditool tiene los derechos de uso exclusivos de este
material. Puede ponerse en contacto con el autor para preguntas en el mismo portal
de Auditool.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 2
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INTRODUCCIÓN

Curso de auditoría forense digital, un completo programa diseñado para llevar los
conocimientos en auditoría al siguiente nivel y tomar ventaja de todas las oportunidades
en su carrera como auditor expandiendo los conocimientos en el área forense digital
aportando a su equipo de trabajo los skills necesarios para dirigir investigaciones de
auditoría que requieran llevar evidencia de manera correcta en procesos legales civiles y
penales.

Este programa de estudio provee a los estudiantes del conocimiento esencial, necesario
y requerido para la toma de decisiones en el ámbito forense digital en cualquier industria
de la economía, en investigaciones de fraude ocupacional e informático.

Los estudiantes aprenderán a estructurar un proyecto forense basados en un caso de


estudio legítimo y real, navegando por cada una de sus fases del tal manera que cada
uno de los conocimientos adquiridos correspondan a aspectos que se puedan y deban
aplicar en un proyecto real.

Después de completar el curso, los estudiantes serán capaces de:

1. Discutir en detalle el origen y naturaleza de las necesidades en auditoría forense


digital en una investigación de fraude ocupacional o ciber-crímen.
2. Entender y aplicar los conceptos forenses a una investigación por fraude
ocupacional, ciber-crímen o auditoría.
3. Diferenciar claramente las diferencias entre elemento material probatorio,
evidencia física y prueba.
4. Decidir qué metodología forense utilizar para abordar un proyecto que requiera
llevar evidencia física o digital en un proceso legal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 3
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Comprender cada una de las fases de investigación forense y cómo se pueden


aplicar dependiendo del caso a tratar.
6. Entender cuáles pueden ser las dificultades que un perito forense enfrenta en la
actualidad debido al avance de la tecnología.
7. Identificar las responsabilidades, roles y funciones necesarias de las personas
en una auditoría forense digital.
8. Entender el rol de un testigo experto, testigo regular y perito forense en una
auditoría forense digital.
9. Comprender cuáles son las limitantes y precauciones que se deben tener en
cuenta al momento del decomiso de evidencia en el sector público, privado y
mixto.
10. Diseñar la estrategia de gestión de incidentes por fraudes ocupacionales y
cibernéticos y comprender en qué momento se inicia la auditoría forense.
11. Entender el rol de un notario, contador, secretario público y revisor fiscal en el
acto de fé pública al momento de realizar el decomiso de evidencia.
12. Aprender a llevar y dirigir un adecuado proceso de cadena de custodia y saber
dónde comienza y cómo finaliza.
13. Conocer qué técnicas de desacreditación están usando los abogados de la
contraparte para con el testigo y la evidencia en un proceso legal.
14. Identificar las herramientas de software y hardware que los peritos forenses usan
para llevar a cabo los procesos de adquisición, procesamiento y análisis de
evidencia.
15. Auditar un proyecto forense, evaluar si se ha llevado a cabo con la metodología
y herramientas adecuadas.
16. Determinar si el proceso de cadena de custodia en el decomiso de evidencia
es/fue llevado a cabo de la manera correcta respetando sus principios.
17. Atender una escena de crimen como testigo y como consejero de buenas
prácticas en el manejo de situaciones inesperadas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 4
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PÚBLICO OBJETIVO

Este curso tiene como público objetivo auditores, contadores e ingenieros y pretende
dotarlos de los conocimientos necesarios para entender el trabajo de los peritos forenses,
dirigir esta clase proyectos, tomar decisiones y acompañar todo el proceso aportando las
mejores prácticas para que los resultados sean los esperados por la organización.

POR QUÉ TOMAR ESTE CURSO

El programa de estudio tiene contenido de talla internacional, ha sido construido basado


en la experiencia de su creador, quien ha tomado cursos de certificación internacionales
teórico-prácticos y ha apoyado a las compañías en el desarrollo de protocolos forenses,
en la gestión de incidentes y ha entrenado a testigos expertos para rendir testimonio en
la corte. Debemos crear consciencia de la importancia que tiene este conocimiento en el
área de auditoría debido a que muchos de los procesos forenses fallan hoy en día por
vacíos, desconocimiento y errores de procedimientos, que con la ayuda de este curso se
podrán superar y generar confianza en la organización para llevarse a cabo de la mejor
manera.

Con este material no solo se podrán llevar a cabo proyectos forenses, sino que también
se tendrán los conocimientos suficientes para auditarlos en el caso de que el rol del
estudiante sea estrictamente de auditoría.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 5
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CONTENIDO DEL CURSO

Capítulo 1: abordaje del curso .................................................................................. 11


Contenido del curso ................................................................................................... 13
Caso de estudio de auditoría forense.................................................................. 15
Licitación................................................................................................................. 16
Enfoque preventivo................................................................................................ 17
Etapas del enfoque preventivo ............................................................................. 19
Enfoque detectivo .................................................................................................. 21
Fases de la auditoría ............................................................................................. 22
Alcance de la auditoría.......................................................................................... 24
Recursos humanos................................................................................................ 25
Entregables ............................................................................................................ 26
Conclusiones.......................................................................................................... 29
Capítulo 2: estadísticas ............................................................................................. 31
La crisis................................................................................................................... 31
Temáticas forenses ............................................................................................... 33
Tipos de profesionales .......................................................................................... 35
Formación de los profesionales ........................................................................... 36
Leyes ...................................................................................................................... 37
Herramientas forenses .......................................................................................... 39
Software forense.................................................................................................... 42
Capítulo 3: metodologías de investigación .............................................................. 44
Modelos de investigación...................................................................................... 44
Proceso investigativo de informática forense ..................................................... 45
Taller de investigación forense digital ................................................................. 46
Modelo forense digital abstracto .......................................................................... 46
Proceso integrado de investigación digital.......................................................... 48
Proceso mejorado de investigación digital.......................................................... 49
Modelo de investigación forense en campo........................................................ 50
Modelo malasio de la investigación forense ....................................................... 51
Modelo de investigación de la escena del crimen .............................................. 51
Investigación digital punto a punto....................................................................... 52
Modelo extendido para la investigación .............................................................. 53

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 6
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Marco de trabajo jerárquico basado en objetos ................................................. 54


Marco de trabajo para la investigación forense .................................................. 55
Modelo común para el análisis forense ............................................................... 55
Proceso de análisis dual de los datos ................................................................. 56
Modelo genérico para investigaciones en la red ................................................ 57
Modelo sistemático de investigación forense ..................................................... 58
Capítulo 4: etapas de un proyecto forense digital .................................................. 59
Concientización...................................................................................................... 60
Planeación del proceso forense ........................................................................... 61
Análisis preliminar al proceso forense ................................................................. 62
Acceso a la evidencia digital ................................................................................ 63
Autorización para el acceso a los activos ........................................................... 64
Aproximación estratégica...................................................................................... 66
Identificación de activos digitales y físicos.......................................................... 67
Adquisición de la evidencia digital ....................................................................... 67
Reconocimiento de los elementos ....................................................................... 69
Individualización de los activos ............................................................................ 70
Recolección de evidencia digital .......................................................................... 71
Preservación de la evidencia digital .................................................................... 72
Transporte y almacenamiento de la evidencia ................................................... 73
Creación de la hipótesis de la investigación ....................................................... 75
Investigación de la hipótesis................................................................................. 76
Revisión de la evidencia digital ............................................................................ 78
Examinación de la evidencia digital ..................................................................... 79
Búsqueda e identificación de la evidencia digital ............................................... 80
Análisis de los datos de la evidencia ................................................................... 81
Evaluación de los datos adquiridos ..................................................................... 81
Admisión de la evidencia digital ........................................................................... 82
Almacenamiento histórico de datos ..................................................................... 85
Investigación física del crimen ............................................................................. 86
Investigación digital del crimen ............................................................................ 87
Despliegue de herramientas de software............................................................ 87
Detección de eventos............................................................................................ 88
Diseminación de información ............................................................................... 89
Dinamitación de datos........................................................................................... 90

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 7
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Respuesta al incidente .......................................................................................... 90


Cierre del incidente................................................................................................ 92
Investigación en internet ....................................................................................... 93
Notificación de eventos a terceros ....................................................................... 94
Análisis posterior al proceso forense................................................................... 95
Preparación de la evidencia ................................................................................. 96
Presentación de la evidencia digital .................................................................... 96
Prueba y defensa de la evidencia digital............................................................. 98
Reporte forense ..................................................................................................... 99
Reconstrucción de la evidencia dañada............................................................ 102
Retorno de la evidencia ...................................................................................... 103
Trazabilidad de eventos ...................................................................................... 104
Análisis cronológico de la línea de tiempo ........................................................ 105
Uso del perfil de usuario y estadísticas ............................................................. 106
Análisis del caso específico................................................................................ 108
Capitulo 5: decomiso de evidencia .................................................................... 110
En el sector privado............................................................................................. 111
En el sector público ............................................................................................. 113
En empresas mixtas, publicas y privadas ......................................................... 114
El papel de los organismos de vigilancia .......................................................... 114
Ordenes de allanamiento.................................................................................... 115
Fé pública en el acto de decomiso .................................................................... 116
El papel del notario .............................................................................................. 117
Acta de presencia ................................................................................................ 119
Acta de depósito .................................................................................................. 120
El papel del contador y revisor fiscal ................................................................. 121
El papel de un funcionario público ..................................................................... 121
Procedimiento de decomiso ............................................................................... 122
Resistencia corporativa....................................................................................... 124
Uso de asesores externos en el decomiso ....................................................... 124
Capitulo 6: cadena de custodia .............................................................................. 126
Cuando comienza................................................................................................ 126
Elemento material probatorio ............................................................................. 127
Evidencia física .................................................................................................... 128
El concepto de prueba ........................................................................................ 128

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 8
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Evidencia física y emp en un juicio .................................................................... 129


Principios de la cadena de custodia .................................................................. 129
Legalidad y autenticidad ..................................................................................... 130
Quién puede custodiar la evidencia................................................................... 131
Reglas de la cadena de custodia ....................................................................... 133
Procedimiento de cadena de custodia .............................................................. 134
Capitulo 7: gestión de incidentes............................................................................ 136
Tipos de incidentes.............................................................................................. 136
Incidentes informáticos ....................................................................................... 137
Incidentes con fraudes ocupacionales .............................................................. 139
Procedimiento de atención de incidentes ......................................................... 139
Informática forense en la atención de incidentes ............................................. 141
Terceros que deben estar involucrados ............................................................ 142
Capitulo 8: testigo experto y perito forense ........................................................... 144
Testigo experto .................................................................................................... 144
Testigo regular ..................................................................................................... 145
Perito forense informático ................................................................................... 145
Investigador del fraude........................................................................................ 146
Presentación de los hechos ............................................................................... 147
Reportes forenses ............................................................................................... 148
Informe ejecutivo ................................................................................................. 149
Informe técnico .................................................................................................... 150
Informe con conclusiones y opiniones............................................................... 151
Descripción de hechos fundamentales ............................................................. 152
Procedimientos y técnicas .................................................................................. 152
Qué debe incluir un informe forense.................................................................. 153
Capitulo 9: interrogatorios ....................................................................................... 154
Interrogatorio al testigo experto ......................................................................... 155
Interrogatorio al testigo regular .......................................................................... 157
Interrogatorio al perito forense ........................................................................... 157
Cómo se desacredita un testigo experto........................................................... 159
Capitulo 10: caso práctico ....................................................................................... 162
Presentación de la empresa ............................................................................... 162
Descripción del presunto fraude ........................................................................ 163
Gestión del incidente de fraude ......................................................................... 163

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 9
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Definición del equipo que atenderá el proceso ................................................ 165


Cadena de custodia ............................................................................................ 167
Decomiso de evidencia ....................................................................................... 168
Aplicación de la informática forense .................................................................. 173
Presentación en caso legal................................................................................. 174
Testificación ......................................................................................................... 175
Cierre del proceso ............................................................................................... 177
Capitulo 11: reflexiones finales ............................................................................... 179
Informática forense .............................................................................................. 179
Modelos de investigación.................................................................................... 179
Etapas de la investigación forense .................................................................... 180
Decomiso de evidencia ....................................................................................... 180
Cadena de custodia ............................................................................................ 181
Gestión de incidentes.......................................................................................... 182
Testigo experto .................................................................................................... 182
Gracias ...................................................................................................................... 183

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 10
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPÍTULO 1: ABORDAJE DEL CURSO

La industria criminal está siendo más creativa, cada día se están observando nuevos y
desconocidos patrones que están usando los perpetradores para cometer fraude y se
está dificultando mucho más detectar y documentar el modus operandi para desarrollar
la hipótesis del caso y llevarlo a un proceso legal.

Los perpetradores están usando los computadores como medio y como fin para cometer
fraude ocupacional, no están pudiendo ser judicializados debido a la carencia de
evidencias digitales que puedan ser presentadas como elemento material probatorio ante
los jueces para dictar sentencia y reparar a las víctimas.

Expertos en informática forense están siendo contratados por los defensores de los
perpetradores para desvirtuar la presentación de las evidencias, los procesos, los
testigos, las metodologías y la teoría. En este curso se entenderá por qué está
sucediendo esto y qué se debe hacer para estar un paso adelante de ellos, llevando a
cabo todo el proceso de auditoría forense digital en debida forma.

Los estudiantes aprenderán a estructurar un proyecto forense basados en un caso de


estudio legítimo y real, navegando por cada una de sus fases del tal manera que cada
uno de los conocimientos adquiridos correspondan a aspectos que se puedan y deban
aplicar en un proyecto real.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 11
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Después de completar el curso, los estudiantes serán capaces de:

1. Discutir en detalle el origen y naturaleza de las necesidades en auditoría forense


digital en una investigación de fraude ocupacional o ciber-crímen.
2. Entender y aplicar los conceptos forenses a una investigación por fraude
ocupacional, ciber-crímen o auditoría.
3. Diferenciar claramente las diferencias entre elemento material probatorio,
evidencia física y prueba.
4. Decidir qué metodología forense utilizar para abordar un proyecto que requiera
llevar evidencia física o digital en un proceso legal.
5. Comprender cada una de las fases de investigación forense y cómo se pueden
aplicar dependiendo del caso a tratar.
6. Entender cuáles pueden ser las dificultades que un perito forense enfrenta en la
actualidad debido al avance de la tecnología.
7. Identificar las responsabilidades, roles y funciones necesarias de las personas
en una auditoría forense digital.
8. Entender el rol de un testigo experto, testigo regular y perito forense en una
auditoría forense digital.
9. Comprender cuáles son las limitantes y precauciones que se deben tener en
cuenta al momento del decomiso de evidencia en el sector público, privado y
mixto.
10. Diseñar la estrategia de gestión de incidentes por fraudes ocupacionales y
cibernéticos y comprender en qué momento se inicia la auditoría forense.
11. Entender el rol de un notario, contador, secretario público y revisor fiscal en el
acto de fé pública al momento de realizar el decomiso de evidencia.
12. Aprender a llevar y dirigir un adecuado proceso de cadena de custodia y saber
dónde comienza y cómo finaliza.
13. Conocer qué técnicas de desacreditación están usando los abogados de la
contraparte para con el testigo y la evidencia en un proceso legal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 12
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

14. Identificar las herramientas de software y hardware que los peritos forenses usan
para llevar a cabo los procesos de adquisición, procesamiento y análisis de
evidencia.
15. Auditar un proyecto forense, evaluar si se ha llevado a cabo con la metodología
y herramientas adecuadas.
16. Determinar si el proceso de cadena de custodia en el decomiso de evidencia
es/fue llevado a cabo de la manera correcta respetando sus principios.
17. Atender una escena de crimen como testigo y como consejero de buenas
prácticas en el manejo de situaciones inesperadas.

El curso tiene como público objetivo auditores, contadores e ingenieros y pretende


dotarlos de los conocimientos necesarios para entender el trabajo de los peritos forenses,
dirigir esa clase proyectos, tomar decisiones y acompañar todo el proceso aportando las
mejores prácticas para que los resultados sean los esperados por la organización.

CONTENIDO DEL CURSO

El curso abarcará en profundidad la temática de auditoría forense digital y tendrá el


siguiente contenido:

1. Se iniciará con la presentación de un caso de estudio donde se llevará a cabo la revisión


de un contrato o licitación de auditoría forense financiera, donde se mostrará en qué
punto se deben aplicar los conocimientos y la teoría forense digital para el decomiso y
obtención de evidencia.

2. Seguirá la presentación de estadísticas en el mundo del análisis forense digital donde


se navegará por cada una de las épocas en donde se han aplicado las metodologías
forenses, analizando ventajas y desventajas según el avance de la tecnología.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 13
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Se hablará de los diferentes profesionales que existen en la materia, de los temas de


mayor interés, herramientas más usadas y leyes de diferentes países que pueden
usarse como base para dar entendimiento a las partes en un proceso legal.

4. Continuará el capítulo de metodologías donde se explicarán 16 modelos de


investigación forense que se llevan a cabo dependiendo del caso y la auditoría
presentada. Cada uno de estos modelos tiene diferentes etapas, sumando en total 46,
que se analizarán y evaluarán una por una.

5. Pasará el tema del decomiso de la evidencia en el sector público, privado y mixto, se


revisará qué papel tiene un notario al momento de dar fé pública y qué asesores
externos son requeridos para un adecuado acompañamiento en el proceso del
decomiso de activos informáticos en la escena.

6. Seguirá la cadena de custodia donde se entenderá como un proceso que pretende


documentar el ciclo de vida de la evidencia digital y tendrá como objetivo que un juez
pueda dictar sentencia y reparar a las víctimas del delito.

7. Continuará con la atención y gestión de incidentes ante un fraude ocupacional,


inventariando los pasos a seguir desde que se sufre el incidente hasta que se cuantifican
las pérdidas y se solicita su reparación a través de un proceso legal presentando en
debida forma las evidencias.

8. Pasará a tratar el testigo experto donde se diferenciará entre un testigo corriente, uno
experto a uno con cualidades de perito. Se aprenderá a identificar todas las técnicas de
desacreditación de testigos usadas hoy en día por los defensores de la contraparte.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 14
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

9. Finalizará el curso con un caso práctico y una evaluación general donde se desarrollará
la hipótesis de un fraude y se llevará al estudiante a un desafío donde tendrá que
organizar las piezas de un puzle y no dejar actividades por fuera de su investigación.

CASO DE ESTUDIO DE AUDITORÍA FORENSE

Se da inicio a este curso de Auditoría Forense Digital con un caso de estudio donde se
mostrará desde el punto de vista de las “necesidades” aquello que se está requiriendo
hoy en día en la industria en materia forense digital para poder llevar a cabo las
investigaciones de fraude y auditorías donde se estén presentando elementos materiales
probatorios en un proceso legal.

Durante el curso se tratarán todas las temáticas del análisis forense digital enseñando la
teoría y aplicándola al caso de estudio de tal manera que el estudiante sienta que está
desarrollando un proyecto al interior de su compañía, paso a paso y con todos los
elementos necesarios para ir bien preparado durante todo el proceso.

En este caso de estudio se dará un recorrido por una licitación donde se solicitan servicios
especializados en auditoría forense financiera, incorporando el elemento forense digital
en la etapa de decomiso, adquisición, análisis y presentación de evidencia para una
posible demanda en caso de encontrar fraude.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 15
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

LICITACIÓN

Por motivos de una denuncia anónima a través de una línea ética por desfalcos, una
empresa decide emprender el camino de la investigación, pero no sin antes estar segura
de que las personas a cargo cumplirán las mejores prácticas en cuanto al decomiso de
activos de información, adquisición de evidencia, investigación, cadena de custodia,
procesamiento, análisis y presentación del caso a las partes interesadas.

La compañía se centra en 4 objetivos principales para atender la denuncia:

1. Realizar una auditoría forense financiera a una de sus sucursales, sobre la


eficiencia, eficacia y efectividad de la generación, flujo, administración y
generación de sus recursos financieros, aquellos que han sido otorgados por la
casa matriz.
2. Verificar documental, procedimental e investigativamente la situación financiera,
la razonabilidad de los hechos económicos y de los registros contables, enfocado
en la prevención y detección del fraude financiero.
3. Utilizar la metodología con enfoque preventivo y detectivo.
4. Obtener evidencia de los hechos, la cual requerirá un trato especial mediante el
uso de cadena de custodia, dado que a futuro podría servir de apoyo a la justicia
para analizar, juzgar y dictar la sentencia respectiva.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 16
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

De estos objetivos podemos deducir como auditores lo siguiente:

1. Todo nace a partir de una denuncia anónima y de la necesidad de la empresa por


atenderla con las mejores prácticas a través de una investigación por fraude
ocupacional.
2. La empresa está consciente de que como se trata de un desfalco debe orientar
las actividades hacia una auditoría forense financiera con énfasis en la prevención
y detección de fraudes.
3. Que no es suficiente con realizar una auditoría o investigación tradicional, sino
que, quiere obtener de manera correcta evidencia de los hechos y que se le dé un
trato especial con cadena de custodia.

Es en este último punto de la evidencia y cadena de custodia donde se centrará este


curso, entendiendo que todo nace a partir de una auditoría o investigación, es decir, el
análisis forense de por sí solo no tendría un valor si no se tiene un especial interés, una
motivación, en este caso específico el de verificar la situación financiera de una sucursal
para encontrar errores o fraude.

ENFOQUE PREVENTIVO

Para el desarrollo del proyecto de auditoría forense financiera se requiere un enfoque


metodológico preventivo, es decir, cuando se decomisen los activos, se adquieran y haga
cadena de custodia, el análisis posterior deberá enfocarse en a determinar y a probar la
capacidad de la organización para crear y aplicar los controles orientados a disuadir,
prevenir, evitar, detectar y reaccionar ante fraudes financieros. Este enfoque le ayuda a
la organización a reconocer las áreas que tienen mayor riesgo de sufrir algún tipo de
fraude.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 17
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Conocimientos Previos

Para el desarrollo de este enfoque, los profesionales deben conocer previamente la


estructura organizacional, normatividad a la que está sometida actualmente la entidad en
la jurisdicción donde se encuentre, debe identificar previamente los riesgos de fraude
asociados a la actividad económica, el software usado en la organización, las bases de
datos existentes, los antecedentes de los administradores y directivos y finalmente
conocer las vulnerabilidades de los sistemas de información.

Conocer más acerca de la entidad en un principio tiene in objetivo esencial, el dotar a los
profesionales de las habilidades para responder más adelante a preguntas de los
defensores de la contraparte sobre información que deberían conocer antes de llevar a
cabo auditorías e investigaciones. En este punto la compañía trata de prevenir que a
futuro el caso forense se caiga por:

1. Falta de conocimiento de los auditores e investigadores en la estructura


organizacional de la compañía.
2. Poco conocimiento en leyes y normas de la industria que aplican a la compañía y
al sector al que pertenece.
3. Falta de compromiso de la organización al no establecer controles preventivos en
los procesos.
4. Tener vulnerabilidades en los sistemas de información que puedan ser usadas
para alegar que el sistema fue vulnerado y el fraude o error no fue realizado al
interior sino desde el exterior como un ataque informático.

Entre más información se tenga de la compañía mejor preparados estarán los


profesionales para enfrentar auditorías e investigaciones.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 18
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Resultados Esperados

Los profesionales que atiendan el caso deberán entregar recomendaciones encaminadas


al mejoramiento de los controles, que permitan implementar programas, políticas,
esquemas de alerta temprana y sistemas de administración de denuncias.

ETAPAS DEL ENFOQUE PREVENTIVO

En el desarrollo metodológico del modelo preventivo se tienen 4 etapas importantes para


que los profesionales en auditoría e investigación lleven a cabo de manera organizada y
son:

Entrevistas

A los responsables de los procesos críticos se les debe realizar una entrevista. La
temática de la entrevista debe ir encaminada a la indagación sobre los temas de la
investigación. Las entrevistas se pueden grabar en un medio digital para posteriormente
preparase para ser evidencia digital, siguiendo estas indicaciones:

1. Respetar el derecho a la intimidad: este derecho no tiene cabida cuando la


conversación no trata sobre temas distintos a la vida privada o familiar de los
presentes.
2. Respetar el secreto de las comunicaciones: la conversación debe grabarse por
la persona que está interviniendo, en ningún momento por un tercero que no hace
parte de la conversación. Haciendo esto se estará protegiendo contra la defensa
cuando alegue que hubo violación al secreto en las comunicaciones.
3. Ley orgánica de protección de datos: la contraparte alegará que la voz es un
dato personal y que por medio de ella se puede identificar a una persona y por lo
tanto debe tener consentimiento para su almacenamiento.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 19
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Por ello, aunque es difícil que prospere este alegato, es recomendable al inicio de
la entrevista indicar que será grabada y pedir consentimiento.

Las grabaciones de conversaciones en las que se interviene directamente no suponen


ninguna infracción y son plenamente válidas como elemento material probatorio siempre
y cuando se respeten los dos primeros anteriores como regla general.

Evaluación

En esta etapa se revisa la eficacia de los controles mediante pruebas de recorrido,


mediante la trazabilidad de las operaciones y la realización de minería de datos. En
materia forense digital, en las pruebas de recorrido se podrían llevar a cabo las siguientes
actividades:

1. Identificación de la posible ubicación de la evidencia digital y/o física.


2. Inventariado de los activos de información usados por los responsables de los
procesos críticos.
3. Toma de fotografías para la detección de anomalías en diferentes espacios de
tiempo a la hora de hacer recorridos en campo.

La minería de datos es el campo de la estadística y las ciencias de la computación referido


al proceso que intenta descubrir patrones o anomalías en grandes volúmenes de datos.
En materia forense digital, se deben identificar dónde residen estos datos y buscar con
anterioridad al decomiso la manera en cómo pueden ser adquiridos en su totalidad para
presentarse como elemento material probatorio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 20
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Obtención de Datos

Adquisición de datos relevantes a la investigación en forma física, digital, conservando


los protocolos de cadena de custodia y seguridad de la información. En este punto se
deberá llevar a cabo todo el proceso de decomiso y análisis forense digital, que se tratará
en detalle más adelante en el curso.

Actas

Elaboración de documentación donde se van anotando los hallazgos de la auditoría


encontrados en cada enfoque del modelo preventivo.

ENFOQUE DETECTIVO

Este es el segundo enfoque requerido para llevar a cabo la investigación o auditoría en


este caso de uso. El enfoque detectivo está orientado a realizar la evaluación exhaustiva
de todas las operaciones encaminadas a identificar la existencia de errores o fraudes
financieros.

Qué hacer ante un hallazgo

Si se tiene un hallazgo se debe adelantar la investigación con el fin de establecer la


cuantía del fraude o error, los efectos directos e indirectos, una posible tipificación y los
presuntos responsables. Todo el elemento material probatorio que sirva como evidencia
del presunto fraude debe ser recolectado con los debidos protocolos de cadena de
custodia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 21
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Desde el punto de vista forense digital se debe tener en cuenta que:

1. Antes de tener un hallazgo se hace necesario pasar primero por la etapa de


decomiso, cadena de custodia y análisis forense digital. La fuente del hallazgo es
aquella copia del medio original que estaría custodiado.
2. Los efectos directos e indirectos del fraude los establece el especialista financiero
que más adelante será testigo experto en corte.
3. Cuando se habla de los protocolos de custodia se está hablando de la cadena de
custodia con todo el proceso previo de decomiso y posterior análisis forense.

Resultados Esperados

Se espera de los profesionales investigadores que entreguen los datos generales de las
personas auditadas, la descripción del hallazgo, la fecha, la tipología, su cuantificación,
los riesgos asociados al mismo, la descripción completa de los hechos, las normas o leyes
vulneradas, el elemento material probatorio, el análisis de riesgo financiero según las
normas internacionales de auditoría NIA 240, el análisis de incidencia y los traslados.

FASES DE LA AUDITORÍA

Teniendo en cuenta el enfoque preventivo y detectivo, se consolida todo el trabajo de la


auditoría en las siguientes fases:

1. Preparación: donde el auditor debe presentar su plan de trabajo con cronograma


definido partiendo de los enfoques preventivo y detectivo. Este plan de trabajo
debe estar segregado de tal forma que cada actividad del proceso forense esté
descrita.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 22
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Más adelante, la defensa de la contraparte podrá solicitar este plan de trabajo


para encontrar vacíos en la aplicación de las metodologías y en la gestión y
administración del proyecto.

2. Ejecución: donde el auditor hace visitas de campo, hace recolección de la


evidencia, realiza la custodia con ayuda de otros, y hace análisis de fuentes
internas y externas. Esta fase es la que comprende el grueso de la investigación
forense digital, donde se realiza la identificación previa de los activos donde puede
residir la evidencia mediante los recorridos de campo, para después armar el
equipo de personas que llevará a cabo el decomiso de los activos, la cadena de
custodia y el proceso forense.
3. Informes: donde el auditor elabora el informe final y realiza las presentaciones
para socializar los hallazgos. En esta etapa es de vital importancia la generación
de dos clases de informes, el ejecutivo y el técnico para el entendimiento del
proceso a cada parte interesada.
4. Cierre: donde el auditor elabora las actas y entrega de resultados en cada
enfoque detectivo y preventivo. Es de gran importancia la separación de los dos
enfoques, debido a que el enfoque preventivo no tiene ese componente forense
de presentación de evidencias mientras que el enfoque detectivo por su
tipificación lo tiene incorporado desde el principio.

Acoplar el proyecto en estas cuatro fases asegura un correcto entendimiento de todo el


proceso y el abordaje desde un punto de vista metodológico, teniendo en cuenta los dos
enfoques detectivo y preventivo, manteniendo siempre los conceptos de elemento
material probatorio, evidencia digital y cadena de custodia, que se explicarán más
adelante en el curso.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 23
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

ALCANCE DE LA AUDITORÍA

Al equipo de profesionales en este caso de uso se les pide que desarrollen actividades
de auditoría financiera y análisis forense digital teniendo en cuenta el siguiente alcance:

1. Verificar documentalmente la razonabilidad de los hechos económicos y de los


registros contables a través de los estados financieros con sus respectivos
soportes (balance general, estado de resultados, cambios en el patrimonio, estado
de flujo de efectivo y estado de cambios en la situación financiera)
2. Análisis y validación de saldos y movimientos de variaciones inusuales en las
transacciones detalladas que establecen la razonabilidad y certeza de los
movimientos contables y financieros de la entidad.
3. Determinar rendimientos de proyecciones financieras de manera que se puedan
establecer presuntos actos irregulares de carácter financiero y contable que
puedan afectar la operación y flujo de recursos.
4. Verificar y evaluar el cumplimiento de normas financieras para evidenciar un
posible déficit presupuestal y/o operacional que pudiera afectar la efectividad
frente al rendimiento financiero.
5. Análisis y evaluación del comportamiento de ingresos, costos y gastos que
determine la utilidad real, así como el análisis de riesgos a partir de los
movimientos de las cuentas bancarias.
6. Análisis y evaluación del movimiento de inventario, realizando seguimiento
detallado y preciso a las ventas, dadas de baja, y destrucción de activos.

En estas actividades que describen el alcance tratan de explicar que independiente del
caso investigado que concierne a la materia financiera, existe un componente esencial
en presentación de evidencia con el proceso de decomiso y cadena de custodia. Es aquí
en este último punto donde se concentrarán los esfuerzos de ahora en adelante en el
curso.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 24
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

RECURSOS HUMANOS

Para la ejecución del proyecto de auditoría forense financiera se requieren ciertos perfiles
de profesionales como se indican a continuación:

1. Gerente de Proyectos: es la persona que tendrá la responsabilidad total del


planeamiento y la ejecución acertados del proyecto de auditoría forense
financiera. Esta persona construirá el cronograma del trabajo en colaboración de
los otros perfiles y establecerá las fechas de ejecución de actividades,
socialización y entrega de informes. Si durante el proyecto se tienen
inconvenientes, ésta será la persona que los comunique y será la cabeza visible
para su gestión.

