AUDITORIA FORENSE INFORMÁTICA

th

INTRODUCCION

La importancia de la Auditoria Forense Informática radica en la necesidad de conocer los mecanismos y herramientas técnico-legales, que permita enfrentar de forma adecuada la creciente y descontrolada ola de criminalidad en nuestro país y en el mundo entero. El caso particular de nuestro país, que vive un periodo de crisis moral profunda en todos los estamentos del estado, es poco lo que se ha avanzado a juzgar por los casos de escándalo que no solo abarca los constantes archivamientos de casos de personajes políticos, como Keiko Fujimori, Alan García, Ollanta Humala, y podríamos sospechar sin mayor esfuerzo, es lo que busca Alejandro Toledo, solo por citar los casos más sonados en torno a los casos Lava Jato, Odebrech, Ecoteva y OAS.

Es increíble que en pleno siglo XXI, que tanto desarrollo ha traído a nivel informático en los diferentes sectores de la economía, en nuestro país no hayamos ido a la par con este desarrollo en la lucha contra el crimen informático organizado.

De modo que hace mucha falta desarrollo de esta profesión técnico legal, con todo el apoyo del sector público, privado y ONGs interesadas en sacar adelante a nuestro país en la lucha contra la corrupción de más alto nivel. Este estudio pretende dar algunos alcances a los interesados en conocer con alguna profundidad la problemática que subyace a la auditoría forense informática.

ANTECEDENTES

Los delitos informáticos se han desarrollado tan ampliamente, que es necesario tener un alcance al respecto. Entre estos están: los fraudes informáticos, escalamientos de privilegios, puertos vulnerables abiertos, desactualización, keylogging, hacking de centrales telefónicas, virus, spamming, troyanos, robo de información, falsificación de información para terceros, violación de contraseñas, violación de la privacidad de los empleados, destrucción de equipamientos, etc.

En USA la informática forense tuvo su punto de quiebre cuando los policías e investigadores militares se dieron cuenta que los criminales utilizaban cada vez más y más recursos tecnológicos. Uno de esos primeros casos acabó con el encarcelamiento de Alcapone, Kata Y. (2013).

CONCEPTO

Como bien lo define Kata Y. (2013), “La auditoría forense consiste en una evidencia digital que se obtiene por el uso de técnicas de investigación criminalísticas integradas con la contabilidad, conocimientos jurídicos procesales y con habilidades en finanzas de negocios para recabar y manifestar información y opiniones como pruebas ante los tribunales, el análisis resultante además de poder usarse en los tribunales puede servir en disputas de diversa índole”. Se trata de una especialidad relativamente nueva, que demanda alta calificación en conocimientos de informática, y la doctrina del derecho penal y derecho civil.

Para mayor profundidad sobre definiciones como digital forensics (forencia digital), y network forensics (forencia en redes) recomendamos la publicación de Cano, J., en el acápite definiciones.

VULNERABILIDADES COMUNES

 

            Inadecuado compromiso de la dirección.

Personal inadecuadamente capacitado y concientizado.

            Inadecuada asignación de responsabilidades.

            Ausencia de políticas/ procedimientos.

            Ausencia de controles:

(físicos / lógicos)

(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.

DEFINICIONES

Metadatos: Son datos que se escriben dentro de otros datos. Por ejemplo es posible obtener datos de una fotografía tomada por un teléfono digital, como la fecha, hora y lugar donde se tomó, etc., según describe Kata Y. (2013).

Evidencia digital: “…cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático” Kata Y. (2013).

Siniestro informático: Según Miguel Antonio Cano C. referido por Villacis, V.  (2006) “El siniestro informático implica actividades criminales como robos, hurtos, falsificaciones, estafa, sabotaje, etc. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de computadoras lo que ha propiciado a su vez  la necesidad de regulación por parte del derecho.”

PROCEDIMIENTOS

  • Esterilidad de los medios informáticos
  • Verificación de los medios informáticos
  • Auditoría de los procedimientos realizados en la investigación.
  • Administración del caso realizado
  • Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados.
  • Mantenimiento de la cadena de custodia de las evidencias digitales
  • Informe y presentación de resultados de los análisis de los medios informáticos.

 

USOS DE LA TECNOLOGÍA FORENSE/HERRAMIENTAS

Tal como lo señala Kata Y. (2013), la tecnología forense puede utilizarse en:

Prosecución criminal: con el fin de recabar evidencia incriminatoria.

Litigación civil: casos que conlleven fraude, discriminación, acoso o divorcio.

Investigación de Seguros: cualquier tipo de evidencia encontrada que ayude a disminuir los costos de reclamos por accidentes y compensaciones.

Temas corporativos: acoso sexual, robo, mal uso o apropiación de información, alteraciones de estados financieros, corrupción.

Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales.

