Artículos

Algunas cuestiones en la investigación de delitos informáticos.

Algunas cuestiones en la investigación de delitos informáticos.

Algunas cuestiones en la investigación de delitos informáticos

Algunas cuestiones en la investigación de delitos informáticos
V. Golubev
Actuación el 26 de febrero de 2003 en la Cumbre sobre Cibercrimen del Sureste   en Atlanta, EE. UU.

    La investigación de delitos informáticos difiere significativamente de las investigaciones de otros delitos «tradicionales&#187. crímenes. En estos casos penales, la mayoría de las veces se cometen errores, lo que a menudo se explica por la falta de un nivel adecuado de formación teórica y práctica de los trabajadores operativos y de los investigadores. El estudio de los casos penales de esta categoría da motivos para creer que una de las razones importantes de la baja calidad de la investigación es la falta de métodos sistematizados y probados para la investigación de delitos informáticos, así como los errores que se cometen durante las acciones de investigación en relación. a la información de la computadora o a las computadoras mismas.

    Los resultados del análisis de las actividades prácticas de las fuerzas del orden en la investigación de delitos informáticos indican que es recomendable realizar el estudio de los equipos informáticos en un laboratorio forense, donde este trabajo lo realizan especialistas con la formación profesional necesaria.

    Las pruebas relacionadas con delitos informáticos que se recuperan de la escena del crimen pueden alterarse fácilmente, tanto como resultado de errores durante su incautación como durante el propio proceso de investigación. La presentación de dichas pruebas en procedimientos judiciales requiere conocimientos especiales y una formación adecuada. En este caso no se puede subestimar el papel de la experiencia, que puede dar una respuesta cualificada a las preguntas planteadas.

    Sin embargo, el examen requiere algo de tiempo no sólo para realizarlo, sino también para encontrar los especialistas adecuados, y en la incautación de equipos informáticos, un factor importante para conservar la información probatoria necesaria es la sorpresa y la eficiencia. Por eso la incautación de ordenadores y de información debe ser realizada por las fuerzas que actualmente llevan a cabo acciones de investigación. En este caso, es el investigador quien no está inmune a los errores causados ​​por un conocimiento insuficiente, que luego es utilizado con bastante habilidad por la defensa en el tribunal.

    El problema planteado tiene dos aspectos: errores generales que cometen los agentes del orden al investigar delitos informáticos, y aspectos técnicos relacionados con la protección de la información que sus usuarios directos instalan en los ordenadores.

    Como es sabido, el descubrimiento, inspección e incautación de computadoras e información informática en el proceso de acciones de investigación se puede realizar no solo durante una inspección de investigación (artículo 190 del Código de Procedimiento Penal), sino también durante otras acciones de investigación: registros (Artículo 178 del Código de Procedimiento Penal); incautaciones (artículo 179 CPC); reproducción de las circunstancias y condiciones del incidente (artículo 194 del Código de Procedimiento Penal).

    Vale la pena destacar algunas reglas para trabajar con computadoras incautadas durante la investigación de delitos en el campo de la información informática, así como ofrecer recomendaciones generales que pueden resultar útiles a la hora de procesar pruebas informáticas.

    Veamos algunos errores típicos que se cometen con mayor frecuencia al realizar acciones de investigación relacionadas con la información informática o las propias computadoras.

Error 1. Funcionamiento incorrecto del ordenador.

    La primera y básica regla que se debe seguir estrictamente es la siguiente: nunca, bajo ningún concepto, trabajar en un ordenador incautado. Esta regla permite que la computadora incautada — En primer lugar, un objeto de investigación para un especialista. Por tanto, antes de entregárselo a expertos, es recomendable ni siquiera encenderlo, ya que está estrictamente prohibido realizar cualquier operación en un ordenador incautado sin disponer de las medidas de protección necesarias (por ejemplo, protección contra modificaciones o creación de una copia de seguridad). . Si hay un sistema de seguridad instalado en la computadora (por ejemplo, — contraseña), habilitarlo puede causar la destrucción de la información ubicada en el disco duro. No está permitido iniciar dicha computadora usando su propio sistema operativo.

    Esta medida se puede explicar de manera bastante simple: no es difícil para un delincuente instalar un programa en su computadora para destruir información en discos magnéticos duros o flexibles grabando tales «trampas»; mediante modificación del sistema operativo. Por ejemplo, un comando DIR simple que se utiliza para mostrar el directorio de una unidad se puede modificar fácilmente para formatear un disco duro.

    Una vez que se destruyan los datos y el programa destructivo, nadie podrá decir con certeza si el «sospechoso» está en peligro. ¿La computadora está equipada con tales programas a propósito o es el resultado de negligencia al examinar la evidencia informática?

Error 2. Acceso al ordenador por parte del propietario (usuario) del ordenador.

    Es un grave error permitir que el propietario acceda a la computadora bajo investigación para ayudar en su funcionamiento. Hay muchos casos en la práctica en los que a los sospechosos durante los interrogatorios relacionados con pruebas informáticas se les permitió trabajar en una computadora incautada. Más tarde, les contaron a sus amigos cómo cifraban archivos «justo delante de las narices de la policía» y ni siquiera lo sabían. Ante estas consecuencias, los especialistas en informática comenzaron a realizar copias de seguridad de la información del ordenador antes de permitirles trabajar en él.

    Otro problema está relacionado con la posibilidad de refutar ante el tribunal la identidad del software presentado en el juicio con el que se encontraba en la computadora en el momento de la incautación. Para evitar este tipo de situaciones, se debe sellar la computadora en presencia de testigos, sin encenderla. Si un agente de la ley decide inspeccionar una computadora en el lugar, lo primero que debe hacer es hacer una copia del disco duro y de cualquier disquete que será incautado como prueba. Esto significa que antes de realizar cualquier operación con una computadora, es necesario registrar su estado en el momento de las acciones de investigación.

Error 3. Error al escanear su computadora en busca de virus y marcadores de software.

    Para verificar su computadora en busca de virus y marcadores de software, debe iniciar la computadora no desde su sistema operativo, sino desde su disquete preparado de antemano o desde un disco duro de escritorio. Todos los medios de almacenamiento están sujetos a verificación — disquetes, disco duro y otros medios. Este trabajo debe ser realizado por un especialista involucrado en acciones de investigación utilizando un software especial.

    No se puede permitir que el tribunal tenga la oportunidad de acusar a la investigación de infectar deliberadamente una computadora con virus, de incompetencia en la realización de acciones de investigación o simplemente de negligencia, ya que es casi imposible probar que el virus estaba en la computadora. antes de la investigación, y tal acusación arrojará dudas sobre todo el trabajo del perito y la confiabilidad de sus conclusiones.

    Estos son los errores más típicos que se suelen encontrar al examinar un ordenador en casos relacionados con la investigación de delitos informáticos. Sin embargo, la lista considerada no cubre todos los errores que surgen en el proceso de captura y examen de información informática. Esto se explica fácilmente: la falta de experiencia suficiente en estas materias en nuestro país. Al mismo tiempo, los países de Europa occidental y Estados Unidos ya han acumulado una gran experiencia en la investigación de delitos informáticos complejos. Es necesario estudiarlo más detenidamente, lo que evitará muchos de ellos.

    Para evitar errores de investigación en la etapa inicial de la investigación, que pueden provocar la pérdida o corrupción de información informática, se deben seguir ciertas precauciones.

Recomendación 1. En primer lugar, debes realizar una copia de seguridad de tu información.

En el proceso de búsqueda e incautación asociado a la incautación de una computadora, medios magnéticos e información, surgen una serie de problemas generales relacionados con las particularidades del equipo técnico incautado. En primer lugar, es necesario prever las medidas de seguridad que llevan a cabo los delincuentes para destruir la información de la computadora. Por ejemplo, pueden utilizar equipos especiales que, en casos críticos, generan un fuerte campo magnético que borra las grabaciones magnéticas.

Durante el registro se deberá analizar toda la evidencia electrónica ubicada en la computadora o sistema informático de tal manera que posteriormente pueda ser reconocida por el tribunal. La práctica mundial muestra que en la mayoría de los casos, bajo presión de los representantes de la defensa en los tribunales, las pruebas electrónicas no se tienen en cuenta. Para garantizar su reconocimiento como prueba, es necesario respetar estrictamente la legislación procesal penal, así como las técnicas y métodos estandarizados para su incautación.

Normalmente, la evidencia informática se preserva haciendo una copia exacta del original (la evidencia primaria) antes de realizar cualquier análisis sobre ella. Pero no basta con hacer copias de archivos informáticos utilizando únicamente programas de copia de seguridad estándar. Puede existir evidencia física en forma de archivos destruidos u ocultos, y los datos asociados con estos archivos solo se pueden guardar utilizando un software especial. En su forma más simple, pueden ser programas como — SafeBack y para disquetes basta con el programa DOS Discopy.

Los soportes magnéticos en los que se va a copiar la información deben prepararse con antelación (hay que asegurarse de que no contengan información). Los medios deben almacenarse en un embalaje especial o envolverse en papel limpio. Hay que recordar que la información puede resultar dañada por la humedad, las influencias de la temperatura o los campos electrostáticos (magnéticos).

Recomendación 2. Buscar y hacer copias de archivos temporales.

Muchos editores de texto y programas de administración de bases de datos crean archivos temporales como subproducto del funcionamiento normal del software. La mayoría de los usuarios de computadoras no son conscientes de la importancia de crear estos archivos porque generalmente el programa los destruye al final de la sesión. Sin embargo, los datos contenidos en estos archivos destruidos pueden ser los más útiles. Especialmente si el archivo original se codificó o el documento de preparación del texto se imprimió pero nunca se guardó en el disco, dichos archivos se pueden recuperar.

Recomendación 3. Asegúrate de revisar el archivo de intercambio.