2. Auditor Forense Financiero: es la persona encargada de llevar a cabo todos los


análisis sobre la razonabilidad de los hechos económicos de la sucursal, de
evaluar toda la información financiera en búsqueda de errores o presuntos
fraudes.

3. Abogado: es la persona que se encargará de mantener bajo la ley todas las


actividades a desarrollar en el marco de la auditoría, garantizando que ninguna de
las personas incurra en un delito por la realización de sus actividades. Tiene un
papel fundamental en encontrar junto con el auditor financiero, qué normatividad
o leyes fueron violadas y tipificarlas en caso de encontrar un fraude financiero.

4. Perito Forense Informático: es la persona que diseñará el proceso de decomiso,


cadena de custodia, adquisición de evidencia, procesamiento, entregará los
medios indicados a los auditores financieros para su análisis y colaborará en la
presentación de los informes ejecutivo y técnico.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 25
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Profesional del Sector de la Industria: si el negocio auditar es del sector salud,


se necesitaría un profesional en salud. Independiente de las capacidades del
auditor financiero, existirán conceptos que solamente el profesional de la industria
entienda, es por ello por lo que será necesario contar con este profesional
especializado.

Cada uno de estos perfiles tiene su participación dentro de los dos enfoques preventivo
y detectivo, así como en las 4 fases de la auditoría y en los entregables. Una vez más se
observa que el rol del perito forense informático encaja trasversalmente dentro de
cualquier investigación o auditoría que tenga el componente detectivo dentro de sus
objetivos.

ENTREGABLES

Después de haber entendido el alcance del proyecto, las fases requeridas, el enfoque
metodológico y los recursos humanos requeridos para su desarrollo, se consolidará todo
el trabajo en un conjunto de entregables como se especifica a continuación:

1. Cronograma: se entregará el plan de trabajo con las fechas en las que se ejecutó
cada actividad, su responsable y los hitos del proyecto bien documentados. Si se
tuvo un retraso en la ejecución del proyecto se debe especificar el por qué y cuáles
fueron las acciones tomadas.

2. Metodología de cadena de custodia: se entregará un documento describiendo


toda la metodología aplicada para el análisis forense digital incluyendo la cadena
de custodia, explicando por qué se eligió dicha metodología sobre tantas
existentes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 26
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Recursos Humanos: se entregará una hoja describiendo el rol de cada persona


en el proyecto, sus responsabilidades y tareas que fueron asignadas, así como su
currículo donde se detalle su experiencia, publicaciones, trabajos anteriores,
certificaciones, estudios, patentes y publicaciones.
4. Avances documentados: a medida que la investigación avanza, se deben
documentar los hallazgos parcialmente. Este es un conjunto de documentos que
se van entregando uno a uno durante el ciclo de vida del proyecto.
5. Resultado de entrevistas: se entregará el medio original donde se grabaron las
entrevistas junto con su cadena de custodia. Adicionalmente se entregará también
las notas realizadas por el entrevistador señalando los puntos más importantes de
la conversación con cada entrevistado.
6. Actas de apertura y cierre: se entregarán dos actas, la que da inicio al proceso
y la que lo finaliza. Estas actas podrán ser solicitadas por los defensores de la
contraparte al momento de intentar desacreditar el proceso.
7. Informe final: se entregarán dos informes, uno ejecutivo y otro técnico. El informe
ejecutivo será aquel que puedan comprender todas las partes sin incluir
terminología técnica. El informe técnico es aquel que normalmente arroja la
herramienta que uso el perito forense y el auditor financiero para el
procesamiento, análisis y evaluación de los datos.
8. Soporte y evidencias: se entregan las copias de las evidencias decomisadas.
Las originales pueden permanecer aún en custodia y serán trasladadas cuando el
juez lo requiera.
9. Documentos de cadena de custodia: cada activo decomisado deberá tener un
documento de cadena de custodia donde se narre todo lo ocurrido con la
evidencia en el ciclo de la vida del proyecto. Al documento de cadena de custodia
se le podrá sacar una copia para el conocimiento de las partes interesadas, pero
deberá permanecer siempre en custodia en conjunto con la evidencia original.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 27
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

10. Matriz de hallazgos: en conjunto con los avances documentados, se deberá


entregar una matriz de 2x2 donde se describa el hallazgo, su fecha y descripción.
11. Mapa de riesgos con la eficacia de los controles: se entregará un documento
correspondiente al enfoque metodológico preventivo donde se haga un inventario
de los riesgos que tiene cada control evaluando la probabilidad de su vulneración
versus el impacto que tendría en la organización.
12. Análisis de riesgos en fraudes informáticos: se deberá entregar un documento
con el resultado del análisis de vulnerabilidades a los sistemas de información de
la organización, donde se detalle el nivel de criticidad de los mismos y las acciones
de remediación recomendadas.
13. Recomendaciones: en conjunto con los documentos del proyecto, se deberá
entregar un informe independiente con recomendaciones realizadas por parte del
auditor financiero, el perito forense, el especialista en la industria y el abogado.
14. Informe final consolidado: se entregará una carpeta con todos los informes
preliminares, parciales y finales.
15. Actas de cierre del proyecto: en conjunto con las actas de apertura y cierre del
proceso, se deberá adjuntar el acta de cierre del proyecto. Un proyecto puede
tener varios procesos, pero solo tendrá un acta de cierre de proyecto.
16. Socialización al equipo directivo: se entregarán presentaciones y actas de las
reuniones de socialización donde se detalle la forma en que se dio a conocer el
resultado de todo el proyecto a las partes interesadas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 28
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CONCLUSIONES

Llegados a este punto, donde se describió desde el punto de vista de la “necesidad” el


abordaje de un proyecto de auditoría financiera con el componente forense digital, se
pueden tener las siguientes conclusiones específicas para el contenido de este curso:

1. Se requiere la intervención de un perito forense informático para llevar a cabo el


proceso de decomiso, cadena de custodia y adquisición de evidencia.
2. Se requiere que el perito forense informático entregue copias de la evidencia
digital a los investigadores especializados en la industria para llevar a cabo las
investigaciones por fraude ocupacional.
3. Se requiere la elección de una metodología de cadena de custodia para presentar
el proceso de manera estándar.

Como conclusiones generales de todo el proceso se tienen:

1. Componente forense informático: se está requiriendo cadena de custodia, para


lo cual necesariamente se debe abordar el proyecto desde un punto de vista
forense digital con las fases de adquisición, preservación, análisis y presentación
de evidencias.
2. Seguridad de la información: en la obtención de datos se debe tener en cuenta
la seguridad de la información (integridad, confidencialidad y disponibilidad) de los
datos que se están extrayendo, custodiando, analizando y trasportando.
3. Enfoque detectivo y preventivo: en el enfoque predictivo no se está hablando
de cadena de custodia, pero es recomendable seguir el proceso completo con
decomiso y custodia de evidencia para el análisis.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 29
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Cuando se habla de análisis forense digital no se hace referencia al análisis forense


financiero. El análisis forense digital es la disciplina del lado de la informática que permitirá
llevar a cabo investigaciones donde estén involucrados activos de información digital.
Otras disciplinas como la seguridad de la información y seguridad informática son
importantes en el proceso debido a que de ellas depende que un análisis forense digital
pueda ser llevado a cabo sin la violación de las políticas de la organización y respetando
todo el tiempo el derecho de los empleados al uso de sus activos con respecto a la
privacidad.

El investigador especializado y el perito forense pueden ser una sola persona, pero
cumpliendo roles diferentes en la organización. Se puede dar el caso de que el perito
forense sea también un investigador de fraude ocupacional.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 30
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPÍTULO 2: ESTADÍSTICAS

A través del tiempo el análisis forense digital ha sufrido cambios debido al constante
avance de la tecnología. En los primeros años, en los que apenas se estaba
estandarizando el sistema operativo Windows, no existían aún herramientas forenses que
permitieran procesar adecuadamente los datos en miras de un caso penal o civil. A
medida que fue avanzando la tecnología se fueron introduciendo herramientas de
software y hardware, metodologías de adquisición de evidencias y la ciencia forense
digital.

Acompañados de las metodologías vinieron los estudios y los profesionales que se


especializaron en aplicar los conocimientos, luego, a medida que se presentaban
evidencias digitales en la corte se fueron dando cuenta de falencias en las actuales leyes
que permitían desprestigiar muchos de los procedimientos seguidos por estos
profesionales.

Se fueron incorporando leyes, sentencias y buenas prácticas para conectar la ciencia del
análisis forense digital con la práctica legal. En este capítulo del curso se mostrará el
avance de esta ciencia y cuáles han sido los momentos claves durante la historia.

LA CRISIS

Los años tempranos

Entre 1980 y los años 2000, cuando aparecían los primeros hardware y software con
diversidad de aplicaciones y proliferación de formatos, había una ausencia de
herramientas y procesos forenses.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 31
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La época dorada

Época comprendida entre el año 2000 y 2010, con la estandarización de Windows, los
PC y sus formatos de archivos y particiones, de los discos duros ATA/IDE. El análisis a
un equipo de cómputo entregaba todos los datos completos.

La era de crisis

Desde los años 2010 en adelante, con el crecimiento del almacenamiento, con las
múltiples tecnologías, la consolidación y proliferación de conceptos como la nube, el Big
Data, el IoT y el cifrado de datos. En esta era los datos ya no residen en su totalidad en
un computador.

Se llama la era de la crisis para los investigadores y peritos forenses digitales, pero se
llama la era de las oportunidades para los perpetradores. Existen muchas tecnologías
dedicadas al anonimato, al cifrado, a las conexiones seguras y al almacenamiento
remoto.

Estas y muchos otros avances hacen que la labor del perito forense informático de
recolectar evidencia en su forma original sea cada vez más difícil y obliga al mismo tiempo
a modificar y acomodar las leyes para acoplarse a las nuevas tecnologías.

Entender que los perpetradores tienen más oportunidades hoy para llevar a cabo sus
acciones es fundamental, porque de esta manera se podrá anticipar qué retos nos
supondrá una investigación o auditoría con activos de información.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 32
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

TEMÁTICAS FORENSES

La ciencia del análisis forense digital es muy amplia, viene desarrollándose desde el año
1980 y existen varias temáticas que reúnen las aplicaciones de la ciencia forense en
determinados casos e industrias. Estas temáticas son:

1. Anti-Forense: procedimientos que tienen como objetivo preparar la


infraestructura de TI o los activos de información personales ante una operación
forense. Se usa para evitar que los perpetradores puedan robar datos al extraer
activos de información de una compañía o mediante el hurto de activos
personales. También usan estas técnicas anti-forenses los perpetradores que
quieren evitar el acceso a la evidencia por parte de investigadores y proteger sus
operaciones.
2. Trazabilidad de ataques: procedimientos forenses usados para reconstruir y dar
trazabilidad a los ataques informáticos sobre los sistemas de información de las
compañías.
3. Ciber-crímen: procedimientos para llevar a cabo los análisis sobre los ataques
desde el exterior hacia el interior de las compañías llevados a cabo por ciber-
criminales.
4. Investigación de correos electrónicos: procedimientos para realizar
trazabilidad de origen y destino de los correos electrónicos y localizar aquellos
envíos anónimos.
5. Análisis de archivos: procedimientos para analizar la composición real de los
archivos en busca de anomalías y datos escondidos en ellos.
6. Herramientas forenses: análisis de elementos de hardware y software utilizados
para llevar a cabo los procesos forenses digitales.
7. Investigaciones de fraude: mezcla de conocimientos en las metodologías
forenses en conjunto con las investigaciones de fraude.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 33
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

8. Recuperación de incidentes: procedimientos utilizados para analizar la


ocurrencia de un incidente de fraude interno y cómo el análisis forense digital entra
en la cadena de sucesos para dar apoyo a la cuantificación de los daños
ocasionados.
9. Cumplimiento legal: que normatividad existe en cada jurisdicción para llevar a
cabo procedimientos de decomiso y cadena de custodia.
10. Identificación personal: cómo es usado el análisis forense digital para la
identificación de personas y vínculos entre ellas según los datos recolectados en
los activos de información.
11. Validación de evidencias: procedimientos usados para validar los análisis
forenses realizados por otras personas en búsqueda del cumplimiento de las
buenas prácticas.
12. Integridad de datos: procedimientos utilizados para generar sumas de
verificación a los archivos y comprobar la integridad durante todo un proceso, por
ejemplo, penal o civil.

Según la revista International Journal of Cyber Security and Digital Forensics, de las
anteriores temáticas, las más tratadas en la comunidad son en orden: Investigaciones de
Fraude y Herramientas Forenses.

Entender las temáticas más comunes es de gran importancia, haciendo esto se


comprenderá qué temas despiertan más interés cuando se aplican la ciencia forense
digital y en consecuencia cuáles de ellos están más y mejor desarrollados.

La defensa de la contraparte indagará sobre las temáticas más comunes del análisis
forense digital con el fin de evaluar qué tanto conocimiento y qué tan actualizado está el
testigo experto que está atendiendo la auditoría o investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 34
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

TIPOS DE PROFESIONALES

Cuando se habla de análisis forense digital, la comunidad trae al frente el perfil profesional
del ingeniero de sistemas o informático, sin embargo, estos no son los únicos
profesionales que tienen una fundamentación para especializarse como peritos forenses.
Los siguientes son los perfiles profesionales que se pueden encontrar en la industria y
que están aplicando las metodologías forenses digitales:

1. Ingeniero/técnico informático: por sus conocimientos en informática, se le hace


muy fácil llevar a cabo las labores de procesamiento de evidencia, sin embargo,
por su enfoque técnico, podría no tener experiencia en la investigación, cadena
de custodia, leyes y en servir como testigo experto.
2. Investigador de fraudes: por sus conocimientos, es una persona que encaja en
el análisis de evidencia, que conoce bien las leyes y normatividad y que puede
presentarse como testigo experto dada su experiencia. Esta persona puede
adquirir los conocimientos de la informática forense y calificar como perito forense
informático. Por sus pocos conocimientos en informática, podría necesitar ayuda
al momento de enfrentarse a tecnologías de las cuales no conoce.
3. Hacker ético: por sus conocimientos en informática, tendría la suficiente
capacidad para investigar ataques a sistemas de información. Tendría buen
conocimiento en la ciencia forense digital, pero podría tener carencia en
conocimiento de leyes, investigación de fraudes ocupacionales y hasta en la
presentación como testigo experto en corte.
4. Auditor Forense: muy parecido al investigador de fraudes, el auditor forense
tendría experiencia en aplicar el enfoque preventivo en el análisis de la evidencia,
estaría en plena capacidad para presentarse como testigo experto, aunque en
informática podría necesitar apoyo de un ingeniero o hacker ético.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 35
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Abogado: perfil con conocimientos para presentarse como testigo experto, para
enfrentar de la mejor manera el decomiso de evidencia, cadena de custodia y
presentación del caso en la corte. Necesitaría apoyo de un ingeniero e
investigador de fraudes para el componente informático e investigativo.

Tradicionalmente la industria ha utilizado en combinación el perfil de investigador de


fraudes y el del ingeniero informático. Mientras que el ingeniero se encarga de la
operación de herramientas de hardware y software, el investigador se concentra en el
análisis de la evidencia para trabajar en la hipótesis del fraude. Cuando se tiene un caso,
se contrata un abogado para que elabore la demanda o denuncia, analizando
previamente los hechos y fundamentalmente las leyes que fueron violadas.

FORMACIÓN DE LOS PROFESIONALES

Un profesional que se enfoque en el análisis forense digital podría tener los siguientes
estudios formales y no formales que aporten a su carrera para poder desarrollar proyectos
forenses con bases teóricas fundamentales:

1. Estudios forenses: aquel que le enseñe las metodologías más comunes, las
herramientas de software y hardware, los procedimientos de adquisición, análisis
y preservación de evidencia a nivel internacional. Una certificación asegura que el
estudiante domina la teoría y es capaz de aplicarla en situaciones prácticas.
2. Estudios en seguridad de la información: para reforzar el entendimiento de la
disponibilidad, integridad y confidencialidad de los datos, para comprender los
riesgos a los cuáles están expuestos los activos de información y las
vulnerabilidades de los sistemas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 36
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Estudios en leyes: cada país tiene sus propias leyes, no muy distantes de los
otros, sin embargo, se requiere un buen conocimiento en delitos informáticos y en
leyes que regulen la presentación de evidencias, en cadena de custodia, así como
el entendimiento claro de la privacidad y derechos fundamentales.
4. Estudios en informática: para entender el funcionamiento de los sistemas, para
llevar a cabo de forma correcta la adquisición y procesamiento de evidencia en
las tecnologías existentes.

Un profesional que aplique el análisis forense digital se considera íntegro si combina


conocimientos en su propia disciplina forense pero además posee los conocimientos
necesarios en leyes, seguridad de la información e informática que le permitan
desenvolverse en diversidad de situaciones que representen retos de tipo técnico y legal.

LEYES

Alrededor de la aplicación de la ciencia forense digital han existido leyes que a través del
tiempo se han ido ajustando de acuerdo a los cambios causados por los avances de la
tecnología. Fundamentalmente las consideraciones legales, sin especificar países ni
jurisdicciones, se han centrado en lo siguiente:
1. Leyes constitucionales: que tratan sobre la privacidad de las personas, la
búsqueda y procedimientos de allanamiento.
2. Ciber-crímen: aquellas leyes que tratan sobre delitos informáticos y más
recientemente sobre los delitos cibernéticos que contemplan todas aquellas
violaciones efectuadas desde el ciberespacio.
3. Procedimiento criminal: aquellas leyes en el ámbito penal que castigan delitos
como asesinatos, robo, secuestro, en donde se ven involucrados activos
informáticos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 37
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Leyes de propiedad: aquellas sobre patentes, secretos comerciales, protección


de marca y reputación.
5. Leyes contractuales: las relacionadas con acuerdos comerciales, distribución y
contratos.
6. Leyes de responsabilidad civil: aquellas que tienen que ver con la invasión a la
privacidad, difamación, negligencia, entre otras.
7. Leyes de la evidencia: las que tienen que ver con la admisibilidad de la evidencia
digital, la presentación adecuada, la mejor evidencia, las reglas de la cadena de
custodia, testigos expertos, entre otras.

El campo forense digital representa muchos desafíos para la ley en relación con la
admisibilidad de la evidencia digital, los constantes cambios en la forma en cómo se
almacenan y transmiten los datos están haciendo cada vez más necesario el
entendimiento acertado por parte de abogados, fiscales y jueces en la materia forense
digital.

Paralelamente es fundamental que los abogados, fiscales y jueces conozcan ciertos


aspectos de esta disciplina, como:

1. Qué es el análisis forense digital: entender que es una ciencia que trata sobre
la recuperación e investigación de ítems encontrados en dispositivos electrónicos
usualmente envueltos en crímenes o delitos corporativos.
2. Qué es una imagen forense: es aquella copia bit a bit (bajo nivel) que se le hace
a la evidencia original y es usada para investigar los datos.
3. Qué es el cifrado de datos: es cuando los datos son convertidos a otro formato
que solamente puede ser accedido conociendo una contraseña, llave u otro
elemento de seguridad.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 38
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Qué es un archivo y qué formas puede tener: entender cómo se almacena un


archivo en una partición, cómo se ve cuando es eliminado, cuando es un vínculo
o link y cómo es representado su espacio dentro los dispositivos de
almacenamiento.
5. Qué tipos de dispositivos de almacenamiento existen: entender que hay
tecnologías de almacenamiento sólido, magnético, que existen medios
removibles, fijos y almacenamientos en nube.
6. Qué es un metadato: entender que es un dato acerca de los datos, que muestra
cómo se crearon, quien los creo, la fecha, autor, revisiones y otra información
específica.
7. Cómo se venden y adquieren los servicios forenses: probablemente la
pregunta más enigmática pero importante, se debe entender el costo de los
servicios forenses digitales que varían entre $190 USD y $ 365 USD por hora en
donde los abogados deben incorporar en sus cotizaciones valores como estos y
anticiparse a la atención de los casos donde exista evidencia digital.

HERRAMIENTAS FORENSES

A través del tiempo se han venido usando diferentes herramientas en las ciencias
forenses digitales para agilizar el trabajo, automatizar tareas y permitir que la evidencia
se recolecte en debida forma. Diversas compañías fueron surgiendo e incorporando a la
sociedad herramientas de hardware y software que se siguen usando hoy en día y
constituyen casi un estándar al momento de ser nombradas en estrados judiciales:

1. Software Forense: fabricantes como X-Ways Forensics, AccessData y Guidance


Software han desarrollado programas para procesar la evidencia digital y permitir
su examinación y análisis de manera ordenada. Estas son algunas de las
funciones que se han venido trabajando a través del tiempo con esta clase de
programas:

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 39
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

a. Adquisición: obtención granular de todos los datos del dispositivo de


almacenamiento, incluyendo discos duros, memoria RAM, dispositivos
ópticos y de estado sólido.
b. Automatización: filtros, condicionales, extractores, procesadores de
datos eliminados, recuperación y todas aquellas actividades que le
ahorren tiempo a un perito forense.
c. Análisis: de registros del sistema operativo, de archivos, correos
electrónicos, historial de navegación, documentos, entre otros.
d. Visualización: vistas preliminares de todos los formatos de archivos sin
necesidad de que el investigador descargue por separado las aplicaciones
que le permitan visualizarlos.
e. Búsqueda: a través de palabras clave en todos los ítems adquiridos por
el software, para poder encontrar de manera óptima la evidencia que está
buscando el investigador, con filtros y expresiones regulares.
f. Reportes: generación de documentación detallada de todos los ítems que
han sido adquiridos.
g. Clasificación: le brinda la oportunidad al investigador de ir marcando los
ítems relevantes para su investigación y mantenerlos ordenados para la
generación de los reportes.
h. Investigación: capacidad de automatizar la investigación de eventos
anómalos en ítems de internet, chat y correo electrónico.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 40
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

2. Herramientas en hardware: fabricantes como Digital Intelligence y Tableau han


venido incorporando a la sociedad elementos que permiten recolectar en debida
forma evidencia digital de activos informáticos asegurando su integridad. Algunos
de estos elementos son:

a. Bloqueadores de escritura: aquellos elementos que permiten a los


investigadores forenses tener acceso a los datos sin alterar ninguno de
ellos. De esta forma, la evidencia original no pierde su valor a través de su
modificación.
b. Duplicadores: elementos que permiten a los peritos forenses sacar una
copia de los medios originales para así poder custodiar la evidencia
original y trabajar sobre copias idénticas.
c. Verificadores de integridad: dispositivos que permiten calcular sumas de
verificación para verificar si la evidencia ha sido alterada.
d. Borrado seguro: dispositivos que permiten realizar un borrado a los datos
para impedir su posterior recuperación con herramientas forenses.

Conocer sobre la existencia de las diferentes herramientas le permitirá al investigador


forense poder desenvolverse de forma adecuada dependiendo del caso que atienda y
demostrar experticia en el manejo de cada una de ellas al momento de presentarse como
testigo experto en corte.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 41
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

SOFTWARE FORENSE

Existen muchos fabricantes de software e infinidad de herramientas forenses,


comerciales y gratuitas, sin embargo, las más reconocidas y usadas en procesos penales
y civiles han sido siempre alguna de estas tres:

1. AccessData FTK: es una plataforma de investigaciones digitales usada


comúnmente en tribunales, que está diseñada para ser veloz, analítica y contar
con escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el
análisis de correo electrónico, las vistas personalizadas de datos y su estabilidad,
FTK establece el marco para una expansión sin problemas, por lo que su solución
de informática forense puede crecer de acuerdo a las necesidades de una
organización. Adicionalmente, AccessData ofrece nuevos módulos de expansión
entregando el primer software de esta industria con capacidad de análisis y con
visualización de última generación. Estos módulos se integran con FTK para crear
una de las plataformas de informática forense más completas en el mercado.

2. X-Ways Forensics: su traducción significa “X Caminos” y hace honor a su nombre


porque los desarrolladores de este software crearon una herramienta que
permitiera alcanzar los objetivos de muchas maneras diferentes. Al permitir esto,
están entregando una suite que permite al investigador forense aplicar todos sus
conocimientos técnicos de la ayuda de esta herramienta. Se diferencia de las
anteriores por requerir más conocimiento técnico y un entendimiento de la
informática a bajo nivel. Esta herramienta es muy usada en casos complejos
donde se requiere velocidad, profundidad y acceso a funciones que otras
aplicaciones no permitirían. Este software es fabricado en Alemania.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 42
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Encase Forensics: es una poderosa plataforma de investigación que recolecta


datos digitales, realiza análisis, informa sobre descubrimientos y los preserva en
un formato válido a efectos legales. Produce una duplicación binaria exacta del
dispositivo o medio original y luego la verifica generando valores hash de las
imágenes y asignando valores de CRC a los datos. Estas verificaciones revelan
cuándo la evidencia ha sido alterada o manipulada indebidamente, ayudando a
mantener toda la evidencia digital con validez a efectos legales para su uso en
procedimientos judiciales.

Existen herramientas de código abierto y gratuitas como Sleuth Kit, que se pueden utilizar
por peritos forenses que tengan más experiencia debido a que puede que no todas las
funciones de automatización presentes en las herramientas comerciales estén presentes
aquí.

Conocer sobre las herramientas de software más utilizadas ayudará a que el profesional
forense tenga un saber holístico sobre las posibilidades de resolver un caso con ayuda
de software y tener el criterio para defender el uso de una u otra herramienta en corte
ante un juez y responder las acciones desacreditadoras de la defensa de la contraparte.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 43
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPÍTULO 3: METODOLOGÍAS DE INVESTIGACIÓN

El incremento en las actividades criminales usando información digital ha ocasionado que


surjan constantemente nuevos métodos estructurados para hacer frente a ellos. Desde el
año 1984, cuando el primer proceso forense fue formalizado, un gran número de nuevos
procesos metodológicos empezaron a surgir. Fue en los laboratorios del FBI en los
Estados Unidos en ese mismo año, en conjunto con otras agencias de investigación, que
empezó a desarrollar programas para examinar la evidencia localizada en computadores.

Se empezó a requerir de modelos a seguir para diferentes tipos de investigaciones con


el fin de seguir siempre los mismos pasos racionales y no dejar en el empirismo la
ejecución de las investigaciones.

En este capítulo se han seleccionado algunos modelos de investigación que se han


producido a través de los años por diferentes investigadores. Basados en la observación,
los diferentes modelos se acoplan a situaciones específicas mientras que otros pueden
ser usados de forma general.

MODELOS DE INVESTIGACIÓN

Existen muchos modelos de investigación forenses, la idea de este curso es hablar de


aquellos que han sido más utilizados, analizados y que han contado con una revisión
especial por parte de grupos de interés. Para este caso se tendrá como referencia base
el estudio realizado por la Universidad “Tenaga Nasional”, en Selangor, Malaysia por el
College of Information Technology, publicado en la International Journal of Computer
Science & Information Technology.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 44
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Se hará una revisión de estos modelos empezando por el primero nacido en los
laboratorios del FBI en el año 1984, para seguir después con modelos del 2001 hasta el
2010, tratando analizar uno por año.

Cada metodología de investigación está compuesta por fases, como se observa en la


diapositiva. Si se sumaran todas las fases de las 16 metodologías tratadas se tendrían
un total de 46. Cada una de estas fases ha sido mejorada y compartida por los
investigadores que la produjeron y muchas de ellas se reutilizan y se estandarizan para
tener un consenso en la comunidad científica sobre las buenas prácticas en materia
forense digital.

PROCESO INVESTIGATIVO DE INFORMÁTICA FORENSE

En el año 1984 se propuso una metodología para lidiar con la investigación de la evidencia
digital de tal manera que los resultados obtenidos fueran científicamente fiables y
legalmente aceptables. Esta metodología se compone de 4 fases:

1. Adquisición: la evidencia es adquirida en una forma aceptable con una apropiada


aprobación de las autoridades.
2. Identificación: donde se identifican los componentes digitales de la evidencia
adquirida y es convertida a un formato entendible para los interesados.
3. Evaluación: comprende la tarea de determinar si los componentes identificados
en la fase anterior son relevantes para el caso que está siendo investigado de tal
manera que puedan ser considerados como una evidencia legítima.
4. Admisión: es cuando la evidencia adquirida y extraída es presentada en una
corte en un proceso civil o penal.

Esta metodología fue propuesta por Mark M. Pollitt, jefe de unidad del Equipo de atención
y respuesta ante incidentes del FBI en Washington D.C, Estados Unidos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 45
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

TALLER DE INVESTIGACIÓN FORENSE DIGITAL

El modelo DFRWS (Digital Forensics Research Workshop) fue desarrollado en el año


2001 y plantea llevar a cabo una investigación forense como un taller con las siguientes
fases:

1. Identificación: en donde la detección de perfiles, el monitoreo del sistema y el


análisis de auditoría son llevados a cabo.
2. Preservación: envuelve tareas como la configuración de una adecuada gestión
del caso, asegurando una correcta cadena de custodia. Esta fase es crucial para
asegurar que los datos recolectados están libres de contaminación.
3. Recolección: en donde los datos relevantes son recolectados basados en los
métodos aprobados y utilizando varias técnicas de recuperación.
4. Examinación y análisis: en estas dos fases hay tareas como trazabilidad,
validación de la evidencia, recuperación de archivos escondidos, acceso a datos
cifrados, minería de datos y línea de tiempo.
5. Presentación: donde se llevan a cabo tareas de documentación, testigo experto
y socialización.

MODELO FORENSE DIGITAL ABSTRACTO

Inspirado en el modelo DFRWS (Taller de Investigación Forense Digital), desarrollado por


Reith, Carr & Gunsch en el año 2002, propone un modelo mejorado y abstracto donde el
autor introduce fases adicionales expandiendo la metodología a un total de 9 así:

1. Identificación: en esta fase se reconoce y determina el tipo de incidente que


ocurrió. Una vez el incidente ha sido tipificado se pasa con la siguiente fase.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 46
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

2. Preparación: donde se tienen las actividades de preparación de herramientas,


técnicas de identificación y la obtención del soporte administrativo para la
investigación.
3. Estrategia de aproximación: esta fase fue introducida con el objetivo de
maximizar la adquisición de la evidencia sin contaminarla al mismo tiempo que se
minimiza cualquier impacto negativo a la víctima y la gente a su alrededor.
4. Preservación: la evidencia física y digital deben ser apropiadamente aisladas del
ambiente en que operan, aseguradas y preservadas. Adicionalmente en esta fase
s ele presta atención a la cadena de custodia.
5. Recolección: donde la extracción y duplicación de datos se realiza.
6. Examinación: aquí se da lugar a la identificación y localización de la evidencia
potencial a partir de los datos recolectados, utilizando un método sistemático.
7. Análisis: donde se lleva a cabo la determinación de la evidencia relevante y
significante y se describen las conclusiones basado en lo que se encuentra.
8. Presentación: donde los hallazgos son inventariados y presentados a las partes
interesadas.
9. Retorno de la evidencia: fue incorporada con el propósito de retornar de forma
segura la evidencia a su dueño original.

