PDF de programación - Análisis forense de dispositivos de telefonía celular mediante procedimientos operativos estandarizados

Análisis forense de dispositivos de telefonía celular
mediante procedimientos operativos estandarizados

Leopoldo Sebastián Gómez1

1 Poder Judicial del Neuquén

[email protected]

Resumen. La aplicación de procedimientos operativos estandarizados junto a la
segmentación de tareas operativas por roles profesionales son factores críticos
dentro de las unidades periciales para garantizar la calidad en las labores
forenses, a la vez que favorecen a mejorar la productividad y reducir las listas
de espera de casos en trámite. La pericia informática sobre dispositivos de
telefonía celular forma parte de los servicios que habitualmente se ofrecen en el
marco de la actividad profesional del perito informático. Sustentado en las guías
de buenas prácticas desarrolladas por la comunidad científica y otros
documentos de referencia a nivel internacional se presenta un procedimiento
operativo estandarizado para peritajes sobre este material probatorio. Estos
lineamientos de trabajo tienen la virtud de estar articulados con un protocolo de
actuación para pericias informáticas que ha sido aprobado institucionalmente y
tiene carácter reglamentario en el ámbito judicial de la provincia de Neuquén.

1 Introducción

La informática forense es un área de especialización cuya popularidad va en aumento
como producto de los avances de las tecnologías de la información y de la
comunicación (TICs) y la estrecha y necesaria vinculación con el servicio de Justicia.
El panorama es desafiante ya que la evidencia digital comienza a hacerse presente
en toda clase de actos ilícitos. En el nuevo sistema de justicia penal los peritajes han
pasado a ser la reina de las pruebas y dentro de este ámbito las pericias informáticas
tienen un pedestal asegurado.

Aquel profesional que se perfecciona en un área de especialidad, en este caso la
informática forense, toma como desafío el acercamiento constante al estado del arte.
No sólo desde el ámbito académico se brindan aportes que se integran al
conocimiento científico para avanzar con el desarrollo de nuevas técnicas y
herramientas. Actualmente se han logrado muchas contribuciones directas a la
disciplina por parte de especialistas que detectan necesidades concretas que surgen del
ejercicio de la actividad pericial.

El perfil profesional más adecuado para la actividad pericial involucra una sólida
formación académica en ciencias informáticas junto al manejo de metodologías,
técnicas y herramientas propias de esta nueva disciplina. La especialidad se completa
con conocimientos jurídicos que provienen del Derecho, así como también adopta
principios y métodos de investigación que tienen origen en la Criminalística. La

SID 2015, 15º Simposio Argentino de Informática y Derecho. 44 JAIIO - SID 2015 - ISSN: 2451-752616 2 Leopoldo Sebastián Gómez



cantidad de especialistas es reducida si se la compara con otras áreas de ejercicio
profesional dentro de las ciencias informáticas.

La masificación en el uso de tecnología digital actúa en correlación directa con el
número creciente de fuentes de evidencia digital. Teniendo presente el crecimiento
exponencial del universo digital y el fenómeno de big data junto a otros postulados
como las leyes de Moore y Kryder, comienza a resultar anacrónica la aplicación del
modelo de gestión basado en la asignación de pericias individuales. Se requiere
evolucionar hacia la conformación de equipos especializados que actúen con una
metodología de trabajo coordinada para la producción de un resultado final. Es así
que comienza a plantearse la actuación profesional con roles y responsabilidades
acordes a la experticia y área de competencia.

resulta

contar

Sin perjuicio de los años de experiencia y las competencias técnicas individuales
que posea un perito, cuando su actuación se desarrolla en el marco de un equipo
profesional
con procedimientos operativos
estandarizados -en adelante SOPs- que establezcan los lineamientos sistemáticos
mínimos de trabajo para garantizar la calidad en el servicio ofrecido, conformando así
un modelo de trabajo pericial escalable para afrontar la creciente demanda de
actividades forenses.

imprescindible

2 Procedimientos operativos estandarizados

Un SOP es un procedimiento interno desarrollado para realizar una rutina compleja
con tiempo y recursos limitados. La importancia de un SOP adecuado a la estructura
de un equipo profesional radica en el uso habitual de un procedimiento operativo
escrito que está adaptado a un ambiente de trabajo y vinculado a la aplicación de
técnicas y operación de herramientas, cuyo contenido está ordenado mediante texto,
gráficos y otras especificaciones.

Si en lugar de aplicar o mejorar SOPs el profesional se concentra solamente en el
uso de herramientas forenses, éste tiende a limitar su campo de acción y sólo actúa
como si se tratase de un simple operario de aplicaciones y dispositivos. En el mejor de
los casos, esta modalidad de trabajo sin pautas preestablecidas produce desvíos que
atentan contra la productividad, pero también se corre el riesgo de realizar un análisis
forense incompleto que indefectiblemente no conduce a obtener los mejores
resultados en una pericia informática.

Los SOPs otorgan trazabilidad en la actividad pericial desarrollada, de forma tal
que si los resultados de una pericia informática son cuestionados siempre es posible
repetir la experticia. Los SOPs se establecen para demostrar que los pasos propios del
trabajo metodológico siempre son más valiosos que el hardware o software que se
utilice para una pericia informática.

Las herramientas forenses son siempre necesarias, pero ninguna de ellas debe ser
considerada superior a las demás ya que todas ellas tienen fortalezas y debilidades.
Por ello, siempre es importante que el perito informático posea una amplia variedad
de hardware y software forense de forma tal que pueda utilizarlas para brindar el
mejor resultado a los requerimientos periciales.

SID 2015, 15º Simposio Argentino de Informática y Derecho. 44 JAIIO - SID 2015 - ISSN: 2451-752617 Análisis forense de dispositivos de telefonía celular mediante procedimientos operativos
estandarizados 3

El conocimiento especializado juega un papel esencial a la hora de seleccionar
técnicas y herramientas forenses, mientras que los pasos apropiados para el desarrollo
de la actividad pericial pueden ser guiados mediante SOPs.

La experticia que debe tener el perito informático consiste en mantener el apego a
los lineamientos de trabajo pautados para los casos ordinarios y a su vez tener la
flexibilidad de poder aplicar los conocimientos avanzados que posee como
especialista para encontrar la mejor solución al problema cuando la situación lo
amerite.

3 Principios básicos para el manejo de evidencia digital

Desde 1984 a la fecha han surgido diversas propuestas metodológicas para
informática forense, cada una con sus bondades y carencias, así como también se ha
intentado conciliarlas en un modelo común que reúna y simplifique estos marcos de
trabajo pericial [Yussof et al., 2011]. Sin tomar preferencia por alguna de ellas, queda
claro que el proceso forense digital está conformado por actividades operativas
orientadas a la identificación, preservación, análisis y presentación de evidencia
digital.

La actividad pericial informática sobre telefonía celular debe mantener apego a los
lineamientos procedimentales que resulten apropiados para esta fuente de evidencia
digital. Han surgido otras propuestas [Murphy, 2010] en un nivel más detallado y
orientado a los dispositivos de telefonía celular que desagregan estas etapas y cuya
metodología queda comprendida por las siguientes fases: Ingreso, Identificación,
Preparación, Aislamiento, Procesamiento, Verificación, Documentación, Presentación
y Archivado. Aunque se encuentra en una etapa previa a la publicación del estándar
internacional, el modelo de proceso armonizado para la investigación digital forense
propuesto en la ISO/IEC 27043 ya comienza a ser estudiado en la comunidad
académica para evaluar su adecuación al trabajo pericial con dispositivos de telefonía
celular [Mumba and Venter, 2014].

En referencia al manejo de evidencia digital es menester tener presente los
principios básicos establecidos en esta materia [ACPO & 7Safe, 2008], sin dejar de
considerar que algunas reglas no pueden aplicarse a dispositivos de telefonía celular.

Principio 1: El personal policial no debe cambiar ningún dato almacenado en una
computadora o dispositivo de almacenamiento que pueda ser presentado como prueba
en un proceso judicial.

Principio 2: En aquellas circunstancias en las que una persona requiera acceder a
los datos originales almacenados en una computadora o dispositivo de
almacenamiento, dicha persona debe ser competente para hacerlo y ser capaz de
presentar la evidencia explicando su relevancia y las consecuencias de las acciones
que ha llevado a cabo sobre la misma.

Principio 3: Se debe crear y preservar un registro, reporte o bitácora de todos los
procedimientos aplicados a la evidencia digital. Cualquier parte en el proceso judicial
debería poder examinar dichos procedimientos y alcanzar el mismo resultado.

Principio 4: La persona que sea encargada de llevar adelante la