ediligence | Publicaciones
49
archive,category,category-publicaciones,category-49,ajax_fade,page_not_loaded,,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Publicaciones

Por Bayron Prieto, Director General de ediligence S.A.S.

Desde el punto de vista legal, la legislación en materia de prueba digital en Colombia es completa. Sin embargo, desde el punto de vista técnico hay muchas oportunidades de mejora. Si bien los puntos clave para el aseguramiento de evidencias digitales dentro de cualquier proceso legal son: El recurso humano, las herramientas usadas y los procedimientos realizados. Considero que existen varios elementos que pueden alinear las entidades púbicas que tienen funciones policivas o de vigilancia y control.

El Artículo 11 de la Ley 527 de 1999 en donde dentro de los requisitos para que un mensaje de datos tenga valor probatorio esta:

  • “la confiabilidad en la forma en que se haya conservado la integridad de la información”
  • “la forma en la que se identifique a su iniciador y cualquier otro factor pertinente”.

 

Técnicamente la forma de dar cumplimiento al primer requisito citado de la Ley es (entre otras) las conocidas funciones hash, este mecanismo es definido por la Agencia Española de Protección de datos como “una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales”; otra definición un poco menos técnica de hash es la del “ADN” de un mensaje de datos. Es decir, que el hash es lo que me permite que archivo digital no ha sido modificado y conserva su integridad.

Los Hash son funciones matemáticas que tienen infinitos elementos de entrada (archivos digitales) y un número finito de resultados, esta característica hace que en algún momento los resultados se repitan, a esto se le conoce como una colisión. Una vez, una función hash tiene una colisión, hace que la integridad que exige la Ley no se cumpla.

Las funciones hash cambian en el tiempo, en marzo del 2017, Google encontró una colisión en la última función de hash desarrollada llamada “SHA-1” y unos años atrás ya se había encontrado una colisión en la función “MD5”. La pregunta que muchas personas se pueden hacer en este momento es: ¿Cuál es la función que debo usar en las pruebas digitales que debo presentar?, esa es justo la oportunidad de mejora que sugiero implementar.

Creo que se debe escoger un órgano público que, una vez se identifique una colisión, informe a todos los jueces, abogados, peritos, entre otros. Cuáles son las funciones hash que a partir de la colisión identificada se deben empezar a utilizar. Lo anterior ayudaría a autoridades que ejercen funciones jurisdiccionales como la Superintendencia de Industria y Comercio, a mantener a sus jueces actualizados y que esa brecha tecnología entre la credibilidad de la integridad de un mensaje de datos y las decisiones que se toman se haga más pequeña. Esto sin contar en el gran aporte que haría a las Delegaturas que ejercen vigilancia y control en sus procesos administrativos, asegurando desde las etapas iniciales las evidencias digitales con algoritmos actualizados y alineados con otras entidades que también requieran pruebas electrónicas como, por ejemplo, la Fiscalía General de la Nación en los casos de colusiones en licitaciones.

Por otra parte, para dar cumplimiento al segundo requisito mencionado al inicio de este artículo, es necesario el uso de los protocolos de cadena de custodia; acá tenemos también una oportunidad de mejora, hoy en día todas las entidades y profesionales en informática forense basan sus procedimientos en el Manual de Cadena de Custodia de la Fiscalía General de la Nación, a pesar de ser recientemente actualizado, solo tiene los lineamientos para preservar evidencia física, incluyendo contenedores de evidencia digital como DVD, USB, discos duros, etc. Pero no da los lineamientos precisos para documentar los elementos propios de una prueba digital.

Muchas entidades por su propia cuenta han realizado sus propios protocolos locales, pero creo que se deben unificar criterios para facilitar la evaluación de las pruebas por parte de los jueces y autoridades, sin dejar todo esto a la responsabilidad de la FGN en su Manual de Cadena de Custodia.

