Marco normativo para el desarrollo de pericias informticas

Leopoldo Sebastin M. Gmez1

gomezsebastian@yahoo.com

Resumen El desarrollo de pericias informticas involucra un conjunto de conocimientos y pasos metodolgicos que deben ser claramente establecidos. Se presenta un marco normativo en el que se establecen criterios y pautas de trabajo para la especialidad en cuestin. Mediante definiciones, taxonomas y metodologas de trabajo se obtiene un documento formal que proporciona un lenguaje comn entre informticos y operadores judiciales para el desarrollo de pericias informticas y expone los criterios bsicos a considerar durante la seleccin de recursos humanos para el desempeo de la funcin de Perito Informtico. Palabras Clave: anlisis de datos, delitos informticos, pericias informticas. 1. La pericia informtica. Definicin. La pericia informtica consiste en la aplicacin de tcnicas de investigacin y anlisis a fin de determinar la existencia de evidencia legal almacenada en sistemas de computacin, medios informticos o responder consultas especficas en materia informtica. El proceso finaliza con el dictamen del perito, que responde a los puntos de pericia solicitados por el juez en un determinado caso. 2. De la especificidad y competencia del Perito Informtico. Este es un tema de relevancia que debe ser considerado por los jueces durante la seleccin de un Perito Informtico. Por otra parte, la ciencia informtica tiene muchos campos de especializacin, por lo que el perito deber considerar minuciosamente si los puntos de pericia a resolver estn dentro de su rea de competencia. Relacionado con la especificidad, hay que tener en cuenta los conocimientos y reas que podr abarcar un perito. Todo profesional, tiene una formacin general o de base, a la que luego suma otros conocimientos especficos y la experiencia propia en el ejercicio de la profesin. 2.1. De la formacin en la ciencia informtica. A diferencia de otras ciencias, la experiencia en informtica tiene un valor relativo, muy limitado por la evolucin de los conocimientos, que hacen que metodologas, tcnicas y herramientas queden obsoletas demasiado pronto. En la ciencia informtica existen diferentes niveles de conocimientos acadmicos, que implican perfiles con capacidades para asumir diferentes funciones dentro de la profesin. A tal fin, es importante conocer cmo se estructura la jerarqua acadmica en una carrera informtica: Nivel Ttulo Duracin Posgrado Doctor 4 aos Posgrado Magister 2 a 3 aos Posgrado Especialista 6 meses a 1 ao
1

Poder Judicial del Neuquen - Argentina 1/7

Marco normativo para el desarrollo de pericias informticas

Nivel Ttulo Duracin Grado Licenciado 5 aos Grado Ingeniero 5 aos Pregrado Analista 2 a 3 aos Pregrado Programador 1 a 2 aos Debe tenerse en cuenta que la preparacin acadmica de un profesional en informtica, puede variar de uno a ms de nueve aos de estudios. Los ttulos a nivel de grado se diferencian principalmente por la orientacin de la carrera. A nivel general, la mayor parte de las licenciaturas estn orientadas a la formacin de recursos humanos en el campo cientfico para promover el desarrollo de la ciencia, mientras que las ingenieras apuntan a la puesta en prctica de metodologas, tcnicas y herramientas. Para acceder a los posgrados, generalmente es condicin necesaria poseer un ttulo de grado. El nivel de pregrado Programadores y Analistas- tiene por objeto formar profesionales con conocimientos de informtica enfocados a realizar tareas puntuales en el mercado laboral: programacin, anlisis de sistemas, administracin de sistemas operativos, bases de datos, etc. En general, en funcin del rea donde el profesional deba desempearse, se requerir el manejo de un conjunto de herramientas informticas. La formacin acadmica a este nivel tiene un alcance eminentemente prctico. Si bien la experiencia prctica en algn campo, puede otorgar cierto grado de autonoma en el desarrollo de sus funciones, el profesional de este nivel trabaja en equipo, bajo la direccin de un lider de proyecto, supervisor o gerente. El nivel de grado Licenciados e Ingenieros- profundiza en la formacin terica, a la vez que incorpora nuevas reas de la ciencia, que permiten al futuro profesional tener un cuerpo ms amplio de conocimientos en informtica, para luego especializarse en algn tpico. El profesional de este nivel, est preparado para trabajar autnomamente, y a liderar grupos de trabajo. El nivel de posgrado -Especialistas, Magisters y Doctores- tiene el objetivo de profundizar el conocimiento en un determinado campo de la ciencia, a fin de formar especialistas o investigadores. Las capacidades que se adquieren en este nivel son tiles en las siguientes reas de competencia: dirigir proyectos de investigacin, liderar equipos de desarrollo o gerenciar departamentos de informtica. En informtica, la formacin acadmica es un indicador de calidad del recurso humano, y determina las competencias de un profesional. A medida que se asciende en esta jerarqua, se incorporan principalmente nuevos conocimientos tericos, metodologas y tcnicas. Es por ello que debe tenerse en cuenta que este nivel ser indicativo del grado de conocimientos profundos en la ciencia, y no de habilidades con herramientas informticas. Los niveles superiores, establecen un perfil de profesional calificado en la aplicacin de metodologas y tcnicas informticas, principalmente para el desarrollo de sistemas. Sin embargo, se requiere contar con personal auxiliar tcnico para realizar tareas operativas que involucren el manejo de herramientas informticas. A partir de la formacin acadmica puede establecerse un perfil profesional, definido no slo por los conocimientos adquiridos, sino por motivaciones y expectativas de carrera. Es por ello, que al momento de establecer un plan de carrera, un llamado a concurso o el tipo de funciones que deba cumplir un profesional informtico, uno de los aspectos ms relevantes a considerar es la jerarqua acadmica. De acuerdo con lo detallado, un parmetro relevante para determinar la calidad del recurso humano que realice funciones de perito informtico, es la formacin acadmica.

Marco normativo para el desarrollo de pericias informticas

2/7

2.2. De las funciones del profesional informtico. Un aspecto a considerar para determinar la especialidad del perito son las funciones que haya desempeado, principalmente en el ltimo perodo de su carrera profesional. En el campo laboral de la informtica, existen diversas funciones, de acuerdo al rea de conocimiento involucrada. A lo largo una carrera profesional, el informtico suele trabajar en diferentes reas y al pasar de una a otra, los conocimientos prcticos dejan de ser de utilidad, quedando evidenciada la relevancia de la formacin en la ciencia por sobre la funcin desarrollada. Se detallan a continuacin, las principales funciones que ejercen los profesionales informticos: Area Funcin Sistemas Operativos Administrador de Sistemas Bases de Datos Administrador de Bases de Datos Redes de Datos Administrador de Red Desarrollo Analista Funcional Analista Programador Programador Testeador Documentador Direccin Director de Proyecto Auditora Auditor Informtico Soporte Tcnico Helpdesk Esta taxonoma no es exhaustiva, pero identifica las principales funciones del personal informtico. En virtud de lo anteriormente expuesto, la especialidad del perito puede determinarse por las funciones informticas que haya ejercido en el ltimo perodo de su carrera profesional. 2.3. De la experiencia en un rea informtica. En algunas reas, de acuerdo con la experiencia obtenida, un profesional puede ser calificado como Junior, Semisenior o Senior. El profesional informtico slo podr acumular experiencia prctica en determinadas herramientas, en funcin del rea dnde se desempee. Puede tenerse en cuenta la experiencia como factor valorativo de un profesional, sin embargo, en general este criterio slo tiene inters durante la bsqueda especfica de un profesional informtico con habilidades prcticas en determinadas herramientas. Es imprescindible aclarar que los conocimientos adquiridos en el manejo de herramientas, son los ms voltiles y susceptibles a quedar fuera de uso en poco tiempo. Por todo ello, no es posible mantener destreza en el uso de herramientas (aplicaciones, lenguajes, sistemas operativos, bases de datos, etc.) si no se hace un uso frecuente de los mismos. El conocimiento prctico de una herramienta no utilizada se convierte en conocimiento general acerca de caractersticas y posibilidades de explotacin de la misma, pero se requerir de un especialista en la herramienta para poder generar resultados concretos. Si un profesional informtico realiza funciones en diversas reas, a lo largo de su carrera profesional, podr adquirir una visin general que le permitir a futuro ejercer funciones de direccin. En este caso, la experiencia tiene relevancia, pero no se refleja en las habilidades en el manejo de herramientas informticas. El profesional informtico que realice este plan de carrera, se convierte en Senior, reflejando su experiencia a travs de sus habilidades para la conduccin y interaccin con el personal de cualquier rea informtica.

Marco normativo para el desarrollo de pericias informticas

3/7

Lo expuesto precedentemente, la experiencia del perito puede ser calificada bajo estos dos enfoques: experiencia prctica, en el manejo de algunas herramientas informticas o experiencia de direccin, mediante el dominio de metodologas y tcnicas y manejo de relaciones humanas. Ninguno de estos tipos de experiencia es ms relevante que el otro, pero determinan perfiles de profesionales diferentes. En el caso de los peritos informticos, la experiencia de direccin es la que le permite interactuar con profesionales informticos de diferentes mbitos, poder pautar cules sern los pasos a seguir para el desarrollo eficaz de una pericia y utilizar algunas herramientas informticas para el trabajo pericial. Un perito informtico con experiencia prctica, trabajar con eficiencia los casos en los que se utilicen las herramientas informticas de su especialidad, pero no podr actuar en otros. 2.4. De los aspectos tcnicos: hardware, software, comunicaciones. La formacin acadmica del profesional informtico lo habilita a trabajar principalmente en cuestiones relacionadas con el software, es decir, la parte lgica de los sistemas informticos. Si bien es importante el manejo del hardware y de dispositivos de comunicaciones, la destreza en la utilizacin de estos elementos no es una condicin necesaria para el profesional. A tal fin, existen carreras terciarias o simplemente tcnicas que capacitan en la instalacin, configuracin o mantenimiento de estos elementos. Es por ello que en el desarrollo de pericias informticas, el perito debe contar con personal auxiliar tcnico a fin de poder resolver temas relacionados con hardware o comunicaciones, as como otras tareas rutinarias (impresin, copia de datos, rotulado de material, etc.). 3. Metodologa para el anlisis de datos El proceso para realizar una investigacin, con el objeto de determinar si existe evidencia en medios informticos, consta de cuatro pasos claramente definidos: 1. Identificar los elementos a periciar 2. Preservar los datos 3. Analizar los datos 4. Emitir un dictamen En primer lugar, se deben identificar los sistemas de computacin o medios de almacenamiento que puedan contener informacin digital que sea factible de ser presentada como evidencia. Debe informarse a los operadores judiciales de todos los aspectos claves a considerar para la preservacin de la evidencia, como los recaudos en el transporte y/o almacenamiento de elementos informticos y la prohibicin de realizar operaciones sobre los sistemas informticos, previas a la actuacin del Perito Informtico [Gom99a]. Una vez realizado el primer paso, se requiere analizar la posibilidad de preservar los datos mediante una copia para un posterior anlisis. Este paso queda a criterio del perito informtico, en funcin de las limitaciones que puedan existir [Gom99b]. Posteriormente, se debe proceder a realizar una investigacin sobre los datos, a fin de localizar la informacin que sea relevante a la causa. Finalmente, el perito informtico emitir un dictamen, respondiendo a los puntos de pericia que le sean solicitados. Debe tenerse en cuenta que este proceso, es exclusivo para pericias informticas que involucren anlisis de datos. Sin embargo, el perito informtico podr responder acerca de otras cuestiones en funcin de su especialidad. 3.1. De los puntos de pericia.

Marco normativo para el desarrollo de pericias informticas

4/7

Los puntos de pericias pueden dividirse en anlisis de datos y consultas especficas. A modo de ejemplo, se sugiere una posible lista de actividades que estaran comprendidas de la primer categora: Cdigo Tipo Descripcin AD001 Anlisis de datos Localizacin de archivos mediante palabras claves especificadas por el juez. AD002 Anlisis de datos Localizacin de archivos mediante palabras claves extradas de documentos. AD003 Anlisis de datos Localizacin de imgenes especificadas por el juez. AD004 Anlisis de datos Localizacin de imgenes extradas de documentos. AD005 Anlisis cronolgico de datos Identificacin de fechas de creacin, acceso o modificacin de archivos y documentos. AD006 Anlisis cronolgico de datos Identificacin de fechas de creacin, recepcin o envo de e-mails. AD007 Anlisis cronolgico de datos Identificacin de entradas y salidas de usuario sobre un sistema informtico. AD008 Anlisis cronolgico de datos Identificacin de accesos a pginas o sitios web. De acuerdo a la especialidad del profesional, el perito informtico podr determinar, especificar o responder otros puntos de pericia especficos, como: Cdigo Tipo Descripcin CE001 Consulta especfica Especificar el tipo de equipamiento que se necesita para ejecutar un sistema informtico. CE002 Consulta especfica Especificar los tipos de dispositivos de almacenamiento utilizados por un sistema informtico. CE003 Consulta especfica Especificar la capacidad de un dispositivo de almacenamiento. CE004 Consulta especfica Determinar similitudes y/o diferencias en los listados del cdigo fuente de dos sistemas informticos. CE005 Consulta especfica Especificar qu mdulos comprenden un sistema informtico. CE006 Consulta especfica Determinar si una sistema informtico trabaja por lotes (batch) o en forma interactiva. CE007 Consulta especfica Determinar cundo dos sistemas son similares en base a la estructura de datos utilizada para el almacenamiento de informacin. CE008 Consulta especfica Responder preguntas generales sobre la ejecucin de un sistema informtico. 3.2. De los allanamientos y procedimientos varios. Durante los allanamientos y otros procedimientos para la identificacin y recoleccin de evidencia informtica, se deben tener en cuenta las siguientes limitaciones [Caf01]: Disponibilidad de equipos: debido a la variedad de marcas y modelos a veces se dificulta la investigacin; dado que es imposible contar con todas las versiones o
Marco normativo para el desarrollo de pericias informticas 5/7

elementos necesarios para la pericia. De la misma forma, no siempre es posible clonar (hacer una copia imagen) del sistema a periciar para un posterior anlisis de datos por cuestiones de recursos, tiempo y lugar. Equipos compatibles: dem anterior. En muchos casos, no se podr prescindir del equipo sobre el cual se ejecuta el software. Si el sistema no puede ser clonado y ejecutado en otra plataforma, deber evaluarse la posibilidad realizar la pericia sobre el sistema original, reducindose el alcance de la misma. Equipos antiguos: en la mayora de los casos el tiempo que transcurre entre el allanamiento y el desarrollo pericial es extremadamente extenso. En estos casos; si no se logra reconstruir un equipo de similares caractersticas y/o prestaciones; no se puede realizar ningn tipo de investigacin. Desconocimiento de las claves de seguridad: habr que hacer uso de los servicios de algn hacker. El acceso y descifrado de archivos encriptados es virtualmente imposible con las herramientas que se utilizan en la actualidad, ya que en su mayor parte, utilizan mecanismos de fuerza bruta para el descifrado, cuyo tiempo de procesamiento llega a ser prohibitivo. Desconocimiento de aspectos tcnicos especficos de hardware, software o comunicaciones. En virtud de lo explicado sobre el tema y el rea de competencia del perito, pueden existir limitaciones en las habilidades prcticas sobre algunos elementos o herramientas especficas. En estos casos, se requerir de personal tcnico auxiliar para llevar a cabo la investigacin. 3.3. De los procedimientos para el resguardo y el anlisis de los datos. Existen dificultades durante el desarrollo de las investigaciones, referidas al resguardo y anlisis de datos. Respecto al resguardo de datos: Los dispositivos son lentos. No siempre es importante realizar esta operacin. No siempre es posible realizar la operacin por cuestiones de recursos, tiempo o lugar. Requiere amplios conocimientos tcnicos en el manejo de herramientas. No siempre se puede realizar sobre un nico medio de almacenamiento. Respecto al anlisis de los datos: Se requieren herramientas especficas para la extraccin de evidencia de archivos borrados, o espacios de disco reutilizables o reas de memoria virtual, as como tambin para la visualizacin de la informacin a peritar. La bsqueda de datos es muy rudimentaria y consume mucho tiempo. No existen taxonomas de palabras estndares, formatos u organizaciones de datos que puedan ser aplicadas a la investigacin de delitos especficos. No hay una forma automtica de identificar a la informacin relevante, sin necesidad de leer los archivos. Las herramientas informticas, slo permiten acotar el espacio de bsqueda, sin embargo, dada la gran cantidad de informacin que puede almacenarse en un sistema informtico, es prohibitivo realizar una investigacin exhaustiva sobre todos los archivos localizados. En algunos casos, se deber realizar un anlisis de datos sobre un subconjunto de ellos. No existe una tcnica informtica para identificar a los posibles autores de la informacin localizada, en base a su vocabulario, gramtica o estilo de escritura.

Marco normativo para el desarrollo de pericias informticas

6/7

Existen algunas herramientas informticas que permiten desencriptar datos, pero se basan en prueba y error, con lo cual, los tiempos de procesamiento son prohibitivos. No hay disponibles herramientas informticas que correlacionen la informacin almacenada en los sistemas informticos analizados. En algunos casos, se deben desarrollar bases de datos especficas para el procesamiento de la informacin. 4. Capacitacin para el Perito Informtico Existen ciertas capacidades que debe adquirir un perito informtico para realizar un anlisis de datos sobre medios informticos. Para ello se requiere una capacitacin especfica en el uso de tcnicas y herramientas informticas utilizadas para pericias informticas. En el pas no existen cursos de relevancia en materia de pericias informticas, sin embargo, algunos de las organizaciones o centros de capacitacin en el exterior brindan programas de entrenamiento o cursos de especializacin en este campo. a) Organizaciones que proveen certificaciones de especializacin en pericias informticas: The International Association of Computer Investigative Specialists (IACIS) High-Tech Crime Network (HTCN) b) Empresas que proveen entrenamiento para pericias informticas con alguna herramienta informtica especfica: Key Computes Services Inc. New Technologies Inc. CyberEvidence Inc. Guidance Software Inc. AccessData Corp. A partir de la capacitacin especfica, y de acuerdo a las caractersticas de las herramientas que se utilicen, se puede aplicar el estndar definido para los puntos de pericias informticas y establecer otros ms especficos. 5. Conclusiones El desarrollo de pericias informticas que requiere contar con un marco normativo que permita a todos los operadores judiciales conocer las necesidades en materia de recursos humanos para poder brindar apoyo eficiente a la justicia, as como tambin el objetivo, alcance y limitaciones de las pericias informticas. A travs de un marco normativo se pueden formalizar los principales tpicos del desarrollo de pericias informticas. Dependiendo el rea de especializacin del Perito Informtico, el juez podr requerir pericias informticas de diferentes grados de complejidad, desde anlisis de datos hasta consultas especficas en materia de contratos informticos. 6. Referencias [Caf01] Caffaro, M.A., Argentina: Pericias Informticas, R.E.D.I., Revista Electrnica de Derecho Informtico N 32, ISSN: 1576-7124, 2001. [Gom99a] Gmez, L.S.M., "Actuaciones en Delitos Informticos", Reporte Tcnico, Tribunal Superior de Justicia, Poder Judicial del Neuqun, 1999. [Gom99b] Gmez, L.S.M., MD5 para la Certificacin de Copias, Cuaderno de Reportes Tcnicos Nro. 7 de la Escuela de Posgrado del Instituto Tecnolgico de Buenos Aires, 1999.

Marco normativo para el desarrollo de pericias informticas

7/7