Digital forensic examiners (28 de Abril de 2006 07:25:06). A nivel latinoamericano contamos con unos cuantos digital forensic examiners realmente calificados, que cuentan con tecnología suficiente como para atender la demanda de sus clientes y/o de las entidades de investigación de nuestros países.
No se trata solamente de que conozcan los procedimientos forenses definidos por el Departamento de Justicia, o por el Servicio Secreto y la Asociación de Sheriffs, sino que sean EXPERTOS. Y esto quiere decir, entre otros:
– Que sean capaces de rendir un testimonio ante un juez, en términos sencillos y entendibles, en el que le expliquen la técnica matemática que está detrás de las herramientas forenses (las herramientas de cómputo forense se fundamentan en teorías matemáticas) que utilizan o le demuesten (si la herramienta en cuestión es closed source, por ejemplo) que un tercero puede llegar a los mismos resultados que ellos consiguen al usar tal aplicación.
– Que sepan qué herramientas de hardware y software usar para cada caso en particular; y esto quiere decir que deben saber al detalle si la herramienta modifica información en el medio magnético comprometido en el incidente y cuáles son esos cambios que realiza, porque deben dejarlos completamente documentados (partamos de la base de que una herramienta forense, en un escenario ideal, no debería modificar la info contenida en el medio comprometido).
En fin…
Un digital forensic examiner debe tener un nivel de especialización muy alto; debe actuar como investigador forense y como testigo y sus niveles de experticio y experiencia deben estar comprobados. Quiero contarle a ud. un caso particular: hace un par de años, acompañando a un grupo de policía judicial durante un operativo, me encontré con que el Jefe de Informática de esa entidad, para el área de Bogotá, no tenía la más remota idea de cómo conseguir en los computadores la información que se buscaba por orden del fiscal. Y no era una tarea compleja! El experto en informática de la parte a quien yo representaba le indicó a ese funcionario cuál era el procedimiento que debía seguir en MS-DOS para conseguirla pero, lastimosamente, hirió profundamente su orgullo.
Así que, en vez de demorarse unos 5 min por cada máquina, los señores expertos en informática forense de esta fuerza de seguridad del Estado (al menos así se presentan ellos actualmente), decidieron demorarse entre 45 min y una hora por aparato!!! Y ni siquiera tuvieron en cuenta nuestras apreciaciones relacionadas con el hecho de que la información que estaban buscando podía haberse modificado minutos antes o incluso durante el operativo usando, por ejemplo, un editor hexadecimal (esta posibilidad no les importó en lo más mínimo).
¿Cuál fue la conclusión? Pues que nos demoramos más o menos un día haciendo una labor que habría tomado una hora y media, y que levantaron, A MANO, información cuyo valor después tuvimos que atacar frente al fiscal: existía la posibilidad técnica de que hubiera sido modificada.
Por Dios!!!!!! Estos eran los expertos que estaban defendiendo los intereses del Estado y de la sociedad!!!! Y no tenían idea de qué era lo que estaban haciendo… para completar, meses después, en un foro al que coincidencialmente nos invitaron, entre otros, a ellos y a mí, resultaron presentando un modelo de resolución de manual de procedimientos en delitos informáticos (creo que ya podrá ud. concluir que fuerza de seguridad era), que según ellos pronto entraría a regir y que obligaría a la policía judicial de esa entidad a seguir determinado procedimiento en casos de delitos informáticos.
Que hayan tenido la iniciativa de redactar ese manual está bien; de hecho está muy bien. El problema es que quisieron inventar algo que ya estaba inventado, desde hacía mucho tiempo, por personas que les llevan décadas de experiencia en el tema; lógicamente ese proyecto de resolución murió, al menos hasta donde sé.
Soy de la opinión de que los peritos forenses digitales que intervengan judicialmente deben demostrar sus calificaciones, no solamente en términos de cantidad de cartones obtenidos (de sobra se conoce que cualquiera puede llenarse de certificaciones), sino también en términos de experiencia práctica – ambos son necesarios. Con poco margen de error puedo afirmar que, si en un proceso penal mi contraparte se vale del peritazgo de un ingeniero de sistemas no certificado o que, aún estando certificado, no demuestre experiencia real en el uso de la aplicación que corresponda, le tumbo el argumento.
Creo que es necesario regular la actividad judicial de los examinadores forenses digitales; obviamente a algunos de ellos no les gustará la idea (a los más nuevos, seguramente) mientras que otros – los veteranos sólidos – se alegrarán de que así se haga.
Si el testimonio de un otorrinolaringólogo no es válido si la víctima murió de infarto al corazón, por qué debe aceptarse el peritazgo y/o el testimonio de un experto en Windows, cuando el incidente ocurrió en un máquina que corría sobre Linux, por ejemplo?
En fin, dejo planteada la pregunta habiendo expresado mi opinión: cree ud. que la actividad de los digital forensic examiners debe regularse? Qué debería regularse? Qué debería mantenerse desregulado?
Carlos S. Alvarez
blogladooscuro @ gmail.com
COMENTARIOS RECUPERADOS:
Juan Carlos Reyes Muñoz
E-mail: jcreyes@seltika.com
Ciudad: Bogotá, 28/04/2006 12:01 PM
Es increible como cada dia se ven mas empresas que ofrecen servicios de «análisis forense». Hace algunos mese me enteré de una empresa en Unilago que lo ofrecía (basado sólo en la recuperación de información) y ahora tal vez como una moda o que se yo muchos integrn este tipo de servicios. No conozco la calidad de lo que ofrecen pero algo me dice que muchos no se dan cuenta de la responsabilidad y complejidad del tema. Estoy de acuerdo con que lo que se necesita es experiencia, caertificación y sobre todo, regulación.
Pedro Escobar
E-mail: pescobar@gmail.com
Ciudad: Bogota, 28/04/2006 11:30 AM
Si lo que importa realmente es si estan calificados. Y no con certificaciones de seguridad que cualquiera pasa bajando las preguntas y respuestas que estan en el mundo de internet, es con experiencia que se manejan ciertos procesos. En una empresa caso real, contrataron un experto, basado mas en sus titulos y cartones, y las soluciones que da es cambiar las bases de datos de oracle y sql a MySql, y el hardware de intel a Solaris de los servidores. Como dicen en el argot, vender el SOFA. Realmnete el problema es que el personal que maneja esto no esta calificado para manejar los procesos ni la seguridad de sus aplicativos y red. A mundo…
Andres Almanza
E-mail: araja1014@yahoo.es
Ciudad: Bogota, 28/04/2006 08:38 AM
Yo pienso, que el problema más es un problema de personal calificado para dichas funciones, y además que efectivamente debe regularse, como funciona en otras partes del mundo, sin ir muy lejos el caso de chile creo que es uno de los mejores ejemplos al respecto. Valdría la pena que las entidades del estado empiezen a preocuparse por que sus cuerpos de investigación este altamente capacitados y entrenados para tal fín y con eso evitar de paso la proliferación de investigadores «externos» que podrían ser perjudicial en los procesos
Herbert Ortiz
E-mail: herbertortiz@hotmail.com
Ciudad: To, 29/04/2006 09:36 AM
En Colombia lo que hace es conseguir genet calificada, pero esto no quiere decir, calificada con «certificaciones», como bien esta dicho, cualquiera saca certificaciones. En un mundo donde los mejores hackers son niños de colegio, que logran poner de cabeza «ingenieros», de que diablos sirve una persona con 10000 certificaciones o titulos? Por el contrario lo que se requiere es una persona que realmente sepa que diablos es lo que se debe hacer, aunque no tenga las certificaciones si demuestra el conocimiento es la persona adecuada, es mas o menos lo que ocurre en la limpieza de malware hoy en dia, limpiar Spywares y Adwares no es cuestion de 1 o 2 horas como mucha gente dice.