La pericia técnica informática (CTE) es una de las variedades de los exámenes forenses [1] , cuyo objeto son los equipos informáticos y (o) los medios de almacenamiento informático , y la finalidad es la búsqueda y consolidación de pruebas. La asignación a los posibles objetos de este tipo de examen de objetos remotos que no están a plena disposición del experto (principalmente redes informáticas) sigue siendo un tema controvertido y se resuelve de diferentes maneras.
El objetivo principal de CTE es apoyar o refutar una hipótesis en un tribunal penal o civil.
Un proceso forense típico implica la incautación, la creación de imágenes (adquisición) y el análisis de los medios digitales, y el informe de las pruebas recopiladas.
Por primera vez, el término " delito informático " apareció en los medios estadounidenses en la década de 1960, en relación con la identificación de los primeros delitos cometidos utilizando computadoras [2] .Así, en 1969, Alfonse Confessore cometió el primer delito informático , habiendo información a la que se accedió ilegalmente electrónicamente - red informática. El daño ascendió a $620,000. Y en 1970, $10.2 millones fueron debitados ilegalmente de una de las cuentas del banco, también a través del acceso ilegal a la información de Security Pacificbank.
Hasta la década de 1970, los delitos informáticos se trataban con arreglo a las leyes vigentes. Los primeros delitos informáticos se reconocieron en la Ley de delitos informáticos de Florida de 1978 , que incluía un estatuto contra la alteración o eliminación no autorizada de datos en un sistema informático. [3] [4] Durante los años siguientes, se cometieron una serie de delitos y se aprobaron leyes que abordan cuestiones de derechos de autor, privacidad/acoso (acoso en Internet , palizas alegres , acoso cibernético y depredadores en Internet) y pornografía infantil [5] [6 ] . No fue hasta 1983 que los delitos informáticos se incluyeron en la ley federal canadiense. A esto le siguió la Ley Federal de Abuso y Fraude Informático de EE. UU . en 1986, la Ley de Uso Indebido de Informática del Reino Unido en 1990 y la Ley de Responsabilidad Extracontractual de la Información de la RSFSR en 1991. [3] [6] [7]
El auge del delito cibernético en las décadas de 1980 y 1990 llevó a las fuerzas del orden público a comenzar a crear equipos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI creó una unidad de análisis y respuesta informática y, al año siguiente, se creó una unidad de delitos informáticos como parte de la unidad de fraude de la Policía Metropolitana Británica . Muchos de los primeros miembros de estos grupos no solo eran profesionales de la aplicación de la ley sino también aficionados a la informática y se convirtieron en responsables de la investigación inicial y la dirección en esta área. [8] [9]
Uno de los primeros ejemplos prácticos (o al menos publicitados) de investigación digital fue el acoso de Cliff Stoll al hacker Markus Hess en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y en red , no era un experto especializado. Lo mismo puede decirse de muchos de los primeros análisis forenses informáticos. [diez]
A lo largo de la década de 1990 hubo una gran demanda de estos nuevos recursos básicos de investigación. La presión sobre las oficinas centrales ha llevado a la creación de equipos a nivel regional e incluso local para ayudar a administrar la carga. Por ejemplo, la Unidad Nacional Británica de Delitos de Alta Tecnología se estableció en 2001 para proporcionar una infraestructura nacional para los delitos informáticos; con personal ubicado tanto en el centro de Londres como en varias unidades policiales regionales (en 2006 este departamento se transformó en la Agencia contra la Delincuencia Organizada Seria (SOCA)). [9]
Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado pautas de análisis forense digital. En 2002, el Grupo de Trabajo Científico sobre Evidencia Digital preparó el documento Mejores Prácticas para Informática Forense, seguido en 2005 por la publicación de una norma ISO (ISO 17025, Requisitos generales para la competencia de los laboratorios de ensayo y calibración). [3] [11] [12] Los estados europeos han introducido un acuerdo internacional, el Convenio sobre ciberdelincuencia , que entró en vigor en 2004 para armonizar las leyes nacionales sobre delitos informáticos, los métodos de investigación y la cooperación internacional. El acuerdo fue firmado por 43 países (incluidos EE. UU., Canadá, Japón, Sudáfrica, Gran Bretaña y otros países europeos) y aprobado por 16.
