Informática y Derecho Penal

14 de marzo de 2015 Autor: Antonio Salmerón

 

La informática y el Derecho Penal son 2 ámbitos que evolucionan a una velocidad muy diferente, pero que en la realidad social se coinciden y en la práctica en los tribunales han de encontrarse.

Al poner en conexión la informática y el Derecho Penal en el mundo actual se pueden observar 3 hechos fundamentales:

  • Que la informática ha generado nuevas formas de criminalidad que han producido cambios en el Derecho Penal y que, posiblemente, han de producir nuevos cambios en el futuro.
  • Adicionalmente, que hay clases de delitos tradicionales que con el uso de las nuevas tecnologías se han transformado y con internet se han potenciado e incluso se han deslocalizado.
  • Finalmente, que la investigación de los delitos, en el actual estado tecnológico y dentro del marco de la Ley de Enjuiciamiento Criminal, de la Constitución y de sus garantías, implica que los peritos, los informáticos forenses, la policía, etc. ha de aplicar nuevas técnicas y se ha de adaptar, como se está haciendo, a la evolución tecnológica para por hacer frente a esta nueva realidad delictiva.
[Penal; Figura pdf]: Imagen del fichero PDF del Código Penal de 1995 disponible en el sitio web del BOE junto con parte de la información interna.

Por ello, el objetivo de este módulo es poner en conexión la informática y, en especial, la informática forense y pericial, con el Derecho Penal.

No existe en el Derecho penal español un delito informático propiamente dicho, sino un conjunto de figuras delictivas en las que la informática adquiere un papel relevante en la descripción del comportamiento típico, bien como objeto material, bien como medio comisivo.

En el [CPenal; 10/1995] con las modificaciones introducidas por:

  • [LO; 15/2003], Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal y
  • [LO; 5/2010], Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Pueden señalarse, con carácter general, las figuras delictivas que se enumeran en los temas de este módulo como las más relevantes dentro de este ámbito.

Página de web: Documento de hipertexto que, sola o junto con otras páginas web, son el componente básico de los sitio web. | Inglés: Web page | Plural: Páginas de web | Bibliografía: Salmerón, A.; et ál.; 1996

Criminalística para informáticos forenses y peritos

5 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este tema es realizar una introducción al empleo del método científico en la criminalística, la razón de ello es que el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense.

Cuando en un siguiente módulo se presenten diferentes metodologías específicas para la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este tema es obtener los conocimientos necesarios de aplicación del método científico a la criminalística y para ello se sigue [ESUPOL; 1996] entre otra bibliografía.

Las experiencias de años de trabajo en la investigación de hechos delictivos, tanto en su perspectiva histórica como por países, demuestran que uno de los factores que influyen en los errores de juicio y de razonamiento de los elementos de prueba que técnicamente se aportaran en el desarrollo de los procedimientos judiciales, es la no aplicación del método científicos y de las tecnológicos disponibles en las diferentes disciplinas científicas que forman la criminalística y que tienen por objetivo recoger, comprender, analizar y evaluar los aspectos técnicos que aparecen en la comisión de los hechos delictivos.

[Bentham, J.; Figura dfp]: Esquema de la decisión fundada en una prueba.

Este módulo se estructura en 3 temas:

  • El objetivo del primero es la introducción a la criminalística y al método científico, al inductivo y al deductivo que servirá de base para comprender, en un módulo metodológico posterior, el proceso de investigación del informático forense, especialmente para el planteamiento de hipótesis, su prueba o refutación, y para la reconstrucción.
  • El objetivo del segundo es presentar la criminalística de campo y su método, siendo la escena del delito un lugar donde el informático forense tendrá que colaborar con otros especialistas y donde las pruebas físicas y las pruebas digitales podrán aparecer simultáneamente.
  • Finalmente, la investigación criminalística en los diferentes tipos de laboratorios de balística, documentoscopia, dactiloscopia, explosivos, etc.

Toxicología: Disciplina de la criminalística que puede aplicarse tanto en sujetos vivos como muertos. En personas vivas se toman muestras de orina y de sangre: a) en la sangre puede hallarse alcohol etílico y b) en la orina puede determinarse, principalmente, la presencia de medicamentos y drogas de adicción. Es fundamental en los casos de envenenamiento y muerte. | Inglés: Forensic toxicology

Conceptos de informática forense

5 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, de los delitos y de las pruebas digitales. Algo muy importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo, es que son muy independientes de las tecnologías y resistentes al paso de tiempo por lo que son la base para enfrentarse a la continua renovación tecnológica en la que la sociedad está inmersa.

[Usuario; Figura enu]: Evolución del número de usuarios en las 5 generaciones de la tecnología de la información.

La actividad informática es una parte cada vez más habitual de la vida diaria de las empresas y de las personas:

  • Antes de la década de los 60 sólo organismos gubernamentales y de investigación y grandes multinacionales podían contar con sistemas informáticos.
  • En la década de los 60 y de los 70, los mainframes ya eran comunes en las grandes empresas y se estima que había 1 millón de usuarios en todo el mundo, en su mayoría técnicos.
  • Los minicomputadores aparecieron en la década de los 80, estaban al alcance de muchas más empresas y centros universitarios, dando paso a muchos nuevos usuarios que alcanzábamos los 10 millones.
  • En la década de los 90, los computadores personales, de la década anterior, llegaron masivamente a las pequeñas empresas y a los hogares, alcanzándose los 100 millones de usuarios.
  • En la 1ª década del tercer milenio, los computadores portátiles e internet permitieron alcanzar una cifra estimada de 1.400 millones de usuarios, una cifra que representa del orden de un 20% de la población mundial.
  • Durante esta 2ª década, gracias a los dispositivos móviles con acceso a internet, lo que se está denominando internet móvil las previsiones de [Morgan Stanley; 2009] son alcanzar los 5.000 millones de usuarios.

Combinando la evolución tecnológica con el crecimiento del volumen de usuarios, incluso en los escenarios de previsión más conservadores, el análisis de pruebas digitales será cada vez más habitual para encontrar explicaciones a incidentes en las empresas, en los litigios, frente a la propia Administración Pública obligada a ser electrónica y, por supuesto, a los delitos. Frente a ello, objetivo primordial de un informático forense o de un perito es determinar la naturaleza, sucesos y autores relacionados con un incidente o con delito:

  • conociendo los conceptos fundamentales de su profesión, que es el objetivo de este módulo, y
  • siguiendo siempre un procedimiento de investigación estructurado y metodológico, que es el objetivo del siguiente módulo.

Esculpido de fichero: Es el proceso de volver a unir los fragmentos un fichero, pues es en fragmentos como se suele guardar en el medio físico, sin contar con la información del sistema de ficheros. Este proceso necesita emplear a) el conocimiento de la estructuras del tipo de fichero al que pertenece, b) la información contenida en los fragmentos del fichero y c) reglas heurísticas respecto a cómo se realiza la fragmentación en dicho sistema de ficheros. La combinación de estas 3 fuentes de información permite inferir que varios fragmentos encontrados son de un mismo fichero. El esculpido de ficheros es más eficiente y eficaz cuando el dispositivo de almacenamiento está poco fragmentado que lo está mucho. | Inglés: File carving | Plural: Esculpido de ficheros

Investigación metodológica

14 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar una gama de posibles metodologías para la investigación en informática forense y pericial. Cada una de estas metodologías tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense de una metodología formalizada es la base para:

  • la realización de una investigación completa y rigurosa,
  • asegurando el correcto manejo de las pruebas digitales,
  • reduciendo la posibilidad de errores,
  • evitando la utilización de teorías preconcebidas y
  • ayudando a soportar la presión del tiempo.
[Metodología; Figura ms4]: Esquema metodológico creado mediante la síntesis de las fases fundamentales de las metodologías presentadas en este módulo.

A continuación se presenta un breve resumen de las metodologías seleccionadas para, posteriormente, dentro de este módulo, entrar en su estudio más detallado. Las metodologías ordenadas por su año de publicación son las siguientes:

