EL ACCESO A LA EVIDENCIA DIGITAL EN LOS FRAUDES EMPRESARIALES
Estándar
31 OCTUBRE 2018
El acceso a la evidencia digital es la actividad dentro de muchos modelos de investigación forense que pretende preparar a los peritos forenses en el acceso a las localidades donde se podría encontrar la evidencia. En este artículo revisaremos algunos puntos claves a tener en cuenta antes de que nuestro cliente nos ponga hora y día para realizar el decomiso y/o adquisición.
Ir al sitio y recolectar la evidencia, dos pasos que deben ser analizados con lupa para no cometer errores que se paguen en juicio
El primer paso a verificar en esta actividad se encuentra en diferenciar si la localidad es:
- Un espacio privado: si hace hace parte de una organización y si está correctamente delimitado el espacio como privado para acceso al público ene general o solamente para personal autorizado.
- Un espacio público: si hace parte de una entidad de gobierno de carácter público, con o sin acceso restringido.
Una vez determinada la clase de localidad se procede a evaluar las características del espacio en cuanto a:
- Tamaño: para determinar qué tan esparcida puede estar la evidencia en el lugar de trabajo del perito forense al momento del decomiso.
- Cantidad de personas alrededor: para determinar cuál puede ser el impacto y la reacción de las personas que están a su lado al momento del decomiso de la evidencia.
- Salidas de emergencia: para determinar las posibles vías de escape ante una eventual presión descontrolada por parte de la persona a la que se le hace el decomiso de la evidencia.
- Protección: para determinar si es posible atender por parte del equipo de seguridad un evento de violencia al momento del decomiso.
- Vigilancia: para determinar si la zona donde se llevará a cabo el decomiso de la evidencia cuenta con cámaras de seguridad y si estas están dando cobertura al espacio de trabajo donde se encuentra la persona objetivo del decomiso.
- Conectividad: para determinar si el espacio objeto del decomiso tiene tomas de corriente, conexión wifi o por cable para poder proporcionarle al perito forense la conectividad necesaria para sus equipos de cómputo forense y herramientas de software.
Cuando se tienen en consideración los puntos anteriores, se está anticipando el momento en el cual se requiere hacer la adquisición de dicha evidencia, poniendo en frente todo el conocimiento de la escena del crimen para dejar menos posibilidad a que se presenten hechos no planeados.
Autorización para el acceso a los activos
Una vez identificados los posibles activos a los que se tendrá acceso, antes de realizar el proceso de adquisición, se deberá tramitar la autorización para el proceso de decomiso y acceso a los mismos.
Un activo de información como un SSD contiene no solo datos de la organización sino que también podría contener datos personales de la persona a cargo de su operación. Los investigadores, por lo general externos, deben haber completado primero estos pasos antes de acceder a cualquier activo:
- Registro del investigador como proveedor: invitar a todos los terceros a que diligencien el formulario de registro como proveedor, permitiendo así el análisis de cumplimiento de requisitos legales del comerciante para ejercer su actividad en el mercado.
- Firma de documento de confidencialidad: para que los investigadores tengan la obligación de guardar secreto sobre los datos encontrados en los activos de información y no pasarlos a terceros o hacer uso indebido de los mismos para propósitos personales.
- Firma de documento de retorno y destrucción de datos: los peritos forenses e investigadores, para su trabajo, necesitan realizar copias de las evidencias originales. Es importante que exista un documento firmado donde estos terceros se comprometan a entregar un certificado de destrucción de datos y de retornar cualquier activo físico que hallan usado para la labor y que sea propiedad de la compañía.
- Firma de documento de uso legal de software y hardware: un documento que permita asegurarse de que la compañía tiene intensiones de respetar el uso del software y hardware y que propende por que todos en el proyecto usen herramientas correctamente licenciadas y legales para la labor. A este documento se debe añadir el certificado de cada licencia.
- Firma de documento de seguridad social: todos los terceros deben tener un seguro adecuado para la prestación de sus servicios que permita cubrirlos ante un accidente laboral.
Adicionalmente la organización deberá proactivamente realizar estas actividades al momento de conocer quiénes atenderán el incidente, antes de dejarles tener acceso a los activos de información:
- Debida diligencia: donde la compañía investigue el listas públicas y a través de terceros a cada persona involucrada en la investigación. Si la empresa no lo hace, la contraparte lo hará y encontrará cualquier impedimento o elemento que permita desacreditar al equipo de investigadores.
- Conflictos de interés: cada persona debe declarar que no tiene ningún conflicto de interés ni alguna relación personal o familiar con el objetivo investigado.
Una vez completadas las actividades se podrá proceder con la aproximación estratégica a la evidencia digital en la escena identificada en pasos anteriores
Aproximación estratégica
Esta fase fue diseñada para maximizar la adquisición de evidencia al mismo tiempo que se minimiza su contaminación. Consiste en anticiparse a la situación de decomiso y adquisición de la evidencia identificando previamente en qué momento se puede encontrar evidencia de calidad, por ejemplo, suponiendo que el caso investigado trata de colusión en la contratación de bienes y servicios, el mejor momento para hacer un decomiso de activos de información es precisamente cuando acabe de terminar la negociación de un bien o servicio que se sospeche pudo haber sido afectado por el fraude de la colusión entre proveedores y el cliente contratante.
Otras técnicas de aproximación estratégica consisten en realizar investigaciones preliminares, indagando a través de una auditoría sorpresiva y poniendo atención en los puntos donde puede encontrarse evidencia de calidad para que después de ello se proceda a realizar el proyecto de investigación forense.
Referencias
(Auditool, 2018) Curso de Auditoría Forense Digital
Acerca de Julián
Julián Ríos, certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y DRIFR y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.
Para conocer más acerca de Julián Ríos y su empresa, por favor visite el sitio web de la firma NF o consulte su perfil público en el enlace de LinkedIn.