Tres fases fueron introducidas en este modelo, que son Preparación, Aproximación
estratégica y el Retorno de la evidencia, en complemento con las 6 fases del modelo base
DFRWS.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 47
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PROCESO INTEGRADO DE INVESTIGACIÓN DIGITAL

Este modelo de investigación fue propuesto por Carrier & Spafford en el año 2003 con la
intención d combinar varios procesos investigativos disponibles en un solo modelo
integrado. El autor introduce el concepto de “escena del crimen digital” el cual se refiere
al entorno virtual creado por software y hardware donde la evidencia digital de un
incidente o crimen existe. El modelo se planeta en las siguientes 5 fases:

1. Preparación: este proceso requiere que esté lista una infraestructura física
previamente para soportar la investigación actual y cualquiera que se venga en el
futuro. En esta fase el personal debe estar preparado para usar esta
infraestructura de manera efectiva.
2. Despliegue: donde se proveen los mecanismos para que un incidente sea
detectado y confirmado, otorgando también procedimientos para la notificación al
interior y exterior de la compañía.
3. Investigación física del crimen: donde se recolecta y analiza la evidencia física
del crimen. Comprende actividades como la preservación, encuesta,
documentación, búsqueda, localización, reconstrucción y presentación.
4. Investigación digital del crimen: es similar a la investigación física, excepto que
esta fase se enfoca en la parte digital de la evidencia.
5. Revisión: donde todo el proceso de investigación es analizado y revisado para
identificar acciones de mejora que puedan resultar en la profundización de otras
fases o nuevos requerimientos de aprendizaje por parte de los investigadores.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 48
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PROCESO MEJORADO DE INVESTIGACIÓN DIGITAL

Propuesto en el año 2004 y como su nombre lo indica, este modelo de investigación


forense está basado en el modelo previo “Proceso Integrado de Investigación Digital”,
pero introduce una fase muy importante conocida como la fase de “Rastreo”. Esta fase
habilita al investigador para rastrear todas las actividades en los dispositivos que le
permitieron al sospechoso perpetrar el crimen. Las fases de este modelo son:

1. Preparación: este proceso requiere que esté lista una infraestructura física
previamente para soportar la investigación actual y cualquiera que se venga en el
futuro. En esta fase el personal debe estar preparado para usar esta
infraestructura de manera efectiva.
2. Despliegue: donde se proveen los mecanismos para que un incidente sea
detectado y confirmado, otorgando también procedimientos para la notificación al
interior y exterior de la compañía.
3. Rastreo: en esta fase se llega al origen de la escena del crimen, incluyendo los
dispositivos y la localización, aspectos principales en esta fase. Contiene a su vez
dos fases adicionales, investigación digital y solicitud de autorizaciones.
4. Dinamitación: es donde la investigación es realmente conducida en la escena
del crimen con el propósito de identificar a los potenciales culpables. Esta fase a
su vez propone 4 actividades más, la investigación física del crimen, la
investigación digital, la reconstrucción de la escena y la comunicación. En la
actividad de la reconstrucción, piezas de información recolectada son juntadas
para estructurar los eventos que dieron lugar al crimen.
5. Revisión: donde rodo el proceso de investigación es analizado y revisado para
identificar acciones de mejora que puedan resultar en la profundización de otras
fases o nuevos requerimientos de aprendizaje por parte de los investigadores.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 49
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

MODELO DE INVESTIGACIÓN FORENSE EN CAMPO

Este modelo desarrollado en el año 2006 propone una aproximación al sitio de los hechos,
asegurando así la correcta identificación, análisis e interpretación de evidencia digital en
un tiempo relativamente pequeño sin necesidad de tomar otros dispositivos de nuevo en
la escena y traerlos al laboratorio. Este modelo consiste de 6 fases primarias, que están
divididas luego en otras 6 así:

1. Planeación: donde se hace una apropiada planeación antes de embarcarse en


una investigación con el objetivo de asegurar el éxito de todo el proceso.
2. Triage: en esta fase la evidencia es identificada y clasificada en términos de
importancia o prioridad. La evidencia volátil por ejemplo es la que se debe
procesar primero.
3. Uso del perfil de usuario: esta fase enfoca su atención en analizar la actividad
del usuario y su perfil con el objetivo de relatar la evidencia del sospechoso.
4. Cronología y línea de tiempo: Se construye el caso desde una perspectiva
cronológica hacia la secuencia probable del desarrollo de la actividad criminal.
5. Internet: en esta fase se examinan los artefactos de todo lo relacionado con la
navegación en búsqueda de actividades criminales.
6. Caso específico: en donde el investigador se enfoca en la examinación del caso
solamente con lo específico, por ejemplo, si es un crimen financiero se enfoca en
la búsqueda de las bases de datos contables.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 50
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

MODELO MALASIO DE LA INVESTIGACIÓN FORENSE

Propuesto en el año 2009 por Perumal, es otro modelo de investigación forense digital
basado en los procesos de investigación en malasia. Este modelo consiste de 7 fases y
son:

1. Planeación: donde se hace una apropiada planeación antes de embarcarse en


una investigación con el objetivo de asegurar el éxito de todo el proceso.
2. Identificación: donde se identifican los componentes digitales de la evidencia
adquirida y es convertida a un formato entendible para los interesados.
3. Reconocimiento: esta fase tiene que ver con la conducción de la investigación
mientras que los dispositivos están siendo usados (en operación) lo cual es similar
a realizar un análisis forense en vivo. El autor del modelo insiste en que la
presencia de datos adquiridos en vivo sobre evidencia volátil hace que la
investigación tenga más éxito y por ende que pueda ser condenado el perpetrador.
4. Transporte y almacenamiento: después de que los datos son analizados, deben
ser transportados de forma segura en donde se realizará la investigación y luego
allí ser almacenados apropiadamente.
5. Análisis: los datos son analizados y examinados usando las técnicas apropiadas.
6. Prueba y defensa: similar a la fase de presentación en otros modelos, los
investigadores deben adquirir y mostrar pruebas que soporten el caso presentado.
7. Almacenamiento histórico: donde la evidencia relevante es apropiadamente
almacenada para futuras referencias y también para propósitos de entrenamiento
del personal investigador.

MODELO DE INVESTIGACIÓN DE LA ESCENA DEL CRIMEN

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 51
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Propuesto por Ciardhuain en el año 2001, es un modelo que tiene como objetivo
fundamental las investigaciones científicas del crimen y no el proceso investigativo
completo, tiene 4 fases y son las siguientes:

1. Reconocimiento: donde se identifican los ítems o patrones que son vistos como
potencial evidencia para resolver un caso.
2. Identificación: donde se clasifica la evidencia y se compara con los estándares
conocidos.
3. Individualización: donde se determina si la evidencia tiene relación directa con
la investigación.
4. Reconstrucción: donde se provee de detalles investigativos basados en los
hallazgos de los investigadores en conjunto.

INVESTIGACIÓN DIGITAL PUNTO A PUNTO

Este modelo consiste en 6 fases, propuesto en el año 2003, tiene un propósito general
para llevar a cabo investigaciones forenses de forma genérica. Estas fases son las que
se detallan a continuación:

1. Recolección: donde se tienen actividades que envuelven la adquisición y


preservación de la evidencia digital.
2. Análisis: donde se analizan eventos individuales para determinar su relevancia
para el desarrollo de la investigación.
3. Correlación preliminar: donde se enfoca en entender los aspectos principales
del incidente y saber qué elementos han sido involucrados.
4. Normalización de eventos: donde se hace una reduplicación y se estandarizan
los eventos en una estructura unificada.

5. Consolidación de eventos: donde se correlacional múltiples eventos comunes


entre sí en un solo grupo de eventos para su mejor entendimiento.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 52
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Correlación secundaria: después de la normalización de los eventos, este


análisis se concentra sólo en la correlación de aquellos que son más relevantes
para la investigación.
7. Análisis de línea de tiempo: donde se construye de manera cronológica la
secuencia de eventos en relación al caso investigado.
8. Cadena de evidencia: donde se establece la relación basado en la secuencia de
eventos.
9. Corroboración: donde se valida la evidencia y los eventos contra otra evidencia
adquirida en la investigación.

La premisa de este modelo de investigación es que cada crimen digital tiene un punto de
origen, un punto de destino y una ruta entre estos dos puntos. El modelo tiene en cuenta
el origen del incidente, el destino del incidente y los caminos intermedios.

MODELO EXTENDIDO PARA LA INVESTIGACIÓN

Este modelo consiste de 13 fases y fue propuesto en el año 2004 como una aproximación
generalizada al proceso investigativo con el fin de asistir en el desarrollo de nuevas
herramientas y técnicas. Las fases son las siguientes:

1. Concientización: se prepara todo el equipo de investigación y se permiten entre


ellos encontrar las relaciones entre los eventos de la investigación.
2. Autorización: envuelve la obtención de la aprobación de la investigación para
poder proceder con ella.
3. Planeación: tiene como alcance determinar dónde se encuentra la evidencia.
4. Notificación: es el proceso donde se informa a los interesados sobre la
investigación que se llevará a cabo.

5. Búsqueda para identificar evidencia: donde se localiza e identifica cuales son


los orígenes de la evidencia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 53
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Recolección de evidencia: envuelve las actividades de adquirir y preservar la


evidencia.
7. Transporte de la evidencia: incluye la actividad de mover la evidencia a una
localización segura para su custodia.
8. Almacenamiento de evidencia: donde se tiene la actividad principal de guardar
la evidencia y custodiarla.
9. Examinación de la evidencia: donde se evalúa la evidencia en relación a la
relevancia para la investigación.
10. Hipótesis: es la fase donde se construye la teoría basada en los eventos que
ocurrieron y que detonaron la investigación.
11. Presentación de la hipótesis: permite a los interesados tomar decisiones
apropiadas sobre el curso de acción en la investigación.
12. Prueba y defensa de la hipótesis: tiene como objetivo principal el poder
demostrar la validez de la teoría armada como hipótesis.
13. Diseminación de información: el momento en el que se trasmite toda la
información a los interesados para la toma de decisiones.

MARCO DE TRABAJO JERÁRQUICO BASADO EN OBJETOS

Este modelo propuesto en el año 2004 consiste de seis fases y al momento de ser
elaborado pretendía dar cobertura a todas las fases de los modelos de años anteriores,
quedando de la siguiente manera:

1. Preparación: donde se incluyen todas las actividades para asegurar el


equipamiento y la preparación del personal que enfrentará la investigación
forense.

2. Respuesta al incidente: en esta fase de detectan y enfrentan los eventos o el


incidente que es materia de investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 54
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Recolección de datos: donde se recoge la evidencia digital en soporte para la


respuesta a la investigación del incidente.
4. Análisis de datos: donde se validan los eventos o incidentes detectados
utilizando la evidencia que fue recolectada en la fase anterior.
5. Presentación: donde se comunican los hallazgos a las partes interesadas.
6. Cierre del incidente: que incluye los actos que dan lugar a la toma de decisiones
en relación al proceso investigativo.

MARCO DE TRABAJO PARA LA INVESTIGACIÓN FORENSE

Este modelo, propuesto en el año 2006, consiste de tres fases y pretende unir los
procesos de otros modelos existentes en un solo modelo con más cobertura y más
adaptable a situaciones diversas. Las fases propuestas son:
1. Preparación: fase que envuelve aquellas actividades que aseguran que el equipo
y el personal que enfrentará la investigación están bien preparados. Se revisan
los estándares de la organización, políticas y procedimientos, entrenamiento,
asesoría legal, documentación planeación y contacto con las autoridades.
2. Investigación: donde se involucran todos los pasos y actividades enfocadas a
preservar, analizar y almacenar la evidencia. En esta fase se busca e identifica la
evidencia en los activos informáticos, se transporta la evidencia y se ejecutan las
herramientas de software para su análisis.
3. Presentación: fase donde finalmente se elabora y presentan aquellos reportes
para las partes interesadas. Aquí se hace énfasis en probar la hipótesis del caso
alcanzada durante la investigación. La evidencia adicionalmente debe ser
presentada en corte teniendo en cuenta la correcta ejecución de las fases
anteriores.

MODELO COMÚN PARA EL ANÁLISIS FORENSE

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 55
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Modelo de investigación forense desarrollado en el año 2007 que consiste de tres fases
donde se propone la combinación de la respuesta a incidentes y análisis forense digital
en un solo proceso unificado de investigación. Las actividades involucradas son las
siguientes:

1. Pre-Análisis: fase que contiene todos los pasos y actividades que deben ser
inicialmente completadas antes de comenzar la investigación. Aquí se lleva a cabo
la detección inicial del incidente, la respuesta inicial y la formulación de la
estrategia para su respuesta.
2. Análisis: incluye todas las actividades realizadas durante la examinación de la
evidencia digital recolectada. Aquí se lleva a cabo la duplicación forense de los
medios originales, la respuesta en vivo del incidente y la recuperación de los
datos.
3. Post-Análisis: donde se documentan todos los pasos llevados a cabo durante la
investigación y se describe cómo se dio solución al incidente.

PROCESO DE ANÁLISIS DUAL DE LOS DATOS

Modelo propuesto en el mismo año que el anterior, 2007, consistente en cuatro fases,
donde se propone implementar un flujo investigativo en paralelo, donde se tiene la
intervención de un técnico en computación y al mismo tiempo un investigador profesional.
Este modelo se aproxima mucho a la idea de poder combinar el factor forense digital con
la capacidad de un investigador de fraudes, volviéndose un modelo muy importante a la
hora de sustentar la elección de una metodología de investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 56
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Las fases son las siguientes:

1. Acceso: donde se localiza e identifican las posibles fuentes de la evidencia digital


que se busca.
2. Adquisición: envuelve actividades de recolección de evidencia y asegura que su
integridad sea mantenida en todo el ciclo de vida de la investigación.
3. Análisis: donde se examina el contexto y el contenido de la evidencia digital para
determinar su relevancia respecto a la investigación.
4. Reporte: incluye la presentación digital de la evidencia a través de la
documentación de toda la investigación.

MODELO GENÉRICO PARA INVESTIGACIONES EN LA RED

Este modelo consiste de cuatro fases y fue propuesto en el año 2010 específicamente
para formalizar una metodología para realizar investigaciones forenses que tuvieran que
ver con la red de datos en una organización. Las actividades propuestas en este modelo
son:

1. Preparación: donde se asegura que el equipo y el personal que va a realizar la


investigación esté bien preparado.
2. Detección del incidente o crimen: donde se indica que un incidente o evento ha
ocurrido en la red y necesita investigarse.
3. Recolección de trazas en la red: es la fase donde se recolectan datos de todos
los sensores existentes en la red que poseen información.
4. Preservación y protección: donde se adquiere y almacena de manera correcta
la evidencia digital y física.
5. Examinación: donde se evalúa la evidencia digital para revelar datos de interés
y reducir al mismo tiempo los volúmenes de datos para concentrarse en aquellos
que son relevantes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 57
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Análisis: donde se revisa el contexto y contenido de la evidencia digital para


determinar si es útil para la investigación.
7. Investigación y atribución: donde se reconstruyen los eventos del incidente
usando los datos recolectados previamente.
8. Presentación: donde se incluyen actividades como la elaboración de los reportes
y la documentación dirigida a las partes interesadas.

MODELO SISTEMÁTICO DE INVESTIGACIÓN FORENSE

Un modelo propuesto recientemente, en el año 2011, que tiene como objetivo principal
establecer unas políticas apropiadas y procedimientos que se lleven a cabo de una
manera sistemática. Contiene las siguientes actividades:

1. Preparación: envuelve el hecho de estar familiarizados con la investigación y las


actividades a realizar, de tal manera que el equipo y herramientas estén listas para
afrontarla.
2. Aseguramiento de la escena: protege la escena del crimen del acceso no
autorizado evitando así la contaminación o extracción de los activos.
3. Encuesta y reconocimiento: donde se diagnostica la escena del crimen y
evalúan potenciales fuentes adicionales de evidencia, construyendo un plan
estratégico de búsqueda.
4. Documentación de la escena: donde se consolida la descripción de toda la
escena en video y en papel.
5. Protección de las comunicaciones: donde se cancelan todas las
comunicaciones y capacidad de intercambio de datos de los sistemas de
información con el fin de proteger los sistemas.
6. Recolección de evidencia: se enfoca en la adquisición de datos relevantes
utilizando las técnicas aprobadas de decomiso de evidencia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 58
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

7. Preservación: donde se establece un apropiado plan para la adquisición de la


evidencia y su cadena de custodia.
8. Examinación: donde se evalúa la evidencia en búsqueda de datos relevantes
para la investigación.
9. Análisis: examina el contexto y contenido de la evidencia digital para determinar
el grado de importancia en la investigación.
10. Presentación: donde se preparan los reportes y documentación para entregarse
a las partes interesadas.
11. Resultado: una fase especial diseñada para identificar oportunidades de mejora,
midiendo la eficiencia del proceso y la calidad final de los entregables.

CAPÍTULO 4: ETAPAS DE UN PROYECTO FORENSE DIGITAL

En el anterior capítulo se hizo un recorrido por los 16 modelos de investigación forense


más conocidos a la fecha y se hizo una descripción inicial de las fases que contenían
cada uno de ellos.

El propósito de este capítulo es detallar cada una de esas fases y enseñar cómo se deben
realizar las actividades en su forma detallada. Este proceso de conocer los modelos de
investigación y sus fases ayudará a elegir de manera correcta en un proyecto de auditoría
forense la aproximación al modelo y su desarrollo dependiendo del caso.

Cada etapa debe realizarse según las buenas prácticas, aquellas que han sido
construidas por sus proponentes en cada modelo de investigación y que a través del
tiempo han sido puestas a prueba en procesos legales donde la defensa de la contraparte
las ha cuestionado, aportando a su maduración y proliferación en la comunidad e
investigadores forenses.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 59
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CONCIENTIZACIÓN

Es de vital importancia que se reúna al equipo completo que atenderá el proceso forense
para que se realice primero una sesión de concientización sobre la actividad que se va a
realizar y el conjunto de tareas que conlleva el proceso forense.

Algunas personas ven el proceso como algo en lo que podrían permitirse fallar y corregir
después, pero la realidad en esta clase de proyectos es que un error presentado en las
primeras etapas del proceso e incluso en las intermedias y finales supone el fallo total del
proceso y la imposibilidad de llevar la evidencia digital a juicio con la gran consecuencia
de no poder resarcir a las víctimas y menos judicializar a los responsables.

Una cadena de custodia rota o un acceso inadecuado a la evidencia son ejemplos en


donde dichos errores no se pueden corregir, simplemente suponen un fallo absoluto
imposible de corregir que más adelante, si la empresa decide seguir con el proceso, la
contraparte podrá usar para desacreditar todo el proceso.

En el programa de concientización se hace énfasis en cada una de las etapas que a


continuación se tratarán en este curso. Es importante que cada persona partícipe del
proceso entienda su rol, sus límites, el momento en que debe pedir ayuda y declararse
impedido ante alguna circunstancia y poner en frente el interés de la compañía ante el
interés personal de sobresalir en un proceso donde lo más importante no es destacar sino
realizar de la manera más cuidadosa y atenta cada uno de los procedimientos forenses.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 60
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PLANEACIÓN DEL PROCESO FORENSE

Después de realizar el programa de concientización, donde a las personas que atenderán


el proceso se les educa acerca de la importancia del trabajo atento y cuidadoso, se
procede después a realizar la planeación del proyecto que llevará cabo la compañía para
poder presentar evidencia en forma adecuada a las partes interesadas. En esta
planeación se deben realizar las siguientes actividades:

1. Definir el enfoque: si el proceso tendrá una orientación preventiva o detectiva y


qué resultados se quieren tener según el enfoque.
2. Elegir los recursos humanos: para enfrentar el proceso forense de acuerdo al
enfoque y alcance de la investigación.
3. Elegir la metodología de investigación: para llevar a cabo una creación de
hipótesis, definición de línea de tiempo y técnicas de investigación según el caso
a investigar, si es informático u ocupacional.
4. Elegir la metodología forense: de acuerdo al caso a investigar, elegir una
adecuada metodología forense que permita abarcar las fases necesarias para
cumplir con los objetivos de la investigación.
5. Definir los entregables: identificar qué elementos se deben tener al final del
proceso para darlos a conocer a las partes interesadas.
6. Definir el propósito final: si la investigación tiene como propósito investigar un
caso para tener puro conocimiento o para presentarlo en un proceso legal con el
objetivo de reparar a las víctimas y judicializar los responsables.

La investigación, que puede ser de un fraude o un evento sobre el cual se quiera tener
conocimiento, envuelve el proceso forense, por ello es importante entender que el análisis
forense digital no supone el proceso completo de investigación, sino que hace parte de
otro proyecto que inicia con el objetivo precisamente de investigar un acontecimiento de
interés.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 61
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

ANÁLISIS PRELIMINAR AL PROCESO FORENSE

Una vez que se planee el proceso forense y teniendo en cuenta que todo nace de la
necesidad de la investigación de un acontecimiento, se procede a realizar el análisis
preliminar que comprende las siguientes actividades:

1. Detección inicial del incidente: en algún momento, dentro de un programa de


gestión de incidentes, se debe dar cuenta la organización que ha sido víctima de
un incidente, por ejemplo, de un fraude. El equipo de trabajo debe analizar el
incidente desde el punto de vista detectivo, estar conscientes de que ha sucedido,
que es real y que hay que darle un tratamiento.
2. Respuesta inicial: aquí es donde se identifica la naturaleza del incidente, se
comunica a todas las partes interesadas sobre su acontecimiento y se determina
qué personas van a atenderlo.
3. Formulación de la estrategia para su respuesta: una vez se ha comprobado
que es real el incidente, cuando se ha determinado su naturaleza y cuando se ha
reunido el equipo de gente para atenderlo, se procede con la contención del
mismo, inhabilitando su ejecución continuada y formulando al mismo tiempo la
estrategia donde el primer paso es la creación de la hipótesis, asignación de
prioridad de atención, criticidad y definición de acciones en el ámbito técnico y
legal.

Una vez se ha realizado el análisis preliminar, se decide también si continuar con el


proceso forense con enfoque legal, que comprenderá el decomiso, adquisición y
preservación de evidencia para su posterior investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 62
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

ACCESO A LA EVIDENCIA DIGITAL

Es la actividad dentro de muchos modelos de investigación forense que pretende preparar


a los peritos forenses en el acceso a las localidades donde se encuentra la evidencia
digital. El primer paso a verificar en esta actividad se encuentra en diferenciar si la
localidad es:

1. Un espacio privado: si hace parte de una organización y si está correctamente


delimitado el espacio como privado para acceso al público en general o solamente
para personal autorizado.
2. Un espacio público: si hace parte de una entidad de gobierno de carácter
público, con o sin acceso restringido.

Una vez determinada la clase de localidad se procede a evaluar las características del
espacio en cuanto a:

1. Tamaño: para determinar qué tan esparcida puede estar la evidencia en el lugar
de trabajo del perito forense al momento del decomiso.
2. Cantidad de personas alrededor: para determinar cuál puede ser el impacto y
la reacción de las personas que están a su lado al momento del decomiso de la
evidencia.
3. Salidas de emergencia: para determinar las posibles vías de escape ante una
eventual presión descontrolada por parte de la persona a la que se le hace el
decomiso de la evidencia.
4. Protección: para determinar si es posible atender por parte del equipo de
seguridad un evento de violencia al momento del decomiso.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 63
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Vigilancia: para determinar si la zona donde se llevará a cabo el decomiso de la


evidencia cuenta con cámaras de seguridad y si estas están dando cobertura al
espacio de trabajo donde se encuentra la persona objetivo del decomiso.
6. Conectividad: para determinar si el espacio objeto del decomiso tiene tomas de
corriente, conexión wifi o por cable para poder proporcionarle al perito forense la
conectividad necesaria para sus equipos de cómputo forense y herramientas de
software.

Cuando se tienen en consideración los puntos anteriores, se está anticipando el momento


en el cual se requiere hacer la adquisición de dicha evidencia, poniendo en frente todo el
conocimiento de la escena del crimen para dejar menos posibilidad a que se presenten
hechos no planeados.

AUTORIZACIÓN PARA EL ACCESO A LOS ACTIVOS

Una vez identificados los posibles activos a los que se tendrá acceso, antes de realizar el
proceso de adquisición, se deberá tramitar la autorización para el proceso de decomiso y
acceso a los mismos.

Un activo de información como un disco duro contiene no solo datos de la organización,


sino que también podría contener datos personales de la persona a cargo de su
operación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 64
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Los investigadores, por lo general externos, deben haber completado primero estos pasos
antes de acceder a cualquier activo:

1. Registro del investigador como proveedor: invitar a todos los terceros a que
diligencien el formulario de registro como proveedor, permitiendo así el análisis de
cumplimiento de requisitos legales del comerciante para ejercer su actividad en el
mercado.
2. Firma de documento de confidencialidad: para que los investigadores tengan
la obligación de guardar secreto sobre los datos encontrados en los activos de
información y no pasarlos a terceros o hacer uso indebido de los mismos para
propósitos personales.
3. Firma de documento de retorno y destrucción de datos: los peritos forenses
e investigadores, para su trabajo, necesitan realizar copias de las evidencias
originales. Es importante que exista un documento firmado donde estos terceros
se comprometan a entregar un certificado de destrucción de datos y de retornar
cualquier activo físico que hayan usado para la labor y que sea propiedad de la
compañía.
4. Firma de documento de uso legal de software y hardware: un documento que
permita asegurarse de que la compañía tiene intenciones de respetar el uso del
software y hardware y que propende porque todos en el proyecto usen
herramientas correctamente licenciadas y legales para la labor. A este documento
se debe añadir el certificado de cada licencia.
5. Firma de documento de seguridad social: todos los terceros deben tener un
seguro adecuado para la prestación de sus servicios que permita cubrirlos ante
un accidente laboral.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 65
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Adicionalmente la organización deberá proactivamente realizar estas actividades al


momento de conocer quienes atenderán el incidente, antes de dejarles tener acceso a
los activos de información:

1. Debida diligencia: donde la compañía investigue las listas públicas y a través de


terceros a cada persona involucrada en la investigación. Si la empresa no lo hace,
la contraparte lo hará y encontrará cualquier impedimento o elemento que permita
desacreditar al equipo de investigadores.
2. Conflictos de interés: cada persona debe declarar que no tiene ningún conflicto
de interés ni alguna relación personal o familiar con el objetivo investigado.

Una vez completadas las actividades se podrá proceder con la adquisición de la evidencia
digital en la escena identificada en pasos anteriores.

APROXIMACIÓN ESTRATÉGICA

Esta fase fue diseñada para maximizar la adquisición de evidencia al mismo tiempo que
se minimiza su contaminación. Consiste en anticiparse a la situación de decomiso y
adquisición de la evidencia identificando previamente en qué momento se puede
encontrar evidencia de calidad, por ejemplo, suponiendo que el caso investigado trata de
colusión en la contratación de bienes y servicios, el mejor momento para hacer un
decomiso de activos de información es precisamente cuando acabe de terminar la
negociación de un bien o servicio que se sospeche puso haber sido afectado por el fraude
de la colusión entre proveedores y el cliente contratante.

Otras técnicas de aproximación estratégica consisten en realizar investigaciones


preliminares, indagando a través de una auditoría sorpresiva y poniendo atención en los
puntos donde puede encontrarse evidencia de calidad para que después de ello se
proceda a realizar el proyecto de investigación forense.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 66
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

IDENTIFICACIÓN DE ACTIVOS DIGITALES Y FÍSICOS

Con el departamento de recursos humanos se debe indagar sobre los activos que están
a cargo del investigado en tres diferentes momentos en la relación laboral o contractual:

1. Al momento de firmar contrato: en el momento en que la persona investigada


es contratada y se le entregan para su uso activos informáticos que empezará a
utilizar para el desarrollo de su labor.
2. Durante el contrato: en aquellos momentos en donde la persona investigada
haya recibido activos para complementar el trabajo o le hayan sido reemplazados
por otros.

Estar al tanto de los activos que posee el empleado es de vital importancia para seguir
avanzando en las siguientes fases de adquisición, reconocimiento e individualización.

ADQUISICIÓN DE LA EVIDENCIA DIGITAL

Una vez se tiene identificado el espacio público o privado y las diferentes condiciones
ambientales del entorno, se procede primero, antes de ir por la evidencia digital, realizar
lo siguiente:

1. Identificación: donde se tendrá con anticipación una idea de qué se puede


encontrar en el lugar del decomiso de la evidencia en cuanto a activos de
información, para que el perito forense proactivamente prepare su hardware y
software para la clonación de dichos activos.
2. Caracterización: una vez se tenga identificado plenamente cada activo de
información, se procede a clasificarlo. Hay ítems que pueden pertenecer de forma
mixta al empleado y a la compañía, por ejemplo, los equipos celulares, donde el
plan y el equipo son de la compañía, pero también es de uso personal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 67
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Legalización: donde se indagará si el activo de información fue legalmente


adquirido por la compañía. Si se tratase de un computador, la contraparte
preguntará por la procedencia del mismo, si fue adquirido ilegalmente será un
punto en contra de la investigación.

Al terminar de identificar y clasificar con anticipación los activos de información que se


pudieran encontrar, se procede a su adquisición así:

1. Grabación de la escena en video y fotos: desde el momento en que se reúne


el equipo de trabajo dirigiéndose a la escena hasta el momento en que termina
toda la labor de decomiso y/o adquisición, se deberá filmar todo lo ocurrido para
que quede evidencia de todo lo que suceda en el entorno donde se está llevando
a cabo la actividad.
2. Extracción de activos de información: si el activo se encuentra embebido,
incrustado o localizado al interior de otro elemento, el perito forense deberá
extraerlo, por ejemplo, un disco duro.
3. Clonación de la evidencia original: el perito deberá clonar la evidencia original
en presencia de todos los testigos, incluyendo el notario, generando tantas copias
como sea necesario de acuerdo a la capacidad del equipo del perito forense.
4. Toma de sumas de verificación: en presencia del notario y los demás testigos
en la escena, el perito deberá computar sumas de verificación MD5 y SHA-256
que identificarán de forma única la integridad de los datos en el medio de
almacenamiento.

Al terminar estos procedimientos seguirán otras etapas, como la preservación de la


evidencia y cadena de custodia, que se verán en las siguientes láminas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 68
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

RECONOCIMIENTO DE LOS ELEMENTOS

Cuando se identifiquen y caractericen los activos de información, estos deben pasar por
la etapa del reconocimiento. Que estén plenamente identificados no significa que las
personas del equipo de investigación conozcan su funcionamiento y estén capacitados
para su manejo.

Es de vital importancia que se produzca una base de datos de conocimiento en esta etapa
forense, donde todos los involucrados tengan conocimiento de:

1. Descripción técnica: al momento de adquirir el activo de información qué datos


técnicos acompañaban el producto, como tamaño, color, serial, modelo,
capacidad, entre otros.
2. Composición: qué elementos conforman el activo de información, si es un disco
duro, describir los elementos internos, como platos magnéticos, cabezales y
tarjetería electrónica.
3. Uso: para qué se incluyó este elemento en el mercado, cuáles son sus usos
comunes y exactamente para qué se usaba en las instalaciones de la compañía.

Y así poder responder preguntas básicas de la contraparte cuando sean cuestionados


por la naturaleza de los activos decomisados en el proceso forense.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 69
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INDIVIDUALIZACIÓN DE LOS ACTIVOS

Esta es la etapa donde se separan todos los activos de información de otros elementos
que puedan entorpecer o complicar la investigación forense. La acción de individualizar
un activo supone lo siguiente:

1. Separar los medios de almacenamiento de su chasis o empaque: si se trata


de un disco duro, realizar la extracción de su chasis o empaque y dejarlo
preparado para ser empaquetado como se explicará en la siguiente fase.
2. Desconectar ítems que puedan contener huellas: dispositivos como el teclado
y el mouse pueden contener huellas importantes que respondan a las preguntas
de la contraparte como: ¿Asegura usted que mi defendido usaba ese
computador?
3. Empacar en contenedores todos los activos por separado: como cada
evidencia debe tener su propia cadena de custodia, es importante no combinar
por ejemplo un teclado con un disco duro y decir que se trata de la evidencia, sino,
cada ítem separarlo y empacarlo de forma individual como se explica en la
siguiente fase de recolección.

Realizando la individualización de los activos se podrán señalar las características de


cada uno de manera más precisa sin hacer combinaciones con otros componentes que
puedan entorpecer al final la cadena de custodia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 70
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

RECOLECCIÓN DE EVIDENCIA DIGITAL

Esta fase tiene que ver con la forma de recolectar los activos de información en la escena
del decomiso y/o adquisición de evidencia. Para propender por una adecuada admisión
de los elementos objeto de investigación, el perito forense, en conjunto con los
investigadores, deberán tener los siguientes cuidados al momento de la recolección de
evidencia digital:

1. Usar protección contra la energía estática: los componentes informáticos


pueden sufrir daños a través de las descargas eléctricas que son generadas por
la estática en nuestro cuerpo, por ello es de vital importancia que el perito forense
tenga una manilla anti-estática cuando esté manipulando la evidencia.
2. Usar bolsas anti-estáticas: la evidencia debe ser almacenada en bolsas anti
estáticas, una por una, con el fin de protegerla de descargas eléctricas que
puedan ocasionar algún daño en sus componentes electrónicos.
3. Usar stickers de seguridad: cuando se embale la evidencia en las bolsas, éstas
pueden abrirse fácilmente y personas inescrupulosas podrían empaquetar allí otra
clase de ítem, por ello, es importante usar stickers de seguridad que cuando sean
retirados dejen una marca imposible de quitar y así saber si fueron abiertas o no.
4. Usar etiquetas: una vez se tengan las bolsas y la evidencia empaquetada en
cada una de ellas, se debe etiquetar una por una con un código definido por el
perito forense.
5. Fotografiar los elementos: los activos de información deben ser fotografiados
en la escena al momento inicial, cuando son extraídos, cuando son clonados y
cuando son empaquetados en las bolsas antiestáticas de tal forma que se
observen sus seriales y componentes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 71
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PRESERVACIÓN DE LA EVIDENCIA DIGITAL

En esta fase se llevará a cabo el proceso de cadena de custodia, que demostrará a los
interesados el tratamiento de protección y preservación que se le ha dado a la evidencia
digital original en el proceso forense. El procedimiento que se deberá seguir es el que se
indica a continuación:

1. Formato: todo se documentará y se deberá tener un formato que permita anotar


lo necesario. En este mismo curso hay adjunto un formato y cadena de custodia
que se puede utilizar en el proceso forense.
2. Diligenciamiento: se debe definir un principal responsable para diligenciar el
documento de cadena de custodia, que tendrá los cuidados para no realizar
tachones ni enmendaduras.
3. Conocimiento: se debe conocer en detalle el caso que se está investigando y
qué conductas se están persiguiendo.
4. Aseguramiento: el lugar del decomiso se debe asegurar, no dejar entrar a otras
personas, ni amigos ni curiosos.
5. Valoración: se deben identificar previamente todos los elementos materiales
probatorios que puedan ser objeto de la investigación.
6. Documentación de la escena: se debe documentar el lugar de los hechos con
fotografías, videos y descripción de todo lo encontrado.
7. Documentación: aquí es donde inicia la creación del documento de cadena de
custodia donde se caracterizan e individualizan los elementos extraídos.
8. Clonación de evidencia: donde el perito forense realiza las copias espejo para
proporcionarle a los investigadores los medios para realizar su trabajo.
9. Embalaje: aquí es donde se rotula y se hace el sellado del material probatorio
previo a su transporte.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 72
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

10. Transporte: la última actividad de la cadena de custodia, donde se debe mover


la evidencia de un sitio a otro para su custodia. En el documento de cadena de
custodia se plasman estos movimientos, documentando quién entrega, quién
recibe, las aperturas, nuevos embalajes y salidas del material probatorio.

En los próximos capítulos en este mismo curso se abordará la cadena de custodia como
tema para hacer énfasis, lo importante en esta fase es comprender por el momento que
la preservación de la evidencia digital se lleva a cabo mediante la cadena de custodia.

TRANSPORTE Y ALMACENAMIENTO DE LA EVIDENCIA

En esta fase se debe diferenciar primero qué evidencia debe ser transportada para
custodia y cuál debe ser transportada para análisis. La evidencia a ser transportada para
custodia es la que debe ser documentada en cadena de custodia y serán siempre los
ítems originales encontrados en la escena.

La evidencia a ser transportada para análisis es aquella que fue clonada por el perito
forense también en la escena y que a pesar de que es una copia idéntica, no puede ser
considerada original porque no reside en los medios físicos usados en la escena.

Para el transporte de la evidencia se deben tener en cuenta los siguientes aspectos:

1. Debe ser oportuno: debe transportarse en el momento deseado para que se den
las condiciones favorables, en los vehículos o medios adecuados.
2. Debe ser rápido: los elementos materiales probatorios deben ser trasladados lo
más rápido posible, evitando así dar cabida a que la contraparte use los largos
intervalos de tiempo que pudieran existir entre el decomiso y el transporte para
crear historias de posibles intercambios y falsificación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 73
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Para el almacenamiento de la evidencia se deben tener las siguientes consideraciones,


ya sea que se almacene en las mismas instalaciones de a la compañía o en las de un
tercero:

1. Infraestructura: que las instalaciones sean adecuadas para guardar elemento


material probatorio y garanticen que tienen como propósito almacenar ítems que
sean activos de información.
2. Delimitación: el lugar donde se almacene el elemento material probatorio debe
contar con delimitaciones, es decir, que se pueda identificar el lugar donde se
encuentran los ítems y no tener que buscarlos entre un montón de materiales sin
clasificar.
3. Oficina administrativa: el lugar debe contar con una oficina además del lugar de
almacenamiento, para que las personas gestionen allí la entrega y recepción del
elemento material probatorio y no directamente en la puerta de la bodega o caja
fuerte.
4. Ambientales: deben garantizar que las condiciones de humedad, temperatura,
luz y limpieza sean los adecuados para no dañar elementos materiales probatorios
y que los instrumentos de medición se mantengan debidamente calibrados.
5. Vigilancia: el lugar debe estar vigilado las 24 horas por personal de seguridad y
al mismo tiempo debe contar con cámaras de seguridad que permitan más
adelante buscar tiempo atrás las grabaciones desde el momento que entró la
evidencia hasta que salió.
6. Registro: el lugar debe registrar correctamente la hora y fecha de entrada y salida
de los elementos materiales probatorios.
7. Custodio: debe estar plenamente identificado el custodio, sea una empresa o
persona natural, quien se encargará de defender las medidas de seguridad
impuestas sobre los elementos materiales probatorios para su protección.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 74
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

8. Alimentos: se debe prohibir fumar, comer y beber en el área administrativa y de


almacenamiento de los ítems.
9. Roedores y plagas: el control de esto debe estar debidamente documentado
para asegurar que se llevan a cabo fumigaciones que propenden por el cuidado
de los elementos en custodia.
10. Energía: en caso de un corte de energía el lugar debe contar con un suministro
alterno que permita mantener las condiciones de luz, humedad, temperatura y
limpieza adecuados.
11. Acceso: deben implementarse mecanismos de seguridad para prevenir el acceso
no autorizado y robo de los elementos materiales probatorios.
12. Extintores: el lugar de almacenamiento debe contar con extintores adecuados y
personal que esté entrenado en su uso.

Otros elementos pueden agregar valor al lugar de almacenamiento, como tener


certificación del edificio contra temblores de tierra, huracanes, áreas de cuarentena, entre
otros, que permitan asegurar aún más los elementos materiales probatorios.

CREACIÓN DE LA HIPÓTESIS DE LA INVESTIGACIÓN

Anticipando el proceso forense, los investigadores de fraude deben ir creando las


hipótesis del caso investigado, de tal manera que de los caminos a su resolución vayan
surgiendo ideas que permitan ampliar el espectro de posibilidades en cuanto a
adquisición de evidencia digital de varias fuentes.

Todo el equipo investigador debe tener un pensamiento crítico que asegure que todas las
opciones, incluyendo la posibilidad de inocencia del presunto perpetrador, esté encima
de la mesa.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 75
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La elaboración de muchas hipótesis permite abarcar un gran rango de posibilidades para


la adquisición de evidencia, sin embargo, es importante que muchas de estas hipótesis
se vayan depurando entre el equipo de investigadores para enfocarse en aquellas más
racionales.

INVESTIGACIÓN DE LA HIPÓTESIS

Una vez se tengan las hipótesis del acontecimiento depuradas, se deberán tener en
cuenta ciertos aspectos que ayudarán a su resolución:

1. Asuma que terminará en litigio: cada investigación debe iniciar pensando con
que el caso terminará en litigio. Desde el principio hasta el final de la investigación
debe mantenerse esta premisa y esto permitirá que el investigador conduzca la
examinación de acuerdo a reglas apropiadas del tratamiento de la evidencia y
cada acción sustentada en un marco legal.

2. Actuar en el predicado: sin importar qué tipo de investigación sea, debe


adherirse a la ley y conducirla con un predicado apropiado. El predicado es la
totalidad de circunstancias que llevan a una razonable, profesional y prudente
creencia de que un fraude ocurrió o que ocurrirá. Si se actúa sin un predicado,
puede estar efectuando una investigación sin fundamento y verse envuelto incluso
en problemas legales.

3. Tener dos perspectivas: los investigadores deben actuar teniendo dos


perspectivas (1) probar que el fraude ocurrió (2) probar que el fraude no ocurrió.
La razón detrás de éstas dos perspectivas está en que ambos lados deben ser
examinados porque no necesariamente las investigaciones se realizan sobre
hechos que sucedieron sino sobre aquellos que no sucedieron.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 76
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Moverse de lo general a lo específico: las investigaciones comienzan cuando


los hechos son desconocidos. El examinador debe abordar primero la información
general que es conocida y luego ir por aquella que se desconoce y pueda ser más
difícil de conseguir, por ejemplo, primero realizar entrevistas a testigos neutrales,
luego a las partes implicadas y finalmente al principal sospechoso.

5. Usar la teoría del triángulo del fraude: cuando se conduce una investigación,
debe tener en cuenta la teoría del Triángulo del Fraude y adherirse a una
metodología para abordarlo siguiendo estos pasos:

a. Analice la información disponible: Al iniciar el caso, siempre se debe


solicitar información previa.
b. Cree una hipótesis: con la información previa se debe construir la
hipótesis preliminar de la ocurrencia del fraude.
c. Poner a prueba la hipótesis: se debe crear escenarios tipo "que pasaría
sí" y pensar en qué pudo o no pudo suceder.
d. Consolidar la hipótesis: el fraude que no pueda ser probado no existe,
se debe probar que la hipótesis sucedió.

Siempre se debe actuar basado en la premisa de que el caso terminará en litigio, de tal
forma que se dé por sentado que cada acción que se ejecute deberá ser sustentada y
explicada en un proceso legal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 77
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

REVISIÓN DE LA EVIDENCIA DIGITAL

Esta fase se refiere a prestar atención y cuidado a los elementos materiales probatorios
que se adquirieron o decomisaron para analizarlos en el laboratorio forense. Es
importante en la fase de revisión asegurarse que:

1. La evidencia no fue alterada: verificar todo el proceso llevado a cabo e identificar


posibles momentos en los que alguien pudiese haber contaminado o cambiado la
evidencia.
2. La evidencia a analizar es copia de la original: verificar antes de iniciar el
procesamiento forense que las copias de las evidencias tienen las mismas sumas
de verificación para asegurar su integridad y exacta información.
3. Los seriales corresponden con los anotados: verificar en las hojas de la
cadena de custodia que los seriales correspondan, sin tachones ni
enmendaduras.
4. Las fotos corresponden: verificar que las fotos de la evidencia original
correspondan con la real evidencia, analizando incluso sus metadatos para que el
lugar, fecha y hora correspondan con el momento en que se realizó la adquisición
o decomiso.

Iniciar el proceso de examinación y análisis de la evidencia sin realizar su apropiada


revisión puede conducir al desarrollo de un arduo trabajo que al final se consideraría
perdido por no tener el cuidado de verificar lo que puede parecer obvio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 78
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

EXAMINACIÓN DE LA EVIDENCIA DIGITAL

Esta fase tiene como objetivo la reducción del volumen de datos, enfocándose en
aquellos que puedan contener evidencia relevante para la investigación. Los peritos
forenses informáticos deben separar datos de sistema operativo en cuyo análisis no
brinde información de valor para posteriores fases como el análisis y búsqueda.

Algunos softwares forenses cuentan con una base de datos que brinda elementos
conocidos que se pueden excluir del análisis, ahorrando tiempos de procesamiento y
búsqueda. Ejemplos de datos que deberían ser excluidos son:

1. Binarios del sistema operativo: se deben excluir los binarios legítimos del
sistema operativo para evitar su análisis por parte de los equipos de cómputo en
el laboratorio forense.
2. Binarios de software de ofimática: se deben excluir los programas ejecutables
de Word, Excel, PowerPoint y cualquier otro paquete instalado en los activos que
se están examinando.
3. Bases de datos de ejemplo: el sistema operativo y algunos softwares manejan
sus propias bases de datos, estas deben excluirse siempre y cuando sean
legítimas y no estén siendo usadas para camuflar datos.
4. Librerías: software de terceros que sirven de apoyo al software principal deben
excluirse para evitar consumir potencia de procesamiento en el laboratorio
forense.

Una vez se depuren los datos y se reduzca su volumen, se podrán enfocar mejor los
recursos de CPU y tiempo de los activos en el laboratorio forense, procesando y
analizando así más datos relevantes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 79
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

BÚSQUEDA E IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL

Esta fase tiene como objetivo buscar dentro del mar de datos de los activos de
información decomisados o adquiridos en las fases anteriores, todo aquello que pueda
representar una potencial fuente de información que pueda ser usada en el caso
investigado.

Inicialmente el investigador forense debe buscar y catalogar la posible evidencia, pero sin
analizarla aún, ya que el proceso de análisis se llevará a cabo por investigadores
especializados en la materia del suceso, por ejemplo, un profesional en salud, un
contador, abogado, entre otros.

En este proceso de búsqueda e identificación, el perito forense deberá realizar las


siguientes acciones:

1. Buscar y marcar documentos: el perito forense buscará en todos los


dispositivos de almacenamiento documentos de ofimática y los clasificará.
2. Buscar bases de datos: algunos programas manejan sus propias bases de
datos, el perito forense informático puede buscarlas, catalogarlas y ponerlas a
disposición del investigador.
3. Buscar historial de navegación: los navegadores guardan caché e historial de
navegación, con esto se podría reconstruir el accionar del presunto perpetrador
en internet.
4. Buscar volcados de memoria: en los medios de almacenamiento pueden residir
segmentos de memoria que alguna fueron volcados y estos podrían contener
información invaluable para reconstruir.
5. Buscar datos de uso reciente: en el sistema operativo y software usado por el
presunto perpetrador, buscar los archivos recientes y marcarlos para posterior
análisis.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 80
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El objetivo final del perito forense informático es entregarle datos de valor clasificados al
investigador especializado en la materia del caso, para que éste pueda aplicar sus
conocimientos en auditoría a los elementos ya clasificados.

ANÁLISIS DE LOS DATOS DE LA EVIDENCIA

Esta fase tiene como propósito analizar cada uno de los datos clasificados por el perito
forense en la fase de búsqueda e identificación, donde ya se tienen catalogados y
separados del mar de datos que reside en los activos de información.

En esta fase el investigador especializado debe contar con una interfaz de software que
le permita visualizar los ítems marcados por el perito forense e ir señalando segmentos
que quiera subrayar para la investigación en curso.

Si el investigador encuentra que pueden existir más datos en otro lugar, de acuerdo a lo
analizado, le hace la solicitud al perito para que los busque de acuerdo a patrones
entregados por el mismo y vuelve nuevamente el ciclo de búsqueda e identificación.

EVALUACIÓN DE LOS DATOS ADQUIRIDOS

Después de analizada la evidencia marcada por el perito forense informático, el


investigador de fraude debe evaluar si cada segmento subrayado inicialmente no solo es
de relevancia, sino que aporta a la solución de la hipótesis.

El grupo de trabajo se reunirá y evaluará en conjunto estos segmentos para ir


construyendo el predicado de la investigación e ir compartiéndolos a otros grupos de
interés, como abogados y especialistas en la materia investigada.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 81
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La fase de evaluación se diferencia de la anterior (análisis) en que ésta se centra en


aceptar o descartar definitivamente si los datos clasificados por el perito sirven para la
investigación, en cambio, en el análisis, e investigador está meramente examinando los
datos para subrayar segmentos que pudieran ser evaluados más adelante.

Es importante hacer una correcta separación entre estas dos fases, de análisis y
evaluación, para que el tiempo de examinación de toda la evidencia se agilice y se logren
abarcar más ítems al trabajar en paralelo.

ADMISIÓN DE LA EVIDENCIA DIGITAL

No toda la evidencia presentada en la corte es admisible (y dependerá del juez, su


jurisdicción y tipo del sistema de leyes usado), para que lo sea, debe cumplir con ciertos
requerimientos generales:

1. Relevancia: que la evidencia presentada esté directamente relacionada con el


caso y pretenda demostrar los elementos esenciales de la ofensa.
2. Autenticidad: que la evidencia ha sido generada y registrada en el lugar de los
hechos y que no ha sido alterada.
3. Confiabilidad: que la evidencia proviene de fuentes o medios creíbles y
verificables.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 82
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Hay ciertas reglas en la presentación de la evidencia que si no se siguen pueden ser


usadas para excluir su presentación:

1. En contra del carácter: si la evidencia trata de probar la honestidad, el cuidado


o la cobardía, podría ser excluida de un caso.
2. En contra del testimonio: Si un testigo sobrepasa la descripción de los hechos
y entra en el ámbito de opinión, ésta podría ser descartada. Sólo los testigos
expertos podrían dar opiniones sin temor a no ser considerados.
3. Requerimiento de autenticación: Si la evidencia no ha sido autenticada, no
importa si es relevante, podrá ser descartada.
4. La mejor evidencia: si no se presentan los medios originales (la mejor evidencia),
la evidencia podrá ser descartada.
5. Los rumores: en general, éste clase de comentarios no son aceptados en las
cortes, pero los jueces pueden escucharlos apelando al derecho de conocimiento
indirecto de los hechos, bajo juramento.

Se podría decir entonces que se deben seguir estas recomendaciones para presentar
elemento material probatorio que sea admisible en la corte:

1. Presentarla como real, en su ubicación original: en disco duro, CD-ROM, el


mismo computador, los dispositivos de red, entre otros.
2. Que sea de tipo directa: que en la evidencia digital se encuentre toda la
información que pruebe de forma directa el hecho en la corte, que exista allí en su
totalidad y no queden espacios para sospechar que la falta de información puede
desmentir los hechos.
3. Que sea relevante: que la evidencia contenga los datos en relación al caso. Que
no se desvíen tratando de demostrar otros hechos no tratados en el juicio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 83
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Autenticar la evidencia digital: Este es el punto donde más se rechazan las


evidencias presentadas como digitales. Para autenticar la evidencia digital se
puede:

a. Presentar declaraciones juramentadas de testigos que estuvieron en el


lugar de la adquisición de la evidencia.
b. Certificar las firmas digitales con un notario que esté presente en el lugar
de adquisición de las evidencias. Este procedimiento se conoce como acta
de presencia notarial.
c. Si solo se cuenta con testigos, deberá haber entre ellos algunos que
sean imparciales, como un abogado externo.

5. Demostrar confiabilidad: que pertenezca al individuo que está siendo


investigado y no de lugar a pensar que la evidencia digital pertenece a otra
persona.
6. Evitar las opiniones y rumores: Al testificar sobre la adquisición de la evidencia,
se deben evitar juicios sobre el carácter de la persona, evitar dar opiniones y
rumores.
7. Presentar una cadena de custodia: Documentada y autenticada al inicio, que
demuestre la correcta manipulación de la evidencia original hasta ser producida
en el juicio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 84
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La causa más común en el rechazo de las evidencias digitales obedece a la falta de


cuidado al momento de autenticarla y de llevar una correcta cadena de custodia. Se corre
un alto riesgo de perder todo el trabajo en la presentación de la evidencia digital sí:

1. No se autenticó la evidencia con su firma digital MD5/SHA al momento de la


adquisición (no después).
2. Si la cadena de custodia muestra que la evidencia original no fue almacenada de
forma correcta.
3. Si la cadena de custodia muestra que hubo parcialidad al momento de mover la
evidencia de un sitio a otro, más aún cuando no fue autenticada su firma digital
(Checksum) al momento de adquirirla.

ALMACENAMIENTO HISTÓRICO DE DATOS

Es la fase en la que se buscará almacenar todo el material encontrado como elemento


material probatorio para futuros análisis por parte de otros investigadores que deseen
examinar la información con estos propósitos:

1. Una investigación re-abierta: investigadores internos y externos podrían solicitar


el acceso a la evidencia, a las copias o resultados de la investigación con el
objetivo de contra-demandar o demandar a la organización que llevo a cabo el
análisis forense o al sujeto investigado. Por ello es importante propender por tener
preparados los mecanismos de acceso a los datos que garanticen un acceso
limpio y sin afectar su integridad.
2. Como base de conocimiento: para que en futuras investigaciones se puedan
tomar como referencia los logros, procedimientos, metodologías y objetivos de
cada investigación forense en una organización.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 85
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Si bien la evidencia original debe ser retornada, las copias del proyecto forense en cuanto
a ítems marcados como relevantes y su descripción deben ser almacenados para futuros
accesos y proveer los mecanismos para ello sin que suponga un desbarate de la cadena
de custodia.

INVESTIGACIÓN FÍSICA DEL CRIMEN

A veces, aunque se hable de evidencia digital, se entiende que ésta reside en elementos
físicos, tangibles por el ser humano y como tal también debe ser analizada en ese ámbito.
Algunas de las situaciones en las que los peritos e investigadores requieren realizar
examinaciones físicas son:

1. Cuando hay que levantar huellas: en el caso donde se tenga que demostrar que
la persona sí hizo uso de los activos a través del teclado, mouse, pantalla táctil o
directamente manipulándolos con sus manos.
2. Cuando hay que levantar documentación: en el caso en donde en sitio se
encuentren documentos u hojas impresas que deban ser decomisadas para su
análisis. Casos donde se investiga físicamente un fraude podría ser el de
falsificación de firmas en cheques, donde el investigador debe recaudar cheques
en sitio en conjunto con otros tipos de evidencia.

Términos como EF (Evidencia Física) se pueden escuchar comúnmente en los diálogos


de los peritos forenses al hablar de elementos que, si bien son físicos y tangibles, pueden
contener datos lógicos e intangibles.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 86
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INVESTIGACIÓN DIGITAL DEL CRIMEN

Investigaciones físicas se pueden llevar a cabo sobre documentos y elementos recogidos


en la escena del crimen. Cuando se trata de un activo de información, la investigación
que se debe conducir en ese ámbito es digital.

Las investigaciones en este ámbito requieren del acompañamiento de un perito forense


informático que tenga conocimientos avanzados en el manejo de sistemas operativos y
aplicaciones en general que le permita poder focalizar la investigación en aquellos
elementos relevantes para el desarrollo de la hipótesis.

Si se trata de un evento de fraude de índole técnico, como el acceso no autorizado a una


base de datos, se requiere además que el perito forense o el proveedor de los servicios
forenses, cuente con personal experto en la materia, en este caso, en bases de datos,
para igualar o superar el conocimiento del perpetrador y poder encontrar las técnicas y
metodologías usadas para cometer el ilícito.

DESPLIEGUE DE HERRAMIENTAS DE SOFTWARE

Esta es la fase en la que el perito forense primero realiza un inventario de las herramientas
en software y hardware que va a utilizar en los diferentes momentos en que se requiere
su actuación, como lo son:

1. En la adquisición de evidencia: donde el perito forense lleva las licencias del


software para la clonación y la realización de sumas de verificación, así como lleva
consigo herramientas de hardware llamadas “bloqueadores de escritura” que
permiten conectar físicamente la evidencia original para sacarle una copia sin
riesgo de escribir accidentalmente en ella.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 87
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

2. En el procesamiento de evidencia: donde el perito forense lleva consigo el


software forense para poder indexar todos los elementos de la evidencia digital y
organizarlos en una base de datos para posterior consulta. En algunas ocasiones
la evidencia requiere ser procesada con más de un aplicativo, sobre todo cuando
el perito se encuentra con ítems que son propietarios y que requieren de alguna
aplicación especial para su acceso. En este caso, el perito forense deberá adquirir
las licencias para dicho procesamiento y documentar la necesidad del uso de las
mismas.

Tener claro el despliegue de herramientas de software y hardware servirá para tener un


inventario de todo lo utilizado en el proceso forense por parte de personal interno y
externo. Al mismo tiempo, a este inventario de herramientas, se debe prestar especial
atención a todo su licenciamiento y permiso de uso.

DETECCIÓN DE EVENTOS

Fase muy importante en la cual se pueden marcar los hitos de las acciones que dieron
lugar al fraude o circunstancia investigada. Durante esta actividad se llevan a cabo
labores de búsqueda en todo el mar de datos para determinar en qué momento pudo
haber iniciado el acontecimiento de eventos que dieron lugar al tema investigado. El perito
forense junto con las necesidades de los especialistas, deben propender en esta fase por:

1. Barrer fechas: aquí se empieza a buscar los eventos en las fechas determinadas
por los investigadores, tratando de hacer un inventario de todo lo sucedido en un
intervalo de tiempo cerrado.
2. Indagar tiempo atrás: ubicarse en la fecha determinada e ir hacia atrás buscando
el origen de los eventos reportados en fechas más antiguas hasta dar con la fecha
de inicio de las actividades investigadas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 88
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Encontrar nuevas fechas: indagando tiempo atrás y tiempo adelante se pueden


encontrar otras fechas en las que se pudo desarrollar el acontecimiento, de tal
manera que el investigador tenga varios frentes de análisis en cuanto a eventos.

Esta fase se complementa con otras fases de relevancia como el análisis cronológico de
la línea de tiempo y la trazabilidad de eventos, donde cada una de ellas aportará a la
metodología datos de relevancia específica para la investigación.

DISEMINACIÓN DE INFORMACIÓN

Esta fase es en la cual se realizan todas las acciones para transmitir toda la información
del caso a las partes interesadas. En un proyecto de investigación forense, en el
transcurso de las actividades, los siguientes actores deberían estar recibiendo datos
constantemente acerca de su avance:

1. Junta directiva: quienes podrán tomar decisiones de gran importancia e impacto


para la organización.
2. Gerencia General: quien ejecutará las decisiones tomadas en junta directiva
respecto a un tema de gran impacto para la organización.
3. Recursos humanos: quienes velarán por el respeto y el buen accionar de todo
el equipo de trabajo para con los empleados de la organización y darán
recomendaciones sobre la mejor manera de proceder.
4. Equipo legal: los que guiarán a la junta directiva, gerencia general e
investigadores durante y después de la examinación del incidente en términos
legales.
5. Autoridades: a quienes se les deberá reportar si el evento investigado está
tipificado como un delito castigado en el código de procedimiento penal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 89
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El propósito de diseminar la información es el de dar a conocer los hechos relevantes del


acontecimiento investigado a fin de que en el transcurso se tenga una mejor
comunicación entre las partes y toma de decisiones.

DINAMITACIÓN DE DATOS

Aunque su nombre confunda, Dinamitación de datos en el ámbito forense se refiere a


todo el proceso investigativo que esté orientado a la búsqueda de los culpables del
incidente investigado. Los examinadores del fraude dinamitan grandes cantidades de
datos en pedazos pequeños para así examinarlos y determinar si en alguna de ellas
existe un vínculo con alguna persona.

La división o paralelismo en el trabajo de investigación tiene beneficios de reducción de


tiempos y evita la miopía en el desarrollo de las hipótesis de fraude, beneficiando incluso
el resultado final de la labor en juicio al demostrar que no se dejaron por fuera aspectos
clave de los activos de información.

RESPUESTA AL INCIDENTE

Esta es una de las primeras fases que se pueden desarrollar en una metodología de
auditoría forense digital cuando apenas se entera la organización de que es víctima de
un ataque o fraude y quieren realizar acciones de respuesta. En este orden de ideas, se
llevarían a cabo las siguientes actividades:

1. Reunión del equipo de personas: donde se define quiénes atenderán el


incidente y cuáles serán sus roles en el mismo.
2. Identificación de su naturaleza: donde se identifican los sistemas de información
o activos que están siendo impactados de manera inicial.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 90
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Clasificación del incidente: donde se establece, de acuerdo al árbol de fraude


de la ACFE (referencia de ejemplo), qué nombre se le da al acontecimiento del
cual se está sufriendo de manera negativa.
4. Creación de la hipótesis preliminar: donde se generan hipótesis de lo que
puede estar sucedió a fin de poder intentar contener el incidente.
5. Comunicación a las partes interesadas: donde se generan actividades de
propagación de información relevante para la toma de decisiones.
6. Establecimiento de niveles de criticidad: donde se define si el incidente que
están enfrentando tiene un impacto bajo, mediano o crítico para el negocio.
7. Contención del incidente: donde se ejecutan las primeras medidas para frenar
un evento que esté sucediendo, ya sea a nivel informático o físico.
8. Formulación de la estrategia: donde con la información inicial que se obtuvo de
las actividades anteriores, se generan ideas sobre la metodología de investigación
forense para desarrollar las hipótesis.

De una adecuada respuesta inicial al incidente depende el destino de la investigación y


su culminación. Los primeros pasos son fundamentales y cometer un error en las
primeras etapas puede ser más costoso que cometerlo en etapas intermedias o finales.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 91
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CIERRE DEL INCIDENTE

Esta fase da lugar a la toma de decisiones para cerrar el proceso investigativo y


encaminarlo a un proceso legal o archivarlo y catalogarlo como proceso de aprendizaje.
Son varios los factores que pueden incidir en la decisión de llevar el proceso a la corte,
como:

1. Daño ocasionado: dependiendo del impacto que se genere por la materialización


de un fraude, las organizaciones deciden si llevar el proceso a una corte o si
encaminarlo hacia un proceso investigativo de aprendizaje con sanciones
disciplinarias.
2. Reputación: algunos incidentes impactan de manera más negativa que otros la
reputación de una organización. El público espera que las compañías, al verse
afectadas por un fraude, lleven a cabo acciones legales para limpiar su nombre y
resarcir los daños causados.
3. Precedentes: cuando las compañías investigan, pero no castigan, se va creando
un precedente entre los empleados de que el fraude no es castigado y por ende
lo toman como algo normal. Para evitar este pensamiento por parte de empleados,
las compañías deciden tomar acciones legales, así no se recupere o penalice al
perpetrador, pero creando así un precedente de que las conductas deshonestas
son perseguidas, investigadas y penalizadas.
4. Resarcimiento: algunos incidentes representan pérdidas muy grandes para las
organizaciones y el interés principal de llevar la investigación y consolidarla en un
proceso legal es el de precisamente propender por que un juez dicte resarcimiento
a la víctima.
5. Costo: algunas veces el costo de un proceso legal en tiempo y dinero es elevado,
lo que lleva a las compañías a no abordarlos por el desgaste que representaría ir
a últimas instancias.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 92
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Además, después de cerrar el incidente, independiente de las acciones que se tomen,


siempre queda un aprendizaje para hacer las cosas de mejor manera las próximas veces
que ocurran eventos que requieran de investigación forense.

INVESTIGACIÓN EN INTERNET

Una vez se entiende que toda evidencia digital reside en un elemento físico y se ha
investigado primero la evidencia física, se procede con la examinación en el ámbito digital.
Aquí hay un abanico más grande de posibilidades de investigación, si se tiene un perfil
claramente identificado, la investigación además de abarcar los ítems de la evidencia
digital también puede extenderse a:

1. Las redes sociales: buscando su perfil en Facebook (público), en LinkedIn, en


Twitter, Google+ y otras redes donde se puedan investigar en las fechas
señaladas, el comportamiento particular de la persona, que pueda aportar datos
de relevancia a la investigación. Por ejemplo, si se está investigando un robo de
dinero, se busca si en fechas posteriores al robo la persona investigada muestra
síntomas en sus redes sociales en cuanto a la adquisición de algún bien o servicio
que pudiese haber adquirido con ese dinero.
2. El contenido publicado en foros: se busca si la persona investigada tuvo algún
contacto con foros donde pudiese haber compartido su hazaña o haber
preguntado a alguien por algún método para materializar su acción.
3. Compras en línea: en los principales portales se puede obtener una trazabilidad
de los comentarios y experiencias de compra de forma pública y gratuita. Esta
clase de comentarios pueden llevar a completar la hipótesis de una investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 93
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Concluyendo así que la investigación digital del fraude o evento puede extenderse a otros
ámbitos para completar la hipótesis y realizar una examinación holística. Los peritos
forenses deben igualmente adoptar metodologías para la recolección de evidencia y
cadena de custodia de estas investigaciones, ya que son completamente aparte del
proceso de adquisición de evidencia cuando se decomisa en sitio y se obtienen testigos
de lo sucedido.

NOTIFICACIÓN DE EVENTOS A TERCEROS

Esta fase propende por proveer y preparar los mecanismos de comunicación adecuados
para enterar a terceros interesados en conocer sobre la materialización de un fraude o
incidente sobre una organización o individuo. La lista de terceros que pudiesen estar
interesados ya sea por obligación o conocimiento son:

1. Autoridades: es obligatorio reportar a las autoridades aquellos eventos que sean


catalogados como delitos en el código penal. Las autoridades pueden asistir en la
investigación a través de los cuerpos técnicos de investigación criminal.
2. Centros de respuesta a incidentes: en muchos países existen los llamados
CERT (Equipos de Respuesta de Emergencia a Incidentes), donde se pueden
contactar para dar conocimiento al incidente y brindar apoyo estadístico y
metodológico para afrontar el evento.
3. Asesores legales: aquellos proveedores externos que brinden servicios de
asesoría legal se deben contactar para que dicten los lineamientos legales sobre
los cuales se tiene que conducir cada acción que se de en torno al incidente.
4. Accionistas e Inversionistas: se debe comunicar a aquellas personas a las que
se tenga obligación de reportar atentados sobre sus bienes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 94
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La comunicación a estos terceros debe realizarse desde el momento en que se atiende


el incidente, después de que se clasifica y se le asigna un nivel de criticidad según el
impacto que tiene para la organización.

ANÁLISIS POSTERIOR AL PROCESO FORENSE

Una vez que se termine de llevar a cabo la investigación, de determinar el curso legal o
interno que se quiso para él, se deberá reunir todo el equipo de trabajo para reflexionar
sobre las lecciones aprendidas y las mejoras que se deberán aplicar a toda la
metodología para los siguientes proyectos.

El principal entregable de esta fase de análisis posterior es el de la documentación de


todos los procedimientos que componen la metodología utilizada por el equipo de trabajo,
donde cada integrante plasmará el paso a paso de todas las macro y micro actividades
que se desarrollaron durante el cronograma.

Estos procedimientos se almacenarán en una base de datos de conocimiento para futuras


consultas por otros investigadores y podrán ser mejorados en futuros proyectos forenses.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 95
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PREPARACIÓN DE LA EVIDENCIA

La ejecución de esta fase propende por tener claros cuáles son los elementos a llevar a
la corte cuando se trata de presentar el material probatorio y qué procedimientos se deben
seguir para transportarla allí.

El elemento material probatorio debe estar acompañado de:

1. Informe forense ejecutivo: donde se explique en términos no técnicos en qué


consistió todo el proceso forense al que fue sujeto el elemento material probatorio,
resaltando los hallazgos relevantes.
2. Informe forense técnico: donde se muestre el inventario técnico de todos
aquellos ítems referenciados en el informe forense ejecutivo.
3. Tres copias del elemento material probatorio: para anticiparse a la
presentación donde varias partes interesadas soliciten copias mientras el juez se
queda con la original.
4. Documento de cadena de custodia: donde se muestren todos los movimientos
que ha tenido la evidencia desde que se adquirió hasta que se entregó en la sala
del juez en el juzgado.

De esta manera ya se está preparado para la presentación de la evidencia en el juzgado,


como se verá en la siguiente fase.

PRESENTACIÓN DE LA EVIDENCIA DIGITAL

Al juzgado, en la audiencia de descubrimiento de pruebas, se debe llevar la evidencia


original junto con 3 copias más. Estos se deben presentar en la sala del juzgado con
anticipación a la audiencia (más temprano) para que el secretario del juez pueda
marcarla, establecer el orden de presentación y saber cuáles son.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 96
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Respecto al orden de presentación, al juzgado se debe llevar también un documento que


mediante una tabla de contenido se pueda referenciar el elemento material probatorio,
indicando además por qué se considera suficiente, relevante y competente.

Para dar claridad a estos términos, los definimos a continuación:

1. Suficiencia: la evidencia será suficiente cuando se comprueben razonablemente


los hechos revelados. Para determinar si la evidencia es suficiente se requiere
aplicar el criterio profesional.
2. Competencia: para que sea competente, la evidencia debe ser
válida y confiable. A fin de evaluar la competencia de la evidencia, se deberá
considerar cuidadosamente si existen razones para dudar de su validez o de su
integridad.
3. Relevancia: se refiere a la relación que existe entre la evidencia y su uso. La
información que se utilice para demostrar o refutar un hecho será relevante si
guarda relación lógica y patente con ese hecho.

Adicionalmente se deberá llevar el documento de cadena de custodia de cada elemento


material probatorio original indicando el evento del transporte de su custodio hasta la sala
del juez para que sea firmado por el secretario a su recepción.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 97
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PRUEBA Y DEFENSA DE LA EVIDENCIA DIGITAL

Esta es la fase donde los abogados deben probar y defender la evidencia presentada
como elemento material probatorio. Se debe tener en cuenta que para un juez existen los
siguientes tipos de evidencia:

1. Testimonial: es aquella que es narrada por un testigo competente y se considera


la forma más básica de probar en un juicio.
2. Documental: es aquella que se representa en un documento que pueda mostrar
la ocurrencia de un hecho.
3. Real o material: son aquellos objetos tangibles que están directamente
vinculados con los hechos.
4. Demostrativa: es aquella que ilustra, clarifica o explica un hecho, como mapas,
diagramas o animaciones.

Una vez entendidas las diferentes clases de evidencia, los abogados deben defenderlas
a través de la demostración de cumplimiento a las reglas, que normalmente son:

1. Admisibilidad: los abogados deben demostrar pertinencia, relevancia y


competencia y debe dársele a la contraparte la oportunidad de expresar por qué
no se debe considerar la evidencia admisible.
2. Incorporación: para que la evidencia pueda ser aceptada en un juicio se deben
sentar bases y autenticarla.
3. Privilegio: los abogados deben tener en cuenta que algunas evidencias tienen
privilegios de confidencialidad que pueden estar protegidos por el derecho a la
privacidad.
4. Presunción: los abogados deben estar dispuestos a controvertir las principales
presunciones dictadas en cada país y jurisdicción, como, por ejemplo, la clásica
de toda persona es inocente de delito o falla.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 98
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Exclusión: para que una evidencia se pueda incorporar se debe haber


recolectado de manera legal y sin vulnerar los derechos fundamentales
consagrados en la constitución.
6. Carácter: el presunto perpetrador puede distinguirse por ser una persona
agresiva, malgeniada, depresiva, etc. Los abogados deben defender la evidencia
de un rasgo pertinente de carácter, si los hubiere, sobre la persona acusada.
7. Hábito: el abogado podría defender la ponencia de las conductas adquiridas por
el perpetrador en la repetición de una serie de actos deshonestos.
8. Rumor: esta clase de testimonios no son admitidos debido a que no da la
posibilidad de controvertirlos por la contraparte.
9. Descubrimiento: la contraparte deberá tener conocimiento de las pruebas que
se pretender presentar contra ella, pudiendo así solicitar copias de las mismas.

La aplicación de las anteriores descripciones de tipos de evidencia y sus reglas dependen


de cada país y jurisdicción, sin embargo, se toman como base las aplicadas en los
Estados Unidos de América para tener un conocimiento global sobre la materia.

REPORTE FORENSE

La documentación del auditor forense informático es fundamental para plasmar allí todo
su trabajo y explicar a las partes interesadas todo el proceso en un lenguaje entendible.
Lo importante de esta fase es entender las reglas básicas en la industria para elaborar de
forma adecuada un reporte forense y no caer en errores de contenido que puedan ser
utilizados por la contraparte para desprestigiar todo el trabajo. Estas reglas o líneas base
son:

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 99
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

1. No posponer nada: se debe empezar el reporte incluso antes de haber


empezado el procesamiento de la evidencia en el laboratorio, colocando toda la
información inicial como seriales, estado de la evidencia, sumas de verificación y
la narración del decomiso.
2. Incluir un análisis: no se puede caer en el simplismo de sólo colocar el listado
de archivos y carpetas de la evidencia, se debe explicar cada una de ellas para
poder demostrar su relevancia en la investigación.
3. Cuidado con los absolutos: en el análisis y comentarios se debe tener cuidado
con expresiones del tipo “siempre” o “nunca” ya que más adelante este tipo de
expresiones pueden ser cuestionadas por otros examinadores.
4. Crear una plantilla: los informes forenses son tediosos de elaborar en la medida
en que se tengan que crear desde el principio siempre.
Es recomendable tener una plantilla que al cabo del tiempo se perfeccione,
creando mejores versiones y simplificando el trabajo.
5. Incluir secciones: el informe forense debería incluir como mínimo las siguientes
secciones:

a. Título: puede incluir el nombre del caso, el nombre del investigador e


información de contacto.
b. Tabla de contenido: para poder dirigirse a las secciones de interés de
manera rápida y ordenada.
c. Resumen ejecutivo: donde alguien con tan solo leerlo se entere de
manera global de todo el trabajo y los hallazgos relevantes.
d. Objetivos: donde se debe incluir un listado de las necesidades que fueron
solicitadas por el cliente o los investigadores para que el perito forense
buscara en la evidencia.
e. Evidencia analizada: aquí es donde se hace el inventario de toda la
evidencia, con sus seriales, fotos, descripción, custodio y sumas de
verificación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 100
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

f. Pasos que se siguieron: no solamente los pasos que se siguieron al


analizar la evidencia, sino todo el procedimiento ejecutado en la
metodología forense desde que se empezó a planear la investigación.
g. Hallazgos relevantes: normalmente el perito forense debe subrayar los
documentos de interés, colocando una pequeña descripción de por qué
son relevantes y explicando qué son y de donde vienen.
h. Línea de tiempo: para un evento importante, como la eliminación de
datos, el perito forense debe documentar los hechos anteriores y
posteriores al momento de la eliminación, tratando de construir una historia
lógica de la acción, no solamente técnica sino humana.
i. Conclusiones: donde se plasman los hechos relevantes de toda la
investigación forense.
j. Firmas: donde deben ir las firmas de los peritos forenses que elaboraron
el informe.
k. Anexos: donde se incluye la hoja de vida del perito forense y el cabezal
del documento de cadena de custodia, así como el listado de los archivos
a los que se hace referencia en el informe con un vínculo para poder ser
analizados posteriormente con facilidad.

6. Opiniones personales: evitar incluir opiniones y juicios personales sobre la


culpabilidad o inocencia de los implicados. El perito forense debe limitarse a incluir
opiniones técnicas apoyadas en su experticia y experiencia.

Informe forense técnico y gerencial son los dos entregables básicos a las partes
interesadas para que se comprenda todo el trabajo realizado. Existirá un público técnico
y otro menos técnico, por ello el informe ejecutivo deberá contener solamente
explicaciones que puedan ser entendidas por todos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 101
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

RECONSTRUCCIÓN DE LA EVIDENCIA DAÑADA

La ejecución de esta fase es útil cuando en la adquisición, decomiso o en el análisis de


la evidencia en el laboratorio forense, se da cuenta de que existen daños a nivel físico o
lógico, para lo cual el perito forense puede:

1. Intentar extraer datos de medios físicos dañados: aplica para cuando se tienen
medios de almacenamiento que están corruptos, por ejemplo, en el caso de discos
duros que tienen sectores defectuosos o en el caso de discos compactos que
tengan rayones que impidan la correcta lectura. En esta situación el perito forense
informático debe usar herramientas que inicialmente le permitan leer desde
muchos ángulos en el medio físico los datos y lograr extraer la mayor cantidad
posible de ellos.

En el caso de que los medios definitivamente no permitan ser clonados en el


momento del decomiso, ni parcial ni totalmente, se debe definir su custodia en ese
estado para posteriormente tratar mediante un tercero hacer una recuperación
sobre un daño que se salga del alcance de las habilidades del perito forense.

2. Recuperar archivos que han sido dañados: aplica cuando los medios físicos
están en buenas condiciones, pero los datos lógicos parecen estar corruptos, por
ejemplo, cuando un documento en Word se encuentra parcialmente completo en
el sistema de archivos y sólo se pueden recuperar algunos segmentos. En esta
actividad el perito forense puede utilizar herramientas que le permitan reconstruir
estos archivos y extraerlos a otra ubicación donde se puedan examinar.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 102
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Paralelamente se debe ir documentando en el informe forense técnico cuáles fueron las


técnicas utilizadas para reconstruir la evidencia dañada y qué porcentaje de ella se logró
recuperar.

RETORNO DE LA EVIDENCIA

Es una fase que fue creada para pensar en la mejor manera de retornar la evidencia a su
dueño original. Esta operación se realiza dependiendo de los siguientes entornos en que
se presente la devolución:

1. Después del juicio: cuando el juez ya ha fallado a favor o en contra y determina


que las evidencias originales pueden ser retornadas a su dueño.
2. Al finalizar la investigación sin litigio: cuando la compañía decide en conjunto
con su equipo de trabajo si no presentará un caso legal y solamente quisieron
utilizar el elemento material probatorio para mero conocimiento del caso que se
manejará de forma interna.

3. Cuando fue adquirida ilegalmente: se puede presentar la situación donde el


elemento material probatorio fue adquirido o decomisado ilegalmente, no
respetando leyes y derechos constitucionales, lo que ocasionaría que se deba
retornar la evidencia original por orden judicial.

En ningún momento la evidencia original puede retornarse a su dueño sin antes haber
terminado el juicio o en su defecto si la organización decidió no llevarla a litigio o por una
indebida recolección. En el momento del decomiso de la evidencia se pueden sacar
copias de la misma y otorgar estas copias a los investigados para que sigan trabajando
sobre ellas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 103
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Al retornar la evidencia, debe constar su retorno mediante los siguientes elementos:

1. Cadena de custodia: en el documento de cadena de custodia debe constar que


alguien retira el elemento material probatorio de la custodia y es entregada a la
persona a la cual pertenece o está encargada.
2. Acta de entrega: se debe realizar un acta de entrega donde conste que la
evidencia fue entregada y recibida por el encargado.
3. Testigos: como en la cadena de custodia no están presentes más testigos para
firmar (porque no es el momento), se deben tener tres testigos que puedan firmar
en el acta de entrega.

Una vez la evidencia ha sido retornada finaliza entonces la cadena de custodia y se debe
proceder con la purga de las copias de los datos que están en poder de los peritos
forenses, solicitando certificado de destrucción y devolución de medios que se utilizaron
para las copias.

TRAZABILIDAD DE EVENTOS

En esta fase se realiza un inventario de todo lo ocurrido en el sistema de información


decomisado o adquirido en las fases previas, pero aún sin realizar un análisis sobre la
línea de tiempo. El investigador forense digital recolectará datos del sistema operativo
que le permitan construir de forma cronológica todos y cada uno de los eventos de la
siguiente manera:

1. En el sistema de archivos: a través de la tabla de particiones y archivos de


registro del sistema de archivos, se puede saber cuándo fue creado o modificado
un archivo, incluso, a partir de allí saber si fue eliminado o copiado desde o hacia
otro lugar.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 104
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

2. En la navegación: a través de los ítems de los navegadores y con ayuda del


registro de la tabla de particiones se puede recrear las horas de acceso a
diferentes sitios y su interacción.
3. En el uso de archivos de ofimática: a través del historial de archivos recientes
creados y accedidos se puede reconstruir la línea de tiempo de cuáles fueron los
documentos que utilizó la persona en un tiempo determinado. Así mismo, a través
de los metadatos, se pueden reconstruir eventos sobre cada uno de estos
documentos, como el tiempo de edición, autores y equipos donde se ha
modificado.
4. En el sistema operativo: a través del análisis de los archivos de registro del
sistema operativo se podrá inventariar en qué momentos la persona hizo uso del
equipo y durante cuánto tiempo.

Haciendo esta trazabilidad de eventos se podrá más adelante en un análisis cronológico


de la línea de tiempo, responder a la pregunta: cuándo y cómo sucedió un evento en
particular.

ANÁLISIS CRONOLÓGICO DE LA LÍNEA DE TIEMPO

Una vez el perito forense ha construido una base de datos con la trazabilidad de todos
los eventos, es hora de pasarlo a los investigadores de fraude especializados para que
empiecen a utilizar los datos y convertirlos en información de utilidad para la investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 105
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Algunas incógnitas de la hipótesis pueden ser resueltas en esta etapa, respondiendo las
siguientes preguntas:

1. ¿Estaba la persona sindicada utilizando el equipo en la fecha y hora determinada


en la que sucedieron los eventos investigados?
2. ¿Los horarios de modificación de los datos implicados corresponden con los
horarios en que la persona sindicada utilizaba el computador?
3. ¿Los documentos fueron modificados por la persona sindicada en la fecha y hora
que se señalan los hechos?
4. ¿Qué hechos anteriores y posteriores sucedieron al evento investigado?
5. ¿Los ítems señalados en la investigación fueron accedidos por la persona
sindicada?
6. ¿Cuáles fueron los accesos, modificaciones, eliminaciones y copias de los datos
sindicados en un periodo de tiempo determinado?

Todas estas preguntas, si bien pueden ayudar a resolver la hipótesis, sirven igualmente
para anticiparse al intento de desacreditación y/o entrevista que realizará la defensa de
la contraparte en juicio.

USO DEL PERFIL DE USUARIO Y ESTADÍSTICAS

Complementando el análisis de la línea de tiempo en fases anteriores, el perito forense


informático deberá, en esta fase, reconstruir el uso que un perfil determinado le dio al
equipo de cómputo en un periodo de tiempo específico, normalmente aquel que el
investigador le señale.

Un perfil de usuario es aquel que los sistemas operativos usan para identificar un usuario
y almacenar sus preferencias y características.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 106
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El perfil de un usuario contiene los siguientes datos de interés para los investigadores:

1. Configuraciones de software: contiene las configuraciones personalizadas del


usuario para la mayoría del software instalado en el computador.
2. Documentos: contiene los documentos del usuario en Word, Excel, PowerPoint
y demás archivos que se mantengan en la carpeta “Mis Documentos”.
3. Historial, Cookies y favoritos: contiene los datos de las páginas visitadas por el
usuario, las cookies que guardan sus preferencias y los sitios favoritos.
4. Recursos compartidos: contiene el listado de impresoras y otros recursos como
carpetas compartidas que utiliza en usuario en su equipo.
5. Accesos directos: contiene todos aquellos atajos a aplicaciones que el usuario
haya definido en el escritorio u otras carpetas.
6. Almacenamiento específico de datos: contiene ítems que otros programas
instalados en el computador manejan, como bases de datos y archivos
temporales.
7. Configuraciones del sistema operativo: contiene todas las preferencias del
usuario, como fondo de pantalla, tamaño de la pantalla, idioma, backup,
actualizaciones, entre otros.

Algunos perfiles son móviles, lo que significa que en un entorno donde exista un
controlador de dominio o directorio activo, la persona podrá cargar su perfil en cualquier
equipo donde haya iniciado sesión.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 107
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

ANÁLISIS DEL CASO ESPECÍFICO

Fase donde los investigadores especializados en conjunto con los peritos forenses,
abogados, gerentes de proyecto y demás personal involucrado en el proyecto se sientan
a analizar el caso desde un punto de vista holístico, abarcando todas las fases de
proyecto, desde que se detectó el incidente hasta que se obtuvo el fallo del juez en el
proceso legal.

A este nivel resultan de mucha importancia y valor las apreciaciones sobre lecciones
aprendidas y la creación de una base de datos de conocimiento (o alimentación de la
misma) con todo lo atendido en el ciclo de vida del proyecto, para que en futuras
investigaciones se cuente con información valiosa sobre procedimientos aplicados, su
significado, problemas enfrentados, soluciones a inconvenientes, imprevistos, costos
adicionales, temas que no se tuvieron en cuenta, problemas con el personal interno y
externo, entre otros.

Los entregables de esta fase deben ser:

1. Alimentación de base de datos de conocimiento: en un sistema de base de


datos de conocimiento apropiado con las medidas de seguridad que permitan
documentar información sensible, de solo acceso a los investigadores.
2. Socialización con todo el equipo de trabajo: una vez terminado el proyecto, se
socializa y comparten experiencias que permitan discutir sobre las acciones de
mejora a futuro.
3. Presentación al equipo directivo: donde en una pequeña reunión se muestre
el reto, estrategia de abordaje, problemas presentados en curso, soluciones y
resultados.
4. Copia y archivo de la documentación: donde se saca copia de todo el material
y se almacena para futuras consultas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 108
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Finalmente, el caso se cierra con un número de identificación único que sirva para poder
encontrarlo más adelante en una base de datos.

Existen herramientas en el mercado llamados software de gestión de casos, que permiten


a los investigadores incorporar los datos de una investigación y crear un ambiente
corporativo con buenas medidas de seguridad. Utilizando esta clase de herramientas se
pueden definir quienes tendrán acceso a la documentación y se llevaría un registro de
auditoría, además de que permitiría crear flujos de trabajo donde cada persona tenga una
serie de tareas que al terminarse se vallan uniendo con el caso completo.

Tareas, contactos, mecanismos de comunicación, calendarios, reuniones, gestión de


usuarios, mecanismos para compartir datos y traza de tiempo son algunas de las
características de esta clase de herramientas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 109
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 5: DECOMISO DE EVIDENCIA

En fases anteriores se trató el proceso de decomiso de evidencia en las metodologías de


análisis forense digital, así como se hizo una expansión en varias fases donde se explicó
la mejor forma de hacer el acercamiento, identificación y caracterización a la misma,
teniendo en cuenta las autorizaciones y permisos que se necesitaron para ello.

En este capítulo se profundizará no solo en la adquisición de la evidencia digital, sino en


la tarea que representa el decomiso, cuando la evidencia es necesaria extraerla de forma
abrupta sin previo aviso para evitar su contaminación previa o la eliminación deliberada
de datos antes de que ocurra la adquisición.

Se dividirá el decomiso de la evidencia en sector público y sector privado, ya que cada


ambiente sugiere el cumplimiento de unas normas de carácter legal. Se revisará el
procedimiento de allanamiento usado por los organismos de ley y de control y qué
consideraciones se deben tener en cuenta, tanto si se está en la posición de perito como
si se está en la posición de ente allanado.

Adicionalmente se tratará en detalle el proceso de la fé pública y el papel de las notarías,


contadores y revisores fiscales en el decomiso de evidencia, así como la correcta
elaboración de actas donde conste que la evidencia ha sido recolectada de la mejor
manera para su presentación en un proceso legal.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 110
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

EN EL SECTOR PRIVADO

Para permitirse un decomiso de elemento material probatorio en el sector privado,


hablando desde el punto de vista de ley y normas de cumplimiento corporativo, así como
el respeto por los derechos fundamentales, es importante tener en cuenta los siguientes
lineamientos:

1. Política de seguridad informática: tener claro qué políticas de seguridad


informática tiene la organización, pata saber en qué momento se está violando
una de ellas por parte del empleado.
2. Uso aceptable de los recursos: tener claro qué constituye un uso aceptable e
inaceptable de los recursos informáticos, para así poder justificar un proceso por
el uso incorrecto de los mismos.
3. Propiedad de los recursos: tener claro de quién son los recursos de información
y sobre quién están a cargo. El no tener claro este punto crea vacíos legales en
cuanto a la propiedad de los activos.
4. Investigaciones sin causa probable: tener claro si la institución tiene como
política el que se puedan llevar a cabo investigaciones y/o auditorías sin causa
probable y no dar pie a que en el proceso legal acusen señalamientos y
persecuciones al empleado.
5. Auditorías sorpresivas: así como en las investigaciones sin causa probable, es
importante tener claro si la institución tiene como política el poder llevar a cabo
auditorías sorpresivas, sin previo aviso, para facilitar las labores de decomiso de
evidencia sin percances.
6. Avisos de monitoreo y vigilancia: anuncios de este tipo en las principales
carteleras institucionales para crear conciencia de que las acciones en los
sistemas de información corporativos pueden ser monitoreadas y vigiladas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 111
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

7. Entender la privacidad como derecho: para respetar la intimidad de las


personas y anteponerla ante cualquier proceso de investigación o auditoría. Así
mismo, el entendimiento de este derecho capacita a los investigadores para poder
llevar a cabo decomisos sin vulnerar a la persona.
8. Datos corporativos y no personales: en conjunto con el uso aceptable de los
activos de información, se debe hacer un claro énfasis en la diferencia entre estos
dos tipos de datos y especificar que los activos de información corporativos no
permiten el uso de datos íntimos toda vez que los datos almacenados allí son
susceptibles de copias de respaldo y de examinación por parte de auditores.
9. Fuero por asociación sindical: ítem muy importante a entender en la empresa
privada. Antes de llevar a cabo una auditoría, investigación o decomiso, hay que
comprender los niveles de protección del personal perteneciente a un sindicato.
Se han visto en instituciones protección contra despidos, contra investigaciones
dirigidas y persecuciones.

Muchos de estos ítems obedecen a un buen diseño de políticas institucionales que se


apliquen antes, durante y después de la relación laboral con una persona. En tener en
cuenta los anteriores ítems asegurará un adecuado proceso de decomiso de evidencia
sin los impases de incumplimientos o violaciones de procedimientos internos y de ley.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 112
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

EN EL SECTOR PÚBLICO

Por otra parte, para permitirse llevar a cabo el decomiso de elemento material probatorio
en el sector público, se deben tener en cuenta los siguientes lineamientos relacionados
con el cumplimiento de la ley consagrada en la constitución, decretos y circulares:

1. Funcionarios públicos: se denominan genéricamente empleados oficiales las


personas naturales que trabajan al servicio de los ministerios, departamentos
administrativos, superintendencias, establecimientos públicos, unidades
administrativas especiales, empresas industriales o comerciales de tipo oficial.
Estas personas representan la voluntad del estado y su actuar así mismo refleja
la acción del estado. Sin un funcionario público cometiese fraude, lo estaría
cometiendo el estado y sería él mismo, a través de sus autoridades, los únicos
autorizados para ejercer o contratar las investigaciones pertinentes.
2. Allanamiento: es el ingreso a un domicilio (comercial o de vivienda) con fines de
investigación. Para que las autoridades puedan ejercer este acto de ingreso se
requiere una orden judicial que detalle el fin perseguido (la causa probable) y el
lugar específico del allanamiento. Este permiso suele venir acompañado de una
orden de registro que le permite al ente investigador decomisar activos donde se
sospeche puedan existir pruebas del cometimiento de un ilícito.
3. Causa probable: En el derecho criminal, causa probable se refiere a un estándar
por el cual la autoridad puede realizar un arresto, realizar una pesquisa u obtener
una orden judicial para ello. Estas órdenes solamente se expedirán sobre
una causa probable que esté corroborada mediante juramento o una afirmación y
describan con particularidad el lugar que deba ser registrado y las personas o
cosas que han de ser detenidas o embargadas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 113
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

En el sector público el gobierno nacional a través de sus organismos de autoridad es el


encargado de autorizar el decomiso de evidencia y de ejercer o contratar los servicios
forenses ante la presunción de un fraude.

EN EMPRESAS MIXTAS, PUBLICAS Y PRIVADAS

Existen compañías privadas que administran bienes públicos, esta clase de compañías
son las que se definen como mixtas, en donde hay una figura jurídica privada pero su
objeto social es el de administrar activos públicos.

En estos casos, la parte privada de la compañía está sometida a los lineamientos de


índole privado, pudiendo llevar a cabo decomisos e investigaciones sin causa probable,
sin embargo, la línea de negocio o departamento que administra bienes públicos, que
pudiese o no tener funcionarios públicos, está sometido a los lineamientos antes vistos,
como el allanamiento y la causa probable.

EL PAPEL DE LOS ORGANISMOS DE VIGILANCIA

Los organismos de vigilancia son comúnmente llamados superintendencias y son


aquellos organismos fiscalizadores del gobierno de determinadas
actividades económicas o servicios públicos. Son autónomas y poseen personalidad
jurídica de derecho público. Pueden dictar normas obligatorias para los sectores que
fiscalizan, conocidas como circulares. No son controladas por otras autoridades, sin
embargo, sus decisiones pueden ser revisadas por los tribunales de justicia.

Los organismos de vigilancia como las superintendencias pueden inspeccionar en vez de


decomisar, es decir, solicitar a cualquier persona natural o jurídica, de carácter público o
privado, información física o electrónica para el ejercicio de sus funciones de vigilancia y
control.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 114
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Si el órgano de vigilancia tuviere conocimiento o presumiere que en algún lugar hay


información, documentos y otros objetos relacionados con la conducta investigada, podrá
con o sin notificación previa realizar la inspección.

ORDENES DE ALLANAMIENTO

Normalmente, la noción de allanamiento suele vincularse al ingreso de alguna autoridad


a un domicilio a través del poder otorgado por una orden judicial con el objetivo de avanzar
en el desarrollo de una investigación.

Es importante resaltar que el allanamiento asalta temporalmente el derecho a la


propiedad privada y el derecho a la intimidad, por ello, no se puede ejecutar por otro ente
diferente a una autoridad con el permiso de un juez. Esta orden de allanamiento le permite
a la autoridad buscar algún elemento material probatorio en el domicilio, decomisarlo y
trasladarlo para su análisis.

Como auditores y peritos forenses informáticos, es importante en este punto saber


identificar que un allanamiento se esté llevando a cabo de la forma correcta, para ello se
deben tener en cuenta los siguientes aspectos:

1. Firma: una orden de allanamiento debe estar firmada por un Juez. La manera de
comprobarlo es utilizar los datos de contacto y llamarlo por teléfono para
preguntarle por su visto bueno y firma de ese procedimiento.
2. Dirección: en la orden de allanamiento debe especificarse la dirección exacta
donde se estará ejecutando la diligencia, con piso y número de oficina si es el
caso.
3. Fecha: debe estar especificado el día y la franja horaria de la ejecución de la
diligencia, no pudiendo excederse este tiempo.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 115
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Personal: en la orden de allanamiento debe estar especificado qué personas


llevarán a cabo el procedimiento, pudiendo así identificarlos y no permitir que más
personas de las autorizadas decomisen elemento material probatorio.
5. Objetivo: en la orden debe estar especificado cual es el objetivo del allanamiento
y por qué el juez considera necesario realizarlo.

Una orden de allanamiento no es abierta, es decir, está cerrada a los objetivos que dicte
el juez para una investigación específica. Si en el lugar de los hechos hubiera elementos
de otro delito, el personal estaría imposibilitado para decomisarlos porque se sale de sus
objetivos.

FÉ PÚBLICA EN EL ACTO DE DECOMISO

La fé pública es cuando una afirmación contenida en un activo o procedimiento se tiene


como verdad frente a todas las personas. La fé pública más conocida es la notarial, sin
embargo, no es la única, el Estado de cada país le otorga la capacidad de dar fé pública
a ciertas personas en virtud de las cuales se consideran ciertos y veraces los hechos que
presencian.