  • [Casey, E; 2000]: Es una metodología básica y general, que puede aplicarse a computadores aislados y a entornos en red. Su utilidad se basa justo en su simplicidad, que la puede hacer eficiente frente a casos no muy complejos. Su defecto es que le falta una especificación las fases o momentos de autorización y de generación del informe final o dictamen pericial.
  • [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001]: Es realmente un enfoque metodológico clásico en investigación forense sobre pruebas físicas, pero que ya en su año de publicación contempla la aparición y la necesidad del análisis de las pruebas digitales. Esta metodología se estudiará fundamentalmente desde la perspectiva de la prueba digital y en su descripción se incluye una reflexión propia, no contemplada originalmente en [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001] de cómo algunos patrones de búsqueda de pruebas físicas tienen su aplicación en la localización de las pruebas digitales.
  • [Ashcroft, J.; 2001] y [Mukasey, M.B.; Sedgwick, J.L.; Hagy, D.W.; 2008]: Son dos ediciones de la metodología propuesta por el Departamento de Justicia de los Estados Unidos. Esta metodología se centra en las fases iniciales de actuación en la escena del delito, ya que está concebida como una guía para los informáticos forenses que dan una respuesta inmediata a delitos informáticos. Esta metodología proporciona criterios para la identificación de los diversos dispositivos digitales y para la selección de las pruebas digitales más adecuadas según las diferentes clases de delitos.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Reith, M.; Carr, C.; Gunsch, G.; 2002]: Puede considerarse como una especificación de la anterior metodología de [Palmer, G.; 2001] donde ya se describen las fases, se añaden nuevas fases y se contemplan ciclos de realimentación. [Ciardhuáin, S.Ó.; 2004] la destaca por su alto nivel de abstracción y por ser aplicable a cualquier tipo de tecnología y clase de delito informático.
  • [Carrier, B.; Spafford, E.H.; 2003b]: Es una metodología muy detallada que se estructura en 5 fases con 17 tareas. Se diferencia de otras metodologías porque intenta integrar la investigación de las pruebas físicas con la de las pruebas digitales, supeditando, en cierta forma, estas últimas a las primeras. Si bien esta integración tiene sus ventajas puede añadir complejidad al proceso de investigación.
  • [Baryamureeba, V.; Tushabe, F.; 2004]: Es una metodología de 5 fases que contempla ciclos de realimentación entre todas ellas. Se basa en la anterior de [Carrier, B.; Spafford, E.H.; 2003b] y, por tanto, también integradora de la investigación de pruebas físicas junto con pruebas digitales, si bien, estas últimas tienen un menor grado de dependencia de las primeras.
  • [Ciardhuáin, S.Ó.; 2004]: Es una metodología de 13 fases, en forma de cascada, donde los flujos de información pasan de una actividad a la siguiente hasta el final del proceso. De esta forma, la cadena de custodia se forma por la lista de aquellos que han manipulado cada prueba digital y que debe pasar de un fase a la siguiente agregando los nombres de cada una de ellas. De todas las metodologías expuestas destaca porque es la que mejor establece los flujos de información y los puntos de control en el proceso de investigación.
  • [Casey, E.; 2004]: Es una evolución de su propia metodología [Casey, E; 2000]. Esta 2ª versión de su metodología posee 8 fases donde la fase de documentación corre paralela a las otras 7 fases de investigación. Estas 7 fases pueden representar un buen punto de equilibrio entre las metodologías muy cortas y otras con largo número de fases.
  • [Rifà, H.; Serra, J.; Rivas, J.L.; 2009]: Plantea una metodología en 3 fases, recogida de datos, análisis e investigación y redacción del informe. Si bien este enfoque puede parecer básico, hay que hacer notar que puede resultar adecuado para aquellos casos que no plantean una especial complejidad por su volumen y clase de pruebas digitales y personas y entidades implicadas, siendo estos una gran mayoría. Por ejemplo, la descripción que se realiza en [Vázquez López M.; 2012] de la metodología de la Brigada Investigación Tecnológica del Cuerpo Nacional de Policía española para sus pericias informáticas coincide, en buena medida, con esta metodología. Dentro de este módulo, metodología se estudiará con más detalle que las anteriores, dedicándole un tema. Esta una de las metodologías recomendables para la resolución del caso práctico final, especialmente si se trata de un caso sencillo.
  • [Casey, E.; 2011]: Es una 3ª versión de las metodologías de [Casey, E] ya descritas en apartados anteriores dedicados a [Casey, E; 2000] y a [Casey, E.; 2004]. Agrupa en menos fases las presentadas en [Casey, E.; 2004] convirtiendo en tareas algunas de las que en la anterior eran fases. Por su actualidad, esta metodología se ve con más detalle que las anteriores dedicándole un tema. Si el caso final que se plantea resolver tiene cierto nivel de complejidad esta podría ser una de las metodologías que podría seguir.

Interbloqueo: Situación en la que algunos procesos de un sistema informático entran en un estado de espera que depende de los otros, quedándose la ejecución de todos ellos detenida. | Plural: Interbloqueos | Bibliografía: Salmerón, A.; et ál.; 1996

Investigación en informática forense

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar unas consecuencias poco relevantes, en algunos tener importancia económica y en otros una gran trascendencia, especialmente cuando están en relación con la libertad, las sanciones e incluso las penas.

[Cracker; Figura mkd]: Kevin David Mitnick, Condor, el primer Kevin, usualmente ocupa el primer lugar de los rankings históricos de crackers.

Por ello además de emplear una metodología de confianza hay que emplear técnicas que garanticen que el análisis, la interpretación y la presentación de los informes con pruebas digitales son fiables, objetivos y transparentes y justo este es el objetivo de este módulo.

Para alcanzar su objetivo este módulo se estructura cubriendo 3 áreas fundamentales de la investigación en informática forense:

  • El trabajo en la escena del delito donde pueden existir tanto pruebas físicas tradicionales como pruebas digitales.
  • La reconstrucción con pruebas digitales, la reconstrucción del comportamiento humano es como la resolución de un puzle multidimensional donde puede haber piezas evidentes y otras perdidas, dañadas y, por supuesto, escondidas.
  • Los perfiles, las motivaciones y el modus operandi de las personas que, aunque exista una larga tradición de estudio en criminología, en el área de las tecnologías de la información mezcla características clásicas con otras muy particulares.
[Cracker; Figura pkl]: Kevin Lee Poulsen, Dark Dante, el segundo Kevin, usualmente ocupa el segundo lugar de los rankings históricos de crackers.

Seguridad de la información: Los datos son, probablemente, la parte más vulnerable de los sistemas informáticos. Las pérdidas de datos pueden deberse a a) errores en el hardware, como discos ilegibles, b) en el software, como errores en programas, c) errores humanos, como la entrada incorrecta de datos o su borrado accidental y d) por accesos no autorizados a ficheros de datos para destruirlos o robar sus datos. Los factores fundamentales para mantener la seguridad de los datos son: preservar su integridad, su disponibilidad para las personas autorizadas y su confidencialidad. Para ello es necesario determinar el grado de confidencialidad que tienen los datos ya que: a) puede tratarse de información de carácter público, por lo que cualquier usuario puede tener acceso a su lectura y en ese sentido no suele ser necesaria ninguna medida de protección, pero se ha de prevenir la posibilidad de que alguien pudiera escribir y b) los datos pueden tener carácter restringido por lo que el acceso a ellos estará limitado a las personas que disponen de autorización. En este caso el usuario deberá identificarse para entrar en el sistema, de acuerdo con los niveles y dispositivos de seguridad que se hayan establecido, por ejemplo, códigos reservados instalados en el hardware, contraseñas, identificación del usuario, tarjetas inteligentes, registro de operaciones, controles de intentos de entrada con señales de alarma tras un determinado número de intentos fallidos. | Bibliografía: Salmerón, A.; et ál.; 1996

Ciberdelitos y ciberterrorismo

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

[Ciber; Figura kyv]: [Kaspersky, Y.V.], creador del antivirus que lleva su nombre, da su opinión sobre los riesgos del ciberterrorismo, 7 de junio de 212.

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Pero estos delitos no suceden en un vacío desconocido e intangible, si no en un mundo en el que pueden quedar múltiples pruebas de ello, tanto físicas como digitales. Por ejemplo:

  • en algunos casos, la víctima puede conocer o haber tenido relación con el delincuente, puede existir una larga historia anterior de angustia, incluso marcada por violencia,
  • en otros, el delito puede ser rápido, irreflexivo y destructivo creando y destruyendo pruebas o
  • puede ser el resultado de un largo período de preparación y anticipación.

Cualesquiera que sean las circunstancias del delito, la información es clave para:

  • determinar y comprender de las relaciones existentes entre la víctima y su agresor o agresores,
  • plantear la estrategia de investigación y
  • para recoger, examinar y valorar las pruebas, en este curso, digitales.

Administrador de web: Administrador responsable del desarrollo, mantenimiento y administración de un servidor de web o de alguno de los sitios web albergados en él. | Bibliografía: Salmerón, A.; et ál.; 1996