Fuente: Blog lalibrecompetencia.com

De la información obtenida de forma ilegal a la firma Mossack Fonseca, llama la atención la relevancia que se debe dar a la ciberseguridad y la trascendencia que ésta puede tener en una compañía, pues ésta debe ser vista no solo como un pilar fundamental para preservación de la reputación de una empresa, sino además, como el eje fundamental para la investigación, conservación y obtención de pruebas para procesos judiciales que se puedan llevar dentro de un eventual litigio.

Con respecto a la reputación, las compañías deben ejercer fuertes labores preventivas que fortalezcan procedimientos, mitiguen riesgos y generen cultura de la seguridad de la información al interior de éstas. Siendo esta última -la cultura de la seguridad-, el principal problema de las empresas que generalmente se centran en adoptar medidas de control a través de herramientas físicas, lógicas o procedimentales que previenen las amenazas en la gestión de la información, pero no desarrollan modelos blandos en los empleados enfocados a la responsabilidad y el valor del intangible que maneja cada uno de ellos en sus labores.

Si bien no existen sistemas completamente seguros, los controles que se deben implementar en ellos tienen que ser lo suficientemente robustos para que quién logre penetrarlos sea porque “merezca” o se “gane” la información protegida. Por esta razón los controles implementados deben asociarse a la criticidad de la de información.

Por otra parte, la obtención de pruebas resulta ser un valor agregado relevante para la elaboración de modelos de ciberseguridad. El artículo 16 del Convenio de Ciberseguridad de Budapest (CCB) establece las pautas para proteger la información, el cual se aplica a las evidencias digitales que se puedan hallar y ser útiles en litigios posteriores. Es por esta razón que toda estrategia de ciberseguridad debe tener un acápite relacionado con el manejo o preservación de evidencias digitales.

Adicionalmente, existen normas internacionales que indican las formas en que se deben preservar las pruebas digitales. Para ello, se puede tomar como referencia lo contenido en la Ley Modelo de Comercio Electrónico (Lmce) que en su artículo 9 indica los elementos que debe revisar la autoridad una vez se presenten pruebas digitales o lo que en esta ley define como mensaje de datos.

Tanto el CCB como la Lmce son aplicadas por varias legislaciones, algunos toman textualmente los apartados referidos y otros introducen los conceptos generales adecuando ciertos elementos propios de cada país, un ejemplo de ello es el concepto de “acceso abusivo a sistema de informático” que es introducido por el CCB y gran número de los países latinoamericanos (incluyendo a Panamá) adoptan este concepto en su regulación correspondiente a Delitos Informáticos. A estas legislaciones se aúna los regímenes de protección de datos personales que se puedan adoptar en cada país, en donde se comprometen a los responsables de los datos personales y a los encargados de su tratamiento.

Más allá de la información robada en los mal llamados Papeles de Panamá, este suceso es una alerta a las compañías que gestionan información de terceros a la necesidad de fortalecer las medidas de seguridad en el manejo de la información física y digital, entendiendo que más que un gasto es una inversión en donde se obtienen retornos en los beneficios organizacionales, legales y reputacionales.

Fuente: AsuntosLegales.com

Hace unos meses la SIC publicó las Guías de Responsabilidad Demostrada (GRD), donde se establece los lineamientos para el desarrollo de los programas de privacidad y seguridad de la información en las empresas, por otra parte la ley 1581 de 2012 define uno de los principios necesarios en la protección de datos personales, el cual corresponde a la seguridad de la información. Sin embargo, en las empresas aún se siguen formulando la siguiente pregunta: ¿cómo se puede determinar si se cumple o no con este principio? Para saberlo es necesario tener en cuenta dos características:

La implementación de modelos de seguridad de la información que puedan ser identificables por la Autoridad o el Juez. Dichos modelos deben ser documentables, ya que seguramente frente a una investigación administrativa ayudarían a demostrar procedimientos de seguridad de la información que la Ley o las GRD no mencionan detalladamente, pero que son de mucha importancia frente a las decisiones jurídicas que se puedan tomar.

La unificación de criterios entre abogados e ingenieros. Los modelos de protección de datos personales que se implementen en una empresa, no pueden ser analizados separadamente por la parte legal y la parte tecnológica. Lo ideal es lograr una sinergia que permita a los abogados documentar y hacer seguimiento al cumplimiento de la norma, y a los ingenieros hacer eficientes los procedimientos manteniendo los niveles de seguridad para tratar y procesar los datos personales que maneja la compañía. En pocas palabras, necesitamos “Ingenieros Litigantes” y “Abogados de TI”.

Es importante resaltar que en caso de una visita administrativa de la SIC, cualquier falla en el cumplimiento de alguno de los principios de la Ley de Protección de Datos Personales puede ser una evidencia útil para los procesos sancionatorios futuros.

Por esta razón, es clave ser estrictos en la elaboración de los modelos de protección de datos personales en las compañías, lo cual solo se logra comprendiendo el alcance, el propósito y el uso de los mismos.

La materialización de riesgos identificados por la Autoridad de Protección de Datos puede no solamente acarrear multas, sino también responsabilidades penales; un ejemplo de ello es la identificación de tráfico de bases de datos, que dependiendo de sus características podría implicar una violación de datos personales cuya sanción podría ser hasta de 96 meses de prisión.

Sin duda alguna, la correcta gestión de los datos personales en las compañías conllevará al desarrollo de modelos de seguridad de la información, pero cada compañía es distinta y tiene diferentes riesgos que deben ser estudiados técnica y jurídicamente para el pleno cumplimiento de la normatividad

Fuente: www.larepublica.co

Para la RAE la reprografía es la “reproducción de los documentos por diversos medios” y en la Decisión Andina 351 de 1993 dice “se entiende por reproducción, la fijación de la obra en un medio que permita su comunicación o la obtención de copias de toda o parte de ella, por cualquier medio o procedimiento”.

Por otra parte, la ley 98 de 1993 exige que todo establecimiento que pone a disposición obras, obtenga la autorización de los titulares de las obras que son reproducidas, a través de una Sociedad de Gestión Colectiva (SGC) o directamente. Además en su Decreto reglamentario 1070 de 2008, se habla de esta autorización en particular para los establecimientos educativos.

Así como funciona una fotocopiadora, los sistemas de información reproducen obras digitalizadas como los Sistemas de Gestión de Aprendizaje conocidos como LMS usados en los establecimientos educativos.

La forma en cómo dichas obras digitales deben ser puestas a disposición, es a través la incorporación de medidas tecnológicas de protección, que permitan la implementación de la mayor cantidad de controles para que los dueños de los derechos de reproducción que desean licenciar a través de una SGC, o cualquier otro medio, puedan auditar tanto las obras como los sistemas de información donde se comparten las mismas. Estos controles son diferentes para cada negocio ya que cada uno cuenta con diferentes sistemas para la puesta a disposición de las obras.

Existen modelos de negocio donde se adquieren licencias por la compra de bases de datos de obras digitales a editoriales, grupos de autores, entre otros. Este licenciamiento es completamente válido, pero solo cubre el sistema de información adquirido.

A modo ilustrativo, es como si en el mundo físico compráramos libros para una biblioteca, estas licencias son distintas a las que son puestas a disposición en los LMS, que serían como la fotocopiadora donde se reproducen las obras en el mundo físico.

Muchos autores se pueden ver beneficiados por percibir derechos patrimoniales derivados del licenciamiento de las obras digitales que han sido reproducidos en cualquier sistema de información.

La gran mayoría de empresas, e inclusive establecimientos educativos, no han reconocido aún este cambio y esto puede ser un riesgo legal ya que los autores o titulares de reproducción pueden reclamar su derecho mediante pruebas anticipadas en procesos legales donde se demuestre el uso de obras digitales sin autorización.

En muchos fenómenos digitales generados por tecnologías disruptivas no es necesaria la creación de nuevas reglas sino la aplicación de las existentes con una visión comparativa entre el mundo físico y el digital.

