El procedimiento forense digital

Frente a la necesidad de conseguir del Fiscal General de la Nación la expedición de una resolución que defina un manual de procedimientos en materia de delitos informáticos, conviene resaltar algunos puntos de la mayor importancia.

Al hablar de un manual de procedimientos en delitos informáticos no solamente se hace referencia a definir cuál será el paso a paso que deberá seguir el investigador al llegar a la escena del delito. Definir este procedimiento en términos de “el investigador debe abrir el explorador de Windows, ubicarse en la carpeta de Archivos de programa… buscar los archivos ejecutables que existan en la máquina…” sería caer en un simplismo casuístico que no aportaría nada nuevo a la valoración que sobre la prueba deben hacer el fiscal y el juez.

Más bien, se trata de dar a los jueces y fiscales elementos que deban tomar en consideración cuando un investigador les presente evidencia de naturaleza digital, de manera que estén en capacidad de decidir si la aceptan o la rechazan, dependiendo del nivel de certeza que alcancen respecto de si esa prueba ha sido modificada de alguna forma, en algún momento. El procedimiento forense digital busca, precisamente, evitar esas modificaciones de los datos contenidos en el medio magnético a analizar, que se pueden presentar en cualquier instante, desde el mismo momento en el que haya ocurrido el presunto hecho punible por razones tan diversas el simple paso del tiempo, porque alguien haya decidido apagar la máquina, por que se haya ejecutado en ella una aplicación que sobre escribió en la memoria, en fin.

También, como es lógico, pueden presentarse como consecuencia de la intervención directa del investigador, cuya tarea inicial es “congelar” la evidencia y asegurarla, para posteriormente presentarla para su análisis. El aseguramiento se hace, única y exclusivamente, mediante la utilización de herramientas de software y hardware que, a su vez, utilizan métodos matemáticos bastante complejos para copiar cada medio magnético en forma idéntica; es decir, que les permiten obtener clones idénticos (copias iguales, bit a bit) al original.

Ejemplificando esto último, cuando se presenta un delito informático, antes de analizar el hecho el investigador debe, inmediatamente, acordonar la escena, que puede no tener más de cinco centímetros de largo, si se trata de una memoria flash (del tipo USB).Y este acordonamiento de la escena no es otra cosa que clonar bit a bit los datos contenidos en ella.

Lastimosamente, obtener una copia judicialmente aceptable no es tarea fácil. Sin embargo, la industria, y la práctica legal en otros países, han definido estándares que, entre otros, se refieren a la necesidad de esterilizar el medio magnético en el que la copia será guardada (esta esterilización implica la eliminación de la información que pueda existir en él y de las diferencias de campo eléctrico que existan en su superficie); al paso a paso que debe seguir el investigador; a la aceptación que la comunidad científica da a los métodos matemáticos que están detrás de las herramientas de hardware y software usadas por él; y, a la rata de error de esas herramientas.

Afortunadamente, existen ya manuales redactados por entidades muy reconocidas en el sector de la seguridad de la información, v. g., la Computer Crime and Intellectual Property Section del Departamento de Justicia americano, el Scientific Working Group on Digital Evidence, la International Organization of Computer Evidence, por sólo mencionar algunos, frente a los cuales cualquier intento local de redacción de un nuevo manual de procedimientos en delitos informáticos generaría de antemano una sensación de desconfianza particularmente fundamentada (que podría ser debatida).

A pesar de que la definición y la aplicación de este manual pueden parecer tareas difíciles en nuestro país, es necesario que sean abordadas con la mayor prontitud. Hoy, siendo honestos, un joven con un nivel medio de conocimientos en sistemas puede modificar evidencia digital haciéndola aparecer inmaculada; y el funcionario judicial simplemente no conoce los criterios apropiados que le permitan determinar si esa prueba es o no admisible.

Me atrevo a afirmar que nuestras autoridades, en cuanto se refiere al tratamiento legal de los delitos informáticos, se encuentran en una etapa infantil de desarrollo. Siendo entendible que así sea, dadas nuestras circunstancias de país y de recursos, deben esforzarse para continuar madurando y creciendo en conocimientos y experiencia; disculpas para no hacerlo no las hay, puesto que incluso fuerzas del orden de otros países están dispuestas a dar entrenamiento, y hasta tecnología, a cambio de que Colombia avance en estos temas (obviamente con el legítimo beneficio que esto representa para sus respectivos nacionales).

Así que queda en manos de la Fiscalía General el avanzar en estos temas novedosos y darnos a todos un nivel cierto de seguridad jurídica on line.