ediligence | Publicaciones
49
archive,category,category-publicaciones,category-49,ajax_fade,page_not_loaded,,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Publicaciones

Por Bayron Prieto, Director General de ediligence S.A.S.

Desde el punto de vista legal, la legislación en materia de prueba digital en Colombia es completa. Sin embargo, desde el punto de vista técnico hay muchas oportunidades de mejora. Si bien los puntos clave para el aseguramiento de evidencias digitales dentro de cualquier proceso legal son: El recurso humano, las herramientas usadas y los procedimientos realizados. Considero que existen varios elementos que pueden alinear las entidades púbicas que tienen funciones policivas o de vigilancia y control.

El Artículo 11 de la Ley 527 de 1999 en donde dentro de los requisitos para que un mensaje de datos tenga valor probatorio esta:

  • “la confiabilidad en la forma en que se haya conservado la integridad de la información”
  • “la forma en la que se identifique a su iniciador y cualquier otro factor pertinente”.

 

Técnicamente la forma de dar cumplimiento al primer requisito citado de la Ley es (entre otras) las conocidas funciones hash, este mecanismo es definido por la Agencia Española de Protección de datos como “una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales”; otra definición un poco menos técnica de hash es la del “ADN” de un mensaje de datos. Es decir, que el hash es lo que me permite que archivo digital no ha sido modificado y conserva su integridad.

Los Hash son funciones matemáticas que tienen infinitos elementos de entrada (archivos digitales) y un número finito de resultados, esta característica hace que en algún momento los resultados se repitan, a esto se le conoce como una colisión. Una vez, una función hash tiene una colisión, hace que la integridad que exige la Ley no se cumpla.

Las funciones hash cambian en el tiempo, en marzo del 2017, Google encontró una colisión en la última función de hash desarrollada llamada “SHA-1” y unos años atrás ya se había encontrado una colisión en la función “MD5”. La pregunta que muchas personas se pueden hacer en este momento es: ¿Cuál es la función que debo usar en las pruebas digitales que debo presentar?, esa es justo la oportunidad de mejora que sugiero implementar.

Creo que se debe escoger un órgano público que, una vez se identifique una colisión, informe a todos los jueces, abogados, peritos, entre otros. Cuáles son las funciones hash que a partir de la colisión identificada se deben empezar a utilizar. Lo anterior ayudaría a autoridades que ejercen funciones jurisdiccionales como la Superintendencia de Industria y Comercio, a mantener a sus jueces actualizados y que esa brecha tecnología entre la credibilidad de la integridad de un mensaje de datos y las decisiones que se toman se haga más pequeña. Esto sin contar en el gran aporte que haría a las Delegaturas que ejercen vigilancia y control en sus procesos administrativos, asegurando desde las etapas iniciales las evidencias digitales con algoritmos actualizados y alineados con otras entidades que también requieran pruebas electrónicas como, por ejemplo, la Fiscalía General de la Nación en los casos de colusiones en licitaciones.

Por otra parte, para dar cumplimiento al segundo requisito mencionado al inicio de este artículo, es necesario el uso de los protocolos de cadena de custodia; acá tenemos también una oportunidad de mejora, hoy en día todas las entidades y profesionales en informática forense basan sus procedimientos en el Manual de Cadena de Custodia de la Fiscalía General de la Nación, a pesar de ser recientemente actualizado, solo tiene los lineamientos para preservar evidencia física, incluyendo contenedores de evidencia digital como DVD, USB, discos duros, etc. Pero no da los lineamientos precisos para documentar los elementos propios de una prueba digital.

Muchas entidades por su propia cuenta han realizado sus propios protocolos locales, pero creo que se deben unificar criterios para facilitar la evaluación de las pruebas por parte de los jueces y autoridades, sin dejar todo esto a la responsabilidad de la FGN en su Manual de Cadena de Custodia.

Fuente: Blog lalibrecompetencia.com

De la información obtenida de forma ilegal a la firma Mossack Fonseca, llama la atención la relevancia que se debe dar a la ciberseguridad y la trascendencia que ésta puede tener en una compañía, pues ésta debe ser vista no solo como un pilar fundamental para preservación de la reputación de una empresa, sino además, como el eje fundamental para la investigación, conservación y obtención de pruebas para procesos judiciales que se puedan llevar dentro de un eventual litigio.

Con respecto a la reputación, las compañías deben ejercer fuertes labores preventivas que fortalezcan procedimientos, mitiguen riesgos y generen cultura de la seguridad de la información al interior de éstas. Siendo esta última -la cultura de la seguridad-, el principal problema de las empresas que generalmente se centran en adoptar medidas de control a través de herramientas físicas, lógicas o procedimentales que previenen las amenazas en la gestión de la información, pero no desarrollan modelos blandos en los empleados enfocados a la responsabilidad y el valor del intangible que maneja cada uno de ellos en sus labores.

Si bien no existen sistemas completamente seguros, los controles que se deben implementar en ellos tienen que ser lo suficientemente robustos para que quién logre penetrarlos sea porque “merezca” o se “gane” la información protegida. Por esta razón los controles implementados deben asociarse a la criticidad de la de información.

Por otra parte, la obtención de pruebas resulta ser un valor agregado relevante para la elaboración de modelos de ciberseguridad. El artículo 16 del Convenio de Ciberseguridad de Budapest (CCB) establece las pautas para proteger la información, el cual se aplica a las evidencias digitales que se puedan hallar y ser útiles en litigios posteriores. Es por esta razón que toda estrategia de ciberseguridad debe tener un acápite relacionado con el manejo o preservación de evidencias digitales.

Adicionalmente, existen normas internacionales que indican las formas en que se deben preservar las pruebas digitales. Para ello, se puede tomar como referencia lo contenido en la Ley Modelo de Comercio Electrónico (Lmce) que en su artículo 9 indica los elementos que debe revisar la autoridad una vez se presenten pruebas digitales o lo que en esta ley define como mensaje de datos.

Tanto el CCB como la Lmce son aplicadas por varias legislaciones, algunos toman textualmente los apartados referidos y otros introducen los conceptos generales adecuando ciertos elementos propios de cada país, un ejemplo de ello es el concepto de “acceso abusivo a sistema de informático” que es introducido por el CCB y gran número de los países latinoamericanos (incluyendo a Panamá) adoptan este concepto en su regulación correspondiente a Delitos Informáticos. A estas legislaciones se aúna los regímenes de protección de datos personales que se puedan adoptar en cada país, en donde se comprometen a los responsables de los datos personales y a los encargados de su tratamiento.

Más allá de la información robada en los mal llamados Papeles de Panamá, este suceso es una alerta a las compañías que gestionan información de terceros a la necesidad de fortalecer las medidas de seguridad en el manejo de la información física y digital, entendiendo que más que un gasto es una inversión en donde se obtienen retornos en los beneficios organizacionales, legales y reputacionales.

Fuente: AsuntosLegales.com

Hace unos meses la SIC publicó las Guías de Responsabilidad Demostrada (GRD), donde se establece los lineamientos para el desarrollo de los programas de privacidad y seguridad de la información en las empresas, por otra parte la ley 1581 de 2012 define uno de los principios necesarios en la protección de datos personales, el cual corresponde a la seguridad de la información. Sin embargo, en las empresas aún se siguen formulando la siguiente pregunta: ¿cómo se puede determinar si se cumple o no con este principio? Para saberlo es necesario tener en cuenta dos características:

La implementación de modelos de seguridad de la información que puedan ser identificables por la Autoridad o el Juez. Dichos modelos deben ser documentables, ya que seguramente frente a una investigación administrativa ayudarían a demostrar procedimientos de seguridad de la información que la Ley o las GRD no mencionan detalladamente, pero que son de mucha importancia frente a las decisiones jurídicas que se puedan tomar.

La unificación de criterios entre abogados e ingenieros. Los modelos de protección de datos personales que se implementen en una empresa, no pueden ser analizados separadamente por la parte legal y la parte tecnológica. Lo ideal es lograr una sinergia que permita a los abogados documentar y hacer seguimiento al cumplimiento de la norma, y a los ingenieros hacer eficientes los procedimientos manteniendo los niveles de seguridad para tratar y procesar los datos personales que maneja la compañía. En pocas palabras, necesitamos “Ingenieros Litigantes” y “Abogados de TI”.

Es importante resaltar que en caso de una visita administrativa de la SIC, cualquier falla en el cumplimiento de alguno de los principios de la Ley de Protección de Datos Personales puede ser una evidencia útil para los procesos sancionatorios futuros.

Por esta razón, es clave ser estrictos en la elaboración de los modelos de protección de datos personales en las compañías, lo cual solo se logra comprendiendo el alcance, el propósito y el uso de los mismos.

La materialización de riesgos identificados por la Autoridad de Protección de Datos puede no solamente acarrear multas, sino también responsabilidades penales; un ejemplo de ello es la identificación de tráfico de bases de datos, que dependiendo de sus características podría implicar una violación de datos personales cuya sanción podría ser hasta de 96 meses de prisión.

Sin duda alguna, la correcta gestión de los datos personales en las compañías conllevará al desarrollo de modelos de seguridad de la información, pero cada compañía es distinta y tiene diferentes riesgos que deben ser estudiados técnica y jurídicamente para el pleno cumplimiento de la normatividad

Fuente: www.larepublica.co

En el marco de algunos procesos, la toma de decisiones por parte del juez debe ser apoyada por conceptos o procedimientos técnicos que busquen principalmente: (i) llegar a la verdad en relación con ciertos hechos y/o (ii) facilitar el acceso a la información electrónica presentada en mensajes de datos. En estos casos es necesaria la participación de un experto que apoye al juez en el cumplimiento de sus deberes, para que mediante sus actividades técnicas reduzca la incertidumbre propia del mundo digital.

Con la evolución de la tecnología encontramos que gran parte del material probatorio es digital. Es ahí donde nos enfrentamos a conceptos acertadamente desarrollados desde hace 20 años en la Ley 527, los cuales evidencian que, en algunos casos, se necesita de la intervención de un perito para hacerlos efectivos. En este punto, hay dos escenarios en los que un perito informático podría intervenir en el marco de un asunto legal:

1.   Cuando se le requiere para dar una opinión técnica con respecto a una situación objeto de litigio.

2.   Cuando sea necesaria la gestión de grandes volúmenes de información, que típicamente es en la exhibición de documentos digitales (dentro del proceso o en la práctica de pruebas extrapocesales).

La primera es la más convencional de todas y a la que los jueces y las partes están acostumbrados a acudir. Para cualquier asunto técnico (financiero, médico, tecnológico, entre otros) es posible que se necesite a un experto que apoye al juez, para que con su conocimiento le ayude a aclarar las dudas que tenga frente a la decisión que debe tomar.

La segunda puede ser vista como la más innovadora, pues en ese punto es posible que al perito no se le requiera para dar una opinión técnica, sino para realizar una labor que incluye las siguientes tareas:

1. Realizar las actividades técnicas necesarias para que los mensajes de datos recaudados tengan valor probatorio, de acuerdo con el artículo 11 de la Ley 527, es decir, obtener imágenes forenses de dispositivos, aplicar las funciones hash para preservar la integridad de estos, adelantar protocolos de cadena de custodia, entre otros.

2. Garantizar que los datos adquiridos tengan los atributos exigidos por la ley para preservar su originalidad, es decir, preservando la integridad y disponibilidad de los mensajes de datos.

3. Apoyar de forma técnica al juez y/o al solicitante de la prueba en la búsqueda de información que se requiera y cuya fuente sean grandes volúmenes de datos, que normalmente se pueden encontrar en equipos de cómputo, celulares y otros sistemas de información.
Asesorar tecnológicamente al juez en el marco de las diligencias practicadas.

Si bien la gestión de grandes volúmenes de información incluye lo que posiblemente sea la gestión de datos confidenciales, íntimos, que contengan secretos profesionales y muchos otros, es un deber fundamental del perito, como auxiliar de la justicia, mantener la reserva de acuerdo con una conducta idónea, imparcial, intachable y de excelente reputación, que son características propias de su cargo (Código General del Proceso – CGP, art. 47). Así, lo único que un perito está autorizado a comunicar es la información acerca de las partes y apoderados en los casos en que haya participado, de acuerdo con los requisitos de la prueba pericial (CGP, art. 226).

Aunque el CGP instituyó casi de manera obligatoria la figura del “perito de parte”, así como que los honorarios de este son sufragados por el interesado en la prueba, lo cierto es que el experto debe guardar independencia e imparcialidad en sus actuaciones (CGP, art. 235), pues su labor va encaminada únicamente a dar cumplimiento al encargo encomendado. Es así como la independencia no solo es tan importante como el mismo conocimiento técnico, sino la garantía del juez y de las partes para la búsqueda de la verdad.

Ahora, pese al encargo dado al perito informático, no siempre se puede realizar, pues normalmente se le asocia de manera equivocada con un mal llamado “hacker” o a quien accede a sistemas informáticos sorteando medidas de seguridad, concepto que es completamente falso. Dentro de las labores del perito no está violar o saltar medidas de seguridad de sistemas informáticos, debe estar en la capacidad de informar al juez de la presencia de medidas de seguridad, siendo la parte dueña de la información quien, en cumplimiento de los artículos 78 y 229 de CGP, debe dar el acceso respectivo.

Pensemos en un escenario en donde lo que se pretenda recaudar sean documentos físicos. Si la información está guardada en una caja fuerte, quien debe dar la clave de acceso es el dueño de esta, no debería usarse la fuerza bruta para llegar a esa información, salvo en algunas excepciones, por orden judicial. En el mundo digital podemos encontrarnos con “cajas fuertes’’ que son casi imposibles de abrir o cuya apertura puede ser tan demorada, costosa y compleja como la necesaria para abrir la información del celular del caso del asesino de San Bernardino (California) en 2015, en donde para consultar un iPhone el FBI gasto más de 1 millón de dólares y varios meses de espera.

El éxito de la búsqueda de información en sistemas informáticos que sea necesaria en un proceso radica en la comunicación que exista entre el juez y el perito, para esto deben darse dos condiciones iniciales: (i) que el perito tenga la capacidad de explicar fácilmente al juez -sin muchos tecnicismos- las condiciones tecnológicas a las que se pueden enfrentar y (ii) que el juez abra su mente a las condiciones volátiles y anónimas a las que los pueden llevar el mundo digital.

Bayron Prieto

Perito informático y director general de Ediligence SAS

 

Fuente: www.ambitojuridico.com

Las pruebas digitales a diferencia de las convencionales, tienen una característica particular y es su volatilidad. Cualquier archivo digital es relativamente fácil de modificar o dañar, y es por esta razón que se deben tener herramientas tanto técnicas como jurídicas para que la integridad de la información se conserve y sea válida en procesos judiciales.

La Ley 527 de 1999, también conocida como la Ley de Comercio Electrónico brinda las herramientas jurídicas que indican los ingredientes necesarios que un mensaje de datos debe tener para que sea tenido en cuenta como prueba. El Artículo 11 de esta Ley indica que un mensaje de datos debe tener 3 elementos importantes para ser una prueba digital o una evidencia digital: (i) la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, (ii) la confiabilidad en la forma en que se haya conservado la integridad de la información, (iii) la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

Pero, ¿qué es un mensaje de datos?, la misma ley lo define en el Artículo 2. En esta se menciona que la información generada o almacenada en medios electrónicos o similares es un mensaje de datos; por esta razón de deduce que cualquier archivo que es guardado en un computador, tal como: archivos de música, documentos, correos electrónicos, fotografías, videos tomados desde un celular, entre otros; son mensajes de datos.

Por lo anterior, se puede pensar que para que un mensaje de datos sea tenido en cuenta como prueba en procesos judiciales debe ser muy bien documentado el proceso de adquisición, y en dicha documentación se debe aclarar qué herramientas o técnicas de informática forense se realizaron.

También se debe demostrar que se mantuvo la integridad de los mensajes de datos adquiridos, para esta etapa es muy importante identificar modelos de cadena de custodia que permitan identificar los factores previos y aquellos que sucedan durante la adquisición de la evidencia digital. Adicional a estos modelos, es necesario implementar las funciones Hash a los mensajes de datos adquiridos.

Una función Hash puede ser vista como el ADN Volátil de un mensaje de datos. Esto quiere decir que una función Hash es un resumen cifrado y único de un archivo, es decir, mantiene la integridad de la evidencia. Pero, ¿Por qué es Volátil?, esto se debe a que existen muchos métodos, funciones o algoritmos para calcular esta función hash, y actualmente en los procesos judiciales se usan principalmente dos, la función MD5 y la función SHA1.

Hasta este punto se han abordado dos ingredientes para que los mensajes de datos sean tenidos como prueba en un proceso judicial, el tercer ingrediente proporciona lo que se conoce como cadena de custodia. El manual de cadena de custodia de la Fiscalía General de la Nación permite identificar dos tipos de cadena de custodia: la anterior y la posterior. La cadena de custodia anterior permite identificar los factores previos y que sucedan durante la adquisición de la evidencia digital, es decir, lo que en el Artículo 11 de la Ley 527 conocemos como “…iniciador…”. Por otra parte, la cadena de custodia posterior se define como una bitácora de movimientos que tiene la evidencia digital durante su vida, en la Ley 527 se puede identificar la cadena de custodia posterior como: “…cualquier otro factor pertinente.”.

A modo de reflexión podemos pensar que el manual de cadena de custodia de la Fiscalía General de la Nación, está enfocado hacia material probatorio físico o a contenedores de evidencia digital (discos duros, USB, CD, etc.), pero no está enfocado hacia evidencias digitales, es decir, al movimiento que tiene la evidencia digital cuando, por ejemplo, es copiada a otros medios, es consultada, se le realiza un borrado seguro, entre otras. Por lo que se debe pensar en una nueva versión del mismo.

Para que un mensaje de datos sea útil para un proceso judicial debe contener los tres ingredientes que menciona la Ley de Comercio Electrónico, de lo contrario es probable que pierda el valor probatorio y se correría el riesgo de que dichos mensajes no sean incluidos en las decisiones de un Juez o Autoridad.

Fuente: www.larepublica.co

Pensemos en un medio de características similares a internet, es decir, en donde los seres humanos interactuamos o nos comunicamos, es el caso de las vías de tránsito, este es tan solo un medio de transporte de la gente, pero para ellas existe una reglamentación que regula las velocidades, los tipos de transporte admitidos en la vía, los protocolos de manejo que debe tener cada conductor, etc. Toda esta serie de controles buscan finalmente mitigar posibles riesgos que se puedan dar en las vías de tránsito.

Luego de esta reflexión, le invito a analizar ¿Qué es hoy internet?, remontémonos a las viejas historias del lejano oeste en donde el “Sheriff” del pueblo era sometido por el delincuente (que para el caso de internet es quien tiene mayor conocimiento de la tecnología); también podemos remontarnos a los inicios de las pandillas de Nueva York, en donde un grupo de personas oprimían con sus delitos a la sociedad, eran quienes ponían las reglas en la ciudad y en algunos casos la autoridad se sometía a sus mandatos.

Hoy en día muchos delitos informáticos quedan en impunidad o son detectados por personas que no son autoridad en internet.

Es indudable que internet necesita una regulación por parte de los gobiernos a través de las asociaciones de países enfocados a una normatividad que proteja todos los Derechos Humanos en internet. Lo que no podemos permitir es que solo sea a través de las guerras, delitos u otras formas de agresión que tengamos que aprender para empezar a gestionar estos derechos digitales.

La normatividad enla web va tomando forma en favor de los individuos, un ejemplo es la protección de los derechos de los autores en internet que está legislada en EE.UU. con el Digital Millennium Copyright Act (Dmca), a través de elementos importantes como Digital Rights Management (DRM) que son medidas tecnológicas de protección con el objetivo de salvaguardar las obras en los medios digitales.

En Colombia contamos con la Ley 1273 de 2009, conocida como la Ley de delitos informáticos, con esta herramienta jurídica se fortalecen los derechos en internet y se protegen nuestros datos alojados en sistemas de información. Adicionalmente, tenemos la Ley 1581 de 2012 con los principios rectores para el manejo de los datos personales de los individuos presentados en la misma como titulares de los datos, entre otros. Como vemos, ya se está avanzando en la legislación de internet, pero ¿Qué tan rápido lo estamos haciendo en relación con la evolución en los anchos de banda, accesibilidad a internet y sus modificaciones? Un ejemplo de la evolución de internet es lo que conocemos como el internet de las cosas (IoT), esta tecnología se refiere a la comunicación entre diferentes elementos de nuestro día a día (refrigeradoras, calefactores, etc.) a través de sensores que transportarían información nuestra.

Notemos cómo los individuos hemos venido desarrollando un perfil virtual en internet; en redes sociales, hábitos de compra, ubicaciones geográficas, entre otras. El manejo y gestión de esta información es cada vez más sensible y por consiguiente, tiene más riesgos asociados, esto hace que la seguridad del flujo de la información de nuestro individuo digital sea tanto o más importante que la de nuestro individuo físico. (Defino individuo digital” como la representación digital de una persona y lo que se encuentra alojado de la misma en dispositivos electrónicos o internet.)

Así como aplica para un individuo, el anterior razonamiento aplica para una empresa, institución o gobierno. Por eso no es raro encontrar noticias de Ciberataques entre gobiernos o de guerras cibernéticas, que no son más que la materialización de comportamientos humanos ya vividos y experimentados en la historia del individuo físico y en donde las lecciones aprendidas se deben gestionar para el individuo digital.

A modo de reflexión quiero dejar un mensaje importante en el lector, consiste en que el conocimiento y la madures que han traído acontecimientos históricos a la sociedad del individuo físico debe aplicarse al individuo digital, de lo contrario estaremos destinados a pasar por guerras digitales y muchos tipos de delitos, en la búsqueda de algo por lo que ya hemos pasado.

Fuente: www.larepublica.co