En el proceso del análisis forense digital es de vital importancia la fe pública en las etapas
tempranas de cada metodología, siendo la adquisición de evidencia y la asistencia al
lugar de los hechos para el decomiso las más relevantes para contar con la fé pública. Es
de vital importancia que lo ocurrido en esas etapas sea presenciado por una persona que
pueda dar fé ante otras de lo ocurrido allí mediante dos elementos principales llamados
actas, una de presencia y otra de depósito, como se verán a continuación en la siguiente
lámina.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 116
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

EL PAPEL DEL NOTARIO

En muchas ocasiones, cuando una compañía privada, pública o individuo contratan a un


perito forense informático para que prepare elementos materiales probatorios (EMP), se
preguntan si es necesario contratar los servicios de un notario/a para autenticar algo
durante el proceso y exactamente cuáles deberían ser las actividades a desarrollar en
conjunto notario-perito.

Existen dos tipos de actividades que podrá desarrollar el notario con el perito: acta de
presencia y/o acta de depósito.

Cuando se realiza el proceso de adquisición de evidencia, ya sea duplicando el contenido


de un medio de almacenamiento o simplemente decomisándolo, el perito forense debe
solicitar los servicios de un notario que acuda al sitio, esté presente durante todo el
procedimiento y al final, mediante un acta de presencia de fé pública del procedimiento
de clonado del instrumento informático. Mediante un acta de presencia el notario da fé
pública del procedimiento de clonado o decomiso del instrumento digital informático, pero,
las notarías, mediante las actas de presencia, solamente dan fé de lo que ven y no
podrían asegurar que el procedimiento llevado a cabo fue auténtico o fue correcto, porque
carecen del conocimiento técnico para corroborarlo.

Esta clase de eventualidad aparece en muchos casos dentro de artículos de ley (depende
del país y de la jurisdicción) donde se decreta que un acta notarial de presencia no podrá
extenderse a hechos cuya constancia requieran conocimientos periciales, es decir, un
notario no podrá asegurar la autenticidad de nada que requiera conocimientos técnicos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 117
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Se dice entonces que un notario puede dar fé solamente de lo que está viendo y que no
podrá asegurar ni autenticar nada que desde un punto de vista sea técnico, es aquí donde
entra el perito forense digital para realizar su trabajo de adquisición, análisis, evaluación
y presentación técnica de las evidencias en un proceso legal.

Técnicamente, el papel del notario y el momento de su intervención se puede ejemplificar


de la siguiente manera, teniendo en cuenta que ya se optó por iniciar una investigación y
se quiere hacer el decomiso del elemento material probatorio:

1. Se decide en conjunto con el cliente qué día se realizará el decomiso de los


instrumentos informáticos que serán objeto del análisis forense digital.
2. Se prepara el equipo técnico, los testigos y el notario para que acudan el día y la
hora seleccionada, se prepara para grabar en todo momento la escena en video,
se prepara el documento de cadena de custodia donde se empiezan a diligenciar
los movimientos de la evidencia original, se asegura el lugar de decomiso y se
documenta la escena.
3. Se procede con la clonación (imaging) y la generación de la suma de verificación
(SHA, MD5), se realiza el rotulado y embalaje, se envía el original a custodia (aquí
se puede también realizar acta de depósito con el notario) y se crean dos copias,
una para que el empleado siga trabajando y otra para que el perito realice su
investigación técnica.
4. Se realiza un acta donde se describa lo realizado, los procedimientos ejecutados,
el software y hardware usado y los testigos presentes.
5. El notario procede a realizar su acta de presencia dando fé de todo lo que
presenció (el MD5, SHA generado).

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 118
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Para poder asegurar la autenticidad del contenido técnico reflejada en un acta notarial de
presencia donde el perito está clonando la evidencia y el notario está observando, es
necesario un análisis técnico y directo del contenido, es decir, no basta con realizar el
acta notarial, sino que será necesario que el perito forense construya su informe, realice
su trabajo pericial donde caracterice e individualice los elementos que son materia de
pruebas digitales.

Si al proceso legal se lleva solamente uno de los elementos, fácilmente la contraparte


desvirtuará el trabajo realizado por la parte impugnando que no se llevaron a cabo los
procedimientos que por ley garantizarían la autenticidad del proceso realizado para
presentar los instrumentos digitales como elementos materiales probatorios (EMP).

ACTA DE PRESENCIA

Un acta de presencia es un documento en el que se acredita o da fé de un hecho


específico, en este caso, el proceso de decomiso y/o adquisición de evidencia. Como se
vio en la anterior lámina, la persona que elabora esta acta y la firma, debe ser una persona
designada por el estado con las facultades de poder dar fé pública de un acontecimiento.

Esta acta acompañará el informe técnico y ejecutivo pericial y se debe tener en cuenta
que en ningún momento se debe hacer referencia a esta acta diciendo que se dio fé
pública de la culpabilidad, inocencia, de la ocurrencia o no de un fraude.

En este tipo de acta, el fedatario público da fe de lo que ve, literalmente, en ningún caso
podrá asegurar que lo que ve es auténtico y/o no está manipulado. Por tanto, el fedatario
público no podrá certificar que algo es auténtico, ni que las hipótesis de la investigación
son reales o veraces.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 119
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Esta eventualidad aparece normalmente reflejada en el reglamento de la organización y


régimen del notariado (que son los que comúnmente hacen estas actas), en el que se
decreta que un acta notarial de presencia, “no podrá extenderse a hechos cuya
constancia requieran conocimientos periciales”. Es decir, un fedatario público no podrá
asegurar la autenticidad de nada que requiera conocimientos técnicos, siendo necesario
para ello el análisis de un perito.

ACTA DE DEPÓSITO

Una persona se acerca a un despacho notarial con un elemento físico que contiene
documentos en formato electrónico, le pide al notario que le preste el servicio de custodia
y soporte de dicho elemento físico por un tiempo pactado, tal y como se reciben. Es aquí
donde aparece la figura de acta de depósito, cuando una persona natural o jurídica acude
a los servicios de custodia de un tercero, normalmente una notaría.

Existen normas que se deben cumplir cuando se custodian elementos físicos que
contienen datos electrónicos:

1. Se debe hacer referencia a las características de los datos (metadatos) contenidos


en ese elemento físico, como hashes, fechas, tamaños y/o extensiones, no
solamente describir las características del elemento.
2. Se debe especificar el tiempo por el cual se requiere la custodia del elemento
físico con datos electrónicos, indicando así quienes pueden ser los requirentes del
mismo.
3. Se debe poder acordar el traslado del elemento físico, la realización de copias, su
conservación, lectura o reproducción sistemática.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 120
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Se está depositando un elemento físico como soporte, pero se está reseñando lo


verdaderamente importante, su contenido, donde finalmente es el objetivo de la custodia
para este caso de informática forense.

EL PAPEL DEL CONTADOR Y REVISOR FISCAL

El estado define qué personas pueden dar fé pública y cuáles deben ser sus
características. En el caso de los contadores y revisores fiscales, así como posiblemente
otras profesiones, la fé pública está limitada al ejercicio de su profesión, a diferencia del
notario, que universalmente la puede dar.

Un contador o revisor fiscal puede dar fé pública de la veracidad de un informe contable


como el balance general de una organización, pero en ningún caso podrá dar fé pública
de la ocurrencia de un decomiso y/o adquisición de elemento material probatorio, así
contenga datos contables.

El contador y revisor fiscal están habilitados por el estado a través de sus tarjetas
profesionales, para ejercer la asesoría en las obligaciones tributarias de toda empresa,
por ello, la responsabilidad del contador y revisor fiscal es con el estado y en
consecuencia se convierte en fedatario público en materia contable.

EL PAPEL DE UN FUNCIONARIO PÚBLICO

Un funcionario público es aquel que representa el estado, se denominan empleados


oficiales las personas naturales que trabajan al servicio de los ministerios, departamentos
administrativos, superintendencias, establecimientos públicos, unidades administrativas
especiales, empresas industriales o comerciales de tipo oficial. Estas personas
representan la voluntad del estado y cada una de ellas puede o no tener la facultad de
dar fé pública en su oficio de acuerdo a las asignaciones del estado.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 121
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

De manera global, a un funcionario público se le otorga esta autoridad legítima, aparte de


notarios, también están los escribanos, agentes de cambio y bolsa, cónsules y secretarios
de juzgados, tribunales y otras entidades públicas y se concentra en que los documentos
que autorizan, cada uno en su cargo y en debida forma, sean considerados como
auténticos y lo contenido en ellos sea tenido por verdadero mientras no se haga prueba
en contrario.

Entendiendo por todo lo anterior, que, si bien la fé pública es otorgada a diferentes


funcionarios, el notario vendría siendo como el ministro de la misma, pudiendo ser
fedatario de eventos generales y no específicos a su profesión y/o cargo.

PROCEDIMIENTO DE DECOMISO

Se tiene ya la preparación teórica suficiente para comprender cada uno de los aspectos
importantes en la adquisición de elemento material probatorio, sin embargo, hace falta
estructurar un procedimiento que permita llevar a cabo esta operación de una manera
racional y no empírica. A continuación, se tiene una propuesta de procedimiento para la
labor que puede ser aplicada a nivel privado:

1. Decidir qué día se realizará el decomiso. El mejor día para hacerlo podría ser el
viernes en la tarde, debido a los siguientes días libres que permitan proteger la
organización contra ingresos inesperados.
2. Preparar el equipo de testigos y asegurarse de que el perito tenga las
herramientas forenses en software y hardware licenciadas.
3. Informar al oficial de seguridad corporativa del procedimiento a realizar, para que
tenga personal disponible si llegase a ocurrir un incidente de violencia.
4. Concretar con un notario el día y la hora para que se acerque a las instalaciones
de la compañía a realizar acta de presencia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 122
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. El jefe y abogado citan al empleado y le informan de la investigación que se


realizará, sin darle demasiados detalles, solo para que comprenda de la
importancia de su cooperación y para recordarle sus deberes y derechos en estos
casos donde se realiza una investigación.
6. El equipo de testigos junto con el notario acuden a la salida de la reunión y todos
se dirigen a la escena donde se llevará a cabo el decomiso de evidencia.
7. El perito graba en video desde el momento en que se dirigen a la escena hasta
que todo termine, para ello puede llevar un asistente técnico que le ayude en la
labor.
8. El perito procede a extraer los instrumentos informáticos previamente
identificados con la protección anti-estática necesaria.
9. Se elabora el documento de cadena de custodia, se caracteriza e individualizan
los elementos extraídos y se plasman allí todas sus características.
10. El perito clona la evidencia en presencia de todos y plasma en el documento de
cadena de custodia los checksum.
11. Se le asigna un nuevo equipo al empleado o se le instala la copia clonada para
que continúe su trabajo sin interrupciones por el tiempo que dure la investigación.
12. Se envía el instrumento original a custodia, preferiblemente usando el servicio del
notario, con acta de depósito.
13. Se le entrega al perito una copia del almacenamiento extraído y se crea y firma el
acta de presencia por el notario.
14. Se firma el documento de cadena de custodia por todos los testigos presentes y
se le pide al investigado que también lo haga.

El procedimiento de decomiso y/o adquisición de evidencia debe convertirse en una


metodología propia de la organización basada en procesos racionales que puedan ser
aplicados siempre de la misma manera, documentados y con posibilidad de mejorarse a
través del tiempo.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 123
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

RESISTENCIA CORPORATIVA

Si la compañía tuvo las consideraciones necesarias tratadas en los puntos clave de la


lámina anterior, debería haber preparado al equipo legal para responder a cualquier
pregunta del empleado, incluso sobre temas de privacidad.

Active protocolos de atención a la violencia con personal de seguridad para lidiar con una
posible agresión o intento de destrucción de los instrumentos informáticos. Se debe tener
en cuenta que la reacción de cada persona es diferente y se podría estar presente en una
explosión de violencia contra los activos presentes en la escena. Actúe siempre con
propiedad y cordialidad. Los elementos a decomisar son corporativos y le pertenecen a
la compañía, eso es importante recalcarlo al momento de darle a conocer al empleado
sus derechos y deberes para con la organización.

USO DE ASESORES EXTERNOS EN EL DECOMISO

Peritos forenses informáticos y abogados especialistas en derecho laboral son dos de los
asesores externos más utilizados en estos procedimientos. Un asesor externo es un
consultor o empresa consultora que presta sus servicios de manera esporádica y cuando
se requiera, por horas, para atender una situación especial, como la de acompañar un
decomiso y/o adquisición de elemento material probatorio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 124
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Las ventajas de contratar asesoría externa para este procedimiento son:

1. Herramientas: no es necesario que la organización pague por herramientas de


software y hardware especializadas en la labor forense, esto lo proveen los
asesores externos junto con sus servicios de consultoría.
2. Identificación: no es necesario que la organización contrate un perito forense con
experiencia en la identificación de activos para el elemento material probatorio, el
mismo consultor externo ya tiene la experiencia para buscar evidencia.
3. Entrenamiento: no es necesario que personal de la compañía se vuelva experto
en el análisis forense digital, los asesores externos vienen ya con el conocimiento
y pueden concientizar al equipo de testigos sobre la mejor manera de actuar en
determinadas situaciones.
4. Grabación: no es necesario que la organización adquiera equipo de grabación
profesional ni personal que pueda grabar, los asesores externos ya tienen sus
equipos y experiencia en la grabación de escenas.
5. Planeación: no es necesario que la organización diseñe su propia metodología
de análisis forense digital, los asesores externos ya conocen la mayoría de
metodologías y elegirán la más adecuada para el caso en particular.
6. Ejecución: no es necesario que la compañía se encargue de coordinar las
ejecuciones de las fases como la adquisición, preservación, análisis, examinación
y presentación, esto lo puede llevar a cabo un asesor externo que tenga la
experiencia previa en la mejor manera de coordinar la ejecución de las
actividades.

Se recomienda tener a la mano una lista de proveedores que puedan ayudar de manera
eventual e ir construyendo con ellos mejores prácticas para la atención de esta clase de
incidentes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 125
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 6: CADENA DE CUSTODIA

La cadena de custodia es la aplicación de una serie de normas tendientes a asegurar,


embalar y proteger cada elemento material probatorio, que se llamará de ahora en
adelante EMP, para evitar su destrucción, suplantación y contaminación, lo que podría
implicar serios tropiezos en la investigación de una conducta punible.

La cadena de custodia consta de un proceso documentado de decomiso, custodia y


traslado de los EMP y EF. En este capítulo se profundizará mucho más sobre el momento
en que comienza, cómo se debe hacer referencia a la evidencia en ella, cómo se deben
manejar los conceptos para no confundir a sus lectores, cuáles son sus principios,
características, bajo que soportes legales se mantiene y finalmente se realizará un
procedimiento completo de cadena de custodia para que una organización lo tome como
ejemplo en sus investigaciones.

CUANDO COMIENZA

La cadena de custodia es un procedimiento metodológico que se iniciará en el lugar


donde se descubran, recauden o encuentren los elementos materiales probatorios (EMP)
y evidencia física (EF) y finaliza por orden de autoridad competente.

Teniendo lo anterior en cuenta, la cadena de custodia inicia en la escena de adquisición


y/o decomiso de evidencia, por ejemplo, en el puesto de trabajo del empleado que se está
investigando. Sin embargo, el documento de cadena de custodia debe elaborarse
previamente y éste debe contener los siguientes principios básicos: nombre del caso,
identificación del caso, descripción de la obtención, identificación del ítem, propietario del
ítem, testigos, fecha y hora del decomiso, lugar del decomiso y movimientos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 126
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El formato de cadena de custodia puede ser elaborado por la misma compañía, no existe
un documento universalmente aceptado y podría ajustarse a lo que cada compañía crea
que puede adicionar siempre y cuando se respeten los principios básicos ya nombrados.

ELEMENTO MATERIAL PROBATORIO

El elemento material probatorio, llamado comúnmente EMP, tiene vocación probatoria.


Es cualquier artículo tangible pequeño o grande que tiende a probar o a oponerse a una
hipótesis sobre un punto en cuestión y puede ser legalmente sometido a un tribunal
competente como medio para valorar la verdad de cualquier asunto bajo investigación.

Entre los elementos materiales probatorios se tienen como ejemplos los siguientes, que
se pueden encontrar en la escena de decomiso y/o adquisición en una organización:

1. Discos duros: la evidencia digital reside siempre en un elemento físico, cómo un


disco duro, un SSD, una memoria USB, entre otros, ya sea que esté en la nube o
en almacenamiento local.
2. Computadores: equipos completos decomisados donde residen huellas además
de medios de almacenamiento.
3. Huellas: rastros de uso de elementos físicos, como computadores, teclados,
mouse, impresoras, memorias USB, entre otros.
4. Celulares: iPhone, celulares Android, tabletas, otros teléfonos, donde exista
evidencia digital como llamadas y registros.

Cuando se habla de presentar elemento material probatorio en formato digital, éste reside
en un medio físico por naturaleza y debe ser presentado así al Juez indicando que el
elemento físico contiene mensajes de datos o documentos en formato digital que son
finalmente aquellos a considerar como elemento material probatorio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 127
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

EVIDENCIA FÍSICA

La evidencia física, llamada comúnmente EF, se parece al EMP en cuanto puede servir
en el mismo objetivo que presenta la vocación probatoria, sin embargo, también puede
servir simplemente de mero carácter investigativo.

La evidencia física es un elemento de carácter material relacionado directamente con el


hecho investigado y a veces se hace referencia al mismo como evidencia forense o
científica, lo que implica que debe ser científicamente analizado y los resultados
interpretados con el fin de que sean útiles.

La evidencia física sirve para dos funciones importantes en el proceso de investigación o


judicial. En primer lugar, ayuda a establecer los elementos de un delito y, en segundo
lugar, la evidencia física puede asociar o vincular a las víctimas como también a los
delincuentes, con la escena del crimen. La mayoría de las evidencias forenses o físicas
enviadas para análisis tienen por objeto establecer asociaciones.

EL CONCEPTO DE PRUEBA

Es en la audiencia de un juicio donde al EMP o EF se le puede dar el nombre de “prueba”


y lo puede hacer exclusivamente un juez de conocimiento al aceptarla o denegarla.

La palabra “evidencia” no debe utilizarse con el significado de “prueba”, debido a que no


son lo mismo. Evidencia es aquella que se aporta con el fin de probar algo y se puede
dar el caso de que las evidencias aportadas no sean convincentes y no alcancen a probar
un hecho determinado que fue materia de investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 128
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

No existen pruebas en el curso de una investigación, solamente indicios y evidencias,


materiales o de otra índole, que podrían convertirse o no en prueba durante el transcurso
de un juicio oral. En cuanto a la fuerza probatoria, las pruebas pueden dividirse en
pruebas de cargo suficiente y pruebas indiciarias. Las primeras son las que quiebran la
presunción de inocencia del inculpado y suponen para él una sentencia condenatoria. Las
segundas tienen menos valor, apuntan indirectamente hacia la culpabilidad del procesado
y suelen hacer falta varias para su condena.

EVIDENCIA FÍSICA Y EMP EN UN JUICIO

Se puede indicar que la imputación de un cargo es un acto exclusivo de la Fiscalía y por


mandato legal está obligada a formularla cuando existe evidencia o material probatorio
que permita inferir un convencimiento sobre un hecho y este solo se obtiene de los EMP
y EF que se la allegan al juez en las correspondientes audiencias preliminares.

De lo anterior se puede decir que colocando al Juez y al Fiscal hipotéticamente en el lugar


y en las circunstancias en que ocurrieron los hechos, no habría necesidad de un elemento
material probatorio, ya que al tomar la decisión por parte del mismo Juez en estas
audiencias no hay evidencia como tal que permita la contradicción de la misma.

PRINCIPIOS DE LA CADENA DE CUSTODIA

La cadena de custodia es un procedimiento continuo y documentado que tiene como


objetivo mantener la capacidad demostrativa del material probatorio, tiene como destino
ser usada en procesos penales y civiles, aplicándose a servidores públicos y particulares,
es esencial para la imputación de la culpabilidad, la reparación de víctimas y son
responsables por mantenerla cualquiera que tenga contacto con el elemento material
probatorio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 129
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Sus principios son:

1. Identidad e integridad: se debe garantizar que los elementos materiales


probatorios en todo momento sean los mismos y permanezcan iguales.
2. Inalterabilidad: se debe conservar el estado original del elemento material
probatorio, sin presentar modificaciones durante todo el ciclo de vida.
3. Continuidad: el elemento material probatorio debe ser custodiado en todo
momento desde el inicio al fin, hasta que termine el litigio.

Se dice que la cadena de custodia puede llegar a ser igual o más importante que la misma
evidencia, puesto que, si no se cumplen los principios, el elemento material probatorio
podría ser seguramente descartado en juicio.

LEGALIDAD Y AUTENTICIDAD

De manera general, cualquier procedimiento llevado a cabo a nivel privado o público,


independiente de cómo se llame, debe respetar las leyes de cada país y jurisdicción, en
especial los derechos humanos. Esta clase de procedimiento donde se desarrollan
decomisos de activos pueden atentar contra la intimidad de un individuo, por ello es
importante contar siempre con asesores legales externos/internos que de su punto de
vista acerca de la legalidad de cada procedimiento en particular y de forma individual.

La legalidad del elemento material probatorio y evidencia física depende de que en la


diligencia en la cual se recoge o se obtiene, se haya observado lo prescrito en la
Constitución Política, en los Tratados Internacionales sobre derechos humanos vigentes
en el país y en las leyes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 130
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Los elementos materiales probatorios y la evidencia física son auténticos, cuando han
sido detectados, fijados, recogidos y embalados técnicamente, y sometidos a las reglas
de cadena de custodia. Se demuestra con estado original, condiciones de recolección,
preservación y custodia.

QUIÉN PUEDE CUSTODIAR LA EVIDENCIA

En anteriores láminas se habló de que la recomendación para la custodia de la evidencia


o elemento material probatorio es precisamente acudir a los servicios del mismo notario
que realizó el acta de presencia en al procedimiento de decomiso y/o adquisición de
evidencia.

Sin embargo, existen otras opciones para la custodia del elemento material probatorio,
como las ejemplificadas a continuación:

1. La misma institución: la empresa puede tener un lugar donde se custodien otros


elementos y que pueda ser usado para esta labor.
2. Un tercero: se podría acudir al almacenaje con terceros, que prestan el servicio
por un tiempo determinado con todas las condiciones de seguridad.
3. Policía judicial: al final, cuando se entrega la evidencia en juicio, ésta es
nuevamente custodiada por la autoridad judicial.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 131
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Independiente del organismo que custodie el elemento material probatorio, deberá


ofrecer las siguientes características que propendan por su correcto almacenamiento:

1. Infraestructura: que las instalaciones sean adecuadas para guardar elemento


material probatorio y garanticen que tienen como propósito almacenar ítems que
sean activos de información.
2. Delimitación: el lugar donde se almacene el elemento material probatorio debe
contar con delimitaciones, es decir, que se pueda identificar el lugar donde se
encuentran los ítems y no tener que buscarlos entre un montón de materiales sin
clasificar.
3. Oficina administrativa: el lugar debe contar con una oficina además del lugar de
almacenamiento, para que las personas gestionen allí la entrega y recepción del
elemento material probatorio y no directamente en la puerta de la bodega o caja
fuerte.
4. Ambientales: deben garantizar que las condiciones de humedad, temperatura,
luz y limpieza sean los adecuados para no dañar elementos materiales probatorios
y que los instrumentos de medición se mantengan debidamente calibrados.
5. Vigilancia: el lugar debe estar vigilado las 24 horas por personal de seguridad y
al mismo tiempo debe contar con cámaras de seguridad que permitan más
adelante buscar tiempo atrás las grabaciones desde el momento que entró la
evidencia hasta que salió.
6. Registro: el lugar debe registrar correctamente la hora y fecha de entrada y salida
de los elementos materiales probatorios.
7. Custodio: debe estar plenamente identificado el custodio, sea una empresa o
persona natural, quien se encargará de defender las medidas de seguridad
impuestas sobre los elementos materiales probatorios para su protección.
8. Alimentos: se debe prohibir fumar, comer y beber en el área administrativa y de
almacenamiento de los ítems.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 132
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

9. Roedores y plagas: el control de esto debe estar debidamente documentado


para asegurar que se llevan a cabo fumigaciones que propenden por el cuidado
de los elementos en custodia.
10. Energía: en caso de un corte de energía el lugar debe contar con un suministro
alterno que permita mantener las condiciones de luz, humedad, temperatura y
limpieza adecuados.
11. Acceso: deben implementarse mecanismos de seguridad para prevenir el acceso
no autorizado y robo de los elementos materiales probatorios.
12. Extintores: el lugar de almacenamiento debe contar con extintores adecuados y
personal que esté entrenado en su uso.

Otros elementos pueden agregar valor al lugar de almacenamiento, como tener


certificación del edificio contra temblores de tierra, huracanes, áreas de cuarentena, entre
otros, que permitan asegurar aún más los elementos materiales probatorios.

REGLAS DE LA CADENA DE CUSTODIA

Además de los principios y características de la cadena de custodia, existen las llamadas


reglas, que así mismo como los principios, se deben cumplir para que el proceso prospere
en el juicio. Estas reglas se enumeran a continuación:

1. Diligenciamiento: cualquiera que tenga contacto con el material probatorio está


en obligación de documentar en la cadena de custodia dicho movimiento.
2. Modificaciones: el documento de cadena de custodia debe estar exento de
tachones, enmiendas, borrones o cualquier modificación.
3. Ejemplares: el documento de cadena de custodia debe diligenciarse en un solo
ejemplar original, pueden hacerse copias, pero solo el original será válido.
4. Única: por cada material probatorio se debe diligenciar un documento de cadena
de custodia, no se pueden incluir dos o más ítems en una sola.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 133
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Embalaje: todo elemento documentado debe estar correctamente embalado,


rotulado y sellado, con etiquetas que permitan su identificación a simple vista.
6. Apertura: el material probatorio sólo podrá ser abierto por el perito forense que
trabaje en el caso, quien tiene la habilidad para proteger el medio de
modificaciones accidentales.
7. Video e imágenes: se debe hacer referencia en la cadena de custodia a las
imágenes o videos de la escena que se grabaron.
8. Suma de verificación: para garantizar la integridad de archivos digitales, debe ir
la suma de verificación en el documento del medio físico original.

Entendiendo los principios y reglas de la cadena de custodia la organización está


preparada para presentarla de forma correcta en un proceso legal.

PROCEDIMIENTO DE CADENA DE CUSTODIA

Entendiendo previamente las reglas de la cadena de custodia, sus características, cuando


empieza, cuándo termina y cómo diligenciarla, se puede entonces crear una metodología
con procedimientos racionales que permitan seguir siempre el mismo camino, como se
detalla a continuación en un procedimiento de ejemplo que puede ser adoptado por una
organización:

1. Decidir qué formato de documento se usará antes de iniciar con el decomiso.


2. Definir una persona como principal responsable para diligenciar en primera
instancia el documento.
3. Conocer en detalle el caso a investigar y qué conductas se están persiguiendo.
4. Asegurar el lugar del decomiso. No dejar entrar a otras personas, ni amigos ni
curiosos.
5. Valorar el lugar de los hechos, identificar los elementos probatorios de la escena.

6. Documentar el lugar de los hechos, con fotografías, videos y descripción.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 134
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

7. Crear el documento de cadena de custodia, caracterizar e individualizar los


elementos extraídos.
8. Clonar la evidencia en presencia de todos y plasmar en el documento los
checksum (sumas de verificación).
9. Realizar el embalaje, rotulado y sellado del material probatorio para su
almacenaje.
10. Documentar envíos, recepción, aperturas, nuevos embalajes y salidas del material
probatorio.

Este procedimiento permitirá actuar racionalmente y no empíricamente cuando se trate


de decomisar elemento material probatorio, de tal forma que el proceso legal cuente con
bases sólidas al momento de presentar la evidencia en juicio.

Cuando se convierte en metodología este elemento de la cadena de custodia, se habla


de que va a estar compuesta por un conjunto de procedimientos racionales que
propenderán por alcanzar un objetivo en la investigación.

El racionalismo está en oposición del empirismo y acentúa la función de la razón en la


investigación. Cuando se habla del empirismo se hace referencia a la experiencia ligada
a la percepción sensorial en la formación del conocimiento. Finalmente, cuando se habla
de procedimientos se dice que es un conjunto de acciones que se ejecutan siempre de la
misma manera para obtener un mismo resultado.

Si bien el empirismo no es criticado en las investigaciones, existen fases en las que se


debe evitar y empezar a construir metodologías que permitan siempre ejecutar las
mismas acciones para llegar al objetivo, en este caso, de tener una correcta cadena de
custodia que se pueda presentar en un proceso legal con el mínimo riesgo de ser
desacreditada por una falla o acción empírica.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 135
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 7: GESTIÓN DE INCIDENTES

Antes de pensar en el proceso metodológico del análisis forense digital se debe tener en
cuenta un protocolo de atención a incidentes que pueda desencadenar e involucrar este
tipo de análisis. En este capítulo se tratarán los diferentes tipos de incidentes que puede
tener una compañía y se enseñará la creación de protocolos de respuesta a cada uno de
ellos mostrando en qué momento interviene un perito forense.

Como objetivos principales de la gestión de incidentes están la examinación, contención,


prevención, soporte, control e identificación del incidente para el aseguramiento de la
compañía, limitando la superficie de exposición.

Una adecuada gestión de incidentes podría ayudar a detectar, identificar y responder ante
un fraude que atente contra los intereses de la compañía. El manejo de incidentes se
compone de un set de procedimientos usados para superar un fraude propiciado por la
existencia de vulnerabilidades en los controles.

TIPOS DE INCIDENTES

A lo largo de la vida las organizaciones pueden verse afectadas por diversos ataques que
otras instituciones nacionales o internacionales lancen sobre ellas a raíz de la
competencia comercial e incluso versen afectadas por ataques dirigidos no dirigidos de
personas naturales para fines que representen un beneficio propio.

Así es como en algún momento se deben caracterizar los tipos de incidentes que puede
sufrir una entidad para saber cómo atender a cada uno de ellos. En este capítulo se hará
referencia de manera global a la ocurrencia de delitos informáticos y ocupacionales,
haciendo énfasis en que los dos tienen algo común hoy en día: la utilización de activos
informáticos como medio y como fin para cometerlos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 136
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Los computadores se han convertido en herramientas cotidianas de trabajo y mediante


ellos las personas pueden atentar contra otros sistemas informáticos usando técnicas
como el phishing, malware, accediendo de manera ilegítima y causando daño, pero
también, pueden ser usados como un medio para cometer otra clase de delitos como el
enriquecimiento personal, la apropiación indebida de activos, falsificación de
documentos, entre otros.