Tampoco hubo entrenamiento. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas certificados y el análisis forense digital se incluyó como centro de formación de investigadores de Centrex en el Reino Unido. [3] [9]
Desde finales de la década de 1990, los dispositivos móviles se han vuelto más accesibles, superando los dispositivos de comunicación simples, y han demostrado ser formas ricas de información, incluso para delitos que tradicionalmente no se asocian con el análisis forense digital [13] . A pesar de esto, el análisis forense de teléfonos ha quedado rezagado con respecto a las computadoras tradicionales, en gran parte debido a problemas asociados con la naturaleza privada de los dispositivos. [catorce]
El enfoque también se ha desplazado hacia el crimen en línea, especialmente el riesgo de guerra cibernética y terrorismo cibernético. Un informe del Comando de Fuerzas Conjuntas de EE . UU. de febrero de 2010 concluyó:
A través del ciberespacio, los enemigos apuntarán a la industria, la academia, el gobierno y las fuerzas armadas en el aire, la tierra, el mar y el espacio. De la misma manera que la aviación cambió el campo de batalla de la Segunda Guerra Mundial, el ciberespacio derribó las barreras físicas que protegen a un país de los ataques a sus actividades comerciales y de comunicaciones. [quince]
Todavía hay problemas sin resolver en el campo de la ciencia forense digital. El informe de Peterson y Shenoy de 2009 "Investigación forense digital: lo bueno, lo malo y lo inconcluso" encontró sesgo contra los sistemas operativos Windows en la investigación forense digital [ 16] . En 2010, Simson Garfinkel identificó los desafíos que enfrentarán las investigaciones digitales en el futuro, incluido el aumento en el tamaño de los medios digitales, la disponibilidad generalizada de cifrado para los consumidores, la creciente diversidad de sistemas operativos y formatos de archivo , el aumento de multi- propiedad del dispositivo y restricciones legales para los investigadores. [ocho]
El primer caso de abuso con el uso de una herramienta informática se registró en 1958, y el primer delito informático con el uso de una computadora se cometió en la URSS a fines de la década de 1970. En 1979, se robaron 78.584 rublos en Vilnius. Este hecho fue inscrito en el registro internacional de este tipo de delitos y fue una especie de punto de partida en el desarrollo de un nuevo delito dado en nuestro país. [17]
Inicialmente, frente a los delitos informáticos , las autoridades de justicia penal del estado lo combatieron con la ayuda de las normas tradicionales sobre robo , apropiación indebida , fraude , abuso de confianza , etc. Sin embargo, este enfoque resultó ser completamente infructuoso, ya que muchos delitos informáticos no están cubiertos por los elementos de los delitos tradicionales (por ejemplo, robar en un apartamento es una cosa, pero copiar información clasificada de la computadora es otra).
Los intentos de regular la responsabilidad por cometer delitos informáticos tuvieron lugar en la RSFSR después de que se registrara el primer delito de este tipo que involucraba una computadora. En 1991, se robaron 125,5 mil dólares estadounidenses del Vnesheconombank de la URSS [18] . El 6 de diciembre de 1991 se presentó el proyecto de Ley de la RSFSR “Sobre la responsabilidad por delitos en el trabajo con información”, que preveía la introducción de normas que establecieran la responsabilidad por la comisión de delitos informáticos en el Código Penal vigente de la RSFSR [7] . Esto fue seguido por el Decreto del Consejo Supremo de la Federación Rusa "Sobre el procedimiento para promulgar la Ley de la Federación Rusa "Sobre la protección legal de programas para computadoras electrónicas y bases de datos", relacionado con los temas de introducción en el Civil y Código Penal de los actos legislativos de la RSFSR relacionados con los temas de protección legal de programas para computadoras electrónicas y bases de datos [ 19]
La clasificación específica de los conocimientos técnicos de CTE se organiza en función de los componentes que proporcionan cualquier herramienta informática, lo que le permite cubrir de la manera más completa las características tecnológicas y las propiedades operativas de los objetos de conocimiento que se presentan para la investigación. Esta clasificación permite, ya en las primeras etapas de la formación de expertos, un enfoque diferenciado para el desarrollo de métodos y técnicas para la investigación experta. [veinte]
Objetos de estudio: circuitos, bloques, instrumentos y dispositivos eléctricos, electrónicos y mecánicos que forman parte material de un sistema informático.
Sujetos de investigación: la formación de un hecho o circunstancia relacionada con el funcionamiento de los medios técnicos.
Objetivos de la investigación: determinación de la clasificación de un objeto - su marca, modelo o tipo; establecimiento de parámetros técnicos y características de las computadoras sometidas a examen; estableciendo la funcionalidad del hardware objeto de estudio .
Este estudio consiste en realizar un análisis técnico o, como también se les llama, hardware de los sistemas informáticos.
La esencia de la experiencia en hardware-computadora es realizar un estudio de diagnóstico del hardware de un sistema informático.
Objetos de estudio: sistemas operativos (software del sistema), utilidades (programas auxiliares), herramientas de software para desarrollar software, así como para depurarlo.
Temas de investigación: características del desarrollo y aplicación de software para un sistema informático.
Objetivos de la investigación: estudio del propósito funcional y características del algoritmo implementado, las características estructurales y el estado actual del sistema y software de aplicación de un sistema informático.
La experiencia en software-computadora está diseñada para llevar a cabo un estudio experto del software. En el proceso de llevar a cabo este examen, el especialista se fija los objetivos de búsqueda, recopilación, investigación y revisión por pares de la información descubierta.
Objetos de estudio: todos los archivos de un sistema informático que no sean módulos ejecutables y elaborados por el usuario o el propio sistema en cuanto a su contenido informativo.
Sujetos de estudio: datos digitales, es decir, información contenida en un sistema informático.
Objetivos de la investigación: búsqueda, descubrimiento, análisis y evaluación de información elaborada por el usuario o generada por programas
Este tipo de pericia técnica informática es clave, ya que permite completar la construcción holística de la base de evidencia resolviendo finalmente la mayoría de los problemas de diagnóstico e identificación relacionados con la información informática.
Objetos de estudio: herramientas informáticas que implementan cualquier tecnología de la información en red.
Sujetos de estudio: datos fácticos establecidos sobre la base de la aplicación de conocimientos científicos especiales en el estudio de las telecomunicaciones y las comunicaciones móviles como portadores materiales de información sobre el hecho o evento de cualquier caso penal o civil.
Objetivos de la investigación: investigación de herramientas de red de software, computadoras personales con acceso a la World Wide Web, grandes sistemas informáticos organizados en forma de red con acceso a Internet.
A diferencia de los anteriores, se basa principalmente en el propósito funcional de las herramientas informáticas que implementan cualquier tecnología de la información en red.
Se destaca como un tipo separado debido al hecho de que solo el uso de conocimientos especiales en el campo de las tecnologías de red le permite combinar los objetos recibidos, la información sobre ellos y resolver de manera efectiva las tareas expertas asignadas.
La pericia técnica informática se suele dividir en cuatro etapas:
En cada etapa, el experto debe garantizar la seguridad, la inmutabilidad de la información y, si es necesario, la confidencialidad de la información. [21]
Las preguntas que normalmente se hacen a un experto son:
Las siguientes preguntas no deberían estar relacionadas con este tipo de pericia, su inclusión en la resolución parece ser errónea:
Además de identificar evidencia directa de un delito, la ciencia forense se puede utilizar para atribuir evidencia a sospechosos específicos, confirmar coartadas , determinar intenciones, identificar fuentes (como en casos de derechos de autor ) o autenticar documentos. Las investigaciones tienen un alcance mucho más amplio que otras áreas de la ciencia forense y, a menudo, involucran marcos de tiempo o hipótesis complejos.
Las instalaciones de cogeneración se suelen dividir en 3 clases, según su tipo:
La realización de un examen técnico informático es necesaria en los casos en que se cometió un delito o infracción utilizando herramientas o datos informáticos, y para establecer rastros de un delito, confirmar pruebas y otra información forense importante se requiere un conocimiento especial en el campo de la tecnología informática.
Los casos penales están relacionados con la supuesta violación de las leyes establecidas por la ley, que son perseguidos por la policía y perseguidos por el estado, como asesinato, robo y agresión a una persona. En tal caso, un examen puede ser designado por el investigador (en el marco de la investigación previa al juicio) o por el tribunal y se confía a un experto específico oa una institución de expertos. El resultado del examen es la conclusión del perito, que sirve como prueba en el caso.
Por otro lado, los casos civiles a menudo están relacionados con disputas domésticas y se ocupan de la protección de los derechos y la propiedad de las personas. También pueden lidiar con disputas de contratos de empresa a empresa, lo que puede involucrar una forma de análisis forense digital llamada e-Discovery. En los casos civiles, el peritaje puede ser ordenado por un tribunal, ordenado por una de las partes o designado por un notario a iniciativa de una de las partes.
La ciencia forense también se puede aplicar en el sector privado; por ejemplo, durante investigaciones corporativas internas o análisis forense de una intrusión no autorizada en la red.
La experiencia técnica informática proporciona la solución de las siguientes tareas de expertos:
La aceptabilidad de la evidencia digital depende de las herramientas utilizadas para obtenerla. En Estados Unidos, las herramientas forenses están sujetas al estándar Dauber, bajo el cual el juez es responsable de garantizar la admisibilidad de los procesos y el software utilizado. En un artículo de 2003, Brian Carrier argumentó que las pautas de Dauber requieren que se publique y revise el código de herramientas forenses. Concluyó que "las herramientas de código abierto pueden cumplir más clara y plenamente con las directrices que las herramientas de código cerrado" [22] . Josh Brunty argumentó que "la ciencia del análisis forense digital se basa en los principios de repetibilidad de las técnicas de investigación y evidencia de calidad, por lo que saber cómo desarrollar y mantener adecuadamente una buena técnica de investigación es un requisito clave para que cualquier experto forense digital defienda sus técnicas en los tribunales. ."
La inteligencia artificial (IA) es un campo de aplicación en muchos campos que ayuda a resolver problemas complejos y computacionalmente grandes, ya que el proceso de análisis forense digital requiere el análisis de una gran cantidad de datos complejos. Como tal, la IA se considera un enfoque ideal para abordar una serie de problemas y desafíos presentes actualmente en el análisis forense digital. Entre los conceptos más importantes en varios sistemas de IA se encuentra la representación y estructuración del conocimiento. La IA tiene el potencial de proporcionar las evaluaciones necesarias y ayudar a estandarizar, administrar y compartir una gran cantidad de datos, información y experiencia forenses. Los sistemas forenses digitales existentes no son eficientes para almacenar y almacenar todo tipo de formatos de datos diferentes y son insuficientes para procesarlos, por lo que requieren intervención humana, lo que significa la posibilidad de demoras y errores. Pero con las innovaciones de aprendizaje automático, se pueden prevenir errores o retrasos. El sistema está diseñado de tal manera que ayuda a detectar errores mucho más rápido y con mayor precisión. Varios tipos de investigación han destacado el papel de varias técnicas de IA y sus beneficios al proporcionar un marco para almacenar y analizar evidencia digital. Entre estas técnicas de inteligencia artificial se encuentran el aprendizaje automático , el procesamiento del lenguaje natural , el reconocimiento de voz e imágenes , y cada una de estas técnicas tiene sus propias ventajas. Por ejemplo, el aprendizaje automático brinda a los sistemas la capacidad de aprender y mejorar sin programación explícita, las técnicas de procesamiento de lenguaje natural ayudan a extraer información de los datos de texto.