sábado, 28 de junio de 2008

EL ANALISIS FORENSE DE LAS PRUEBAS ELECTRONICAS

Expertos de Singapur y Australia en investigación informática forense de INTERPOL, integrando un grupo de gestión de crisis trabajaron desde el 12 de marzo hasta el 9 de mayo 2008 para realizar el examen forense. de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC .
LAS COMPUTADORAS PORTATILES ENCONTRADAS EN EL CAMPAMENTO DE LAS FARC
En vista que el 1 de marzo de 2008, las autoridades colombianas decomisaron a las FARC , ocho pruebas instrumentales de carácter informático, y los medios de comunicación plantearon la cuestión de si este país había podido alterarlas o falsificarlas, el Gobierno colombiano , pidió ayuda a INTERPOL para que determinara con imparcialidad si se había creado algún archivo o se había abierto, modificado o eliminado alguno de los existentes el 1 de marzo de 2008, día de la incursión en el campamento de las FARC o en fechas posteriores.
LAS PRUEBAS INSTRUMENTALES DE CARÁCTER INFORMATICO.
En la madrugada del sábado, 1 de marzo de 2008, las autoridades colombianas llevaron a cabo una operación de lucha contra el narcotráfico y el terrorismo en un supuesto campamento de las Fuerzas Armadas Revolucionarias de Colombia (FARC), situado en las coordenadas 00°21’ 45” N y 76° 20’ 20” O, a 1,9 km (1,2 millas) del lado ecuatoriano de la frontera entre Colombia y Ecuador, frente de la provincia de Putumayo. En dicha operación murieron Reyes y Guillermo Enrique Torres, alias “Julián Conrado”.
Durante esta operación, entre las 5.50 y las 7.50 horas, recuperaron tres ordenadores portátiles, dos discos duros externos y tres llaves USB, que en el lenguaje especializado pasaron a ser denominadas: “pruebas instrumentales de carácter informático “.
Estas pruebas pertenecían a “ Raúl Reyes”, nombre de guerra de Luis Edgar Devia Silva, que pertenecía al grupo de siete miembros que constituye la Secretaría de las FARC , responsable de las negociaciones y el portavoz de dicha organización.
La información y los datos que presentan valor para una investigación y están almacenados en un dispositivo electrónico o un soporte de almacenamiento digital, o son transmitidos mediante éstos, se denominan pruebas electrónicas o pruebas informáticas, las mismas que son frágiles , pueden alterarse, dañarse o destruirse fácilmente; por lo tanto, deben manejarse con mucho cuidado.
Este tipo de pruebas son a menudo “latentes” como ocurre con las huellas dactilares o el ADN, o sea, fáciles de transferir rápidamente más allá de las fronteras y perecederas.
Las primeras dificultades que se presentan para los investigadores de delitos informáticos cuando se disponen a decomisar pruebas electrónicas aparecen cuando se encuentran con enorme cantidad de información electrónica que puede crearse, modificarse, eliminarse , borrarse muy rápidamente y los sistemas de transmisión electrónica pueden ser muy variados debido a que puede tratarse no sólo de dispositivos fácilmente reconocibles, como es el caso de los ordenadores, sino también de aparatos que tienen más dificultad, como los teléfonos móviles, los buscapersonas, las agendas electrónicas, los faxes o los contestadores automáticos. Sucede lo mismo con los soportes de almacenamiento digitales, que pueden ser disquetes o CD, pero también llaves USB o tarjetas SIM.
Otro problema es que las primeras personas que llegan al lugar de los hechos no siempre cuentan con la ayuda de un especialista para manejar las pruebas electrónicas y no se practican las “buenas prácticas” destinadas a la búsqueda, reconocimiento, recogida y documentación de pruebas electrónicas que recomiendan lo siguiente que al manejar pruebas electrónicas es de crucial importancia seguir los principios generales: presencia de testigos en el lugar de los hechos, integridad de los datos, registro de auditoria, apoyo especializado, formación de los funcionarios , legalidad y adhesión a los principios forenses y procedimentales generales como el Convenio sobre la Caber delincuencia elaborado por el Consejo de Europa, se encuentra actualmente (a fecha de julio de 2003) disponible para la firma por parte de los Estados miembros y los Estados que han participado en su elaboración y para la adhesión por parte de otros Estados y teniendo en cuenta su propia legislación y normativa.
Por ejemplo, en nuestro país no tiene efecto legal cualquier documentación privada contenida en un computador que haya sido aperturado y examinado sin la presencia del propietario o poseedor del instrumento o su abogado, para evitar cuestionamiento y evitar que el indicio original pueda ser alterado. La experiencia enseña que en caso de que el dueño de la computadora o poseedor se niegue a firmar, el fiscal deja constancia de este hecho y se perenniza la escena a través de filmaciones donde debe constar el día y la hora de la diligencia.
El Expediente Nro. 1058-2004-AA/TC (Caso Serport .S.A.) del Tribunal Constitucional peruano contiene un fallo que trata sobre una Acción de Amparo de un trabajador que fue despedido por haber enviado correos pornográficos en una computadora que había usado. Esta sentencia establece algunos criterios jurisprudenciales que deben tomarse en cuenta en el manejo de los e-mail como elementos probatorios debido a que tienen la naturaleza de documento privado, tales como : es importante conocer el modo de proceder en el momento de efectuar el acopio de la supuesta prueba a utilizarse en contra, es importante conocer cómo se arriba a la conclusión incriminatoria, los hechos objetivos – prueba concreta- en qué se respalda. Si se permitió ejercer al incriminado su derecho a la defensa o se le puso en conocimiento oportuno a efectos de acreditar la veracidad de las imputación realizada y pueda contraponer los argumentos que a su derecho de defensa corresponde; asimismo, si se ha comprobado la autoría del correo y de qué máquina proviene, por qué se le otorga certeza total a la citada verificación preliminar como si fuera el autor y si se le permitió hacer acopio de los datos e informaciones para hacer mis descargos ( defensa)
Como este hecho ( la destrucción del campamento de las FARC en territorio ecuatoriano), se convirtió en un hecho político que rebasó las fronteras nacionales , creando tensiones regionales relacionadas con este decomiso , las autoridades colombianas solicitaron a INTERPOL para que realice el análisis forense en las pruebas instrumentales de carácter informático encontradas en el campamento de las FARC con la finalidad de examinar los archivos de usuario y determinen si alguno de dichos ficheros de usuario se
El análisis forense de carácter informático debía limitarse a establecer los datos reales que contenían las pruebas instrumentales ,comprobar si los archivos de usuario habían sido modificados el día 1 de marzo de 2008 o en fechas posteriores, y si las autoridades de los organismos encargados de la aplicación de la ley colombianos habían manejado y analizado las citadas pruebas de conformidad con los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de las fuerzas del orden.
Durante la primera fase del análisis, realizado en Bogotá, los especialistas en investigación forense realizaron copias exactas de los datos contenidos en las ocho pruebas instrumentales.
Durante la segunda fase del análisis, cada experto efectuó un análisis forense de cuatro de las ocho pruebas instrumentales de carácter informático, en sus respectivos países de trabajo del Sudeste Asiático de conformidad con el artículo 30 del Estatuto de INTERPOL cuyas disposiciones están encaminadas a proteger al personal de influencias externas en el ejercicio de sus funciones oficiales, adoptándose las medidas para salvaguardar la objetividad en el curso del análisis forense.
Entre el 1 de marzo de 2008 hasta el 10 de marzo de 2008, fecha en la que las ocho pruebas instrumentales de carácter informático fueron entregadas en Bogotá a los especialistas en investigación informática forense de INTERPOL para que realizasen las copias forenses de las pruebas instrumentales, la Unidad de Gestión de Crisis de la INTERPOL ( CompFor) detectaron varios problemas con respecto a la ejecución de los análisis informáticos forenses internacionales y al manejo de las pruebas electrónicas por parte de los funcionarios de los organismos encargados de la aplicación de la ley, especialmente de aquellos que intervienen los primeros en el lugar de los hechos; problemas que no sólo afectan directamente a Colombia sino también a los agentes de los servicios encargados de la aplicación de la ley de los 186 países miembros de INTERPOL.
Estos problemas para resolverlos de manera eficaz , INTERPOL y sus países miembros, tienen que desarrollar una serie de iniciativas que se explican con detalle en el punto 6 de la Recomendaciones que INTERPOL dejó por escrito al final del informes del análisis informes que presentó al gobierno de Colombia .
EL SISTEMA DE AYUDA I-24/7.
El 4 de marzo de 2008, tres días después de la operación llevada a cabo por las autoridades colombianas, INTERPOL recibió por dos conductos diferentes, una solicitud en la que se le pedía que suministrara asistencia técnica independiente en materia de informática forense para analizar los archivos de usuario contenidos en las ocho pruebas instrumentales de carácter informático decomisadas a las FARC con el fin de determinar si se habían introducido nuevos archivos de usuario, o se habían modificado o eliminado los ya existentes, después del decomiso efectuado por las autoridades colombianas el 1 de marzo de 2008.
El Departamento Administrativo de Seguridad colombiano (DAS) a través del Brigadier General Óscar Adolfo Naranjo Trujillo, Director General de la Policía Nacional de Colombia, solicitó la ayuda a través del funcionario de enlace colombiano en la sede de la Oficina Europea de Policía en La Haya (Países Bajos), quien posteriormente, envió una carta al funcionario de enlace de INTERPOL en dicha oficina para la Oficina Central Nacional (OCN) de INTERPOL de Bogotá
Esta solicitud fue transmitida al Director de Servicios para las OCN y Desarrollo del Sistema I-24/7 de INTERPOL en Lyon(Francia) llegando el 4 de marzo de 2008.
Cuando un país miembro solicita la ayuda de la Organización puede hacerlo de forma bilateral o multilateral a través del sistema mundial de comunicación policial protegida de INTERPOL llamado sistema I-24/7, que se encuentra instalado en la Oficina Central Nacional de INTERPOL de todo país miembro.
Asimismo, un país puede ponerse en contacto directamente con la Secretaría General de INTERPOL en Lyon (Francia), cualquiera de las Oficinas Subregionales de INTERPOL en África o las Américas, o a través de las Oficinas de Enlace de INTERPOL en Asia y en las Naciones Unidas en NuevaYork.
Normalmente, en el ámbito nacional, el jefe de la Oficina Central Nacional interesada solicita la ayuda de INTERPOL a través del sistema I-24/7.
Por otra parte, esta ayuda también puede ser solicitada por el jefe del organismo en el que se aloja la OCN o el jefe de cualquier otro organismo encargado de la aplicación de la ley de un país miembro.
La OCN es el punto de contacto designado para toda Comunicación entre los organismos encargados de la aplicación de la ley del país en el que se encuentra y la Secretaría General de INTERPOL.
Los funcionarios que trabajan en las OCN son los responsables de tratar todos los asuntos de la Organización relacionados con delincuentes transnacionales e investigaciones transfronterizas, pero siguen al servicio y bajo la autoridad de sus respectivos organismos nacionales encargados de la aplicación de la ley.
En el caso de recibir solicitudes de ayuda por varios conductos de ámbito nacional, INTERPOL coordina su asistencia a través del jefe de la OCN o del jefe del servicio en el que se aloja la OCN.
Dado que las solicitudes de Colombia se recibieron por dos conductos diferentes, INTERPOL recomendó utilizar unos canales de comunicación predeterminados y específicos en lo que concernía a la unidad de gestión de crisis.
En una carta de fecha 5 de marzo de 2008, el Secretario General respondió a la Sra. Hurtado Afanador, Directora del Departamento Administrativo de Seguridad (DAS) de Colombia, que en su condición de Directora del DAS supervisa la OCN de Bogotá, señalando explícitamente que comunicaría directamente con ella y que la OCN sería el único punto de contacto de la Organización con las autoridades colombianas.
También se envió una copia de esta carta al Director General de la Policía Nacional de Colombia, el Brigadier General Óscar Adolfo Naranjo Trujillo.
El objetivo era asegurar que todo el trabajo realizado en el marco de la unidad de gestión de crisis cumpliera con la normativa de INTERPOL.
En la carta del Secretario General se proponía asimismo el envío inmediato de una unidad de gestión de crisis a Colombia, cuya función sería analizar la viabilidad técnica de la solicitud colombiana y asesorar sobre la forma de llevar a cabo el trabajo en el caso de que se considerase viable.
La Sra. Hurtado Afanador aceptó esta propuesta de INTERPOL en una carta dirigida al Secretario General el 6 de marzo de 200810.
Cuando se recibieron las solicitudes de Colombia, el Secretario General de la Organización estaba participando en la 20a Conferencia Regional Asiática en Hong Kong (China).
BUSCANDO EXPERTOS EN INVESTIGACIÓN INFORMÁTICA FORENSE
La búsqueda de expertos de los países miembros , cuando se necesitan conocimientos especializados concretos, forma parte de los procedimientos normalizados de INTERPOL para constituir y desplegar unidades de gestión de crisis.
INTERPOL recurrió a la ayuda de expertos de Australia y Singapur por varias razones de carácter práctico: los servicios de policía de estos países cuentan con conocimientos técnicos especializados en informática forense ampliamente reconocidos; ambos han respaldado activa y generosamente el trabajo de INTERPOL destinado a proporcionar apoyo y formación policial a otros países miembros; los expertos seleccionados no podían leer el español y, por lo tanto, se evitaba así que el contenido de los datos tuviese una influencia sobre ellos y su pertenencia a la región de Asia y el Pacífico reforzaba la imparcialidad en el trabajo ..
INTERPOL preguntó a los jefes de las delegaciones de Singapur (Boon Hui Khoo, Director de las Fuerzas de Policía de Singapur) yde Australia (Comandante Paul Osborne, Director de la Red Internacional de la Policía Federal australiana)si estarían dispuestos a seleccionar en sus organismos policiales nacionales a especialistas en materia de investigación informática forense que pudieran formar parte de la unidad de gestión de crisis de INTERPOL. Ambos respondieron afirmativamente.
Uno de los principales medios de que dispone INTERPOL para prestar apoyo operativo a la policía a escala mundial es el envío de unidades de gestión de crisis a los países miembros que se enfrentan a situaciones de crisis, ya sean de origen natural o provocadas por el hombre, o a circunstancias que requieran recursos o conocimientos especializados que superen la capacidad ordinaria del país miembro afectado. Para más información, véase el recuadro que figura en la página siguiente:
Previa solicitud de un país miembro, se puede enviar una unidad de gestión de crisis de INTERPOL a cualquier lugar del mundo, tras informarla de su misión y equiparla para el caso, en un plazo de12 a 24 horas desde el momento en que se produjo un incidente.
Normalmente, las unidades de gestión de crisis están compuestas por funcionarios policiales y personal de apoyo dotado de una amplia experiencia y escogido en función del carácter concreto del delito o catástrofe de que se trate y del tipo de ayuda que se haya solicitado a INTERPOL.
Cuando su Secretaría General no dispone directamente de determinados conocimientos policiales, la Organización apela a la red de fuerzas policiales de sus 186 países miembros para localizar a uno o varios funcionarios que posean las capacidades y conocimientos necesarios. Seguidamente, estos especialistas se integran en la correspondiente unidad de gestión de crisis y, durante todo el periodo en que forman parte de ella, trabajan exclusivamente al servicio y bajo las órdenes de INTERPOL.
EL TRABAJO DE LA UNIDAD DE GESTIÓN DE CRISIS EN COLOMBIA
Una vez fijadas las condiciones para el despliegue de la unidad de gestión de crisis en Colombia, la dirección de INTERPOL designó a los funcionarios de la Secretaría General que iban a formar parte de dicha unidad junto con los especialistas de Australia y Singapur. Un jefe de unidad y un especialista en investigación informática forense de INTERPOL fueron designados para formar parte de dicha unidad.
Se determinó que durante la realización del análisis forense de las ocho pruebas instrumentales de carácter informático los especialistas de Australia y Singapur serían considerados funcionarios de INTERPOL a los efectos de su trabajo técnico especializado, lo que significaba que llevarían a cabo sus funciones oficiales bajo las órdenes del personal de INTERPOL y no de sus administraciones nacionales.
Esto significaba asimismo que no informarían de ningún aspecto del análisis forense a sus administraciones nacionales.
Las autoridades australianas y singapurenses aprobaron estas condiciones al permitir a sus especialistas convertirse en funcionarios de INTERPOL.
El fundamento jurídico de esta solicitud se recoge en el artículo 30 del Estatuto de INTERPOL, que establece que en ejercicio de sus funciones, el Secretario General y el personal a sus órdenes no solicitarán ni aceptarán instrucciones de ningún Gobierno ni de ninguna autoridad ajena a la Organización y se abstendrán de toda acción que pueda perjudicar a su misión internacional.
Por su parte, cada uno de los Miembros de la Organización se comprometía a respetar el carácter exclusivamente internacional de las funciones del Secretario General y del personal, y a no influir sobre ellos en el desempeño de su cometido.
Cada uno de los Miembros de la Organización hará también cuanto le sea posible para conceder al Secretario General y al personal todas las facilidades necesarias para el ejercicio de sus funciones.
La delegación de INTERPOL llegó a Bogotá (Colombia) el domingo 9 de marzo de 2008 y el Secretario General de INTERPOL estaba al frente de la delegación de seis personas, integrada asimismo por los cuatro miembros de la unidad de gestión de crisis mencionados anteriormente y por el Jefe de la Oficina de Asuntos Jurídicos de INTERPOL con el fin de proporcionar el marco jurídico necesario para el trabajo.
El domingo 9 de marzo de 2008 ya estaban todos los miembros de la unidad de gestión de crisis en Bogotá y el 10 de marzo de 2008 empieza su trabajo, previamente el Secretario General y el Jefe de la Oficina de Asuntos Jurídicos se reunieron con las autoridades colombianas competentes y suscribieron un Acuerdo en Materia de Asistencia Técnica en el que se definían las condiciones y el alcance de la ayuda proporcionada.
En primer lugar se determinó los requisitos técnicos concretos de la solicitud de Colombia.
Los funcionarios del servicio de investigación informática forense de la Policía Judicial colombiana (Grupo Investigativo de Delitos Informáticos) informaron a la unidad sobre la cadena de custodia, equipos y programas utilizados, y sobre los procedimientos que los funcionarios habían seguido hasta ese momento para manejar las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
El 3 de marzo de 2008, a las 11.45 hora local, se entregaron las pruebas instrumentales al servicio de informática forense de la Policía Judicial colombiana, que guardó las ocho pruebas instrumentales de carácter informático decomisadas a las FARC hasta que se facilitaron a la unidad de gestión de crisis.
En primer lugar, tras obtener la custodia de las pruebas instrumentales, la Unidad de Gestión de Crisis realizó un inventario detallado de todos los equipos que le habían sido confiados, incluida una foto digital y una descripción de la marca, modelo y número de serie de cada objeto, conforme a los principios reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
Una cadena de custodia debidamente establecida permitió documentar todos los casos en que se había accedido a cualquiera de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
EL IMAGING O LA OBTENCIÓN DE IMÁGENES FORENSES DE DATOS
El procedimiento del análisis forense empezó con la obtención de imágenes forenses de datos que se conoce en el ámbito de la informática forense como IMAGING.
Esto se hizo utilizando sus propios ordenadores portátiles, equipos y programas que los especialistas de INTERPOL habían llevado con tal fin .
Para determinar si estas imágenes estaban bien hechas, se verificó y validó la integridad de las mismas comprobando que los valores de hash (valores de troceo) de las ocho pruebas instrumentales de carácter informático decomisado a las FARC y de las imágenes coincidían.
Para cada imagen hicieron falta dos discos por lo que los datos se copiaron correctamente en dos discos porque el volumen de datos era demasiado grande para almacenarlo en uno solo.
Este procedimiento se hizo conforme a los principios reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
Este proceso se repitió una segunda vez para obtener una segunda imagen de los datos; por lo tanto, se generaron en total dos imágenes forenses de todo el material.
El IMAGING es un proceso mediante el cual se realiza una copia exacta del disco duro de un equipo electrónico o de un soporte de almacenamiento digital.
El procedimiento de obtención de imágenes forenses en el contexto de la informática forense es muy diferente del que utiliza normalmente cualquier usuario informático para realizar copias electrónicas de un archivo.
En primer lugar, hay una diferencia metodológica. Para la obtención de imágenes forenses de datos es necesario un programa forense específico y que éste sea utilizado por personas con conocimientos de informática forense. No se debe iniciar (encender) el ordenador. Cuando un usuario hace una copia de un archivo sí necesita encender el ordenador. Independientemente del sistema operativo que se utilice, al encender el ordenador se producen modificaciones de ciertos datos del disco duro.
Aunque puedan ser invisibles e irrelevantes para el usuario, estas operaciones del sistema son importantes para los expertos forenses, porque ellos no sólo analizan los archivos de usuario, tales como los documentos de texto y los archivos de imagen y sonido, sino también los datos ocultos y la información contenida en los archivos de sistema, por ejemplo la información que el ordenador genera “automáticamente” cuando trata la información.
En segundo lugar, la naturaleza de la copia es diferente. Con el proceso de IMAGING se obtiene una copia exacta del disco duro de tamaño natural de todos los contenidos y de la estructura de un soporte o un dispositivo de almacenamiento, como un disco duro, una llave USB, un CD o un DVD.
Normalmente se genera un archivo con la copia imagen que está basada en los sectores del soporte (copia de la secuencia de bits), sin tener en cuenta su sistema de archivos.
La copia imagen contiene toda la información necesaria para reproducir exactamente la estructura y todos los contenidos de un dispositivo de almacenamiento.
Para la obtención de imágenes forenses de datos es necesario tomar unas precauciones específicas, para lo que se utilizan write blockers, con objeto de garantizar que durante ese proceso no se produzca ninguna modificación en la prueba instrumental original.
La tercera diferencia es que la obtención de imágenes forenses lleva asociado un proceso de validación para determinar si la imagen es o no completamente idéntica a la original. Para ello se comparan los valores de hash.
Un valor de hash es una secuencia de números y caracteres generada al utilizar un algoritmo concreto. El valor se genera en función de los datos que figuran en el ordenador y es absolutamente único para cada dispositivo de almacenamiento. Al comparar los valores de hash generados desde el original con los generados desde la copia, los analistas forenses pueden determinar si la copia está bien hecha.
Si ambos valores coinciden, la copia se ha realizado correctamente, sino coinciden, es necesario repetir todo el proceso.
El miércoles 12 de marzo de 2008 las ocho pruebas instrumentales de carácter informático decomisadas a las FARC fueron devueltas al Fiscal que dirige la investigación. El recibo y la devolución de cada objeto por parte de la unidad de gestión de crisis a las autoridades colombianas fue registrado en pegatinas de cadena de custodia que se fijaron a las bolsas selladas que contenían cada objeto.
El jueves 13 de marzo de 2008 , el primer lote de discos se había introducido en bolsas, se sellaron, se identificaron con una referencia única y se guardaron en una caja de seguridad destinada a las pruebas.
El segundo lote de discos fue utilizado para efectuar el análisis de los datos por parte de los especialistas de INTERPOL, que observaron los principios reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
EL PROBLEMA DEL TIEMPO PARA EL TRABAJO DE LA UNIDAD DE GESTIÓN DE CRISIS
La Unidad de Gestión de Crisis se dio cuenta que no podía completar su trabajo en el plazo inicialmente previsto para su despliegue en Colombia debido a la cantidad y complejidad de los datos que había que examinar.
La información contenida en las ocho pruebas instrumentales de carácter informático se elevaba a unos 609,6 gigabytes, los mismos que convertidos en documentos de texto, daría como resultado 39,5 millones de páginas completas, medido en tiempo, el examen forense tomaría entre cuatro y seis semanas , en caso de que cada uno de los dos especialistas estudiaban de manera independiente las imágenes de cuatro de las ocho pruebas instrumentales citadas.

Ante la magnitud de esta tarea, el Secretario General de INTERPOL acordó con las autoridades colombianas que los especialistas en investigación informática forense siguieran realizando su estudio en sus lugares de trabajo habituales en el Sudeste Asiático.
Esta decisión aumentó aún más la complejidad de la tarea de INTERPOL. En primer lugar, el Secretario General tenía que conseguir el acuerdo de los jefes de la Policía Federal Australiana y de las Fuerzas de Policía de Singapur para prorrogar la puesta a disposición de ambos especialistas durante el tiempo necesario para completar su labor. En segundo lugar, había que conseguir asimismo el acuerdo de las autoridades policiales y judiciales competentes de Colombia para que datos clasificados como ultra secretos pudieran permanecer fuera de su país en posesión de funcionarios encargados de la administración de la ley no colombianos.
Por último, había que tomar disposiciones diplomáticas y logísticas para transportar esta información clasificada desde Colombia al Sureste Asiático.
El 18 de marzo de 2008, el Secretario General escribió a los jefes de policía de Australia y de Singapur pidiéndoles que autorizaran continuar la misión de los funcionarios y que siguieran a disposición de INTERPOL a tiempo completo y, lo más importante, que su trabajo se considerara confidencial e independiente.
Por lo tanto, el análisis que iban a realizar los especialistas , así como el informe final , sólo debía ser comunicado a INTERPOL y a las autoridades colombianas, pero no a sus administraciones nacionales. La Policía Federal Australiana aceptaron la solicitud del Secretario General sobre la confidencialidad e independencia en el trabajo ..
Tras consultar a las instancias gubernamentales competentes, las autoridades colombianas autorizaron la salida del país de la información clasificada, lo cual significaba que había que establecer una base jurídica para impedir que cualquier país pudiera tener acceso a ella durante su traslado al Sudeste Asiático, manteniendo así su confidencialidad.
Se acordó que la mejor manera y la más segura, de transportar las copias imagen era enviarlas en la valija diplomática de funcionarios gubernamentales colombianos debidamente autorizados, garantizando de ese modo que los datos gozarían de la protección de la inmunidad diplomática.
La Unidad de Gestión de Crisis adoptó todas las medidas para marcar y sellar las citadas copias imagen de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC que habían sido realizadas por los especialistas de INTERPOL que debían ser entregadas en las oficinas de dichos especialistas, y se estableció la debida cadena de custodia.
El Centro de Mando y Coordinación de INTERPOL, sito en Lyon, cuya función es prestar asistencia policial inmediata a todos los países miembros de la Organización, de manera permanente y en cualquiera de sus cuatro idiomas oficiales (árabe, español, francés e inglés), vigiló el transporte de los materiales hasta que llegaron a salvo al Sudeste Asiático.
Esto permitió que INTERPOL supiera en todo momento dónde se encontraban exactamente las copias imagen elaborada por sus especialistas de las ocho pruebas instrumentales de carácter informático decomisadas alas FARC, pudiendo asimismo, de ser necesario, intervenir en caso de que se produjera algún problema durante el viaje.
Los especialistas abandonaron Bogotá entre el 14 y el 16 de marzo de2008 y el martes 25 de marzo de 2008, a las 18.30 horas (hora local), las valijas salieron de Bogotá acompañadas por dos funcionarios policiales colombianos. El 27 de marzo de 2008 llegaron a salvo a sus respectivos destinos.
Además de las copias imagen, las autoridades colombianas entregaron a cada uno de los dos especialistas una carpeta blanca, con copias impresas de 18 documentos, distribuidos en 13 categorías diferentes que ellas habían seleccionado. Las autoridades habían clasificado estos documentos como ultra secretos . Asimismo, habían solicitado que los especialistas de INTERPOL localizaran esos documentos entre los 609,6 gigabytes de información contenidos en las imágenes de las ocho pruebas instrumentales y que determinara y comunicara si se había añadido algún dato a dichos documentos o se había borrado de ellos, o sea, si esos documentos seleccionados habían sufrido algún tipo de modificación.
Las autoridades colombianas también facilitaron un único disco que contenía copias electrónicas de los documentos que los especialistas colombianos estaban utilizando para la investigación que estaban realizando sobre las FARC. Dichos documentos contenían anotaciones hechas por las autoridades colombianas durante dicha investigación.
Contrariamente a lo sucedido en relación con las copias impresas de documentos contenidas en las carpetas blancas, en este caso sólo se pidió a INTERPOL que localizara los documentos para que las autoridades colombianas pudieran saber en cuántos sitios y en cuántas de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC podrían encontrarse los citados documentos.
El 27 de marzo de 2008 , los especialistas recibieron sus copias de trabajo de las ocho pruebas instrumentales de carácter informático y a partir de ese momento, pudieron comenzar a estudiarlas seriamente, concluyendo el viernes 9 de mayo de 2008 el examen forense. Luego, los dos especialistas de Australia y Singapur viajan a la Secretaría General de la Organización y permanecieron en ella los días 11 y 12 de mayo , con objeto de informar a un grupo de trabajo, compuesto por especialistas externos en investigación forense y por funcionarios de INTERPOL sobre la metodología utilizada y las medidas adoptadas para obtener sus conclusiones.
Cada uno de estos especialistas elaboró u informe completo y detallado sobre el análisis forense, que se entregó a las autoridades colombianas en el marco del Acuerdo en materia de Asistencia Técnica suscrito por dichas autoridades e INTERPOL.
LA INDEPENDENCIA E IMPARCIAL DEL TRABAJO DE INTERPOL
Aunque quedó claro desde el principio que la solicitud de Colombia se inscribía perfectamente en el marco de la misión de INTERPOL, la Organización tuvo que clarificar explícitamente, en el curso de su examen independiente de las ocho pruebas instrumentales de carácter informático decomisadas alas FARC, una serie de elementos que rodearon la operación efectuada por Colombia el 1 de marzo de 2008.
INTERPOL estaba preocupada por la controversia entre varios países que se suscito con la operación y se cuido bastante de no dar una impresión de parcialidad en un litigio entre países que son miembros respetables de INTERPOL.
Para ello, adoptó una serie de medidas que le permitieron alcanzar la independencia en el trabajo de análisis forense.
El viernes 7 de marzo de 2008, el Secretario General envió un mensaje al Vicepresidente más antiguo de INTERPOL, Arturo Herrera Verdugo, y a todos los miembros de su Comité Ejecutivo, así como a las 186 Oficinas Centrales Nacionales de la Organización, para explicar claramente lo que se había acordado con las autoridades colombianas y hacer hincapié en que la función desempeñada por INTERPOL era de carácter exclusivamente técnico.
Además, expresó su deseo de viajar a cualquier país miembro de INTERPOL que solicitara una reunión para debatir este asunto y declaró estar disponible para ello; asimismo, informó a los Miembros de INTERPOL de que viajaría personalmente a Colombia con la unidad de gestión de crisis “para evitar todo malentendido en cuanto a [las] tareas y responsabilidades [del equipo], garantizar que las condiciones de trabajo permiten a sus integrantes actuar en un entorno independiente y velar por que cualquier asunto o problema de último minuto pueda tratarse y resolverse de un modo eficaz.
La ayuda solicitada por un país miembro de INTERPOL no sólo estaba acorde con la misión de INTERPOL a escala mundial, tal como se define en su Estatuto, sino que la prestación de un apoyo policial operativo a sus países miembros es parte integrante de la estrategia de esta organización y una de las cuatro funciones esenciales, explícitamente aprobadas por su Asamblea General.
El sábado, 8 de marzo de 2008, cuando la Unidad de Gestión de Crisis estaba realizando los últimos preparativos para su partida a Colombia , al día siguiente, el Secretario General de INTERPOL mantuvo una conversación telefónica con D. José Miguel Insulza, Secretario General de la Organización de Estados Americanos (OEA) para informarlo del examen de carácter exclusivamente técnico que iba a realizar INTERPOL, quien afirmó que apoyaba firme y públicamente que INTERPOL efectuara un examen independiente para determinar si alguno de los archivos de usuario contenidos en las ocho pruebas instrumentales de carácter informático había sido añadido, modificado o suprimido con posterioridad a su decomiso a las FARC, practicado el 1 de marzo de 2008.
Asimismo, en la Cuarta Conferencia Mundial de Jefes de OCN de INTERPOL, celebrada en Lyon (Francia) , entre el 2 al 4 de abril 2008, el Secretario General se entrevistó con los jefes de las delegaciones de Colombia, Ecuador y Venezuela para explicar el carácter exclusivamente técnico de la ayuda prestada por INTERPOL a Colombia y reiteró su propuesta del 7 de marzo 2008 de viajar a cualquier país miembro de la Organización que estuviera preocupado por el envío de la unidad de gestión de crisis de INTERPOL.
Insistiendo en lo mismo, el Secretario General remitió sendas cartas a los jefes de las policías nacionales de Colombia, Ecuador y Venezuela y al director del Departamento Administrativo de Seguridad de Colombia.
Colombia fue el único país miembro de la Organización que solicitó una entrevista con el Secretario General, y ningún país presentó objeción alguna al examen por parte de INTERPOL de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
METODOLOGÍA
Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de INTERPOL en informática forense, las autoridades colombianas accedieron a todas las pruebas instrumentales, principalmente entre el 1 de marzo de 2008 ( fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático) y el 3 de marzo de 2008 a las 11.45 horas( momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal –DIJIN- de Colombia), el acceso a los datos contenidos en las citadas pruebas no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
Esto se comprobó porque cuando los funcionarios de los organismos encargados de la aplicación de la ley acceden directamente a las pruebas electrónicas decomisadas, sin hacer en primer lugar una copia imagen de los datos, el acceso a las pruebas y su visualización quedan registrados.
Los especialistas de INTERPOL fueron concientes de que el acceso directo puede complicar en gran medida el proceso de validación de las pruebas para presentarlas ante los tribunales, porque en este caso los funcionarios de las fuerzas del orden deben demostrar o probar que el acceso directo que efectuaron no afectó materialmente a la finalidad de las pruebas.
Utilizando herramientas forenses, los especialistas en informática de los organismos encargados de la aplicación de la ley pudieron determinar los distintos tipos de archivos de sistema, temporales y permanentes, creados en un ordenador como consecuencia del encendido o el apagado de éste.
Por motivos relacionados con las investigaciones que llevan a cabo las fuerzas del orden, INTERPOL no reveló las herramientas forenses que utilizaron sus especialistas para proceder a tal determinación durante el análisis de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
Utilizando un programa informático forense, extrajeron la información de las marcas de tiempo correspondientes a los archivos contenidos en cada una de las pruebas instrumentales, haciendo la distinción entre archivos de sistema y de usuario y verificaron la configuración de la hora y fecha del sistema en cada uno de los tres ordenadores portátiles ya que esta configuración sirve de referencia para las marcas de tiempo.
Con respecto a los archivos de los discos duros externos y de las llaves USB, normalmente la configuración de fecha y hora se toma del ordenador al que estaban conectados en el momento en que se crearon, abrieron, modificaron o eliminaron dichos archivos.
El cifrado es un método utilizado para codificar datos con el objetivo de evitar que otra persona que no sea el destinatario deseado los lea.
Las autoridades colombianas comunicaron abiertamente a los especialistas de INTERPOL que un funcionario de su unidad antiterrorista accedió directamente a las ocho pruebas instrumentales citadas, en circunstancias exigentes y marcadas por la premura de tiempo, entre el 1 de marzo de 2008, cuando fueron decomisadas por las autoridades colombianas, y el 3 de marzo de 2008.
Como se ha señalado anteriormente, los especialistas en informática de los organismos encargados de la aplicación de la ley pueden reconstruir lo ocurrido durante un acceso directo a pruebas electrónicas decomisadas, y eso hicieron los especialistas de INTERPOL en el curso de su examen forense.
Es así como descubren los especialistas de INTERPOL que los sistemas operativos de los tres ordenadores portátiles decomisados mostraban que los tres ordenadores habían sido apagados el 3 de marzo de 2008, a diferentes horas, antes que fueran entregados a los investigadores en informática forense de la Policía Judicial Colombiana y que los dos discos duros externos y las tres llaves USB habían sido conectados a un ordenador entre el 1 y el 3 de marzo de 2008, sin que se hubieran obtenido previamente copias imagen forenses de su contenido y sin emplearse dispositivos de bloqueo de escritura (write-blockers).
En los archivos de la prueba instrumental decomisada Número 26, un ordenador portátil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores: creación de 273 archivos de sistema, apertura de 373 archivos de sistema y de usuario, modificación de 786 archivos de sistema, supresión de 488 archivos de sistema.
En los archivos de la prueba instrumental decomisada Número 27( ordenador portátil), se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores: creación de 589 archivos de sistema, apertura de 640 archivos de sistema y de usuario, modificación de 552 archivos de sistema y supresión de 259 archivos de sistema.
En los archivos de la prueba instrumental decomisada Número 28( ordenador portátil), se crearon 1.479 archivos de sistema, aperturaron 1.703 archivos de sistema y de usuario, se modificaron 5.240 archivos de sistema y se suprimieron 103 archivos de sistema.
En las otras pruebas instrumentales, también habían archivos aperturados, creados, modificados y suprimidos por las primeras autoridades que tuvieron acceso al material decomisado..
INTERPOL explicará de manera sencilla los dos modos principales de acceder a los datos contenidos en los ordenadores portátiles, las llaves USB y los discos duros externos: uno se ajusta a los principios reconocidos a escala internacional para el manejo de pruebas electrónicas por parte de las fuerzas del orden26, mientras que el otro no se ajusta a ellos.
Para manejar pruebas electrónicas de conformidad con los principios internacionales reconocidos a escala internacional es preciso seguir una metodología rigurosa.
En cooperación con sus países miembros, varias organizaciones gubernamentales y distintos organismos encargados de la aplicación de la ley, INTERPOL ha elaborado una serie de principios internacionales para tratar pruebas consistentes en datos electrónicos; principios que se presentaron oficialmente en la Conferencia de INTERPOL sobre Caber delincuencia celebrada en El Cairo (Egipto) en 2004, y están a disposición de los funcionarios de los organismos encargados de la aplicación de la ley de los 186 países miembros de la Organización, que pueden consultarlas en el sitio web protegido de INTERPOL.
Dentro del análisis forense de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC, INTERPOL revisó el procedimiento que siguieron los especialistas en investigación informática forense de la Policía Nacional de Colombia para manejar las pruebas electrónicas decomisadas el 1 de marzo de 2008. Estas personas asumieron la custodia de las pruebas el 3 de marzo de 2008 a las 11.45 horas .
La Policía Nacional de Colombia dispone de especialistas en investigación informática forense debidamente cualificados, que están integrados en el Grupo Investigativo de Delitos Informáticos dependiente de la Dirección de Investigación Criminal (la policía judicial colombiana. Entre enero de 2007 y abril de 2008 el jefe de este grupo fue vicepresidente del sub grupo de formación del grupo de trabajo de INTERPOL sobre delincuencia relacionada con la tecnología de la información para América Latina, y es todavía representante permanente de Colombia en el grupo de trabajo.
Los especialistas de INTERPOL consideraron que el procedimiento seguido por la policía judicial de Colombia para registrar, documentar, fotografiar, etiquetar y copiar cada una de las pruebas y para realizar una copia imagen de ellas se ajustaba a los citados principios reconocidos internacionalmente, con lo que se garantizaba que ninguno de los datos que contenían las pruebas decomisadas habían sido alterados, dañados o destruidos durante su manejo.
En el informe técnico confidencial, los especialistas de INTERPOL exponen detalladamente los datos técnicos de todas las medidas adoptadas por los especialistas en investigación informática forense de la Policía Nacional de Colombia para analizar las ocho pruebas.
Queda totalmente claro que dichos especialistas se sujetaron al principio fundamental según el cual en circunstancias normales los organismos encargados de la aplicación de la ley no deben acceder directamente a las pruebas electrónicas decomisadas, sino que deben realizar una copia imagen de los datos contenidos en el equipo informático en cuestión, utilizando un dispositivo de bloqueo de escritura para no alterar los archivos del sistema operativo del ordenador y no tener que realizar un análisis exhaustivo de las pruebas decomisadas, lo que requeriría mucho tiempo, a fin de demostrar que al producirse el acceso directo a los datos no hubo ninguna falsificación ni se alteró el contenido de los archivos.
Dado que los especialistas en investigación informática forense de la Policía Nacional de Colombia manejaron las ocho pruebas instrumentales de carácter informático decomisadas a las FARC de conformidad con los principios reconocidos a escala internacional para llevar a cabo exámenes informáticos forenses, no se creó, añadió, modificó ni eliminó ningún dato de dichas pruebas entre el 3 de marzo de 2008 a las 11.45 horas30 y el 10 de marzo de 2008, fecha en que fueron entregadas a los especialistas de INTERPOL para efectuar la copia imagen.
CONCLUSIONES DEL ANÁLISIS FORENSE
Al terminar el análisis informático forense, los especialistas de INTERPOL concluyeron lo siguiente:
1. Las ocho pruebas instrumentales decomisadas a las FARC, a saber, ordenadores portátiles, llaves USB y discos duros externos, contienen en total 609,6 gigabytes de datos en forma de documentos, imágenes y vídeos.
2. En el informe confidencial de INTERPOL figuran todos los archivos de usuario almacenados. Existían archivos de tres tipos: de sistema operativo, de aplicación y de usuario. Los primeros son los que utiliza un ordenador al realizar operaciones habituales como las de inicio, puesta en funcionamiento o cierre del sistema. Estos archivos se crean ,se abren y se modifican con frecuencia sin que el usuario sea consciente de ello. Los archivos de aplicación son programas instalados en el ordenador además de los archivos de sistema operativo, tales como los procesadores de texto, los reproductores de archivos multimedia y los antivirus. Los programas antivirus están especialmente diseñados para mantenerse activos con el fin de garantizar que todos los archivos contenidos en el ordenador permanecen libres de códigos maliciosos. Los archivos de aplicación están relacionados con la aplicación y el usuario no tiene control directo sobre ellos. Por ejemplo, cuando el usuario abre un documento con MicrosoftWord, se crea una copia de seguridad temporal en el disco duro.
3. Los archivos de usuario están directamente relacionados con el usuario, que es el responsable de su contenido y los maneja con total libertad. Son archivos de usuario los documentos elaborados con un procesador de texto, las hojas de cálculo y los archivos de música. Es decir, cuando un usuario guarda un documento utilizando Microsoft Word, el archivo almacenado en el disco duro o en cualquier otro dispositivo es un archivo de usuario. En el informe de los especialistas, el término “archivos de sistema” engloba a los archivos de sistema operativo y los archivos de aplicación. En los citados 609,6 gigabytes, están incluidos tanto los archivos de sistema como los archivos de usuario.
4. Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de INTERPOL en informática forense, las autoridades colombianas accedieron a todas las pruebas instrumentales.
5. El acceso a los datos contenidos en las ocho pruebas instrumentales de carácter informático decomisadas a las FARC realizado por el Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia , entre el momento en que las recibieron, el 3 de marzo de 2008 a las 11.45 horas, y el momento en que las entregaron a los especialistas en informática forense de INTERPOL, el 10 de marzo de 2008, se ajustaron a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
6. Entre el 1 de marzo de 2008, fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45 horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia, el acceso a los datos contenidos en las citadas pruebas no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
7. Asimismo, el análisis informático forense confirmó que, según habían reconocido las Fuerzas del Orden colombianas, el acceso a los datos contenidos en las citadas ocho pruebas instrumentales realizado entre el 1 de marzo de 2008, fecha en que fueron decomisadas por las autoridades colombianas, y el 3 de marzo de 2008 a las 11.45 horas, momento en que fueron entregadas al Grupo Investigativo de Delitos Informáticos de la policía judicial colombiana, no se realizó conforme a los principios reconocidos internacionalmente aplicables al manejo ordinario de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley. Esto es, en lugar de tomar el tiempo necesario para hacer copias protegidas contra la escritura de cada una de las ocho pruebas instrumentales decomisadas antes de acceder a ellas, este acceso se hizo directamente.
8. El acceso directo entre el 1 y el 3 de marzo de 2008 a las ocho pruebas instrumentales de carácter informático decomisadas a las FARC dejó rastros en los archivos de sistema, como ya se ha explicado. No obstante, los especialistas de INTERPOL no encontraron en ninguna de las ocho pruebas archivo de usuario alguno que hubiera sido creado, modificado o suprimido con posterioridad al decomiso, practicado el 1 de marzo de 2008.
9. Por el contrario, el acceso a los datos contenidos en las ocho pruebas instrumentales de carácter Informático decomisadas a las FARC , llevado a cabo por el Grupo Investigativo de Delitos Informáticos de la PJ Colombiana a partir de las 11.45 horas del día 3 de marzo 2008 , cumplió con los principios más estrictos reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley. Por ejemplo, estos especialistas no accedieron directamente a ninguna de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
10. La verificación realizada por INTERPOL de las ocho pruebas instrumentales citadas no implicó la validación de la exactitud de los archivos de usuario que contienen, de la interpretación que cualquier país pueda hacer de dichos archivos ni de su origen. Es sabido que las conclusiones sobre la veracidad o exactitud del contenido de cualquier prueba se establecen en el marco de un procedimiento judicial de ámbito nacional o internacional, o bien, por parte de una comisión especialmente designada y con jurisdicción sobre el asunto en litigio.
11. INTERPOL no ha encontrado indicios de que tras la incautación a las FARC de las ocho pruebas instrumentales de carácter informático, efectuada el 1 de marzo de 2008 por las autoridades colombianas, se hayan creado, modificado o suprimido archivos de usuario en ninguna de dichas pruebas.
12. Utilizando sus herramientas forenses, los especialistas hallaron un total de 48.055 archivos cuyas marcas de tiempo indicaban que habían sido creados, abiertos, modificados o suprimidos como consecuencia del acceso directo a las ocho pruebas instrumentales por parte de las autoridades colombianas entre el momento del decomiso de éstas, el 1 de marzo de 2008,y el 3 de marzo de 2008 a las 11.45 horas.
13. Los especialistas de INTERPOL descubrieron asimismo que uno de los ordenadores portátiles (prueba no 28) y los dos discos duros externos decomisados (pruebas no 30 y 31) contenían archivos cuyas marcas de tiempo eran erróneas, ya que indicaban una fecha futura. La prueba N° 28 contiene un archivo cuya fecha de creación es el 17 de agosto de 2009, la prueba N° 30 contiene 668 archivos cuyas fechas de creación oscilan entre el 7 de marzo de 2009 y el 26 de agosto de2009. Existen 31 archivos cuyas fechas de última modificación varían entre el 14 de junio de 2009 y el 26 de agosto de 2009. La prueba no 31 contiene 2.110 archivos cuyas fechas de creación oscilan entre el 20 de abril de 2009 y el 27 de agosto de 2009, 1.434 archivos cuyas fechas de última modificación varían entre el 5 de abril de 2009 y el16 de octubre de 2010.
14. Basándose en el análisis de las características de estos archivos, los especialistas concluyeron que estos archivos habían sido creados antes del 1 de marzo de 2008 en uno o varios dispositivos con una configuración de fecha y hora del sistema incorrecta. El hecho de que estos archivos aparezcan en las pruebas 30 y 31 indica que o bien fueron creados cuando dichas pruebas instrumentales se encontraban conectadas a un dispositivo con una configuración de fecha y hora del sistema incorrecta, o bien se transfirieron posteriormente (después de su creación), junto con sus respectivas marcas de tiempo de 2009, a las pruebas 30 y 31. En lo que respecta al único archivo con fecha de creación de 2009 que contiene la prueba 28, los especialistas de INTERPOL llegaron a la conclusión de que este archivo había sido primero creado y después transferido a la prueba 28, y que su fecha de creación se había transferido con él.Basándose en todo lo anterior, los especialistas de INTERPOL llegaron a la conclusión de que las autoridades colombianas no deberían tener en cuenta la fecha futura marcada en los archivos de lastres pruebas citadas (28, 30 y 31).
15. Habida cuenta de todo lo antedicho y habiendo realizado un examen forense exhaustivo, los especialistas de INTERPOL concluyen que no se ha creado, modificado o suprimido ningún archivo de usuario en ninguna de las ocho pruebas instrumentales de carácter informático después de su decomiso a las FARC, practicado el 1 de marzo de 2008.
RECOMENDACIONES DE INTERPOL PARA SUS PAÍSES MIEMBROS
Los especialistas de INTERPOL recomiendan a sus países miembros que en cuanto al manejo de este tipo de pruebas se debe adoptar las siguientes medidas :
- Brindarles formación y /o capacitación a las unidades policiales que llegan primero a la escena del crimen o encuentran pruebas electrónicas en el transcurso de una investigación policial.
En el Manual de INTERPOL sobre Delincuencia Informática existe información base para elaborar estos programas de formación. Además, en el proyecto CybercrimeInvestigation – developing an international training programme for the future32 (Investigación en materia de delincuencia informática – Desarrollo de un programa internacional de formación de cara el futuro), en el marco del programa AGIS de la Comisión Europea, se señalan los contenidos de estos programas de formación y su necesidad.
En la Sexta Conferencia Internacional de INTERPOL sobre Caber delincuencia, celebrada en El Cairo (Egipto) del 13 al 15 de abril de 2004, se aprobó una resolución en la que se pedía “Que la formación y la asistencia técnica sigan considerándose prioritarias en la lucha internacional contra laciber delincuencia “y que la formación en este ámbito no sólo debe estar dirigida a los especialistas en informática forense, sino concretamente a los agentes de las unidades que primero intervienen en el lugar de los hechos.
Resulta evidente que la tecnología seguirá desempeñando un papel cada vez más importante en las vidas de todos nosotros, y que en los años venideros, veremos cada vez más pruebas electrónicas en las investigaciones.
- Creación en INTERPOL de una unidad dedicada a la investigación sobre informática forense e Internet debidamente formada y equipada
Existen 1,300 millones de usuarios de Internet en todo el mundo. En 2010 esta cifra alcanzará los 1,800 millones .
Muchos viajeros internacionales llevarán consigo datos electrónicos almacenados en diversos dispositivos, lo que dará lugar a un aumento considerable del número de investigaciones que afecten a varios países en las que se contará con pruebas electrónicas.
Por ello, es fundamental que INTERPOL disponga de su propia unidad especializada, formada adecuadamente y plenamente equipada, para poder prestar apoyo a los países Miembros en materia de informática forense e impartir formación sobre este tema.
Tanto INTERPOL como Colombia tuvieron la suerte de que pocas horas después de la solicitud de la Organización, los jefes de la Policía Federal de Australia y de las Fuerzas Policiales de Singapur mostrasen su intención de enviar a sendos especialistas en investigación informática forense para, bajo la dirección de INTERPOL, examinar las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
El hecho de apartar rápidamente a estos especialistas del trabajo diario que realizan en sus servicios policiales respectivos supuso una carga suplementaria para sus unidades respectivas, que ya tienen un gran volumen de trabajo, lo que significa que ninguno de ambos servicios estaba plenamente preparado para este despliegue.
Por último, cuando INTERPOL efectuó la petición, era evidente que tanto la Organización como sus especialistas iban a convertirse en un foco de atención y podían ser blanco de críticas injustas o poco consideradas de índole política.
La solicitud de Colombia a INTERPOL en el caso concreto de esta investigación pone de relieve lo importante que es para los países miembros poder recurrir a la asistencia de una organización internacional independiente, como INTERPOL, para que les ayude a tratar grandes cantidades de pruebas electrónicas.
Conviene señalar que este cometido es coherente con el Convenio sobre Caber delincuencia del Consejo de Europa, que en su artículo 35 estipula que se debe disponer de personal bien formado y equipado (…) de manera permanente, a fin de garantizar que se pueda prestar ayuda inmediata en las investigaciones o procedimientos sobre delitos relacionados con datos y sistemas informáticos, o para la recopilación de pruebas en formato electrónico vinculadas con un delito .
- Estudio sobre el suministro de ayuda a Colombia en materia de informática forense por parte de INTERPOL con el fin de determinar las lecciones que se han aprendido
En toda gran investigación internacional, al margen del grado de independencia y profesionalidad con que se realice, es necesario efectuar un estudio minucioso para determinar las lecciones que se han aprendido. Esto es particularmente cierto en este caso, en el que se ha dado acceso a los especialistas en investigación informática de dos países miembros de INTERPOL a documentos clasificados decomisados por un tercer país, y se ha realizado el trabajo desde tres continentes (las Américas, Asiay Europa) y en varios idiomas.
Ninguno de estos factores sin precedentes ha impedido a INTERPOL realizar un estudio independiente y exhaustivo en el plazo acordado entre ambas partes.
De hecho, no existía ningún procedimiento operativo normalizado que permitiese tratar problemas que, sin lugar a dudas, volverían a presentarse en el futuro, si no para la Organización al menos para sus países miembros, de manera bilateral o multilateral. Un estudio honesto, minucioso y crítico permitirá que, más adelante, salgan beneficiados tanto INTERPOL como sus países miembros.
LAS BUENAS PRÁCTICAS.
Al manejar pruebas, es de crucial importancia seguir los principios generales: presencia de testigos en el lugar de los hechos, integridad de los datos, registro de auditoria, apoyo especializado, formación de los funcionarios , legalidad y adhesión a los principios.
Presencia de testigos en el lugar de los hechos
El funcionario responsable no deberá acudir nunca solo al lugar de los hechos Este tipo de actividad debe ser realizada como mínimo por dos funcionarios. Un segundo funcionario, por un lado, aporta seguridad personal y, por otro, ayuda a captar más detalles el lugar de los hechos. Los funcionarios deberían planear y coordinar sus acciones. Si surgen problemas inesperados, es más fácil resolverlos porque “dos cabezas piensan más que una”.
Integridad de los datos
Ninguna acción llevada a cabo por los organismos encargados de la aplicación de la ley o sus funcionarios deberá modificar los dispositivos o soportes electrónicos que posteriormente puedan servir como pruebas ante los tribunales. Cuando se manejen dispositivos y datos electrónicos, no deben modificarse ni en los equipos ni en los programas. El funcionario encargado es responsable de la integridad del material encontrado en el lugar de los hechos y, por lo tanto, del inicio de la cadena de custodia forense.
Registro de auditoría
Cuando se manejen pruebas electrónicas, se deberá crear y conservar un registro de auditoria o de otro tipo para dejar constancia de todas las acciones que se han llevado acabo con las pruebas electrónicas. Una tercera persona de carácter independiente debería poder estudiar esas acciones y conseguir con ellas el mismo resultado. Con el fin de garantizar la validez de las pruebas ante los tribunales, es imperativo que se registren fielmente todas las actividades para permitir que un tercero reconstruya las acciones de las primeras personas que acudieron al lugar de los hechos.
Todas las actividades relacionadas con el decomiso, el acceso, el almacenamiento o la transferencia de las pruebas electrónicas deben documentarse exhaustivamente y dicha documentación debe conservarse y mantenerse disponible para su estudio .
Apoyo especializado
Si se presume que se pueden encontrar pruebas electrónicas en el curso de una operación policial, el funcionario encargado deberá notificarlo a tiempo a los especialistas o la los asesores externos.
En aquellas investigaciones que impliquen la búsqueda y el decomiso de pruebas electrónicas puede ser necesario consultar a especialistas externos.
Todos los especialistas externos deberían estar familiarizados con los principios recogidos en éste u otros documentos pertinentes similares. Se supone que un especialista posee la experiencia y los conocimientos especializados necesarios en su campo, los conocimientos requeridos en materia jurídica y de investigación, los conocimientos contextuales y jurídicos necesarios y las dotes de comunicación adecuadas (para explicarse oralmente y por escrito).
Formación de los funcionarios
Las primeras personas que llegan al lugar de los hechos deberán poseer la formación adecuada para poder buscar y decomisar pruebas electrónicas en el caso de que no se disponga de especialistas en el lugar de los hechos .
En circunstancias excepcionales en las que sea necesario que la primera persona que acuda al lugar de los hechos recoja las pruebas electrónicas o acceda a los datos originales contenidos en un dispositivo electrónico o soporte de almacenamiento digital, dicha persona debe poseer la formación necesaria para hacer su trabajo de la manera correcta, y para aportar las explicaciones oportunas sobre la importancia y las implicaciones de sus acciones..
Legalidad y adhesión a los principios
El funcionario y el servicio encargados del caso serán los responsables de garantizar el cumplimiento de la ley, los principios forenses y procedimentales generales, y los principios que figuran en este documento. Este principio se aplica a la tenencia de pruebas electrónicas y al acceso a ellas.
Para la interpretación de las medidas que se proponen en este documento, cada Estado miembro debería tener en cuenta su propia legislación y normativa. Uno de los instrumentos jurídicos internacionales importantes, el Convenio sobre la Caber delincuencia elaborado por el Consejo de Europa, se encuentra actualmente (a fecha de julio de 2003) disponible para la firma por parte de los Estados miembros y los Estados que han participado en su elaboración, y para la adhesión por parte de otros Estados.
BIBLIOGRAFIA
- Association of Chief Police Officers (Reino Unido), “Good Practice Guide for ComputerBased Evidence,” V2.0: junio de 1999, V3.0: agosto de 2003.
- Ministerio Federal del Interior (Austria), “Guide for Seizure and Evaluation of Electronic Evidence,” (en alemán), Versión 1.0, noviembre de 2001.
- Police Cooperation Working Party (Consejo de la Unión Europea),“Information Technology and Good Practice for Search & Seizure,“ 2001.
- International Organization on Computer Evidence, “First responders good practiceguide template,” Proc. OCE 2000 Conference, Rosny sous Bois (Francia), diciembre de2000.
- Ministerio de Justicia de EEUU, Office of Justice Programs, National Institute of Justice, Technical Working Group for Electronic Crime Scene Investigation, “Electronic Crime Scene Investigation: A Guide for First Responders,” julio de 2001,http://www.ncjrs.org/pdffiles1/nij/187736.pdf.
- Consejo de Europa, “Convenio sobre la caber delincuencia,” European Treaty Series No. 185, noviembre de 2001,http://conventions.coe.int/Treaty/EN/ hatYouWant.asp?NT=185&CM=8&DF=11/07/03

No hay comentarios.: