Hay veces en que el Perito Informático debe enfrentarse a realizar una Pericia en un servicio Cloud. Deberá proceder a «bucear» dentro del Sistema Cloud, previamente habiendo aislado los servidores virtuales que hayan podido ser vulnerados.

cadena de custodia

Muchas veces, la empresa, cuyos servidores han sido comprometidos, no puede prescindir del uso que hace de ellos, aún teniendo que hacer una Pericia.

Existen incluso lo que se denominan los «Forensics as a Service«, brindándole la posibilidad al profesional de hacer el forense por sí mismo.

En un supuesto de hecho con estas características, entendemos que la captación de las evidencias electrónicas deberá efectuarse de la manera más aséptica a fin de que su adquisición tenga validez en Juicio.

Las Evidencias Electrónicas se caracterizan por:

– el volumen

– la intangibilidad

– ser destruibles

– ser modificables

– ser volátil

– dejar rastro

Cualquier fallo en su captación que incida en alguno de estos elementos, hará que se genere esa duda sobre su AUTENTICIDAD e INTEGRIDAD.

En un proceso Judicial, lo que el Jurista (Abogado, Fiscal  y Juez) tiene que tener claro es:

1)La MISMIDAD de la cosa, es decir, que lo que se «aprehende» es lo mismo que se analiza. Esto es VITAL.

2) Que no hay NINGUNA duda acerca de la AUTENTICIDAD y la INTEGRIDAD de la prueba.

¿Cuál es la problemática en el Sistema Jurídico español?

Que no hay ninguna ley ni artículo procesal que diga cómo tiene que realizarse la Cadena de Custodia, ni cuáles son los pasos que hay que seguir.

¿Cuál es el fundamento de la Cadena de Custodia?

Pues en realidad, ninguno regulado y sí las buenas prácticas establecidas entre los Ingenieros especialistas en Forense.

Agravante: ¿hay alguna formación / acreditación sobre la profesionalidad de un Perito Forense?

No hay ninguna acreditación como tal.

¿Sería importante contar con un Fedatario Público durante la adquisición de datos en la nube?

No sólo es importante, sino que entiendo que va a ser la única baza que vas a tener para demostrar que tu procedimiento de adquisición de pruebas es auténtico. Aunque el Notario no tenga ni idea, va a hacer un Acta con todo lo que se supone que tú le dices que estás haciendo.  Debería estar presente en esa actuación tuya. Como es un servicio Cloud, también puedes hacerlo desde un ordenador de su Notaría.

Si en la adquisición de las Evidencias Electrónicas, no se hubiera documentado adecuadamente la captación de las mismas, podría derivar nuestra acción en la calificación de «prueba ilícitamente adquirida», por lo que podría derivar, a su vez, en lo que denominamos la Doctrina del fruto del Árbol envenenado. Es una doctrina jurídica que determina que la prueba ilícitamente captada corrompe toda la siguiente y que fue obtenida en base a la primera. Es decir, si la prueba primigenia está corrupta, la captada en base a la primigenia, también lo está, por lo que decae todo el sentido que se le pretendía dar al procedimiento. evidence

Al no haber recolección física, la adquisición es la copia lógica de los datos a otros soportes para su posterior análisis. ¿Hay algún inconveniente en aplicar los mismos procesos y documentar todos los pasos en las copias de las evidencias? Me refiero al sellado de bolsas, traslado, etc.

Es importante que podamos decir (hash, p.ej.) que la primera copia lógica está intacta. Súmale el Notario, el hash y todos los elementos que creas profesionalmente necesarios para que prevalezca el principio jurídico de la MISMIDAD, es decir, que lo aprehendido sea lo mismo que lo analizado.

La custodia puede hacerse en ese mismo momento en el que estás haciendo la captación delante de Notario. La bolsa, el etiquetado, etc. Puede quedar depositado ante el Notario

Sed muy prudentes en mantener siempre la AUTENTICIDAD e INTEGRIDAD de la prueba. Eso es lo que un abogado defensor iría a cuestionar.

¿Al no haber realmente originales, es un inconveniente legal? ¿Qué efectos tiene en cuanto a su preservación?

La mentalidad sobre la originalidad debemos cambiarla. Ya sabemos que no es el original y que no podemos ir al Juzgado con un disco duro que contenga toda la información extraída por el proveedor de servicios, normalmente no de forma inmediata, por lo que el concepto de originalidad el Jurista lo debe adaptar a la nueva realidad. Si la captación ha sido hecha delante de Fedatario Público (Notario o Secretario Judicial/Letrado de la Administración de Justicia) se supone que el contenido es el que se ha extraído.

Por otro lado AmazonS3 ofrece el servicio de volcado de información cifrada y envío a tu domicilio con una serie de protocolos de seguridad.

Problemática: Cuando pedimos al proveedor de servicios, a través de orden Judicial que se proceda a la aportación de la información existente en el servidor de origen y NO COINCIDE con lo presentado inicialmente con lo captado ante Fedatario Público. ¿Qué hacemos? ¿Qué valor le damos? Imagínate que por Comisión Rogatoria (mecanismo de auxilio judicial internacional) 8 meses más tarde nos llega la información de USA pero el investigado ha procedido al borrado, modificación … etc… ¿cuál sería considerado el contenido bueno? Podríamos considerar como buenas ambas pruebas, aún habiéndose aportado de «de momentos diferentes»?

Ante una contradicción de evidencias, seguramente lo que ocurrirá es que se considerará prueba indiciaria. La suma de «indicios» puede construir la realidad de los hechos o lo más aproximado.

¿Hay que mantener la autenticidad e inmutabilidad de la copia con un hash?

Hay que mantener la AUTENTICIDAD y la INTEGRIDAD de la prueba captada con todos aquellos elementos de «fijación» técnicos que se estimen oportunos para que no se pueda dudar acerca de la MISMIDAD de la prueba aprehendida y analizada.

En forenses de este tipo, durante la adquisición y análisis, pueden y suelen intervenir personas físicas y jurídicas de otros países, además  los sistemas y datos pueden estar distribuidos en varios países. ¿Qué jurisdicción o ley aplica?

En la Red, los efectos se pueden producir en todo el planeta y con múltiples víctimas. Ante tales circunstancias, ¿Cuál es el Juez competente en estos casos?

Según la Ley de Enjuiciamiento Criminal:

Artículo 14

Fuera de los casos que expresa y limitadamente atribuyen la Constitución y las leyes a Jueces y Tribunales determinados, serán competentes:

  1. Para la instrucción de las causas, el Juez de Instrucción del partido en que el delito se hubiere cometido,

En este caso, como pueden haberse producido víctimas en muchos sitios, la Doctrina de la Ubicuidad, teoría plasmada en el Acuerdo no jurisdiccional del Peno del TS de fecha 3 febrero 2005 –EDJ 2005/11338-, y que afirma que el delito de estafa se comete en todos los lugares en los que se han desarrollado las acciones del sujeto activo (engaño) o del sujeto pasivo (desplazamiento patrimonial) y en el que se ha producido el perjuicio patrimonial, siendo por tanto en principio competente el Juez de cualquiera de ellos que primero haya iniciado las actuaciones procesales.

En cuanto a que la información esté en diferentes países, la copia del servicio Cloud puede hacerse igualmente. Podría ser que por ejemplo un Dropbox tuviera servidores en medio mundo (lógico para preservar el servicio por si se caen unos, soportan otros) pero ¿qué hacemos entonces? ¿dónde pedimos la información original? Sólo cabe pedirla a la casa Madre con la que hemos contratado el servicio. La relación que la casa Madre tenga con otros Estados respecto a la conservación y manipulación de los datos, no debería afectarnos. Lo que sí que debería constar, es en el contrato con Dropbox, la mención de esa peculiaridad geográfica  para la recolección física.

Amazon AWS y otros proveedores en menor medida, ofrecen al usuario la posibilidad de extraer logs y registros del tráfico de red de todo el entorno de la nube del cliente. Adicionalmente a la copia de los discos, ¿estos datos son útiles y tienen valor probatorio?

Como estamos hablando de ficheros de texto, habría que proceder a esa extracción / verificación delante de Fedatario Público. Pura lógica si pensamos en la facilidad de la modificación, es, en realidad, por tu propia seguridad.

En el caso de un cliente tenga un sistema vulnerable en la nube y alguien almacena datos ilegales en su sistema de forma fraudulenta, ¿como aplica la ley en este caso?

Vamos a imaginar que estamos ante un servicio cloud VPS, yo pediría al proveedor de Servicios que me pudiera demostrar que su sistema de seguridad no ha sido vulnerado. Habría que poder sacar no sólo los logs, sino pedir también que el proveedor de servicios nos diera su propio listado para contrastar la autenticidad de las intromisiones.

En EEUU, Amazon dispone de un dispositivo físico (básicamente un disco duro portátil) donde ellos puede grabar datos del cliente (imágenes de discos o cualquier otro dato) y los envían al cliente garantizando la integridad de los datos con hash y cifrado, y aseguran preservar la cadena de custodia. Ese servicio aún no está en España, si ese servicio se pudiera usar en España desde Amazon Frankfurt o Dublin, ¿sería válido?

Dado que legalmente no existe ninguna obligación de establecer una Cadena de Custodia con unos elementos determinados, cualquier aportación de información sobre la que un profesional pueda determinar que se mantiene la INTEGRIDAD y la AUTENTICIDAD, puede entenderse perfectamente válida una prueba aportada desde EE.UU.

Creo que no hay que confundir dos cosas:

1) dónde están los datos respecto a la Protección de Datos personales

2) Dónde están los datos en cuanto a la solicitud de información contenida en servidores extranjeros.

Para lo primero, es importante que los servidores estén en territorio europeo porque es más garantista en el tratamiento de la información. Que estén en el extranjero / también EEUU quiere decir que el tratamiento de la información y la rigurosidad en la conservación, privacidad y cesión , no será lo mismo que en espacio Europeo.

En cuanto a la segunda parte, es importante conocer que el Auxilio Judicial entre países no se produce con la misma celeridad ni facilidad, por lo que, el hecho de utilizar un servicio Cloud norteamericano será más eficaz que utilizar uno de Arabia Saudí, por ejemplo. La dificultad del dónde tiene que ver con las facilidades que se otorguen entre Tribunales para la entrega de las informaciones.

Ruth Sala Ordóñez  – Letrada Col. ICAB 26.017

Agradecimientos a https://www.securizame.com/ y Toni de la Fuente @ToniBlyx