& TITO LOYOLA MANTILLA ESPECIALISTAS EN INFORMTICA FORENSE
1.
GENERALIDADES
Pgina
INFORME TCNICO INFORMTICO 2013
Milton Danilo HINOJOSA DELGADO, Ingeniero de Sistemas con CIP N 132415, identificado con DNI N 40623608, con domicilio en la calle cerro prieto 235 - Surco - Lima. Luis Tito LOYOLA MANTILLA, Perito criminalstico, especializado en investigacin de delitos informticos y computacionales, identificado con DNI. N 08691869, con domicilio en la avenida Canevaro 1529 202 Lince Lima. 2.
DATOS DEL SOLICITANTE
Mg. Elmer MIO CHVEZ, identificado con DNI N 16426735, con ddomicilio real en la calle las Colinas No 201 de la urbanizacin 3 de Octubre - Chiclayo, asesorado por la Dra. Amanda Julia VARIAS CSPEDES, con Colegiatura: ICAL 3253 y domicilio procesal en la avenida Luis Gonzales No 180 - 1er Piso - CHICLAYO.
3.
PUNTOS DE ANLISIS INFORMTICO
Teniendo en consideracin las documentales, presentadas en fotocopias por la parte solicitante, que se mencionan: a. b. c. d. e. f. g.
Carta N 0149-2013/GG-USS del 19AGO2013
Carta de despido del 24JUL2013 Informe 0239-2013/DRH-USS del 12JUN2013 (impreso 19JUL2013) Carta de descargo del 15JUL2013 Carta de preaviso de despido del 10JUL2013 Informe N 010-2013/DTI-USS del 21JUN2013 Acta de entrega y recepcin del 24AGO2011 Se desea verificar: a. S, para analizar la computadora laptop, marca HP, en la que supuestamente se encontr 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K que segn el Informe No. 010-2013/DTI-USS del 21JUN2013, y si este hallazgo digital se realiz desde la copia espejo y/o bajo los procedimientos
Pgina
establecidos para autenticar y garantizar su admisin y validez en un
proceso administrativo laboral. b. S, se cumpli con asegurar mediante el uso y/o generacin de las firmas checksum a los 141MB de informacin almacenada en la laptop asignada durante los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, contenida en la laptop y la respectiva verificacin de su autenticidad de la copia de dicha carpeta. c. El perfil profesional del auditor informtico, para auditar un equipo de cmputo. d. Si, los 141MB de informacin almacenada en la laptop asignada al empleado, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, ha sido accesada antes del mes de junio 2013, en que fue analizada por la Direccin de Tecnologas de la Informacin de la Universidad Seor de Sipan de Chiclayo. 4.
ESTUDIO Y CRITICA DESDE LA INFORMTICA FORENSE DE
DOCUMENTOS PRESENTADOS POR EL SOLICITANTE a. Explicar en qu consiste la copia de bit a bit, copia espejo o imagen de disco; y su aseguramiento de la evidencia digital. b. Mencionar que herramientas bsicas se usan para obtener la copia de bit a bit y su aseguramiento. c. Explicar los pasos para analizar indicios binarios y obtener la evidencia digital, con fines probatorios. d. Explicar los cuidados del equipo o unidad de almacenamiento que contiene los 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, considerada como fuente de evidencia digital.
5.
PROCEDIMIENTOS A EMPLEARSE 5.1. mbito del informe tcnico
Pgina
El objetivo del anlisis informtico forense de dispositivos
electrnicos (ordenadores personales, servidores, agendas electrnicas, telfonos mviles, etc.) es la identificacin de rastros digitales que evidencien que cierto suceso ha ocurrido en el dispositivo. Estas evidencias pueden ser usadas en un juicio. 5.2. Normas y estndares para auditar e inspeccionar informticos
equipos
La norma ISO 17799 (Seguridad Informtica) en su versin de
2007 - segunda edicin, emitida por INDECOPI, mediante Resolucin N 01-2007/CRT. El modelo Cobit (Sistemas de Informacin) La metodologa ITIL (Gestin de Servicios) Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC) 5.3. Informtica Forense aplicada para la obtencin tcnica y legal de la evidencia digital Consiste en la aplicacin de tcnicas cientficas y analticas especializadas a la infraestructura tecnolgica que nos permite identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal, conocidas como "evidencia digital". Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar los indicios binarios y explicar las caractersticas tcnicas del uso aplicado a los datos y sistemas informticos. 5.4. Importancia del aseguramiento de la evidencia digital detectada, extrada y analizada, basada en el principio de contradiccin en los procedimientos administrativos y/o procesos civiles y penales. En un procedimiento administrativo y/o procesos civiles y penales, cuando se presenten "pruebas electrnicas" contra empleados, demandados o denunciados, se recomienda el aseguramiento de la prueba a travs de una copia espejo, llamada tambin copia de bit a bit o espejo, que debe ser idntica al contenido de data almacenada en los dispositivos electrnicos o medios digitales (Computadoras, memorias, discos duros, mviles, etc.) que hayan estado a cargo de investigado.
4 Pgina
Un aseguramiento permite obtener una copia espejo de todas las
unidades de almacenamiento de data perteneciente a una computadora, y es la que ser sometido a inspeccin o anlisis en procura de detectar, ubicar y extraer los 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, como es el caso materia de estudio tcnico a cargo de los especialistas suscribientes. En los incidentes informticos o investigaciones internas de instituciones o empresas, que no revelen indicios de delitos informticos o computacionales, la computadora o por lo menos el disco duro del equipo, deber ser puesta bajo custodia, en diligencia realizada por fedatario o notario pblico, y consiste en embalar en sobre papel o polmero, lacrado con cintas de embalaje trasparente y firmado por el encargado de realizar la investigacin, del investigado y suscrito por el notario pblico de la jurisdiccin. Dicha custodia del equipo informtico, dentro de la entidad empleadora, tiene el nico fin de poder acceder a la data existente a fecha de la obtencin de la copia espejo de la computadora que contiene los 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, considerada como "evidencia digital", de tal forma que s posteriormente el "trabajador despedido" no est conforme con los informes elaborados por los auditores de parte de la empleadora; podr ser verificado y comprobado por otros expertos o especialistas para despejar las observaciones que pueda ser peticionado por el trabajador en el procedimiento o procesos judiciales. Por los incidentes informticos o irregularidades que se cometen internamente en las empresas o instituciones por parte de los trabajadores con sistemas informticos o dispositivos mviles y de almacenamiento da data, es imprescindible que las empleadoras dispongan de un procedimiento informtico sobre la obtencin de pruebas en medios digitales en un procedimiento administrativo, incidiendo en la actuacin inmediata, tcnica y con herramientas bsicas por parte del responsable de la investigacin, para que en primero orden obtener la copia espejo y aseguramiento del equipo informtico para posteriormente llevar a cabo un anlisis forense en un laboratorio informtico forense profesional para obtener as la
Pgina
evidencia digital que reflejen o prueben la conducta irregular
atribuida al trabajador Esta informacin (evidencia digital), puede ser utilizada a nivel interno nica y exclusivamente para procedimientos administrativos internos a la empleadora y visionar en el supuesto que el conflicto se complique, para presentar como informe pericial ante un proceso judicial. La importancia recae en que al inspeccionar un sistema informtico o computadoras, con el propsito de obtener evidencias digitales con fines probatorios en cualquier tipo de controversia, informticas de un fraude garantizando que la fuente original de la informacin, el mvil, el ordenador, el disco, etc... no se altere ni manipule durante un proceso. Un profesional informtico o de sistemas, debe conocer que una inspeccin,. ubicacin, recupero y extraccin de la "evidencia digital", nunca se hace directamente al equipo informtico implicado, procurando garantizar que la fuente original de la informacin, el mvil, el ordenador, el disco, etc., no se altere ni manipule durante un proceso de inspeccin o anlisis. sino Una vez que disponemos de copias exactas de los dispositivos origen, se procede al anlisis de los rastros en el mismo, con el propsito de detectar cualquier rastro digital, memoria voltil, ficheros existentes, borrados, protegidos con contrasea, ocultos mediante el uso de distintas tcnicas (caractersticas del sistema de ficheros, criptografa, esteganografa), trfico de red, registros del sistema, etc. Finalmente en el informe tcnico se detallar el proceso de anlisis con los resultados obtenidos desde el punto de vista tcnico, haciendo uso de imgenes de la captura de pantallas, cdigos de las firmas de seguridad y demostracin de la verificacin de correspondencia entre la fuente y copia espejo que contiene la "evidencia digital". 5.5. Opinin de las actuaciones de la Direccin de TI de la empleadora Universidad Seor de Sipan.
Pgina
Como se aprecian en los diversos informes proporcionados por la
parte solicitante, elaborados y presentados por xxxxx en su calidad de gerente de IT de la entidad empleadora: a. No ha aplicado ninguna de las tcnicas para obtener y asegurar la evidencia digital. b. Como responsable de IT, no ha diseado polticas, protocolos o mtodos para inspeccin, analizar y presentar evidencia digital en un procedimiento administrativo. c. El anlisis se ha efectuado directamente al equipo informtico implicado, lo cual para profesionales de IT. no han tomado las medidas de seguridad de la custodia de la computadora ante posteriores cuestionamientos o actuaciones probatorias necesarias en procesos judiciales (civiles-laborales o penal) d. Para obtener verdaderas "evidencias digitales", no es necesario contar con RAID. 5.6.
Algunos aspectos legales que deben tener presente el abogado
defensor a. La Ley de Fomento del Empleo seala que el trabajador tiene un plazo de 30 das para impugnar el despido, a cuyo vencimiento caduca su derecho a ser indemnizado o a ser repuesto. Hasta 1999 los jueces laborales computaban el plazo de caducidad en das naturales, pero en dicho ao se adopt el criterio de que el plazo debe computarse en das hbiles. 10 aos despus me complace haber promovido dicho cambio. Articulo completo y base legal http://es.scribd.com/doc/13846068/Articulo-El-regimenespecial-de-caducidad-de-derechos-laborales-Robert-delAguila-Vela
b. Breves consideraciones sobre la prueba en el proceso
Asimismo el abogado debera considerar algunos principios del
procedimiento administrativo, relacionados al tema. c. Para el aspecto tcnico forense de la evidencia digital, base para determinar la causa de despido laboral, se debe considerar el punto 13.2.3, folio 160 de la norma ISO 17799 (Seguridad Informtica) en su versin de 2007 - segunda edicin, la cual esta en el siguiente link. http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf
8 Pgina
6. CONCLUSIONES
a. En el presente caso, los responsables de IT, de la Universidad Seor
de Sipan, en especial la xxxxxxx, no han cumplido con elaborar previamente el protocolo o mtodos para inspeccin y analizar un equipo informtico en procura de obtener "evidencia digital" y usarse como prueba de conducta del empleado en un procedimiento administrativo. b. La intrusin, hallazgo y presentacin de la prueba digital, consistente en la deteccin de los 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, se ha realizado directamente al equipo, acciones tcnicas ejecutadas por un profesional que atenta contra los principios de seguridad e integridad de la data, contraviniendo lo dispuesto por norma ISO 17799 (Seguridad Informtica) en su versin de 2007 - segunda edicin, acpite 13.2.3. c. El responsable de presentar el Informe No. 10, en la que prueba el hallazgo de los 141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, no ha hecho uso de ninguna herramienta que permita obtener en primer orden, la copia espejo y posteriormente la firma checksum a fin de mantener su integridad; como esta prescrita en norma ISO 17799 (Seguridad Informtica) en su versin de 2007 - segunda edicin, acpite 13.2.3.
Pgina
c. No se ha dispuesto, por parte de la empleadora, la custodia del equipo
informtico, en forma tcnica y legal, con la participacin del empleado y fedatario o notario pblico de la jurisdiccin, como est prescrita en norma ISO 17799 (Seguridad Informtica) en su versin de 2007 segunda edicin, acpite 13.2.3. 7. SUGERENCIAS
Que, el solicitante peticiones ante la Universidad Seor de Sipan de
Chiclayo, que le permita realizar una diligencia tcnica con participacin de los especialistas suscribientes, a fin de: a. b. c.
Verificar el estado actual del equipo informtico
Obtener la copia espejo y asegurarlo con sus cdigos hash Ser analizarlo en busca de la evidencia digital - "141MB de informacin almacenada en la laptop asignada a su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K", almacenada en la computadora laptop HP.