Manual de informática forense II. Luis Enrique Arellano González
materiales o virtuales relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia, y que tiene como fin asegurar la confiabilidad de la prueba documental informática recolectada en un determinado lugar del hecho real o virtual desde su identificación hasta su disposición definitiva por orden judicial.
Sin embargo, esta definición es abarcativa, pero genérica; la prueba documental informática tiene componentes particulares diferenciativos que la tornan sumamente diversa a la hora de recolectarla, preservarla y trasladarla.
La prueba documental informática consiste en indicios digitalizados, codificados y resguardados en un contenedor digital específico. Es decir, toda información es información almacenada (aun durante su desplazamiento por una red, está almacenada en una onda electromagnética). Es necesario diferenciar entre el objeto que contiene a la información (discos magnéticos, ópticos, cuánticos, ADN, proteínas, etc.) de su contenido, información almacenada, y sobre todo de su significado.
Para este caso consideramos:
1. Información: Todo conocimiento referido a un objeto o hecho, susceptible de codificación y almacenamiento.
2. Objeto: Conjunto físicamente determinable o lógicamente definible.
La información puede estar en uno de los siguientes estados:
1. Almacenada: Se encuentra en un reservorio a la espera de ser accedida (almacenamiento primario, secundario o terciario), es un estado estático y conforma la mayoría de las recolecciones posibles; sin embargo, difiere de la mayoría de los indicios recolectables en que puede ser accedida por medios locales y/o remotos.
2. En desplazamiento: Es decir, viajando en un elemento físico determinado (cable, microonda, láser, etc.), es susceptible de recolección mediante intercepción de dicho elemento y está condicionada por las mismas cuestiones legales que la escucha telefónica o la violación de correspondencia.
3. En procesamiento: Es el caso más complicado y constituye la primera decisión a tomar por el recolector. Ante un equipo en funcionamiento, donde la información está siendo procesada, es decir modificada, actualizada y nuevamente resguardada, debe decidir si apaga o no el equipo. Esta decisión es crítica y puede implicar la pérdida de información y la destrucción de la prueba documental informática pretendida (31). La solución por medio del acceso remoto, indetectable por el accedido, es un tema que aún no se encuentra en discusión en nuestro país (32).
En cuanto a su significancia probatoria, tendrá la validez que le asigne su inserción como elemento pertinente y conducente a la argumentación presentada como sustento de la pretensión jurídica manifestada. Es decir, no deja de ser un documento más, que difiere de la prueba documental clásica (bibliográfica, foliográfica y pictográfica) únicamente en el soporte (digital vs. papel).
Sin embargo, es necesario tener en cuenta que un bit no es similar sino idéntico a otro bit. De ahí que una copia bit a bit de un archivo digital es indiferenciable de su original, esto significa que no puede establecerse cuál es el original y cuál su copia, salvo que hayamos presenciado el proceso de copiado y tengamos conocimiento sobre cuál era el contenedor del original y cuál el de la copia (método indirecto e independiente de los archivos considerados). Esto no resulta en un inconveniente sino en una ventaja, desde el punto de vista de la cadena de custodia, ya que permite preservar las copias, manteniendo el valor probatorio del original y evitando riesgos para este. Se puede entregar al perito una copia de los archivos dubitados y preservarlos en su reservorio original en el local del tribunal y con las seguridades que este puede ofrecerle (entre otros, caja fuerte) (33).
Mientras que en la recolección física de prueba indiciaria tradicional se secuestra el indicio y se lo traslada, en la recolección de documental informática esta acción puede realizarse o no, ya que es suficiente con copiar bit a bit la prueba y luego trasladar dicha copia. Es una extensión del caso anterior, donde no es necesario entregar el original al perito, sino que alcanza con su copia. La recolección de prueba, mediante copia debidamente certificada, puede sustituir perfectamente al original, es aplicable a los casos en que la información esté almacenada en reservorios vitales para la operación de una determinada entidad u organización estatal o privada. Supongamos la necesidad de secuestrar información almacenada en uno de los servidores operativos del Banco Central. Es evidente que el secuestro de dicho servidor podría sacar de operación a la entidad con las consecuencias que dicho hecho implicaría, mientras que su copia, certificación mediante hash y ante la autoridad judicial, administrativa o notarial correspondiente, en nada afectaría a la continuidad del servicio y serviría perfectamente como elemento probatorio.
Los mecanismos de certificación digital (hash, firma electrónica, firma digital) son mucho más confiables y difíciles de falsificar que los mismos elementos referidos a la firma y certificación ológrafas. Sin embargo, la susceptibilidad de los operadores del Derecho ante el nuevo mundo virtual hace que tengan sensaciones de inseguridad que no tienen sustento alguno en la realidad matemática que brinda soporte a los mecanismos referidos. Se adopta una actitud sumamente crítica y negativa frente a la seguridad que estos brindan, en parte como consecuencia de la necesidad implícita de confiar en algoritmos que no se conocen. Entender, comprender y analizar un algoritmo de cifrado por clave pública es una tarea de expertos y que no está al alcance de una formación matemática básica como la que posee la mayoría de los operadores del Derecho. Por otra parte, el individuo inserto en la sociedad tiende más a confiar en la medicina (por eso no cuestiona los métodos del médico legista o del psiquiatra forense) que en la matemática, con la que se relaciona mucho menos (34). Es un proceso lento de aceptación, que como todo en Derecho seguramente llegará a posteriori del desarrollo social y tecnológico que nos rodea e impulsa hacia el futuro.
La cadena de custodia informático forense tiene por objeto asegurar que la prueba ofrecida cumple con los requisitos exigibles procesalmente, lo que implica que debe asegurar:
1. Trazabilidad:
a. Humana (determinación de responsabilidades en la manipulación de la prueba, desde su detección y recolección hasta su disposición final).
b. Física (incluyendo la totalidad de los equipos locales o remotos involucrados en la tarea, sean estos de almacenamiento, procesamiento o comunicaciones).
c. Lógica (descripción y modelización de las estructuras de distribución de la información accedida y resguardada).
2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio).
Cadena de custodia vs. privacidad
La cadena de custodia se constituye de hecho en un elemento que permite asegurar la confiabilidad de la información recolectada, implica su trazabilidad estricta, pero no protege por sí sola el derecho a la privacidad. Es un componente que asegura que la prueba recolectada se puede seguir metodológica y procesalmente, desde su origen hasta su disposición final, pero nada dice respecto de su legalidad, ni de la legitimidad del proceso de recolección autorizado.
En efecto, la protección de la privacidad de la información no se conforma de manera exclusiva con la cadena de custodia. La privacidad requiere por supuesto confiabilidad, pero también respeto estricto de las normas procesales que resguardan el legítimo proceso asegurado constitucionalmente. Podríamos estar en presencia de una cadena de custodia bien realizada, con una trazabilidad adecuada, con preservación estricta criminalística, informática y procesal, pero que se haya realizado a partir de una acción ilegal o ilegítima. Ilegal, por ejemplo, por falta de orden de allanamiento y secuestro previa a la recolección de prueba documental informática en una causa penal, e ilegítima en el caso de una recolección de información privada, no determinada específicamente y que al ser practicada excede los límites de lo necesario (elementos conducentes y pertinentes), a efectos de justificar la pretensión litigada, resguardando otros elementos que nada tienen que ver con dicha cadena argumental-causal.