Estos cambios de perspectiva de los derechos (en este caso de los autores) será un paso para que se sigan disminuyendo otro tipo de faltas en el entorno digital y se extiendan los derechos del mundo físico al mundo digital, permitiendo que las TIC sean un espacio donde el conocimiento y la legalidad van de la mano.

Fuente: www.larepublica.co

Las pruebas digitales a diferencia de las convencionales, tienen una característica particular y es su volatilidad. Cualquier archivo digital es relativamente fácil de modificar o dañar, y es por esta razón que se deben tener herramientas tanto técnicas como jurídicas para que la integridad de la información se conserve y sea válida en procesos judiciales.

La Ley 527 de 1999, también conocida como la Ley de Comercio Electrónico brinda las herramientas jurídicas que indican los ingredientes necesarios que un mensaje de datos debe tener para que sea tenido en cuenta como prueba. El Artículo 11 de esta Ley indica que un mensaje de datos debe tener 3 elementos importantes para ser una prueba digital o una evidencia digital: (i) la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, (ii) la confiabilidad en la forma en que se haya conservado la integridad de la información, (iii) la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

Pero, ¿qué es un mensaje de datos?, la misma ley lo define en el Artículo 2. En esta se menciona que la información generada o almacenada en medios electrónicos o similares es un mensaje de datos; por esta razón de deduce que cualquier archivo que es guardado en un computador, tal como: archivos de música, documentos, correos electrónicos, fotografías, videos tomados desde un celular, entre otros; son mensajes de datos.

Por lo anterior, se puede pensar que para que un mensaje de datos sea tenido en cuenta como prueba en procesos judiciales debe ser muy bien documentado el proceso de adquisición, y en dicha documentación se debe aclarar qué herramientas o técnicas de informática forense se realizaron.

También se debe demostrar que se mantuvo la integridad de los mensajes de datos adquiridos, para esta etapa es muy importante identificar modelos de cadena de custodia que permitan identificar los factores previos y aquellos que sucedan durante la adquisición de la evidencia digital. Adicional a estos modelos, es necesario implementar las funciones Hash a los mensajes de datos adquiridos.

Una función Hash puede ser vista como el ADN Volátil de un mensaje de datos. Esto quiere decir que una función Hash es un resumen cifrado y único de un archivo, es decir, mantiene la integridad de la evidencia. Pero, ¿Por qué es Volátil?, esto se debe a que existen muchos métodos, funciones o algoritmos para calcular esta función hash, y actualmente en los procesos judiciales se usan principalmente dos, la función MD5 y la función SHA1.

Hasta este punto se han abordado dos ingredientes para que los mensajes de datos sean tenidos como prueba en un proceso judicial, el tercer ingrediente proporciona lo que se conoce como cadena de custodia. El manual de cadena de custodia de la Fiscalía General de la Nación permite identificar dos tipos de cadena de custodia: la anterior y la posterior. La cadena de custodia anterior permite identificar los factores previos y que sucedan durante la adquisición de la evidencia digital, es decir, lo que en el Artículo 11 de la Ley 527 conocemos como “…iniciador…”. Por otra parte, la cadena de custodia posterior se define como una bitácora de movimientos que tiene la evidencia digital durante su vida, en la Ley 527 se puede identificar la cadena de custodia posterior como: “…cualquier otro factor pertinente.”.

A modo de reflexión podemos pensar que el manual de cadena de custodia de la Fiscalía General de la Nación, está enfocado hacia material probatorio físico o a contenedores de evidencia digital (discos duros, USB, CD, etc.), pero no está enfocado hacia evidencias digitales, es decir, al movimiento que tiene la evidencia digital cuando, por ejemplo, es copiada a otros medios, es consultada, se le realiza un borrado seguro, entre otras. Por lo que se debe pensar en una nueva versión del mismo.

Para que un mensaje de datos sea útil para un proceso judicial debe contener los tres ingredientes que menciona la Ley de Comercio Electrónico, de lo contrario es probable que pierda el valor probatorio y se correría el riesgo de que dichos mensajes no sean incluidos en las decisiones de un Juez o Autoridad.

Fuente: www.larepublica.co

Pensemos en un medio de características similares a internet, es decir, en donde los seres humanos interactuamos o nos comunicamos, es el caso de las vías de tránsito, este es tan solo un medio de transporte de la gente, pero para ellas existe una reglamentación que regula las velocidades, los tipos de transporte admitidos en la vía, los protocolos de manejo que debe tener cada conductor, etc. Toda esta serie de controles buscan finalmente mitigar posibles riesgos que se puedan dar en las vías de tránsito.

Luego de esta reflexión, le invito a analizar ¿Qué es hoy internet?, remontémonos a las viejas historias del lejano oeste en donde el “Sheriff” del pueblo era sometido por el delincuente (que para el caso de internet es quien tiene mayor conocimiento de la tecnología); también podemos remontarnos a los inicios de las pandillas de Nueva York, en donde un grupo de personas oprimían con sus delitos a la sociedad, eran quienes ponían las reglas en la ciudad y en algunos casos la autoridad se sometía a sus mandatos.

Hoy en día muchos delitos informáticos quedan en impunidad o son detectados por personas que no son autoridad en internet.

Es indudable que internet necesita una regulación por parte de los gobiernos a través de las asociaciones de países enfocados a una normatividad que proteja todos los Derechos Humanos en internet. Lo que no podemos permitir es que solo sea a través de las guerras, delitos u otras formas de agresión que tengamos que aprender para empezar a gestionar estos derechos digitales.

La normatividad enla web va tomando forma en favor de los individuos, un ejemplo es la protección de los derechos de los autores en internet que está legislada en EE.UU. con el Digital Millennium Copyright Act (Dmca), a través de elementos importantes como Digital Rights Management (DRM) que son medidas tecnológicas de protección con el objetivo de salvaguardar las obras en los medios digitales.

En Colombia contamos con la Ley 1273 de 2009, conocida como la Ley de delitos informáticos, con esta herramienta jurídica se fortalecen los derechos en internet y se protegen nuestros datos alojados en sistemas de información. Adicionalmente, tenemos la Ley 1581 de 2012 con los principios rectores para el manejo de los datos personales de los individuos presentados en la misma como titulares de los datos, entre otros. Como vemos, ya se está avanzando en la legislación de internet, pero ¿Qué tan rápido lo estamos haciendo en relación con la evolución en los anchos de banda, accesibilidad a internet y sus modificaciones? Un ejemplo de la evolución de internet es lo que conocemos como el internet de las cosas (IoT), esta tecnología se refiere a la comunicación entre diferentes elementos de nuestro día a día (refrigeradoras, calefactores, etc.) a través de sensores que transportarían información nuestra.

Notemos cómo los individuos hemos venido desarrollando un perfil virtual en internet; en redes sociales, hábitos de compra, ubicaciones geográficas, entre otras. El manejo y gestión de esta información es cada vez más sensible y por consiguiente, tiene más riesgos asociados, esto hace que la seguridad del flujo de la información de nuestro individuo digital sea tanto o más importante que la de nuestro individuo físico. (Defino individuo digital” como la representación digital de una persona y lo que se encuentra alojado de la misma en dispositivos electrónicos o internet.)

Así como aplica para un individuo, el anterior razonamiento aplica para una empresa, institución o gobierno. Por eso no es raro encontrar noticias de Ciberataques entre gobiernos o de guerras cibernéticas, que no son más que la materialización de comportamientos humanos ya vividos y experimentados en la historia del individuo físico y en donde las lecciones aprendidas se deben gestionar para el individuo digital.

A modo de reflexión quiero dejar un mensaje importante en el lector, consiste en que el conocimiento y la madures que han traído acontecimientos históricos a la sociedad del individuo físico debe aplicarse al individuo digital, de lo contrario estaremos destinados a pasar por guerras digitales y muchos tipos de delitos, en la búsqueda de algo por lo que ya hemos pasado.

Fuente: www.larepublica.co