INCIDENTES INFORMÁTICOS

Cada país tiene una definición de ley propia sobre los delitos informáticos, pero,
universalmente se conoce que los incidentes a los sistemas de información pueden ser
clasificados de la siguiente manera, independiente de las leyes:

1. Acceso abusivo a un sistema informático: cuando sin autorización o por fuera


de lo acordado, existe un acceso en todo o en parte a un sistema informático
protegido o no con una medida de seguridad.
2. Obstaculización de un Sistema informático: cuando se impide u obstaculiza el
funcionamiento o el acceso normal de un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones.
3. Interceptación de datos: cuando sin orden judicial previa se interceptan datos
informáticos en su origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático que los
trasporte.
4. Daño informático: cuando se destruye, dañe, borre, deteriore, altere o suprima
datos informáticos, o un sistema de tratamiento de información o sus partes o
componentes lógicos.
5. Software malicioso: cuando se produzca, trafique, adquiera, distribuya, venda,
envíe, introduzca o extraiga del territorio nacional software malicioso u otros
programas de computación de efectos dañinos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 137
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Violación de datos personales: cuando con provecho propio o de un tercero, se


obtiene, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre,
intercepte, divulgue, modifique o emplee códigos personales, datos personales
contenidos en ficheros, archivos, bases de datos o medios semejantes.
7. Suplantación: cuando se diseña, desarrolla, trafica, vende, ejecuta, programa o
envía páginas electrónicas, enlaces o ventanas emergentes con el fin de capturar
datos personales a nombre de terceros clonando ilegalmente sus sistemas de
información.
8. Hurto por medios informáticos: cuando se superan las medidas de seguridad
informáticas y se manipula un sistema informático, una red de sistema electrónico,
telemático u otro medio semejante, o suplantado a un usuario ante los sistemas
de autenticación y de autorización establecidos.
9. Transferencia no consentida de datos: cuando con ánimo de lucro y valiéndose
de alguna manipulación informática o artificio semejante, alguien consiga la
transferencia no consentida de cualquier activo en perjuicio de un tercero.

La gran cantidad de amenazas emergentes pueden ser catalogadas en las anteriores


definiciones y de allí se partirá para construir le protocolo de atención a incidentes cuando
se sea víctima de ellas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 138
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INCIDENTES CON FRAUDES OCUPACIONALES

El fraude ocupacional se divide en interno y externo, es decir, el que puede ocurrir a través
de un empleado de la organización o a través de, por ejemplo, un proveedor de servicios.
La Asociación de Examinadores del fraude Certificados ACFE define el fraude
ocupacional como toda aquella acción deshonesta que una persona puede cometer sobre
otra y lo organiza en tres grandes segmentos:

1. Corrupción: donde se encuentra el conflicto de interés, las dádivas ilegales, el


soborno y la extorsión económica.
2. Apropiación indebida de activos: en relación al dinero efectivo y no efectivo con
el raterismo y el mal uso, con gastos fraudulentos en facturación, nómina y gastos.
3. Cuentas fraudulentas: donde se encuentra la falsificación de estados
financieros, los ingresos ficticios, conciliaciones falsas, valoraciones inapropiadas
y falsificación de documentos internos y externos.

Al igual que con los fraudes informáticos, al conocer los diferentes tipos de fraudes
ocupacionales es importante para el diseño del protocolo de atención a incidentes y saber
en qué punto se debe acudir al análisis forense de forma acertada.

PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES

Una adecuada gestión de incidentes podría ayudar a detectar, identificar, responder y


administrar un problema que atente contra la organización. El manejo de incidentes se
compone de un set de procedimientos usados para superar un ataque propiciado por
vulnerabilidades en los controles.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 139
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Como objetivos principales de la gestión de incidentes están la examinación, contención,


prevención, soporte, control e identificación del incidente para el aseguramiento de la
compañía, limitando la superficie de exposición.

Un ejemplo de un programa de atención a incidentes podría ser el siguiente:

1. Identificación: el incidente debe ser analizado por su naturaleza, intensidad y


efectos en los activos de la organización.
2. Grabación en bitácora: se describen los detalles de la ocurrencia de una manera
precisa, ordenada y veraz.
3. Respuesta Inicial: se reúne un equipo de personas que atenderán el incidente,
internos o externos a la organización.
4. Comunicación: a empleados, junta directiva, socios y personas que deban
conocer de la ocurrencia de un incidente.
5. Contención: se deben inhabilitar los servicios afectados y mantener un perfil bajo
para no alertar al atacante.
6. Estrategia: se debe formular del plan estratégico que involucre soluciones y
acciones en ámbito técnico y legal.
7. Clasificación: se debe categorizar el incidente, se define la prioridad, criticidad y
tipo de ataque.
8. Investigación preliminar: se crear la hipótesis de quién, cómo, cuándo y dónde
sucedió y por qué razón se pudo materializar el incidente.
9. Recolección de datos: se lleva a cabo la adquisición de la evidencia y
generación de la cadena de custodia para posterior análisis.
10. Análisis Forense: se realiza la investigación del incidente de forma detallada,
consolidando la hipótesis e identificando la evidencia.
11. Protección de la evidencia: se custodia en caja fuerte, los movimientos de la
misma deben ser documentados y firmados.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 140
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

12. Notificación externa: se comunica a las autoridades pertinentes si el incidente


se clasifica como un delito.
13. Erradicación: se soluciona el problema tomando las medidas técnicas y
humanas necesarias.
14. Recuperación: se vuelven a poner operativos los servicios determinando el curso
de acción, monitoreándolos y examinándolos constantemente.
15. Documentación: se deben describir las brechas de seguridad, quienes
atendieron el incidente, cómo sucedió y cómo fue solucionado.
16. Evaluación de pérdidas: se deben documentar las pérdidas, el tiempo sin
facturar o prestar el servicio y costos de recuperación.
17. Revisión y actualización de políticas: se deben considerar nuevas políticas de
seguridad y controles con el equipo de auditoría.

Si se es víctima de un ataque se deben seguir de manera organizada y responsable cada


uno de estos pasos y evitar caer en la tentación de realizar una investigación directa como
primera medida.

INFORMÁTICA FORENSE EN LA ATENCIÓN DE INCIDENTES

La tecnología juega hoy un papel importante en las organizaciones, los procesos están
automatizados y la operación depende de que los sistemas de información funcionen.
Cuando se presenta un incidente por fraude ocupacional es muy común que algún
sistema informático esté involucrado debido a la naturaleza de los procesos, es por ello
por lo que es importante incorporar la informática forense dentro de todo el ciclo de
atención de incidentes, sean o no informáticos, porque la gran cantidad de evidencia que
pueda sacarse en un caso podría residir en formato digital.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 141
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El análisis forense digital se incorpora al ciclo de la investigación después de la respuesta


inicial, la contención, la formulación de hipótesis, la creación de estrategias de
investigación, de la clasificación, de la recolección de datos, de la caracterización, de la
comunicación y de la investigación preliminar. Es importante destacar que el análisis
forense digital no es el primer paso en respuesta a un incidente, éste debe darse como
resultado de una atención previa con el protocolo que la organización ha diseñado para
atender los incidentes por fraude.

TERCEROS QUE DEBEN ESTAR INVOLUCRADOS

En un programa de respuesta a incidentes deben estar involucradas muchas personas,


sin embargo, cuando se habla de terceros es importante contar con un equipo de expertos
que puedan apoyar de emergencia estos eventos, como, por ejemplo:

1. Abogados: que tengan conocimientos en materia laboral pero también en materia


comercial y penal para recibir de ellos asesorías y recomendaciones en el actuar
en materia legal que debe tomar la compañía en relación con el incidente
presentado.
2. Perito forense informático: que cuente con todas las herramientas en hardware
y software, así como con las certificaciones y experiencia en la materia que
permita llevar a cabo de forma metodológica un proyecto forense.
3. Examinador de fraudes: que tenga conocimientos en la detección, prevención e
investigación de fraudes ocupacionales e informáticos, que ayude a crear las
hipótesis de lo que posiblemente se esté presentando y dicte lineamientos para
una adecuada respuesta inicial al incidente.
4. Auditor externo: que permita estar presente en todos los procedimientos
auditando el cumplimiento de las metodologías y asegurando que se cumplan las
mejores prácticas, dictando oportunidades de mejora a problemas detectados.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 142
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Especialista en la materia: cuando el examinador del fraude tipifique el incidente,


debe contratarse un especialista en la materia, por ejemplo, financiero, médico,
informático, que conozca tanto que pueda detectar rápidamente el modus
operandi en el proceso de investigación.

Los asesores externos hacen que los procesos tengan menos posibles puntos de falla, al
contar con experiencia previa de otros clientes que puedan aportar al crecimiento de las
metodologías internas.

Se puede contar con terceros consultores privados, individuales o terceros de tipo


empresas e instituciones. Lo que se debe tener en cuenta en este punto es que
independiente de la firma consultora que preste el servicio, el individuo que sea asignado
para ejecutar las actividades será aquel que responda por sus actos en un proceso legal.
Cuando en un juicio se llama a interrogatorio o la parte contraria quiere hacer el suyo
propio, no llama a la compañía o a su representación legal, llama a la persona que llevó
a cabo los procedimientos en la investigación y que aparece en los informes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 143
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 8: TESTIGO EXPERTO Y PERITO FORENSE

Cuando se lleva toda la investigación a corte, mediante un abogado en un proceso


judicial, se encuentran varias figuras que pueden testificar en los juzgados sobre la
investigación, sobre la materia o sobre los mismos hechos que se presenciaron.

En este capítulo se profundizará sobre cada uno de los diferentes roles a la hora de
testificar y se tratará la temática de elaboración de reportes forenses que presenten allí
las conclusiones tanto técnicas y ejecutivas que finalmente serán sobre las cuales se
llamará al perito forense a dar testimonio en juicio.

En la elaboración de informes forenses será muy común que al momento de realizar una
demanda o contrademanda, la contraparte solicite copia de las conclusiones forenses
sobre la investigación. Es aquí donde el perito debe construir un informe especial para
dar entendimiento de todo su trabajo a personas que posiblemente nunca han tenido
contacto con un informe de tal magnitud. En este capítulo se enseñará como redactar el
informe paso por paso para dar respuesta a esta clase de requerimientos.

TESTIGO EXPERTO

Es un testigo que tiene un conocimiento especializado en una determinada materia que


lo habilita para emitir opiniones o conclusiones en el juicio que serían inadmisibles o no
tratándose de un testigo normal.

Se trata de un testigo, es decir, alguien que presenció o puede declarar sobre hechos
relevantes para el caso, pero que además está dotado de un cierto conocimiento o
experiencia que lo habilita para dar opiniones.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 144
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El testigo experto es un testigo calificado que por su conocimiento, habilidades,


experiencia, entrenamiento o educación puede declarar o dar una opinión sobre una
materia técnica, científica o especializada.

El testimonio debe estar basado en la suficiencia de hechos y datos. El testimonio debe


ser producto de principios y métodos confiables. El testigo debe haber aplicado los
principios y métodos de manera confiable a los hechos del caso.

TESTIGO REGULAR

El testigo regular también acude al proceso legal para declarar sobre los hechos que se
están discutiendo. La función del testigo regular es declarar sobre todo aquello que ha
podido percibir por cualquiera de los cinco sentidos, sin embargo, no podrá elaborar
conclusiones o valoraciones sobre los hechos que vayan más allá de las percepciones
sensoriales.

La principal diferencia entre el testigo experto y el testigo regular en este punto es que el
experto, por su conocimiento, habilidades, experiencia, entrenamiento o educación puede
dar una opinión técnica sobre lo que presenció, mientras que el testigo regular solamente
se limita a describir lo que pudo percibir con sus sentidos sin dar ninguna opinión más
allá de lo que pudo sentir con ellos.

PERITO FORENSE INFORMÁTICO

Un perito es un tercero ajeno al proceso que es llamado al mismo para que aporte una
declaración de ciencia y no de conocimiento sobre los hechos de los cuales no ha tenido
conocimiento por no ser testigo directo. Un perito puede ser una persona reconocida en
el ámbito pericial o un experto en la materia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 145
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

La principal diferencia con respecto al testigo regular y al testigo experto es que el perito
no presenció los hechos y por lo tanto no puede dar su opinión sobre lo sucedido, ya sea
en materia técnica o sensorial, en cambio, el perito forense podrá dar una declaración
donde se instruya a la audiencia en ciencia y se explique el significado de lo directamente
encontrado en el elemento material probatorio.

En un proceso legal es muy importante la participación de un perito forense que no haya


tenido contacto y/o presencia en el lugar de los hechos para que pueda corroborar el
trabajo que posiblemente el testigo experto realice en calidad de perito al examinar la
evidencia y generar sus conclusiones forenses.

INVESTIGADOR DEL FRAUDE

Un investigador del fraude es una persona independiente del testigo regular, del testigo
experto y del perito forense que se incorpora a la investigación en curso de forma paralela
con el perito y quien se especializa en este caso en la detección de fraudes. Este
investigador debe poseer un conocimiento integral en materia antifraude, pero
adicionalmente debe ser experto en la materia tratada. Si el caso está relacionado con la
disciplina de la salud, específicamente en cuentas médicas, el investigador deberá tener
conocimientos y experiencia en la auditoría de cuentas médicas y ser un profesional de
la salud.

Su trabajo principal en todo el proceso forense es contribuir a evitar la impunidad,


proporcionando los medios técnicos válidos que faciliten a la justicia actuar con mayor
certeza en términos de dictar sentencia contra los culpables y así poder reparar a las
víctimas de manera exitosa.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 146
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

En todo proyecto forense se debe hacer la distinción entre el perito y el investigador. El


perito forense informático únicamente encontrará y clasificará elementos digitales para
ser examinados por el investigador y en conjunto crearán una base de datos con los
archivos de relevancia para el desarrollo de la hipótesis del fraude.

En algunos casos los investigadores también son peritos y viceversa. En esta


circunstancia es de vital importancia separar los roles y representarlos bien en el informe
forense, describiendo que el mismo perito forense es el investigador del fraude.

PRESENTACIÓN DE LOS HECHOS

Llega el momento de presentar los resultados ante el juez, el jurado y la contraparte y se


debe estructurar un procedimiento metodológico que permita el correcto entendimiento
por todas las partes. El siguiente procedimiento asegura una presentación limpia ante las
partes interesadas:

1. Elementos conceptuales: basado en la formación académica y entrenamientos,


se establecen los elementos conceptuales sobre los cuales se basa el reporte y
se muestran a las partes.
2. Hechos fundamentales: se presentan los hechos fundamentales que fueron
objeto de análisis en la fase de examinación o investigación.
3. Procedimientos y técnicas: se describen las técnicas usadas, las metodologías,
el proceso de verificación en la toma de datos y cadena de custodia.
4. Conclusiones: se exponen las conclusiones de los hechos analizados, sin dar
opiniones personales parcializadas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 147
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

De esta manera el juez, jurado y contraparte no van a atacar la presentación de los


hechos con fundamentos tales como desorden o incoherencia y más bien van a entender
de manera progresiva todas las fases de la investigación que llevaron el proceso a juicio.

REPORTES FORENSES

El informe forense es aquel que elabora el perito forense informático y se encuentra entre
el informe técnico y el informe ejecutivo, teniendo algo de ambos mundos, pero esta vez
extendiéndose un poco más en la parte metodológica de todo el proyecto forense. Este
informe debe contener por lo menos las siguientes temáticas:

1. Título: puede incluir el nombre del caso, el nombre del investigador e información
de contacto.
2. Tabla de contenido: para poder dirigirse a las secciones de interés de manera
rápida y ordenada.
3. Resumen ejecutivo: donde alguien con tan solo leerlo se entere de manera
global de todo el trabajo y los hallazgos relevantes. Puede ser el mismo informe
ejecutivo incrustado.
4. Objetivos: donde se debe incluir un listado de las necesidades que fueron
solicitadas por el cliente o los investigadores para que el perito forense buscara
en la evidencia.
5. Evidencia analizada: aquí es donde se hace el inventario de toda la evidencia,
con sus seriales, fotos, descripción, custodio y sumas de verificación.
6. Pasos que se siguieron: no solamente los pasos que se siguieron al analizar la
evidencia, sino todo el procedimiento ejecutado en la metodología forense desde
que se empezó a planear la investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 148
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

7. Hallazgos relevantes: normalmente el perito forense debe subrayar los


documentos de interés, colocando una pequeña descripción de por qué son
relevantes y explicando qué son y de donde vienen.
8. Línea de tiempo: para un evento importante, como la eliminación de datos, el
perito forense debe documentar los hechos anteriores y posteriores al momento
de la eliminación, tratando de construir una historia lógica de la acción, no
solamente técnica sino humana.

9. Conclusiones: donde se plasman los hechos relevantes de toda la investigación


forense.
10. Firmas: donde deben ir las firmas de los peritos forenses que elaboraron el
informe.
11. Anexos: donde se incluye la hoja de vida del perito forense y el cabezal del
documento de cadena de custodia, así como el listado de los archivos a los que
se hace referencia en el informe con un vínculo para poder ser analizados
posteriormente con facilidad.

Se debe evitar incluir opiniones y juicios personales sobre la culpabilidad o inocencia de


los implicados. El perito forense debe limitarse a incluir opiniones técnicas apoyadas en
su experticia y experiencia.

INFORME EJECUTIVO

Un informe ejecutivo es aquel que se realiza para que personal directivo pueda tener un
contexto completo de tofo el proyecto en tan solo una página y así facilitar su lectura y la
toma de decisiones resaltando los aspectos clave de la investigación.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 149
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Podría hacerse la similitud con los hitos en un proyecto, los cuales representan los logros
más importantes, haciendo énfasis en momentos importantes de la investigación que
dirijan la mirada y el interés por los tomadores de decisión que podrán determinar si el
caso merece el abordaje de un proceso legal, de un proceso disciplinario o de un
archivado.

El informe ejecutivo es de carácter privado, éste no llegará a las manos de los abogados
de la contraparte ni será examinado por el juez o jurado, su elaboración corresponde
únicamente a la necesidad de mostrar al interior el trabajo realizado para que una persona
de más alto nivel lo pueda entender y dar pautas con respecto a los siguientes pasos.

INFORME TÉCNICO

Un informe técnico forense es aquel que solamente contiene datos referentes a la


evidencia encontrada, sin explicaciones ni opiniones y generalmente obedece a toda la
metadata o descripción de la información del elemento material probatorio. El informe se
destacará por el siguiente contenido:

1. Encabezado: donde se identifique el software utilizado, su versión, el equipo


donde fue utilizado, el nombre del perito forense que llevó a cabo el proyecto y las
fechas de elaboración y procesamiento.
2. Inventario: donde se muestre el número de ítems encontrados como elemento
material probatorio y el resumen de su clasificación.
3. Fotos: donde se muestren las imágenes del elemento material probatorio en su
forma física, ya sean discos duros, computadores, memorias USB, etc.
4. Agrupación de ítems: donde se traten de conglomerar las clasificaciones
anteriores de tal manera que se puedan examinar archivos del mismo tipo en
orden ascendente o descendente.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 150
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Metadata de los ítems: donde se especifique su tamaño, hora de creación,


modificación, copiado, eliminado y bloques.
6. Sumas de verificación: donde cada ítem de elemento material probatorio tenga
su dato de integridad en MD5 y SHA-1.

El informe técnico a veces es elaborado de forma automática por las herramientas que
provee el perito forense informático y en pocas ocasiones, donde el análisis pericial ha
sido llevado a cabo de manera manual, se elaboraría de igual manera.

MD5 y SHA-1 son algoritmos criptográficos usados para la reducción de datos. Con ellos
se pueden generar cadenas de caracteres de 128 Bits y 160 Bits respectivamente para
así poder comprobar más adelante que el archivo permanezca íntegro durante todo el
ciclo de la investigación.

INFORME CON CONCLUSIONES Y OPINIONES

A pesar de que las opiniones en los informes deben ser evitadas, existe la posibilidad de
que se cree un informe por separado con conclusiones y opiniones especiales referentes
al proceder en forma de consejos que dan los testigos expertos, peritos, investigadores y
asesores legales.

Este es un documento privado, de lectura única y cerrada para la organización que está
llevando a cabo el proyecto forense y la investigación. Mediante él los expertos podrán
incluso recomendar vías de solución y plantear inversiones y precios para el análisis
costo/beneficio de determinada acción.

En las opiniones también pueden existir recomendaciones técnicas, por ejemplo, sobre
el manejo de datos, sobre la implementación o parametrización de software, de la
implementación de medidas de seguridad, sobre capacitación y concientización.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 151
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

DESCRIPCIÓN DE HECHOS FUNDAMENTALES

En la fase de examinación e investigación se debieron haber encontrado los hechos


fundamentales sobre los que se basan las conclusiones que desarrollaron la hipótesis del
presunto fraude.

Cuando se habla de hechos se están necesariamente relacionando los sucesos que


ocurren por efecto de la acción del individuo investigado. En el contexto científico un
hecho se define como una observación que el testigo experto, perito o investigador puede
verificar y que será el inicio para la formulación de su teoría.

Se debe elaborar entonces un informe por separado que describa los hechos
fundamentales de la investigación y que permita complementar el informe ejecutivo
cuando las partes interesadas quieran realizar un análisis únicamente a los hechos.

PROCEDIMIENTOS Y TÉCNICAS

Es el documento que pretende ilustrar únicamente los procedimientos y técnicas usadas


en el desarrollo de todo el proyecto forense, debe describir la metodología usada, las
personas que intervinieron en cada fase del proyecto y el desarrollo de cada fase,
explicando en qué consistió y cuáles fueron sus logros y objetivos.

En el siguiente capítulo se observará cómo en el interrogatorio se hará énfasis en la


metodología usada para llevar a cabo la investigación, donde la contraparte tratará de
encontrar interpretaciones incorrectas o mala ejecución de procedimientos, por ello es de
vital importancia crear este informe separado de los demás, para poder enfatizar más
adelante sobre el tema y dirigirse a él de forma independiente en la etapa del
interrogatorio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 152
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

QUÉ DEBE INCLUIR UN INFORME FORENSE

El informe forense que elabora el testigo experto, quien a su vez puede ser también el
perito e investigador según sus habilidades y experiencia, debería incluir lo siguiente:

1. El encabezado que identifique de manera clara y concreta, la solicitud efectuada,


los participantes y código de identificación del caso.
2. Una introducción donde se describa la conducta o hechos que se investigan, los
alcances de la pericia y el objetivo mismo de los análisis.
3. La validación y verificación de la cadena de custodia donde se especifica qué se
recibe, de quién, en qué fecha, etc.
4. Los procedimientos de preparación y adecuación de la evidencia recibida donde
se detalle el proceso forense realizado.
5. El análisis de la evidencia que muestre la ejecución de las herramientas utilizadas
sobre las copias autenticadas de las evidencias recolectadas.
6. Los hallazgos o hechos identificados como resultado de la aplicación de las
herramientas tecnológicas que hablan generalmente de archivos.
7. Las conclusiones sobre los hechos investigados, sin juicios de valor, basados en
los hechos y datos recolectados con las herramientas.
8. La firma de los analistas o peritos como forma de refrendar sus hallazgos y
procedimientos aplicados sobre el material probatorio entregado.

El informe forense además debe poseer una perfecta escritura, sin errores ortográficos ni
problemas gramaticales que dificulten la lectura. Se debe tener siempre en cuenta que la
contraparte tendrá acceso a este reporte y ella se esmerará por encontrar cualquier punto
y coma mal puesto que cambie el significado de las palabras, para ser usado en contra.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 153
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 9: INTERROGATORIOS

Muchas personas piensan que los interrogatorios y las entrevistas son dos cosas iguales.
Este capítulo del curso se centrará en diferenciar ambos conceptos y se entrenará a los
auditores, peritos forenses, testigos e investigadores en la materia.

El concepto de entrevista se aplica comúnmente a la actividad civil, en temáticas como la


búsqueda de empleo, las relaciones comerciales, la selección de personal, los castings
de todo tipo y el concepto de interrogatorio se presencia únicamente en el ámbito jurídico.
Las principales características de ambos son:

1. Interrogatorio: es un proceso acusatorio, caracterizado por el comportamiento


del interrogador y la naturaleza de las preguntas. El interrogador tiene el control
del procedimiento, no manifiesta empatía con los interrogados y la relación
establecida se caracteriza por un sistema cerrado de “pregunta-respuesta”. El
interrogador debe tener el mayor conocimiento posible del hecho cometido y de la
persona que presuntamente lo cometió.
2. Entrevista: es un proceso no acusatorio, en el que debe establecerse primero
confianza y seguridad entre las dos personas. Su desarrollo es poco estructurado
para permitir un flujo constante de información y la mayoría de peguntas son
abiertas. Al contrario que en el interrogatorio, el peso del proceso recae en el
entrevistado, dado que éste es el que posee la información. Es por eso por lo que
se le debe dejar al entrevistado que relate libremente, y sin interrupciones, todo lo
que sabe.

De acuerdo con las anteriores definiciones y características, los peritos, testigos expertos
y regulares, así como los investigadores, serán sometidos a interrogatorios tratándose de
un proceso judicial, con preguntas estructuradas tendientes a desmeritar el proceso y el
entrevistado.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 154
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INTERROGATORIO AL TESTIGO EXPERTO

Es el principal interrogatorio, por la calidad del rol del testigo experto, este es quien
además de dar testimonio de los hechos puede dar opiniones por conocimiento en la
materia. Algunas veces el perito forense informático es también testigo experto, por ello,
la contraparte centrará sus esfuerzos en desacreditar este rol.

El interrogatorio al testigo experto puede ser conducido de la siguiente manera,


presentando las siguientes características:

1. Confrontación directa: donde se establece la relación con el sospechoso y


mutua identificación y presentación de los cargos. Aquí lo que hace el interrogador
es confrontar al testigo experto en el conocimiento del caso y de los cargos que
se están formulando.
2. Desarrollo del tema: donde el interrogador realiza preguntas sobre el trabajo
realizado, sobre los informes, las conclusiones, metodologías, procedimientos y
técnicas usadas.
3. Negativas: una negativa es una respuesta básica a una acusación falsa. Esta
fase es la más crítica para el interrogador, dado que su actuación puede quedar
afectada de inconstitucionalidad (la 5ª Enmienda o Ley Miranda). El interrogador
acusará de manera inteligente al testigo experto de falso testimonio y observará
cómo reacciona ante esta acusación.
4. Objeciones: es cuando el testigo experto se da cuenta de la inutilidad de sus
negativas y podría cambiar de táctica para mantener el control de la conversación
y razona los motivos por los que la acusación es falsa para intentar convencer al
interrogador. Cambia la negativa por la objeción. En la detección del cambio y el
manejo de las objeciones estaría el éxito del interrogador.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 155
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

5. Observación: si el interrogador está dominando el interrogatorio y dominó las


negativas y las objeciones, da cabida para que el testigo experto se vuelva más
pensativo, hable menos, y de la impresión de estar ausente, juega con su ropa,
pelo o uñas o realiza cualquier tarea distractora.
6. Pasividad: a este nivel del interrogatorio el testigo experto puede asumir una
postura derrotista y sentirse abatido y deprimido por la eficacia del interrogador y
anticipar consecuencias.
7. Alternativas: en el ámbito del interrogatorio, una alternativa es la posibilidad
presentada al testigo experto de elegir entre diferentes alternativas. El
interrogador tratará de llevar al interrogado a una serie de situaciones donde le
permita aceptar que ha mentido, alterado o exagerado en los reportes.
8. Conducción: se aceptar alguna de las alternativas estaría aceptando por primera
vez que algo malo existe en el reporte forense, en las metodologías y
procedimientos y desarrollar esta admisión es la finalidad de este paso.

Finalmente se tiene un procedimiento que comúnmente seguirá el interrogador. Más


adelante en este mismo capítulo se tratará en profundidad la mecánica de
desacreditación usada por el interrogador.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 156
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

INTERROGATORIO AL TESTIGO REGULAR

El interrogatorio al testigo regular no difiere en mucho del realizado al testigo experto. La


única variación en este punto es que el interrogador no se centrará en desacreditar las
metodologías o procedimientos, sino que se centrará en encontrar una razón para que
los cinco sentidos del testigo estuviesen afectados por causas como:

1. Enfermedades: como la conjuntivitis, la presbiacucia (pérdida de la capacidad


auditiva) entre otras.
2. Efectos de las drogas: ordenará exámenes de medicina legal para determinar si
la persona es consumidora de drogas para así alegar alucinaciones u otras
alteraciones de la percepción de la realidad.

Los testigos regulares son aquellos que presenciaron los hechos con alguno de sus cinco
sentidos, son los más débiles de todos los testigos debido a que no tienen un interés
propio en la resolución del problema, como si lo tiene un testigo experto, un perito e
investigador.

INTERROGATORIO AL PERITO FORENSE

Como regla general, tanto el testigo de hechos como el testigo experto deben hablar de
aspectos que se observaron personalmente sin dar opiniones ni conclusiones. Sin
embargo, en algunos países y estados es permitido expresar opiniones personales sobre
los siguientes aspectos: la apariencia, la manera de comportarse, la competencia, estado
mental y conducta.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 157
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

En el caso del perito forense, se dice que su testimonio es de ciencia y no de


conocimiento, por ello no debe hacer los mismo que los testigos regulares o el testigo
experto. El interrogatorio al perito forense será meramente técnico sobre la materia de su
conocimiento, experticia, educación y formación.

El objetivo principal del perito forense es dar a entender al jurado aspectos técnicos sobre
el cual está basado el caso y sustentar académicamente la teoría y aplicación práctica de
métodos que fueron usadas durante la investigación. El perito forense ideal es aquel que
pueda ser reconocido en su medio como una persona respetable, de buena reputación y
conocimiento en la materia.

Generalmente una persona calificaría como perito forense si es capaz de transmitirle al


jurado un entendimiento técnico del caso explicando las metodologías y teorías usadas
para su desarrollo. Adicional a esto, otros factores pueden ser tenidos en cuenta
como premios recibidos, licencias y certificaciones, entrenamiento técnico recibido, libros
publicados, artículos y conferencias, posición profesional ocupada, asociaciones y
organizaciones a las que pertenece.

El interrogatorio del perito forense estará basado principalmente en el chequeo de las


siguientes condiciones generales:

1. Credenciales académicas: puede ser que las “credenciales académicas” del


perito sean deficientes (por ejemplo, porque las haya obtenido de una institución
académica poco acreditada o a través de cursos sin reconocimiento de validez
oficial).

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 158
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

2. Tiempo: hay que considerar el tiempo del que dispuso el perito para hacer su
trabajo. Determinadas metodologías científicas no pueden ser abreviadas, de
modo que, si el dictamen fue rendido en un lapso más breve del que está
establecido, es del todo posible que no haya respetado el procedimiento
científicamente válido para ofrecer conclusiones
3. Exacta conexión: Hay que cerciorarse si el campo de conocimiento del perito
tiene exacta conexión con el tema sobre el que ha rendido el dictamen pericial. En
caso contrario dicho dictamen carecerá de validez por ser materia de un campo
ajeno al conocimiento especializado del perito.

Las estrategias de desacreditación del perito forense y del testigo experto son similares,
la única diferencia es que el perito forense no será interrogado sobre los hechos.

CÓMO SE DESACREDITA UN TESTIGO EXPERTO

La parte contraria puede emplear muchas estrategias y métodos para desacreditar un


testigo experto u opacar la importancia de sus aportes en el caso. Estos métodos pueden
ser usados por separado o en conjunto:

1. Visión miope: la contraparte intentará probar que el testigo experto se centró en


un sólo punto de la investigación y dejó otros aspectos importantes sin tratar,
enfocándose solo en los puntos que le convienen a la parte.
2. Seguridad: la contraparte llevará al testigo experto a una falsa sensación de
seguridad y propiedad, no atacándolo personalmente al principio, pero luego,
después de que el testigo se siente confiado, la contraparte buscará "un hueco"
en su testimonio (que seguramente se alargó mucho) que pueda usar en su
contra.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 159
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Contradicción: la contraparte intentará realizar preguntar al testigo para forzarlo


a dar un concepto contradictorio. Adicionalmente, la contraparte llevará artículos
de expertos reconocidos en el medio donde se contradiga lo expuesto por el
testigo.
4. Nueva información: la parte contraria introducirá nueva información de la cual se
espera que el testigo experto no tenga conocimiento. Esto tiene el objetivo de
confundir a la persona y obligarlo a construir escenarios alternativos para
responder a ello.
5. Soportar la teoría contraria: en este caso, la parte contraria reconoce al testigo
como un experto en la materia, pero se niega a aceptar su teoría mostrando otra
manera de interpretar las cosas.
6. Parcialidad: la parte contraria tratará de demostrar que el testigo experto esta
parcializado y limitado. Esto demostrará que no está en posición de dar un
concepto objetivo en la materia considerando la situación.
7. Confrontación: es donde se lleva al testigo experto a perder su control emocional
y se obliga a mostrarse enfadado. Si el testigo accede a descontrolarse, de
inmediato pierde su credibilidad.
8. Afirmar a la contraparte: los abogados tratarán de hacer preguntas sencillas en
las que el testigo experto esté obligado a afirmarlas de la misma manera en que
ellos lo hacen. Esto confundirá al jurado haciendo creer que el testigo está de
acuerdo en la mayoría de las preguntas de la contraparte.
9. Precio: la contraparte preguntará por el valor de la consultoría o asesoría tratando
de encontrar signos de un trabajo deficiente o incompleto, mal cobrado y por ende
mal realizado.
10. Descrédito: la contraparte tratará de averiguar si el testigo está involucrado en
actividades ilegales, si tiene mala reputación, si ha tenido otros procesos legales
en su contra e incluso si está exagerando su experticia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 160
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

11. Ataques personales: la contraparte, por fuera del proceso legal, puede abordar
al testigo y amenazarlo y desacreditarlo diciéndole que no se presente por no estar
calificado para el caso.
12. Mejores prácticas: tratarán de desacreditar el testigo experto mostrando un
conjunto de malas prácticas profesionales y la no adopción de estándares en la
aplicación de metodologías y teorías.

Algunos aspectos diferencian a un testigo creíble a otro que no es creíble, como por
ejemplo: mantener una postura profesional y demostrar integridad, decir la verdad, ser
honesto, usar términos simples en vez de complicados, ser respetuoso con ambas partes
del proceso, estar siempre alerta y no despistarse, corregir cualquier error
inmediatamente al ser detectado, escuchar cuidadosamente y responder las preguntas,
no irse por la tangente, no forcejear con la persona que hace las preguntas, estar calmado
al responder las preguntas y no agitarse, planear el testimonio con anticipación, no
improvisar, usar gráficos y otras ayudas visuales que ayuden a aclarar situaciones, no ser
evasivo y no responder inmediatamente las preguntas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 161
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 10: CASO PRÁCTICO

El propósito de este capítulo del curso es presentar el desarrollo de un proyecto forense


como si un tercero fuera a contratar los servicios de investigación y fuera responsabilidad
del estudiante atenderlo, aplicando la gerencia del proyecto y el desarrollo del mismo
desde un punto de vista holístico. Se abordará un caso ficticio, pero casualmente del tipo
más encontrado actualmente en las compañías.

Este será un paso a paso en el abordaje de un reto de investigación donde se


seleccionará recurso humano especializado, metodologías, asesores externos y
herramientas a modo de ejemplo hasta llegar a juicio para luego cerrar el proceso y
evaluarlo.

PRESENTACIÓN DE LA EMPRESA

Una compañía de 4500 empleados llamada ACME S.A, del sector privado, dedicada al
negocio energético, con asociación sindical, tiene en su planta administrativa
departamentos y direcciones, ambos a cargo de jefes de unidad y directores de área. La
empresa tiene un departamento de auditoría de 35 personas, pero en su equipo no hay
peritos forenses ni investigadores de fraude, solamente auditores internos con
conocimiento del negocio energético y con formación universitaria.

La compañía además tiene un departamento de informática y de seguridad de la


información y tienen la mayoría de sus sistemas tercerizados, con políticas bien definidas
en el uso aceptable de los activos de información y seguridad informática.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 162
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

ACME S.A enfoca sus esfuerzos en la implementación de energías renovables para el


despliegue de plataformas energéticas amigables con el medio ambiente. Su equipo de
ventas y compras es muy importante en la labor puesto que son el motor que hace mover
toda la compañía.

DESCRIPCIÓN DEL PRESUNTO FRAUDE

La compañía recibió a través de su línea ética una denuncia en contra del departamento
de compras. La denuncia decía que existía un acuerdo entre proveedores y personal al
interior del departamento de compras que consistiría en la entrega de comisiones y
dádivas a cambio de la elección constante de ciertos terceros para la compra de
elementos relacionados con la energía solar. La denuncia además especifica que una
persona al interior del departamento de compras ha mejorado su estilo de vida
sospechosamente durante el último año, viéndosele en autos lujosos y adquiriendo
propiedades muy costosas a las que frecuenta los fines de semana con sus amigos. El
equipo de auditores decide en conjunto que investigará la denuncia y lo clasificará como
un reporte de incidente que debe ser atendido según el protocolo.

GESTIÓN DEL INCIDENTE DE FRAUDE

De inmediato el equipo de auditores planea la gestión del incidente reportado, con las
personas que tiene encargadas para ello y tiene en cuenta los siguientes aspectos que
se proponen abordarán para su atención:

1. Identificación: el incidente será analizado por su naturaleza, intensidad y efectos


en los activos de la organización.
2. Grabación en bitácora: de ahora en adelante se proponen en llevar la bitácora
de todas las acciones del equipo con respecto a este incidente.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 163
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Respuesta Inicial: se reúne un equipo de personas que atenderán el incidente,


internos o externos a la organización. Aquí empiezan a localizar a proveedores
especializados para pedirles su ayuda.
4. Comunicación: planean un plan para informar a junta directiva, socios y personas
que deberían conocer de la ocurrencia de este incidente, que aún no se ha
comprobado, pero sí reportado.
5. Contención: piensan en inhabilitar los servicios afectados y mantener un perfil
bajo para no alertar al atacante. Esto incluye frenar las decisiones de compra
actuales del departamento de compras.
6. Estrategia: se empieza a formular un plan estratégico que involucre soluciones y
acciones en ámbito técnico y legal.
7. Clasificación: se reúne un equipo de personas para que clasifiquen el incidente,
se define la prioridad, criticidad y tipo de ataque.
8. Investigación preliminar: se crea la hipótesis de quién, cómo, cuándo y dónde
sucedió y por qué razón se pudo materializar el incidente.
9. Recolección de datos: se decide que se debe adquirir evidencia y generar una
cadena de custodia para posterior análisis.
10. Análisis Forense: se decide que se debe realizar la investigación del incidente
de forma detallada, consolidando la hipótesis e identificando la evidencia.
11. Protección de la evidencia: se decide que la evidencia se debe custodiar en caja
fuerte y los movimientos de la misma deben ser documentados y firmados.
12. Notificación externa: se quiere comunicar a las autoridades pertinentes si el
incidente se clasifica como un delito.
13. Erradicación: se tiene como objetivo solucionar el problema tomando las
medidas técnicas y humanas necesarias.
14. Recuperación: se quiere volver a poner operativo el servicio de compras
determinando el curso de acción, monitoreándolo y examinándolo
constantemente.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 164
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

15. Documentación: se toma la determinación de describir las brechas de seguridad,


quienes atendieron el incidente, cómo sucedió y cómo fue solucionado.
16. Evaluación de pérdidas: se tiene como objetivo documentar las pérdidas, el
tiempo sin facturar o prestar el servicio y costos de recuperación.
17. Revisión y actualización de políticas: se revisarán nuevas políticas de
seguridad y controles con el equipo de auditoría.

Como objetivos principales en este punto de la gestión de incidentes están la


examinación, contención, prevención, soporte, control e identificación del incidente para
el aseguramiento de la compañía, limitando la superficie de exposición.

DEFINICIÓN DEL EQUIPO QUE ATENDERÁ EL PROCESO

Para la ejecución del proyecto de auditoría forense que tendrá como objetivo la
investigación de este incidente, se pensaron en los siguientes perfiles profesionales:

1. Gerente de proyectos: será persona que tendrá la responsabilidad total del


planeamiento y la ejecución del proyecto de auditoría forense. Esta persona
construirá el cronograma del trabajo en colaboración de los otros perfiles y
establecerá las fechas de ejecución de actividades, socialización y entrega de
informes. Si durante el proyecto se tienen inconvenientes, ésta será la persona
que los comunique y será la cabeza visible para su gestión.
2. Auditor de compras: será persona encargada de llevar a cabo todos los análisis
sobre la razonabilidad de los hechos reportados en la línea ética, de evaluar toda
la información de compras en búsqueda de errores o presuntos fraudes.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 165
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

3. Abogado: será la persona que se encargará de mantener bajo la ley todas las
actividades a desarrollar en el marco de la auditoría, garantizando que ninguna de
las personas incurra en un delito por la realización de sus actividades. Tiene un
papel fundamental en encontrar junto con el auditor de compras, qué normatividad
o leyes fueron violadas y tipificarlas en caso de encontrar un fraude.
4. Perito Forense Informático: será la persona que diseñará el proceso de
decomiso, cadena de custodia, adquisición de evidencia, procesamiento,
entregará los medios indicados a los investigadores y auditores para su análisis y
colaborará en la presentación de los informes ejecutivo y técnico.
5. Investigador especializado en compras: será la persona especializada en
investigar en conjunto con el autor de compras la ocurrencia del presunto fraude.
Mientras que el auditor interno realiza acciones internas, el investigador podrá
realizar un trabajo externo de campo con más alcance y menos restricciones.

A la investigación se le está dando un enfoque detectivo y será clave la participación de


todo el recurso humano para cumplir los objetivos de la gestión del incidente.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 166
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CADENA DE CUSTODIA

El equipo de investigación decide implementar una metodología de cadena de custodia


con procedimientos racionales que permitan seguir siempre el mismo camino:

1. Deciden qué formato de documento se usará antes de iniciar con el decomiso.


2. Definen una persona como principal responsable para diligenciar en primera
instancia el documento.
3. Se aseguran de que todos conocen en detalle el caso a investigar y qué conductas
se están persiguiendo.
4. Asegurarán el lugar del decomiso. No dejarán entrar a otras personas, ni amigos
ni curiosos.
5. Valorarán el lugar de los hechos e identificarán los elementos probatorios de la
escena.
6. Documentarán el lugar de los hechos, con fotografías, videos y descripción.
7. Crearán el documento de cadena de custodia, caracterizarán e individualizarán
los elementos extraídos.
8. Clonarán la evidencia en presencia de todos y plasmarán en el documento los
checksum (sumas de verificación).
9. Realizarán el embalaje, rotulado y sellado del material probatorio para su
almacenaje.
10. Documentarán envíos, recepción, aperturas, nuevos embalajes y salidas del
material probatorio.

Este procedimiento les permitirá actuar racionalmente y no empíricamente cuando se


trate de decomisar elemento material probatorio, de tal forma que el proceso legal cuente
con bases sólidas al momento de presentar la evidencia en juicio.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 167
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

DECOMISO DE EVIDENCIA

El equipo de auditores realiza primero una revisión general de todos los aspectos previos
que se deben tener en cuenta antes de iniciar con un decomiso de evidencia. Entre estas
revisiones están los siguientes temas:

1. Política de seguridad informática: se revisan las políticas de seguridad


informática que tiene la organización, para saber en qué momento se está
violando una de ellas por parte del empleado.
2. Uso aceptable de los recursos: se revisan las políticas de uso aceptable e
inaceptable de los recursos informáticos, para así poder justificar un proceso por
el uso incorrecto de los mismos.
3. Propiedad de los recursos: se revisará documentación para tener claro de quién
son los recursos de información y sobre quién están a cargo. El no tener claro este
punto crea vacíos legales en cuanto a la propiedad de los activos.
4. Investigaciones sin causa probable: se revisará si la compañía tiene como
política el que se puedan llevar a cabo investigaciones y/o auditorías sin causa
probable y no dar pie a que en el proceso legal acusen señalamientos y
persecuciones al empleado. El equipo auditor no alertará todavía al empleado
sobre la investigación debido a que se quiere preservar la evidencia y evitar que
sea destruida antes de su decomiso.
5. Auditorías sorpresivas: así como en las investigaciones sin causa probable, se
revisará si la empresa tiene como política el poder llevar a cabo auditorías
sorpresivas, sin previo aviso, para facilitar las labores de decomiso de evidencia
sin percances.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 168
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Avisos de monitoreo y vigilancia: se revisará si hay anuncios de este tipo en


las principales carteleras institucionales para crear conciencia de que las acciones
en los sistemas de información corporativos pueden ser monitoreadas y vigiladas.
Esto permitirá llevar a cabo acciones preliminares de investigación antes de
realizar un decomiso.
7. Entender la privacidad como derecho: se estudiará de nuevo este concepto por
parte de los auditores, se repasará para respetar la intimidad de las personas y
anteponerla ante cualquier proceso de investigación o auditoría. Así mismo, el
entendimiento de este derecho capacita a los investigadores para poder llevar a
cabo decomisos sin vulnerar a la persona.
8. Datos corporativos y no personales: en conjunto con el uso aceptable de los
activos de información, se hará énfasis en la diferencia entre estos dos tipos de
datos y se especificará que los activos de información corporativos no permiten el
uso de datos íntimos toda vez que los datos almacenados allí son susceptibles de
copias de respaldo y de examinación por parte de auditores.
9. Fuero por asociación sindical: ítem muy importante a entender en la empresa
privada. Antes de llevar a cabo la auditoría, investigación o decomiso, se
analizarán los niveles de protección del personal perteneciente a un sindicato. Se
han visto en instituciones protección contra despidos, contra investigaciones
dirigidas y persecuciones.
10. Fé pública: en este proceso del análisis forense digital será de vital importancia
la fe pública, siendo la adquisición de evidencia y la asistencia al lugar de los
hechos para el decomiso las más relevantes para contar con ella.
11. Asistencia notarial: se tendrá a un notario como fedatario público para que de fe
de lo que ve en el momento del decomiso de la evidencia, con acta de presencia.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 169
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

12. Custodia con una notaría: se tomarán los servicios de la notaría para la custodia
del elemento material probatorio, se depositará el elemento físico como soporte,
pero se reseñará lo verdaderamente importante, su contenido, donde finalmente
es el objetivo de la custodia para este caso de informática forense.

Revisado lo anterior, el equipo de auditores piensa en tener asesores externos para la


labor del decomiso, debido a que la compañía no tiene como objetivo crear un
departamento de investigaciones de fraude por las siguientes razones:

1. Herramientas: no es necesario que la organización pague por herramientas de


software y hardware especializadas en la labor forense, esto lo proveen los
asesores externos junto con sus servicios de consultoría.
2. Identificación: no es necesario que la organización contrate un perito forense con
experiencia en la identificación de activos para el elemento material probatorio, el
mismo consultor externo ya tiene la experiencia para buscar evidencia.
3. Entrenamiento: no es necesario que personal de la compañía se vuelva experto
en el análisis forense digital, los asesores externos vienen ya con el conocimiento
y pueden concientizar al equipo de testigos sobre la mejor manera de actuar en
determinadas situaciones.
4. Grabación: no es necesario que la organización adquiera equipo de grabación
profesional ni personal que pueda grabar, los asesores externos ya tienen sus
equipos y experiencia en la grabación de escenas.
5. Planeación: no es necesario que la organización diseñe su propia metodología
de análisis forense digital, los asesores externos ya conocen la mayoría de
metodologías y elegirán la más adecuada para el caso en particular.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 170
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

6. Ejecución: no es necesario que la compañía se encargue de coordinar las


ejecuciones de las fases como la adquisición, preservación, análisis, examinación
y presentación, esto lo puede llevar a cabo un asesor externo que tenga la
experiencia previa en la mejor manera de coordinar la ejecución de las
actividades.

Una vez entendido lo anterior, el equipo de trabajo organiza el siguiente plan para realizar
el decomiso del elemento material probatorio al empleado que han reportado que ha
tenido una mejora en su nivel de vida:

1. Se decide qué día se realizará el decomiso. Viernes en la tarde, debido a los


siguientes días libres que permitan proteger la organización contra ingresos
inesperados del empleado.
2. Se prepara el equipo de testigos y se asegura de que el perito tenga las
herramientas forenses en software y hardware licenciadas.
3. Se informa al oficial de seguridad corporativa del procedimiento a realizar, para
que tenga personal disponible si llegase a ocurrir un incidente de violencia.
4. Se concreta con el notario el día y la hora para que se acerque a las instalaciones
de la compañía a realizar acta de presencia.
5. El jefe y abogado citan al empleado y le informan de la investigación que se
realizará, sin darle demasiados detalles, solo para que comprenda de la
importancia de su cooperación y para recordarle sus deberes y derechos en estos
casos donde se realiza una investigación.
6. El equipo de testigos junto con el notario acuden a la salida de la reunión y todos
se dirigen a la escena donde se llevará a cabo el decomiso de evidencia.
7. El perito graba en video desde el momento en que se dirigen a la escena hasta
que todo termine, para ello puede llevar un asistente técnico que le ayude en la
labor.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 171
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

8. El perito procede a extraer los instrumentos informáticos previamente


identificados con la protección antiestática necesaria.
9. Se elabora el documento de cadena de custodia, se caracteriza e individualizan
los elementos extraídos y se plasman allí todas sus características.
10. El perito clona la evidencia en presencia de todos y plasma en el documento de
cadena de custodia los checksum.
11. Se le asigna un nuevo equipo al empleado o se le instala la copia clonada para
que continúe su trabajo sin interrupciones por el tiempo que dure la investigación.
12. Se envía el instrumento original a custodia usando el servicio del notario, con acta
de depósito.
13. Se le entrega al perito una copia del almacenamiento extraído y se crea y firma el
acta de presencia por el notario.
14. Se firma el documento de cadena de custodia por todos los testigos presentes y
se le pide al investigado que también lo haga.

El procedimiento de decomiso y/o adquisición de evidencia se convirtió en una


metodología propia de la organización basada en procesos racionales que pueden ser
aplicados siempre de la misma manera, documentados y con posibilidad de mejorarse a
través del tiempo.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 172
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

APLICACIÓN DE LA INFORMÁTICA FORENSE

El perito forense en conjunto con el investigador especializado deciden que el mejor


modelo para abordar desde un punto de vista forense el proyecto es la de investigación
dual:

Este modelo propuesto en el año, 2007, consistente en cuatro fases, donde se propone
implementar un flujo investigativo en paralelo, donde se tiene la intervención de un técnico
en computación y al mismo tiempo un investigador profesional. Este modelo se aproxima
mucho a la idea de poder combinar el factor forense digital con la capacidad de un
investigador de fraudes, volviéndose un modelo muy importante a la hora de sustentar la
elección de una metodología de investigación. Las fases son las siguientes:

1. Acceso: donde se localiza e identifican las posibles fuentes de la evidencia digital


que se busca.
2. Adquisición: envuelve actividades de recolección de evidencia y asegura que su
integridad sea mantenida en todo el ciclo de vida de la investigación.
3. Análisis: donde se examina el contexto y el contenido de la evidencia digital para
determinar su relevancia respecto a la investigación.
4. Reporte: incluye la presentación digital de la evidencia a través de la
documentación de toda la investigación.

Debido a que las comunicaciones de la persona con el proveedor se podrían haber


manejado a través del computador, se requerirá una investigación digital aparte de la
investigación del presunto fraude.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 173
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

PRESENTACIÓN EN CASO LEGAL

El equipo de investigación elabora el informe forense con los siguientes lineamientos


preparándose para un proceso legal:

1. Título: incluyen el nombre del caso, el nombre del investigador e información de


contacto.
2. Tabla de contenido: para poder dirigirse a las secciones de interés de manera
rápida y ordenada.
3. Resumen ejecutivo: donde alguien con tan solo leerlo se enterará de manera
global de todo el trabajo y los hallazgos relevantes.
4. Objetivos: donde incluyeron un listado de las necesidades que fueron solicitadas
por el cliente o los investigadores para que el perito forense buscara en la
evidencia.
5. Evidencia analizada: aquí es donde hicieron el inventario de toda la evidencia,
con sus seriales, fotos, descripción, custodio y sumas de verificación.
6. Pasos que se siguieron: plasmaron no solamente los pasos que se siguieron al
analizar la evidencia, sino todo el procedimiento ejecutado en la metodología
forense desde que se empezó a planear la investigación.
7. Hallazgos relevantes: el perito forense subrayó los documentos de interés,
colocando una pequeña descripción de por qué son relevantes y explicando qué
son y de donde vienen.
8. Línea de tiempo: para un evento importante, como la eliminación de datos, el
perito forense documentó los hechos anteriores y posteriores al momento de la
eliminación, tratando de construir una historia lógica de la acción, no solamente
técnica sino humana.
9. Conclusiones: donde se plasmaron los hechos relevantes de toda la
investigación forense.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 174
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

10. Firmas: donde incluyeron las firmas de los peritos forenses que elaboraron el
informe.
11. Anexos: donde se incluyó la hoja de vida del perito forense y el cabezal del
documento de cadena de custodia, así como el listado de los archivos a los que
se hace referencia en el informe con un vínculo para poder ser analizados
posteriormente con facilidad.

Evitaron incluir opiniones y juicios personales sobre la culpabilidad o inocencia de los


implicados. El perito forense se limitó a incluir opiniones técnicas apoyadas en su
experticia y experiencia.

TESTIFICACIÓN

El equipo de investigación preparó al testigo experto para el descrédito que se intentaría


por la contraparte, que consistiría en alegar:

1. Visión miope: la contraparte intentaría probar que el testigo experto se centró en


un sólo punto de la investigación y dejó otros aspectos importantes sin tratar,
enfocándose solo en los puntos que le convienen a la parte.
2. Seguridad: la contraparte llevaría al testigo experto a una falsa sensación de
seguridad y propiedad, no atacándolo personalmente al principio, pero luego,
después de que el testigo se siente confiado, la contraparte buscaría "un hueco"
en su testimonio (que seguramente se alargó mucho) que pueda usar en su
contra.
3. Contradicción: la contraparte intentaría realizar preguntas al testigo para forzarlo
a dar un concepto contradictorio. Adicionalmente, la contraparte llevaría artículos
de expertos reconocidos en el medio donde se contradiga lo expuesto por el
testigo.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 175
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

4. Nueva información: la parte contraria introduciría nueva información de la cual


se espera que el testigo experto no tenga conocimiento. Esto tiene el objetivo de
confundir a la persona y obligarlo a construir escenarios alternativos para
responder a ello.
5. Soportar la teoría contraria: en este caso, la parte contraria reconocería al
testigo como un experto en la materia, pero se negaría a aceptar su teoría
mostrando otra manera de interpretar las cosas.
6. Parcialidad: la parte contraria trataría de demostrar que el testigo experto esta
parcializado y limitado. Esto demostraría que no está en posición de dar un
concepto objetivo en la materia considerando la situación.
7. Confrontación: es donde se llevaría al testigo experto a perder su control
emocional y se obligaría a mostrarse enfadado. Si el testigo accede a
descontrolarse, de inmediato perdería su credibilidad.
8. Afirmar a la contraparte: los abogados tratarían de hacer preguntas sencillas en
las que el testigo experto esté obligado a afirmarlas de la misma manera en que
ellos lo hacen. Esto confundiría al jurado haciendo creer que el testigo está de
acuerdo en la mayoría de las preguntas de la contraparte.
9. Precio: la contraparte preguntaría por el valor de la consultoría o asesoría
tratando de encontrar signos de un trabajo deficiente o incompleto, mal cobrado y
por ende mal realizado.
10. Descrédito: la contraparte trataría de averiguar si el testigo está involucrado en
actividades ilegales, si tiene mala reputación, si ha tenido otros procesos legales
en su contra e incluso si está exagerando su experiencia.
11. Ataques personales: la contraparte, por fuera del proceso legal, podría abordar
al testigo, amenazarlo y desacreditarlo diciéndole que no se presente por no estar
calificado para el caso.
12. Mejores prácticas: tratarían de desacreditar el testigo experto mostrando un
conjunto de malas prácticas profesionales y la no adopción de estándares en la
aplicación de metodologías y teorías.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 176
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

El equipo de investigación realiza simulaciones de interrogatorios entre ellos mismos y


preparan al testigo experto para responder las preguntas que harían las partes
interesadas.

CIERRE DEL PROCESO

Una vez se ha terminado de presentar el caso en un proceso legal, se debe ejecutar un


cierre del proyecto que permita al equipo investigador evaluar todas las actividades
ejecutadas en busca de oportunidades de mejora.

A este nivel resultan de mucha importancia y valor las apreciaciones sobre lecciones
aprendidas y la creación de una base de datos de conocimiento (o alimentación de la
misma) con todo lo atendido en el ciclo de vida del proyecto, para que en futuras
investigaciones se cuente con información valiosa sobre procedimientos aplicados, su
significado, problemas enfrentados, soluciones a inconvenientes, imprevistos, costos
adicionales, temas que no se tuvieron en cuenta, problemas con el personal interno y
externo, entre otros. El equipo investigador realizó las siguientes actividades en este
cierre:
1. Alimentaron la base de datos de conocimiento: en un sistema de base de
datos de conocimiento apropiado con las medidas de seguridad que permitieron
documentar información sensible, de solo acceso a los investigadores.
2. Socializaron con todo el equipo de trabajo: una vez terminado el proyecto, se
socializó y compartieron experiencias que permitieron discutir sobre las acciones
de mejora a futuro.
3. Hicieron presentación al equipo directivo: donde en una pequeña reunión
mostraron el reto, estrategia de abordaje, problemas presentados en curso,
soluciones y resultados.
4. Archivaron la documentación: dónde sacaron copia de todo el material y lo
almacenaron para futuras consultas.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 177
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Finalmente, el caso se cerró con un número de identificación único que sirva para poder
encontrarlo más adelante en una base de datos.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 178
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

CAPITULO 11: REFLEXIONES FINALES

Terminado el contenido del curso, el estudiante tendrá la capacidad de opinar acerca de


los conocimientos que le fueron transmitidos. Cada capítulo tuvo su evaluación donde se
plantearon tres preguntas con respuestas múltiples. En este capítulo se pretende
despertar la capacidad de opinión y reflexión del estudiante en la temática de análisis
forense digital para que cuando tenga que enfrentarse a un proyecto en su compañía
tenga el criterio para decidir qué caminos se deben tomar basados en su conocimiento y
experiencia.

Las reflexiones pueden ser enviadas al correo de contacto del autor del curso. Con estas
reflexiones se creará un artículo en la red profesional LinkedIn donde se transmitirán a la
comunidad internacional de habla hispana y así generar debates académicos.

INFORMÁTICA FORENSE

Todo el conocimiento de informática forense va orientado a los sistemas de información


y depende de un conocimiento profundo en computación. Cuando se trata de delitos
informáticos e indecentes y seguridad, los peritos informáticos saben cómo actuar porque
para ello fueron preparados, pero cuando se trata de colaborar en una investigación que
no es de índole informático pueden sentirse fuera de su curso de acción.

¿Está usted de acuerdo con que los peritos forenses informáticos sean entrenados para
la investigación de fraudes ocupacionales o más bien el perito forense digital debe
quedarse en su ámbito de aplicación y no salirse de allí?

MODELOS DE INVESTIGACIÓN

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 179
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

Existen muchos modelos de investigación forense digital, donde el profesional, de


acuerdo a la situación, elige uno u otro y lo aplica para desarrollar las hipótesis del caso.
Todos los años se mejoran los modelos, pero no existe un estándar de facto debido a que
la tecnología va en constante evolución y no hay una entidad mundial que emita leyes y
normas para esta disciplina, más bien, depende del conocimiento impartido de la
comunidad de profesionales y de las leyes locales de cada país y jurisdicción.

¿Debería un país determinar un estándar y modelo a seguir en cuanto al análisis forense


digital, así cómo se hace actualmente con el modelo de cadena de custodia que definen
las fiscalías de cada país y/o jurisdicción?

ETAPAS DE LA INVESTIGACIÓN FORENSE

Existen más de 40 etapas de investigación forense dependiendo del número de modelos


y muchas de ellas se comparten como procedimientos para luego formar metodologías.
Los profesionales en la industria crean modelos y adaptan a ellos las etapas ya existentes
de otros modelos en el mercado para ajustarlos a sus necesidades particulares. Como no
existe un estándar de facto ni leyes que regulen esta disciplina, se hace perfectamente
posible la creación de nuevos modelos, su aplicación y exposición en procesos legales.

¿Si usted fuera llamado a construir un nuevo modelo forense digital con las etapas ya
existentes, cuáles seleccionaría para su modelo en el caso de que se deba enfocar en la
investigación de fraudes ocupacionales al interior de una organización?

DECOMISO DE EVIDENCIA

Durante el curso se habló de que una correcta adquisición y/o decomiso de evidencia
junto con el proceso de cadena de custodia puede ser incluso más importante que los

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 180
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

resultados de la investigación debido a que la contraparte atacará el proceso y


metodologías y este punto es donde más se cometen errores.

¿Cree usted conveniente que este proceso se tercerice con una compañía con
experiencia en decomisos y tener una garantía en especie de seguro en el caso de que
un juez determine que el decomiso de evidencia fue llevado de manera incorrecta ?, ¿qué
garantías pediría al tercero para la correcta ejecución de este proceso tan importante?

CADENA DE CUSTODIA

Una de las principales dudas en el proceso forense es la custodia del elemento material
probatorio. La contraparte tratará de desprestigiar el proceso desmeritando las
características del lugar donde fue almacenada la evidencia, tratando de encontrar
elementos que indiquen que pudo haber sido alterada, ya sea por pobres esquemas de
seguridad y gestión de entradas y salidas o por malas condiciones ambientales en el lugar
donde está ubicado el espacio para custodia.

¿Si dependiera de usted, contrataría los servicios de un tercero para el almacenamiento


de todo el elemento material probatorio de las investigaciones, sean pequeñas o grandes,
o acondicionaría un espacio con buenas características dentro de la compañía?

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 181
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

GESTIÓN DE INCIDENTES

En el curso se enseñó cómo debería ser el procedimiento de un programa de atención


y/o respuesta a incidentes. Este programa sugiere seleccionar a un equipo de personas
que estarían a cargo de las actividades para su gestión, sin embargo, antes de que ocurra
un incidente deberían seleccionarse a las personas responsables de su coordinación y
no esperar a que ocurra para que alguien lidere la selección en principio.

¿Según usted, qué personas dentro de la organización deberían conformar el grupo


primario que ejecute el plan desde un punto de vista de coordinación y dirección del
equipo y actividades?

TESTIGO EXPERTO

El testigo experto es aquel que será llamado a juicio para rendir testimonio sobre el trabajo
ejecutado desde un punto de vista de los hechos y podrá dar opiniones de acuerdo a su
nivel de experiencia y conocimiento. Además de rendir testimonio, el testigo experto será
interrogado por la contraparte y ésta tratará de desprestigiar no solo su trabajo sino su
participación como profesional.

¿Cree usted importante realizarle una debida diligencia o investigación previa al testigo
experto para indagar sobre su pasado y no esperar a que lo haga la contraparte ?, ¿qué
cree usted que pasaría si al testigo experto le encuentran en su pasado judicial un
problema donde se vio involucrado en un delito?

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 182
01
Versión 1.0
Auditoría Forense Digital – Informática Forense
Código ATAF-01
Versión 1.0

GRACIAS

Gracias por atender el curso de Auditoría Forense Digital, para Auditool es muy
importante la transmisión de conocimiento en la temática forense y promover la auditoría
y control interno para la mejora de nuestras sociedades.

Libro Auditoría Forense Digital


con Énfasis en la Informática Forense

2018

AUDITOOL
Red Global de Conocimientos en Auditoría y Control Interno

Este material hace parte de un curso que viene con una presentación que se compone
de láminas y audios en formato de curso virtual. Para más información ingrese al sitio
www.auditool.org como socio. Auditool tiene los derechos de uso exclusivos de este
material. Puede ponerse en contacto con el autor para preguntas en el mismo portal
de Auditool.

Auditoría Forense Digital – Informática


Código ATIF- Forense Página 183
01
Versión 1.0

También podría gustarte