Manual de informática forense II. Luis Enrique Arellano González
necesario o cuando la obligación hubiese sido contraída por incidentes imprevistos en que hubiese sido imposible formarla por escrito. Se considerará principio de prueba por escrito cualquier documento público o privado que emane del adversario, de su causante o de parte interesada en el asunto, o que tendría interés si viviera y que haga verosímil el hecho litigioso”.
23. Delito informático propio es el que afecta a la información como bien jurídico protegido (ejemplo: sustitución de identidad). Delito informático impropio es el delito ya tipificado (robo, hurto, defraudación, extorsión, etc.) cometido utilizando herramientas informáticas.
24. En especial si es extranjero, posee un apellido anglosajón o es políticamente correcto.
25. Ver capítulo correspondiente a cadena de custodia en esta misma obra.
CAPÍTULO 4
CRITERIOS A TENER EN CUENTA
Las posibilidades de falsificación de mensajes de correo electrónico
Técnicamente es posible falsificar un mensaje de correo electrónico y luego insertarlo en un determinado puesto de trabajo. Esta falsificación puede soportar el análisis pericial prima facie, sin embargo, debemos decir que aunque el juez no sea un experto en informática y los restantes operadores del Derecho se limiten al análisis jurídico de la prueba, sin intentar entender la naturaleza propia de esta, es posible brindar soporte probatorio a la justicia, si se mantienen ciertos recaudos procesales y técnicos. De ahí la imperiosa necesidad de planificar la recolección, sus relaciones y la posterior pericial en subsidio. Este, creemos, es el principal problema a resolver: la falta de predisposición profesional para trabajar en equipos mancomunados y con objetivos comunes.
Analizando la situación punto por punto, ¿es posible falsificar un mensaje de correo electrónico e insertarlo en un puesto de trabajo? Sí. ¿Qué debería hacer el experto ante esta posibilidad?
1. Efectuar la recolección de prueba en la máquina de su cliente, conjuntamente con toda la información pública disponible (en Internet, esto implica incluir los datos públicos obrantes respecto de la contraparte).
2. Solicitar una medida previa o preliminar (in audita altera pars, en Civil y Comercial), para resguardar la información obrante en las máquinas de la contraparte y de terceros relacionados.
3. Al presentar la demanda, ofrecer los elementos recolectados en su totalidad y solicitar una prueba de informes al ISP, para que nos diga si los mensajes recolectados coinciden en fecha, hora, origen y destino, con los que hemos reunido.
4. Idéntica constatación por informes respecto de los alojamientos de información propia y de la contraparte (alocación de páginas web, reservorios externos de información, mecanismos de comunicaciones, cuentas de correo públicas, empresariales y privadas, etc.).
5. Ante la posible negativa por la contraparte de los elementos ofrecidos en los puntos anteriores, solicitar pericia informático forense en subsidio, para resolver las cuestiones planteadas. Es necesario ponerse en lugar del adversario y prevenir sus acciones legítimas o ilegítimas (esta es una tarea que todo buen operador del Derecho debería efectuar rutinariamente), entre ellas la posibilidad de falsificación de algún mensaje de correo electrónico.
6. Ahora la cosa se pone más compleja para el falsario, porque debe sustituir no solo un mensaje, sino también los datos obrantes en el servidor del ISP, para que coincidan en hora GMT, origen y destino.
7. Por supuesto, hay que explicar a S. Sa. que es preciso analizar la prueba en conjunto y luego tomar decisiones acordes con este análisis integrador. Un mensaje de correo electrónico (que no es un instrumento público, ni privado, según nuestro Código Civil), por sí solo no debería ser prueba suficiente, pero relacionado con el resto de la prueba (información confirmatoria o negatoria, informes diversos y pericial en subsidio) puede constituir un excelente conjunto indiciario probatorio, donde se deben tener en cuenta las posibilidades de falsación.
8. Es claro que la labor pericial se basa principalmente en el desconocimiento del delincuente; si este conoce en profundidad los mecanismos periciales, tiene más posibilidades de burlarlos. En nuestro caso, el problema reside en que los delincuentes estudian, aprenden, intercambian información y mantienen una permanente actitud de actualización tecnológica y técnica (26). En ese sentido, los profesionales involucrados en la prueba indiciaria informático forense (operadores del Derecho, criminalistas e informáticos), por diversas razones no corren a la par de los delincuentes ya que tenemos la ventaja de la formación científica, que es poco frecuente en la delincuencia (la proporción de hackers con formación universitaria completa es mínima), la interacción profesional y académica, la posibilidad de actuar de manera inter y transdisciplinaria, deberíamos poder compensar las ventajas que nos sacan los delincuentes a diario. ¿Qué hay que hacer? Simplemente estudiar e interactuar.
Ejemplo de accionar ante eventualidad previsible
Ante una visita de cualquier empresa que reivindica derechos de terceros (en particular, comprobación de la existencia de licencias de programas instalados), pero sin el poder de policía para efectuarlo in situ, lo que implica que debe contar con la autorización específica del visitado para acceder a sus sistemas, o limitarse a actuar conforme a la ley (hay que tener un protocolo de procedimiento en la empresa, para actuar ante la visita sorpresiva, es decir un plan de acción y un plan de contingencia, para que sepan cómo actuar) y cuya solicitud ha decidido ser aceptada por aquel funcionario (público o privado) que tenga la potestad de hacerlo:
1. Recibirlos y hacerlos acompañar, durante toda la visita, por personal de la empresa.
2. Autorizarlos a comprobar la existencia de las licencias en las máquinas. No se los autoriza a operar las máquinas en modo alguno.
3. Toda la inspección se hace en presencia de un abogado de la empresa y de sus administradores de sistemas y de seguridad informática, que comprobarán paso a paso:
a. Que únicamente se acceda a los registros de las licencias.
b. Que no se visualice ninguna otra información pública, privada, reservada, confidencial o secreta de la empresa, ni de terceros.
c. Que se cumplan con los requisitos de privacidad que la gestión de información requiera.
d. Que las máquinas sean operadas únicamente por sus operadores naturales (usuarios de la empresa).
e. Que la autorización para observar información de la empresa sea explícitamente otorgada por el propietario de la información, acorde con la distribución de roles, funciones y organigrama de la empresa.
f. Que no se realice registro informático alguno de las tareas realizadas, salvo a solicitud de un miembro de la empresa (ni captura de pantallas, ni transferencia de archivos, ni ninguna otra tarea informática empleando las computadoras de la empresa).
g. En caso de transgresión, se dará por finalizada la inspección y se exigirá, para concurrir nuevamente, la orden judicial que corresponda.
h. No se permitirá que ninguna persona extraña a la empresa conecte equipo alguno a la red de datos y/o eléctrica de esta.
i. Los concurrentes deberán demostrar su representatividad para el acto (algo así como la legitimación activa para el acto), es decir, poder, orden judicial, título que los habilita para realizar este tipo de tarea, matrícula, etc.
No existe peor enemigo del seudoinocente que la conciencia culpable. Para ingresar a los activos informáticos de una persona (física o jurídica) de manera compulsiva, es necesario, en