La popularidad de Microsoft Windows ha traído algunas herramientas adicionales relacionadas con la investigación de información informática. Los archivos de intercambio funcionan como almacenamiento en disco, una enorme base de datos y muchos datos temporales diferentes. Incluso el texto completo del documento se puede encontrar en este archivo de intercambio.

Recomendación 4. Es necesario comparar documentos de texto duplicados.

A menudo se pueden encontrar archivos de texto duplicados en discos duros o disquetes. Estos pueden ser cambios menores entre versiones del mismo documento que pueden tener valor probatorio. Las discrepancias se pueden identificar fácilmente utilizando la mayoría de los editores de texto modernos.

También me gustaría resaltar recomendaciones generales que se deben tener en cuenta al examinar una computadora en el lugar de un incidente.

Al comenzar a inspeccionar una computadora, el investigador y el especialista que realiza directamente todas las acciones en la computadora deben cumplir con lo siguiente:

  • Antes de apagar su computadora, debe, si es posible, cerrar todos los programas que se ejecutan en su computadora. Cabe recordar que la salida incorrecta de algunos programas puede provocar la destrucción de información o dañar el propio programa;
  • tomar medidas para establecer una contraseña de acceso a los programas protegidos;
  • Con la intervención activa de los empleados de la empresa que buscan contrarrestar al equipo de investigación, es necesario desconectar la alimentación de todas las computadoras del lugar, sellarlas y retirarlas junto con los medios magnéticos para estudiar la información. en un entorno de laboratorio;
  • Si es necesario consultar con el personal de la empresa, se deben obtener de diferentes personas mediante interrogatorio o interrogatorio. Este método le permitirá obtener la información más veraz y evitar daños intencionales;
  • al incautar equipos técnicos, es aconsejable incautar no solo las unidades del sistema, sino también dispositivos periféricos adicionales (impresoras, transmisores, módems, escáneres, etc.);
  • si hay una red informática local, es necesario contar con el número necesario de especialistas para realizar investigaciones adicionales en la red de información;
  • retire todas las computadoras (unidades del sistema) y medios magnéticos;
  • Examine atentamente la documentación, prestando atención a los registros de trabajo de los operadores de computadoras, porque a menudo es en estos registros de usuarios inexpertos donde se pueden encontrar códigos, contraseñas y otra información útil;
  • compilar una lista de todos los empleados independientes y temporales de una organización (empresa) para identificar programadores y otros especialistas en el campo de la tecnología de la información que trabajan en esta institución. Es recomendable establecer los datos de su pasaporte, direcciones y lugares de trabajo permanente;
  • registrar los datos de todas las personas presentes en el local en el momento de la aparición del equipo de investigación, independientemente de la explicación de los motivos de su presencia en este local;
  • compilar una lista de todos los empleados de la empresa que tienen acceso a equipos informáticos o que se encuentran con frecuencia en las instalaciones donde se encuentran las computadoras.

Si es posible el acceso directo al ordenador y se han excluido todas las situaciones indeseables, proceda con la inspección. Además, el investigador y el especialista deben explicar claramente todas sus acciones a los testigos.

Durante la inspección se debe establecer lo siguiente:

  • configuración del ordenador con una descripción clara y detallada de todos los dispositivos;
  • números de modelo y números de serie de cada dispositivo;
  • números de inventario asignados por el departamento de contabilidad al colocar el equipo en el balance de la empresa;
  • otra información de las etiquetas de fábrica (en el teclado, la etiqueta suele estar en la parte posterior, y en el monitor y el procesador, en la parte posterior). Esta información se incluye en el informe de inspección del equipo informático y puede ser importante para la investigación.

Recomendación 5. Fotografiar y marcar elementos del sistema informático.

Fotografiar y marcar elementos de un sistema informático — un primer paso importante en la preparación del sistema para el transporte. Documentar el estado del sistema en esta etapa es necesario para el correcto montaje y conexión de todos los elementos del sistema en el laboratorio. Al fotografiar, debe tomar primeros planos del sistema de sus partes delantera y trasera. Fotografiar y marcar los elementos de un sistema informático incautado permite recrear con precisión el estado de los equipos informáticos en condiciones de investigación de laboratorio. Algunos equipos, como los módems externos, pueden tener muchos pequeños interruptores que registran su estado, los cuales pueden cambiar durante el transporte, lo que creará problemas adicionales para el experto.

En conclusión, cabe destacar que a la hora de realizar cualquier acción investigativa relacionada con la investigación de delitos en el ámbito de la tecnología informática (especialmente la incautación de información y equipos informáticos), es recomendable involucrar a un Especialista en el campo de las tecnologías de la información desde el principio. Antes de iniciar cualquier acción investigativa, también se debe contar con cierta información respecto a: marca, modelo, computadora, sistema operativo, dispositivos periféricos, comunicaciones y cualquier otra información sobre el sistema objeto de la investigación. La actividad decidida del investigador y del personal operativo, especialmente en la etapa inicial de la investigación, garantiza el éxito de una mayor investigación de delitos informáticos.

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять