Perito

Introducción

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Principios que gobiernan la evidencia digital

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o no.

La relevancia es una condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra característica fundamental, que busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

Finalmente y no menos importante la suficiencia, la cual está relacionada con completitud de pruebas informáticas, es decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático en el desarrollo de sus procedimientos y priorización de esfuerzos.

Si bien puede haber otros elementos que ayuden en el gobierno de la evidencia digital, ISO ha determinado que estos tres, establecen las condiciones necesarias y suficientes para que los expertos en informática forense recaben, aseguren y preserven elementos materiales probatorios sobre medios digitales, los cuales podrán ser revisados y analizados por terceros interesados y sometidos a contradicción según ordenamiento jurídico donde se encuentren.

Habida cuenta de lo anterior, los informáticos forenses deberán prestar atención a estas indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos tres principios, que si bien se describen en el documento, no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.

En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles para efectos de validar los tres principios enunciados:

Relevancia

· ¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la víctima?

· ¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en estudio?

· ¿La evidencia recolectada valida un indicio clave que permita esclarecer los hechos en estudio?

Confiabilidad

· ¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?

· ¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?

· ¿Se han efectuado auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar el análisis forense informático?

Suficiencia

· ¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las situaciones que se deben probar?

·

...