Examen forense digital, un caso de estudio.

Tomado y traducido del Boletín del FBI

El FBI solicita que: “Colaboren con artículos y presentaciones[1]”

Por Jorge Contreras

Con gusto reproducimos este artículo del Boletín del FBI, que resalta la importancia de que los Municipios cuenten con equipos de investigadores especializados en forensia digital. En este caso, sobre el Delito de Pronografía Infantil, un equipo forense llega a encontrar evidencias  irrefutables sobre la culpabilidad de un sospechoso.  En el Perú, existe una limitada capacidad de investigación de hurtos en hogares a nivel distrital. Prácticamente no hay distritos que superen la cifra de diez casos de hurtos de casa resueltos en el 2015. Esperamos que esta situación cambie a futuro. Los invito a leer el artículo… 

    

Por John McHenry[2] y Michael Gorn, M. S[3].

Publicado el 6 de enero de 2016

“Las Imágenes recuperadas gracias a un examen forense digital, permitieron a los investigadores  probar que un sospechoso era autor de un caso de pornografía infantil.”

■ El caso…

Estados Unidos: FBI da a conocer Importantes avances en los sistemas de registro, estadística, análisis delictivo e intercambio de información.

Por Jorge Contreras[1]

En un informe reciente del FBI, se da a conocer importantes avances en los sistemas UCR[2], NIBRS[3], SRS[4], y su evolución hacia el sistema NCS-X[5]. Según las palabras[6] de James B. Comey El director del FBI, “…son el camino a una mejor información, mejores datos, y al alcance de todos”. “Es un sistema que espera retroalimentación” acerca de otras formas de recolectar datos, otras maneras para incentivar a la gente a recoger datos. Y su principal objetivo es “estar mejor informados sobre la criminalidad que atender sus necesidades con agentes preparados para estas variaciones”. A este sistema se le unirá el el N-DEx[7] que permitirá el establecer relaciones entre los datos capturados.  

■ Nueva Iniciativa apunta a aumentar los reportes de delitos en el sistema NIBRS….

Peru: ¿hacking scandal or disaffection?

Perú 21 News Image; Peruvian Ministry of Interior

By Jorge Contreras

Experiencing the intelligence activities of American NSA or China APT1, leaks by the Manning, Assange and Snowden generation, taking into account progress and technological capabilities of private and public international intelligence community networks and comparing them with the recent national hacking case with public exposure of a few official classified documents and emails, unmasks the real reason for these facts.

Perú: ¿Escándalo por pirateo o por desafección?

Crédito Imagen Perú 21 - Ministerio de Interior Peruano

Por Jorge Contreras

Experimentar las actividades de inteligencia de la NSA norteamericana o la APT1 china, las filtraciones de la generación Manning, Assange y Snowden, tomar en cuenta los avances  y capacidades tecnológicas de la comunidad internacional privada y pública de inteligencia en las redes y compararlo con el reciente caso nacional de piratas y exposición pública de unos pocos documentos oficiales clasificados y correos electrónicos, desenmascara el verdadero motivo de estos hechos.

Información expuesta al público…

Las Cortes pueden aceptar especialistas en informática forense

Comentario publicado por el Juez James C. Francis IV[1]

Existe el precedente de un caso en el que la Corte aceptó la participación de un especialista en informática forense como experto y parte del demandante, debido a que comprobó que esta persona trabajo en este campo por cinco años en los que completo entre 1600 y 1700 reportes aceptados por varias cortes.

Este experto no tenía un grado en ciencias de la computación, no era un experto en lenguaje de computadoras, no era un programador de computadoras, y no tenía certificado alguno en ciencias informáticas.

Esta persona solo había pertenecido a una Asociación de Investigación de Crímenes de Alta Tecnología y completado tres cursos de entrenamiento en informática forense.

---

[1] http://bowtielaw.wordpress.com/2012/12/16/no-expert-testimony-no-motion-to-compel/

Los Jueces deben conocer los nuevos criterios técnicos para decidir la búsqueda por expertos de la información almacenada electrónicamente.

Articulo publicado por el Juez James C. Francis IV[1]

En una situación en que la responsabilidad de las partes depende de lo que se encuentre en la información almacenada electrónicamente, es necesario  que los jueces consideren la necesidad de contar con un experto que entienda cual sería  la mejor tecnología a aplicar y la que permitirá encontrar los mejores resultados.

Para un juez, el limitar los términos de búsqueda de información a por ejemplo: tres términos, solo guiado por los costos de la búsqueda, no solo limita la investigación de los fiscales y quizás sea la causa para que no se llegue a conseguir los resultados esperados, sino que denota que los jueces requieren la educación necesaria en el tema de informática forense.

El ejemplo más claro esta en el caso del formato de imagen TIFF, al que recientemente un juez determino que sería muy sencilla la búsqueda de todos los archivos que acaben con esa terminación como: “ejemplo.tiff. “

Sin embargo, lo que este juez no sabía es que el formato de un archivo.tiff, entre otros, puede contener la imagen de un documento de texto que se han convertido a este formato justamente para preservar el contenido del documento y hacerlos invisibles a las búsquedas de términos de texto.   El TIFF es un formato de archivo etiquetado que no muestra el texto que contiene, como lo haría por ejemplo un documento de Word, que termina en *.doc  (Word 2004) o *.docx (Word 2010).

Un archivo TIFF conteniendo documento de texto, requerirá un procedimiento especial de extracción del texto, a través de un proceso común de reconocimiento óptico de caracteres (en inglés: OCR optical character recognition). Una vez extraído el texto, será más sencillo llevar a cabo la búsqueda por términos definidos. Finalmente con esto queda demostrado que una búsqueda sencilla de términos entre documentos TIFF ni siquiera se acercara a los resultados deseados.

Por ello la recomendación es que los jueces estén educados en el tema de informática forense y que las cortes cuenten con expertos. La informática forense es una especialidad que comprende la tecnología de las computadoras, la estadística y la lingüística.

---

[1] http://bowtielaw.wordpress.com/2012/12/16/no-expert-testimony-no-motion-to-compel/

Los Correos Electrónicos de la empresa no tienen privacidad ni privilegios.

Artículo de Elizabeth Cohee[1]

Los empleados deben ser advertidos, que no existe privacidad ni privilegio en los correos enviados o recibidos empleando los equipos de las empresas.

El caso del “mensaje con intenciones delictivas ”

El 13 de diciembre de 2012, la Corte de Apelaciones del Cuarto Circuito de los EE.UU.  confirmó la condena de PH…, un ex miembro de la Cámara de Delegados de Virginia. PH…, había sido condenado el año anterior a más de 9 años de prisión por soborno y extorsión, al usar su posición política para su propio enriquecimiento personal.

Las pruebas (evidencia)  utilizadas para condenarlo fueron obtenidas en su propia cuenta de correo electrónico de su oficina, desde donde el demandado le comunicó mensajes a su esposa sobre sus intenciones delictivas.

PH…, en su defensa,  apeló a la demanda y a  su sentencia utilizando diversas formas y razones, incluyendo como motivación que el uso de sus mensajes violaba su derecho a la intimidad, así como los privilegios de su comunicación marital.

El tribunal lo objetó y consideró que PH…, renunció  a sus privilegios debido a que envió los mensajes en cuestión a través de su equipo en el trabajo y de su cuenta de correo electrónico del trabajo. El tribunal llegó a esta decisión, a pesar de que la institución donde trabajaba instituyó  y comunicó sus políticas de inspeccionar a discreción los correos archivados en el sistema mucho después que la mayor parte del correo electrónico incriminatorio había sido enviado.

La Juez del Cuarto Circuito dictaminó: "... ( )  la corte del distrito determinó que PH…, no tomó ninguna medida para proteger los mensajes de correo electrónico en cuestión, aún luego de tomar conocimiento de la política de su empleador que anunciaba a su completa discreción el control de los correos electrónicos almacenados en su sistema. "

La decisión en este caso causa malestar entre los defensores de la privacidad, y deviene después de una larga lista de sentencias en que los derechos a la  privacidad de los empleados, relacionados con sus comunicaciones utilizando los  equipos de las oficinas han sido severamente restringidas o negadas por los tribunales.

En otras palabras: “Las comunicaciones maritales son privilegiadas y esenciales para la preservación de los matrimonios, siempre y cuando no sean hechas en computadoras pertenecientes a la empresa[2]”.

Los “mensajes privados” en equipos del estado/empresa

Uno de los casos más sonados fue el de Q…,  versus la Ciudad de Ontario (California).

En este caso, un agente de policía planteó una demanda, debido a la revisión de sus  mensajes dirigidos a su esposa y a su amante, mensajes que resultaron embarazosos, debido al contenido  sexualmente explícito enviados a través del buscapersonas (pager) proporcionado por el departamento de policía.

En su fallo, el tribunal consideró que, debido a la naturaleza del puesto de Q…,  y a las razones por las que se le había proporcionado el equipo, él no tenía ningún derecho a una privacidad razonable.

Aunque la cuestión no se planteó específicamente, se presume que el uso del argumento de privilegiar la comunicación marital también habría fracasado por la misma razón.

El caso de Q…, no fue  único, ha sido precedido por una serie de casos que refuerzan el derecho de los empleadores a controlar la información que pasa a través de los equipos que proporcionan a sus empleados.

El caso en que “no se implementó con anticipación la política sobre la no privacidad de los empleados”

En 1996, en el caso de B…, versus la ciudad de Reno, el tribunal desestimó la intención desafiante y abierta de un empleador de revisar las comunicaciones entre dos empleados como parte de una investigación interna.

El tribunal consideró que el demandante no había establecido con anterioridad que tenía una expectativa objetivamente razonable para intervenir la privacidad en los mensajes de sus empleados.

En este caso de B…, el sistema de comunicación a través del cual se enviaron los mensajes fue un sistema propio comprado por la municipalidad en 1995 para el envío de mensajes a sus empleados. Debido a que esta fue una estrategia  usual de comunicación interna en ese tiempo, si se considera que el Microsoft Outlook se introdujo recién en 1997 y debido a que este sistema fue una instalación municipal, el tribunal determinó que la ciudad era la administradora del sistema, y la autoridad que tenia derecho a los datos, sin embargo, como administradora del sistema, el tribunal falló que la municipalidad de Reno tenía  "... libertad para acceder a los mensajes almacenados a su antojo y que no lo había hecho ni alertado a sus empleados con anterioridad".

El caso de la posesión de pornografía

En el 2000, el agente de la CIA M…,  perdió la apelación a su condena por posesión de pornografía, debido a que la había descargado en su computadora de la oficina.

El tribunal determinó que M…,  no tenía ninguna expectativa razonable de privacidad. No sólo la Oficina de Servicios de Información Extranjera tiene establecida una buena política que prohibía el uso de sus computadoras para la navegación personal , sino que también avisó a sus empleados que el departamento llevaría a cabo investigaciones de equipos para asegurarse del cumplimiento de estas políticas.

Sin embargo, usando la computadora de la oficina para fines personales no se traduce automáticamente en una renuncia a la privacidad ni a los privilegios. Ha habido casos en que se ha protegido los correo electrónico de su lectura.

Uno de los más destacados de estos casos es el de S…, versus la Agencia de Amor y Atención Inc. En este caso, una empleada presentó una demanda contra su ex empleador por discriminación. Esta empleada, antes de renunciar, utilizó la computadora de su empresa para enviar a sus abogados, información que ella sentía podría serle de utilidad y ventaja.

Luego que el litigio comenzó, quedó claro para S…, que su antiguo empleador tuvo acceso a las estrategias legales y documentos que la empleada le comunicó a sus abogados. Más tarde se determinó que los acusados  copiaron el disco duro de S…,  y emplearon los datos encontrados.

El tribunal decidió darle la razón a S…, debido a que S…, tomó medidas para proteger su privacidad mediante el uso de una cuenta de correo electrónico personal, protegida por contraseña, ella tenía una expectativa razonable de intimidad que preservaba  sus privilegios de abogado y cliente.

La conclusión de estas decisiones:

Es importante establecer y comunicar una política sobre el uso personal de los equipos propiedad de la empresa, de actualizar el manual de funciones del empleado de tal manera que quede claramente indicado que los empleados no deben tener expectativa alguna de privacidad en las comunicaciones hechas, hacia o desde, su computadora de la oficina.

---

[1] El artículo fue publicado por JDSupra Law News, la autoría corresponde a Elizabeth Cohee fiscal, en Oakland, California.  Referencia del artículo: http://www.jdsupra.com/legalnews/employee-email-neither-private-nor-pri-02387/

[2] http://www.discoveryadvocate.com/2012/12/14/marital-communications-are-essential-to-the-preservation-of-marriage-unless-made-from-a-workplace-computer/

Admisibilidad de pruebas proveniente de las redes sociales

Artículo publicado por John D. Gregory[1]

En agosto último,  la Comisión sobre lesiones en profesionales (CLP), cuestionó la admisibilidad de evidencia obtenida en las redes sociales a la empresa Campeau et alimentaires Servicios Delta dailyfood Canadá inc.

El caso refiere a un trabajador que resultó herido y tuvo que tomar un buen periodo de tiempo de descanso, libre sin trabajar. Sus heridas le causaron una depresión que lo mantuvo fuera del trabajo . Para comprobar si esto era grave, la empresa creo una cuenta ficticia en Facebook, utilizando preferencias y características para  atraer deliberadamente al empleado. El empleado aceptó la cuenta ficticia entre su red de amigos, lo que le dio al empleador  acceso sus mensajes e información.

Presentada la información ante el tribunal del trabajo, este rechazó el caso de las lesiones del trabajador, por lo que  este, apeló al CLP. El CLP sostuvo que la evidencia de Facebook no era admisible. Luego de revisar el artículo 2858 del Código Civil de Quebec, que establece que todo tribunal debe rechazar las pruebas obtenidas en condiciones que atentan contra los derechos y libertades fundamentales y cuya utilización pondría a la administración de justicia en el descrédito. Por lo que este artículo constituye una excepción expresa a la posibilidad de admisibilidad de cualquier hecho relevante en la disputa.

La decisión analizó estos factores en detalle. La infracción a los derechos afectó la privacidad de los derechos del empleado y en este caso constituyó una garantía contra una infracción cometida por el ente privado.

Tomando en cuenta casos de la Corte de Apelaciones y Corte Suprema de Canadá, el CLP determinó que el empleo de la evidencia obtenida de Facebook estaba desacreditada. De igual forma se considera cualquier tipo de información obtenida de manera similar.

En este caso judicial se demuestra que “no son validas las investigaciones hechas a criterio de parte”.

---

[1] John Gregory es un abogado, de Ontario, Canada. Referencia del artículo: http://www.slaw.ca/2012/12/11/admissibility-of-social-media-evidence/