TÉCNICAS PARA IDENTIFICAR DELITOS

  • Indagación
  • Encuestas
  • Inspección
  • Comparaciones
  • Observaciones

DIAGNÓSTICO DEL PROBLEMA

Similar a cuando alguien contrae un mal, el enfermo acude a un médico y luego de ser revisado por el médico y sometido a una serie de preguntas, el médico emite un diagnóstico el cual se nutre de información confiable para no cometer errores. Del mismo modo el profesional forense, debe utilizar información confiable utilizando herramientas confiables y eficaces para tal propósito. Parte del proceso del diagnóstico será la revisión cuidadosa del sistema operativo de la entidad investigada, software de oficina, navegación por internet, etc. El problema puede involucrar la ausencia de un antivirus potente y confiable.

FORMA DE RECABAR INFORMACIÓN

Entre los programas más utilizados para conseguir información, se encuentran el FOCA, y el BELARC. El primero de ellos se utiliza para encontrar metadatos (información oculta en documentos) mientras que el segundo construye un perfil detallado del software y hardware instalados en la PC, Kata Y. (2013). Existen otros programas de uso común, como lo son: ENCASE, FORENSIC TOOLKIT, y WINHEX.

 

RECONOCIMIENTO DE LA EVIDENCIA DIGITAL COMO EVIDENCIA FORMAL Y VALIDA

th (1)

La evidencia digital en la administración de justicia en muchas partes del mundo continúa siendo una situación problemática  por resolver Brungs, A y Jamieson , R. (2003). Es necesario alcanzar la mejor preparación de profesionales con las mejores herramientas disponibles, y dotar de los recursos necesarios para alcanzar este objetivo. Se dice por ejemplo que un audio con declaraciones de un personaje político o tal vez un empresario, que revela un acto delictivo, no sería suficiente para iniciar una demanda de tipo penal, ya que solo es considerado un indicio. En cierto modo esto tiene un cierto asidero, debido a que existe la posibilidad de que la voz no sea la del personaje imputado. Esto obliga a los expertos en tecnología auditiva a desarrollar mecanismos tecnológicos avanzados que certifiquen la autenticidad de este tipo de prueba. En el caso del material inculpatorio encontrado recientemente este año 2017, contra el expresidente Alan Garcia, por ejemplo, las iniciales A.G. encontradas en la agenda de Marcelo Odebrecht, no habría sido prueba categórica para configurar una demanda contra el expresidente. También se sabe que Odebrecht, opera con un software diseñado para almacenar información de los pagos efectuados a personajes políticos, el cual trabaja con seudónimos. Cabe la pregunta: ¿si se demuestra en la información que remitió la autoridad judicial de Brasil, a la autoridad judicial en Perú relacionado con el caso Odebrecht, y se vincula a las cuentas bancarias a las cuales se hizo los depósitos, estaríamos frente a una evidencia irrefutable? Aunque esto suena muy evidente, hay que tener en cuenta que es común que estos personajes trabajan con testaferros de su entera confianza, a los cuales defienden y controlan celosamente.

ACCIÓN QUE SIGUE AL DIAGNOSTICO

Luego de reunir toda la información, en forma de evidencia en torno al diagnóstico referido al manejo del software, es recomendable solucionar en 3 fases:

Fase 1:

Adquirir un buen antivirus con licencia, que pueda garantizar la protección de la información de la entidad. Los antivirus piratas no ofrecen ninguna garantía de protección. En el mercado existen muchos antivirus confiables, entre ellos estan el Norton, Avast, Panda, y NOD32, etc.

Fase 2:

En cuanto al sistema operativo, es recomendable Enterprise Agreement, que es un programa completo de licencias por volumen de Microsoft dirigido a grandes corporaciones que manejan más de 250 PC y tienen un departamento de compras centralizado. Ellos normalmente, están siempre interesados en una adecuada protección de su información, y están dispuestos a pagar un alto precio por su seguridad informática.

Fase 3:

Adquisición de las licencias de información geográfica que se utiliza en la empresa (GIS).

Otros:

Es necesario establecer:

Políticas de seguridad

Acuerdos de confidencialidad

Gestión de archivos: Inventario, responsabilidad.

Seguridad de los recursos humanos: Antes, durante y después de empleo

Seguridad física y ambiental: Áreas seguras, protección del equipo.

Gestión de las comunicaciones y operaciones: Protección contra malware, back-up, seguridad de redes, intercambio de información.

Control de acceso: Control de usuarios y privilegios, contraseñas, acceso a redes, control de sistema operativo computación móvil.

Desarrollo y mantenimiento de los sistemas de información: Software desarrollado.

Gestión de incidentes: Control de eventos, Gestión de la continuidad comercial: Respuesta a fallos o desastres críticos. Cumplimiento: Leyes y regulaciones, propiedad intelectual, etc.

NORMAS INTERNACIONALMENTE RECONOCIDAS

En respuesta a la imperativa necesidad de mejorar los procedimientos relacionados con la seguridad informática, buscando proteger la información privada y/o del Estado y mejor preservarlo de manejos indeseados, es que conforme fue evolucionando la tecnología, de forma paralela se fueron creando marcos normativos que den adecuado soporte a las nuevas exigencias, sin que esto signifique que esto es un tema concluido.

Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos citar los siguientes:

  • Normas de Auditoría Generalmente Aceptadas : NAGA
  • ISACA: COBIT
  • British Standards Institute: BSI
  • International Standards Organization: Normas ISO
  • Departamento de Defensa de USA: Orange Book / Common Criteria
  • ITSEC – Information Technology Security Evaluation Criteria: White Book
  • Sarbanes Oxley Act, HIPAA
  • COSO Report

NORMA ISO 17799:2000

Es una norma con carácter de estándar en el ámbito de la seguridad informática, y está basada en la norma BS 7799, la cual propone 10 áreas de dominio de control consideradas “exitosas” que toda organización debe establecer y cumplir:

  • Política de Seguridad de la Información
  • Organización de la Seguridad
  • Clasificación de los activos
  • Seguridad del Personal
  • Seguridad Física y Ambiental
  • Gestión de Comunicaciones y Operaciones
  • Control de Accesos
  • Desarrollo y Mantenimiento de Sistemas
    Administración de la Continuidad de los Negocios
  • Villacis, V.  (2006)

 

NORMAS RELATIVAS A LA EJECUCIÓN DE LA AUDITORIA INFORMÁTICA

De acuerdo a lo señalado por Villacis, V.  (2006), “Para realizar el trabajo de auditoria, debe estar formalmente acreditado ante el respectivo organismo, entidad o dependencia.

Podrán incorporarse al equipo de auditoría, en calidad de apoyo, los profesionales y/o especialistas cuyos conocimientos y experiencia se consideren necesarios para el trabajo que se desarrolla.

Según el alcance de la auditoría, se deberá evaluar el control interno del organismo, entidad, dependencia o área objeto de la misma para determinar su grado de confiabilidad e identificar los aspectos críticos que requieran examen exhaustivo y como consecuencia de ello, establecer la naturaleza, oportunidad, métodos, procedimientos y técnicas aplicables en sus fases anteriores…”

Hasta este punto, como se puede observar, este procedimiento tiene muchas similitudes con los procedimientos de una auditoria operativa. Para mayor profundidad en esta área pueden acudir a la fuente citada en el primer párrafo de éste acápite, en nuestras referencias bibliográficas.

CONCLUSIONES Y RECOMENDACIONES

Por todo lo anteriormente indicado, para el caso de nuestro país, no sólo es necesario sino indispensable, asignar los recursos necesarios para dotar a la Contraloría, la Fiscalía, SUNAT, etc., de profesionales calificados en Auditoría Informática Forense, y además articular con políticas coherentes, que busquen enfrentar con éxito la lucha contra el delito informático.

No es menos importante, conocer al detalle lo que esta ocurriendo en el resto del mundo, para saber como esta evolucionando los avances de esta especialidad, en el aspecto técnico, con el desarrollo de nuevos softwares y hardwares, y también en el desarrollo de herramientas dentro de la doctrina del derecho. Actualmente, somos testigos de la evolución de los convenios de colaboración eficaz, y los resultados que vienen obteniendo las autoridades judiciales de Brasil, aunque es muy posible que en nuestro país, sea necesario complementarlo con otras acciones que reduzcan los tiempos de todo el proceso legal que actualmente parecen no estar acordes con el desarrollo tecnológico en otros sectores de la economía.

Finalizo este ensayo, resaltando que todo esfuerzo será en vano, sino va de la mano de un cambio radical en lo que se refiere al desarrollo de nuevas estrategias en relación a la impartición de principios éticos desde la educación inicial, hasta la educación superior, observando lo que están haciendo países que nos llevan adelanto en este aspecto, como EEUU, México, y Guatemala, países que en sus cátedras incluyen temas de desarrollo, crecimiento, y liderazgo personal basado en principios bíblicos, específicamente, los casos de las Universidades de Harvard y Princeton en EEUU.

 

 

REFERENCIAS

 Kata Yoshi (2013). Auditoría Forense Informática

Recuperado de: https://prezi.com/sb1iqve-gece/auditoria-forense-informatica/

 

Cano, Jeimy. Introducción a la Informática Forense. Una disciplina técnico lega

Retrieved from: http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf

 

Villacis Ruiz, Viviana Marcela  (2006).         Auditoria Forense..

Retrieved from: https://es.scribd.com/doc/80973125/TESIS-Auditoria-Forense

Brungs, A y Jamieson , R. (2003). Legal issues for computer forensics Proceedings for 14th Australian Conference on Information Systems. Perth, Western Australia. November.

Retrieved from: http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf