Manual de informática forense III. Luis Enrique Arellano González
supuestos gurúes de la Informática– les hubieran explicado un hecho tan simple como este: que la prueba documental clásica (bibliográfica) es a la pericia documentológica o caligráfica lo que la prueba documental informática es a la pericia informático forense?
Por supuesto que tienen diferencias, en particular respecto del principio de identidad; mientras que siempre es posible identificar un original en papel respecto de su copia electrostática, no ocurre lo mismo con dos archivos digitales. Cuando se realiza la copia digital (bit a bit) de un archivo, el resultante es idéntico al original e indistinguible del primero (salvo recurriendo a métodos externos, como el soporte original o un testigo u otro elemento independiente del original y su copia resultante). Estamos entonces en presencia de dos originales, con la ventaja de poder resguardar uno en Secretaría y peritar el otro, con resultados categóricos para ambos.
Caracterización y empleo: la prueba documental informática está constituida por aquellos documentos integrantes de la prueba documental cuyo soporte físico no es el acostumbrado papel o algún elemento similar (pergamino, papiro, cartulina, etc.). Se constituye con la información documental incluida en archivos, preservados en soporte digital, sea este magnético (cintas, discos rígidos, diskettes, etc.), óptico (CD, DVD) y otras tecnologías en uso o en desarrollo (computación cuántica, de ADN, de proteínas, etc.).
Similitudes con la prueba documental bibliográfica o foliográfica: a los efectos de su uso como elemento probatorio, esta prueba posee diversas similitudes con su similar documental bibliográfica o foliográfica (normalmente soportada en papel):
1. En caso de autenticidad probada, posee el mismo valor probatorio.
2. Puede ser confirmada mediante una prueba informativa (de informes). A partir del resguardo que efectúan ciertas instituciones públicas y privadas, en relación con determinados documentos digitales (8).
3. Puede ser susceptible de revisión pericial: es pasible de modificaciones y adulteraciones, cuya existencia y subsistencia deben ser determinadas por especialistas en Informática forense.
4. No deben confundirse el momento y oportunidad de presentar dicha prueba: es decir, se pueden solicitar como prueba anticipada, luego pueden ser confirmadas mediante un informe (prueba informativa) o un informe pericial (prueba pericial), pero su utilidad está intrínsecamente relacionada con su carácter de autenticidad, el que depende en gran medida del momento procesal en que son requeridas.
Diferencias con la prueba documental: sin embargo, sus características particulares la hacen diferente de la prueba documental clásica normal porque:
1. Mientras la documental clásica permite identificar un original, respecto de sus copias (aun en los documentos certificados mediante escritura pública) y cuando esta originalidad no es evidente (fotocopias, calcos, carbónicos, etc.), puede ser comprobada con el auxilio de un perito en Documentología; esta característica no es propia de la prueba documental informática. En efecto, un bit no es igual, sino idéntico a otro bit. Es decir, un archivo que es copia del otro, en el sentido informático de “copia”, no difiere en nada de su original y esto impide establecer el orden de procedencia de uno u otro. Ningún perito puede discernir entre uno u otro, salvo que recurra a procedimientos indirectos (testimonios, operador y/o máquina indubitada que generó el documento, etc.).
2. El soporte digital (magnético, óptico u otro) es sumamente volátil y sensible a las acciones externas, accidentales y/o voluntarias. Puede ser afectado por campos magnéticos, calor, borrado accidental o intencional, fallas de hardware o de software, etc., por lo que los métodos de detección, identificación, certificación y resguardo son sumamente estrictos e insoslayables (9).
3. Aunque no es posible modificar un documento en papel, por medios remotos, el documento digital es fácilmente accesible, a partir de las redes de comunicaciones, por lo que su riesgo es permanente.
4. Los riesgos a los que se encuentra sometido un documento en papel son varios, pero una vez resguardados, pueden ser eliminados o al menos reducidos. Un documento digital guardado en una máquina en operación, en cualquier momento puede ser modificado intencional o accidentalmente, por lo que su preservación en condiciones naturales de operación es sumamente riesgosa.
Pertinencia como prueba anticipada: en virtud de la alta sensibilidad de la prueba documental informática, se hace menester, en la mayoría de los casos, solicitar su preservación, mediante acciones a realizar como prueba anticipada, en razón de:
1. Comparte con la cautelar, la necesidad de probar en la solicitud de prueba anticipada:
a. Verosimilitud del derecho: para justificar el pedido de prueba, como en cualquier otra solicitud que probablemente finalice en demanda.
b. Peligro en la demora: por la volatilidad y sensibilidad de esta prueba.
c. Por supuesto, no requiere “contracautela”, pero es necesario asegurar al Juez que se accederán, preservarán y resguardarán los datos manteniendo la confidencialidad (confiabilidad, autenticidad, privacidad, control de acceso, disponibilidad e integridad) y el no repudio de la información accedida, especialmente en lo referido a datos sensibles (Ley 25.326 de Protección de los Datos Personales –Habeas Data–).
2. Cuando la prueba se encuentra en poder de la futura demandada, si esta se entera de su utilidad en su contra, muy probablemente la eliminará o la modificará. Si este acto es realizado por un experto, es muy posible que no pueda ser revertido ni comprobado a posteriori.
3. Cuando la prueba se encuentra en un servidor de un tercero, la situación es similar a la anterior, ya que su preservación puede generar para el tercero responsabilidades indeseadas y que, por supuesto, intentará eliminar.
4. Cuando la prueba se encuentra en un lugar separado de las partes, pero accesible por medio de una red (pública o privada), la modificación puede ser realizada de manera remota, sin necesidad de aproximarse físicamente a la máquina que contiene el reservorio de información cuestionado. Esto también es aplicable a los casos mencionados en los párrafos inmediatos anteriores (1 y 2).
5. Cuando la prueba se encuentra en poder de la actora, hasta tanto no sea certificada y preservada, será susceptible de ser eliminada o modificada mediante cualquiera de los medios anteriormente detallados. Esto se debe a que puede ser accedida por medios locales o remotos y a continuación modificada o eliminada. En este punto es de suma importancia considerar el hecho fortuito, por ejemplo, la actora tiene la información en su máquina, presenta la demanda y solicita que esta se incorpore a la causa, previa certificación y mientras dura el trámite de este pedido, el disco simplemente deja de funcionar. Debemos recordar que los backups o resguardos preventivos de información no son útiles si no han sido certificados mediante una rutina de digesto (hash), lo cual nos coloca ante un auténtico círculo vicioso.
La pericia informático forense en subsidio: tiene por objeto resolver los interrogantes establecidos en los correspondientes puntos de pericia. Pero aun en este caso, la participación de los expertos no puede generalizarse, ya que al igual que en la prueba documental clásica, la documental informática puede clasificarse, dando lugar a resultados imposibles de analizar por un único experto, por ejemplo:
1. Prueba documental informática bibliográfica: constituida por archivos de texto planos o con formato. Es una incumbencia del perito en Informática forense, que debería ser un profesional con título de grado en Informática, especializado en Seguridad Informática y capacitado en profundidad en Criminalística y Derecho (en particular en Derecho procesal).
2. Prueba documental informática foliográfica: si bien reúne los mismos requisitos del punto anterior, el experto también debe tener una profunda formación en el tratamiento de archivos gráficos digitalizados (algo propio de los diseñadores gráficos).
3. Prueba documental informática pictográfica: además de los requisitos anteriores, debe tener formación en fotografía y cinematografía digital.
4. Prueba de auditoría informática: