la evidencia digital en el código general del proceso · la evidencia digital en el código...

Evento DECEVAL Octubre/2017

JCM-17 All rights reserved 1

1

La evidencia digital en el Código General del Proceso

Retos y reflexiones emergentes en un mundo digitalmente modificado

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

2Agenda

JCM-17 DECEVAL * Evidencia Digital 2

• Introducción• Convergencia tecnológica• Retos emergentes – Delincuencia digitalmente modificada• Fundamentos conceptuales tradicionales• Código general del proceso• Ejemplos digitalmente modificados• Cambio de paradigma• Reflexiones finales• Referencias



3

Introducción


4Transformación digital


WEF-Accenture (2017) Digital TransformationInitiative. P.63. Recuperado de: http://reports.weforum.org/digital-transformation

http://reports.weforum.org/digital-transformation



5

Convergencia tecnológicaRetos y tendencias


6Convergencia tecnológica


Computación cognitiva

Grandes datos y

analítica

Redes sociales

Computación móvil

Computación en la nube

Internet de las cosas

Datos personales y corporativos



7Convergencia tecnológica


Ho

war

d, C

., P

lum

mer

, D. C

., G

eno

vese

, Y.,

Man

n, J

., W

illis

, D. A

. y M

itch

ell S

mit

h, D

. (2

01

2)

The

nex

us

of f

orc

es: S

oci

al, M

ob

ile, C

lou

d a

nd

Info

rmat

ion

. Gar

tner

rep

ort

. Rec

up

erad

od

e:h

ttp

s://

ww

w.g

artn

er.c

om

/do

c/20

4931

5

DensidadDigital

Con ideas de: KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre

8Ecosistemas Digitales Criminales


ECOSISTEMA DIGITAL

Mercado potencial(Estados, actores no-

estatales, hacktivistas, hackers criminals, bandascriminales organizadas)

Requerimientos(Interrupción,

interceptación, modificación, intrusion,

Engaño)

Estrategia técnica(Recolectar información, cazar vulnerabilidades,

despliegue en DeepWeb, cubrir los rastros, cripto-

monedas)

Prototipos y simulaciones(Vulnerabilidades de día

cero, botnets, APT, Comando & Control,

código de explotación)

Oferta y demanda(Ventas y Mercado de

entrada)

CIRCUITOS DE FEED-BACK / FEED-FORWARD

Infraestructura del adversario

Disrupciones políticas, económicas, sociales y tecnológicas

Motivaciones políticas, económicas, sociales y tecnológicas

https://www.gartner.com/doc/2049315



9

Retos emergentes – Delincuencia digitalmente modificadaEvidencia digital


10Premisas de la delincuencia digital


Uso de plataformasdigitales públicas y

gratuitas, asistidas porcomunidades

especializadas.

Máximo anonimato, con el mínimo de evidenciaposible.

Máxima efectividad, con el mínimo de esfuerzo.

Uso de criptomonedas como medio de pago.

Máxima ambigüedad jurídica, con el mínimo de conocimiento tecnológicodisponible.



11Estrategias resilientes del malware


Ideas tomadas de: Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. Recuperado de: https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/

ANTI MÁQUINA VIRTUALSi se ejecuta en máquina virtual modifica secuencia de ejecución y cambia comportamiento.

ANTI DEPURADORESDetección de debuggers (depuradores) con uso de secciones de memoria conocida

EMPAQUETARMecanismos auto-defensivos

para entorpecer y/o demorar a los analistas de seguridad

OFUSCARDisuadir estudio estático y

manual del código malicioso

Comprime tamaño del ejecutable

Limita el análisis del código

Protege la esencia de su comportamiento

Protege la esencia de su código

12Crimen como servicio


Tomado de:https://cchs.gwu.edu/sites/cchs.gwu.edu/files/Responding%20to%20Cybercrime%20at%20Scale%20FINAL.pdf

https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/



13

Fundamentos Conceptuales TradicionalesEvidencia digital


14Contexto de base


Elementos materiales probatorios

Evidencias

Pruebas

Procedimientos técnicos

Técnica Jurídica



15Evolución de los elementos materiales probatorios


2000s 2003s 2005s 2008s 2013 2015 2020+

Desktops y LaptopsCD, DVD, USB, Discos Externos

Teléfonos móvilesSmartPhones, SIMCards, Memorias SD

Dispositivos móvilesiPad, iPhone, iCloud

Recursos generales requeridosPersonas, procesos y tecnología

Tendencias transversalesComputación en la nube, computación móvil, redes sociales, IoT, grandes datos y analítica

Vestibles (Wearables)iWatch, iglass, Dispostivos médicos

16Definiciones básicas




17Principios que gobiernan la Evidencia Digital


Confiabilidad:Valida la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital.

Relevancia:Elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos.

Suficiencia (Completitud):Las evidencias recolectadas y analizadas son las requeridas para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada.

Tomado de: ISO/IEC 27037:2012. Tecnología de la información –Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

18Normas ISO




19Normas ISO


Aplicabilidad de los estándares a las clases de proceso de investigación y sus actividades. Tomado de: ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence. P. vii

1. Las clases fueron definidas en el ISO/IEC 27043:2015 Informationtechnology -- Security techniques -- Incident investigation principlesand processes, publicado en Marzo de 2015.

2. El detalle de las actividades está dado por la ISO/IEC 27035-2 (en desarrollo) ISO/IEC 27037:2012 y la ISO/IEC 27042.

Information security incident management -- Part 1: Principles of incidentmanagementInformation security incident management -- Part 2: Guidelines to plan and prepare for incident responseInformation security incident management -- Part 3: Guidelines for CSIRT operationsGuidelines for identification, collection, acquisition and preservation of digital evidenceSpecification for digital redaction

Storage security

Guidance on assuring suitability and adequacy of incident investigative method

Guidelines for the analysis and interpretation of digital evidence

Incident investigation principles and processes

Guidelines for Security Information and Event Management (SIEM)

Electronic Discovery, Part 1 to 4

Governance of digital forensic risk framework

20Condiciones jurídicas de la Evidencia Digital


Evidencia Digital

Admisibilidad Valor Probatorio

Exigencias legalesLey 527 de 1999 Art. 10

Peritos especializados (Expertos informática forense)

Ley 906 de 2004. Art.236

Criterio para valorar probatoriamente un mensajes de datos

Ley 527 de 1999. Art. 11



21

Código General del ProcesoEvidencia digital


22Proceso integrado


Violación de

la Ley

Ejecución de

Sentencia

Ord

ena

mie

nto

Ju

ríd

ico

Evidencia

AdmisibleForense Persuación

Oportunidad

Descubrimiento/

AcusaciónIdentificación/

RecolecciónPreservación/

Control Revisión/

IndividualizaciónAnálisis/

Resultados Reporte/

Hallazgos

Méritos

Descubrimiento

Interrogatorio

Presentación del Caso

Testimonio de Expertos

Revisión Cruzada de Evidencias

Argumentos Finales

VerdictoSentencia

Estándares

Adaptado de: CASEY, E. (2004) Digital Evidence and Computer Crime. Cap.4 Pág. 92. Academic Press.



23La evidencia digital en el Código General del Proceso

MEDIOS DE

PRUEBA

Declaración de parte

Confesión

Juramento

Testimonio de terceros

Dictámen pericial

Inspección judicial

Documentos

Indicios

Informes

Cualesquiera otrosmedios

Art. 165 Medios de prueba


24La evidencia digital en el Código General del Proceso

Art. 243 Distintas clases de documentos

DOCUMENTO

Todo objeto mueble que tenga carácterrepresentativo o declarativo

Escritos, impresos, planos, dibujos, cuadros, mensajes de datos, fotografía, cintascinematográficas, discos, grabaciones

magnetofónicas, videograbaciones,radiografías, talons,

contraseñas, cupones, etiquetas, sellos, incripciones en lápidas, monumentos,

edificios o similares




25La evidencia digital en el Código General del ProcesoArt. 243 Distintas clases de

documentos

DOCUMENTO






Ley 57 de 1887 - Código Civil Colombiano – Art. 655

▪ Muebles. Muebles son las que pueden transportarse de un lugar a otro, sea moviéndose ellas a sí mismas como los animales (que por eso se llaman semovientes), sea que sólo se muevan por una fuerza externa, como las cosas inanimadas.

BIEN MUEBLE



documentos

DOCUMENTO






Datos/

Información

Enmovimiento

Enreposo

En puntofinal





documentos

DOCUMENTO






Po

rter,M

.y

Hep

pelm

ann

,J.

(2014)

Ho

wSm

art,co

nnected

prod

ucts

aretran

sform

ing

com

petitio

n.H

arva

rdB

usin

essR

eview.N

oviem

bre

.p.7


28

Ejemplos digitalmente modificadosEvidencia digital




29Análisis forense digital – HD Vs SSD


http://www.maximumpc.com/article/features/autopsy?page=0,3http://www.cheadledatarecovery.co.uk/how-do-hard-disk-drives-work/

30Análisis forense digital - Smartwatch

Po

rter

,M

.y

Hep

pel

man

n,

J.(2

014

)H

ow

Smar

t,co

nne

cted

pro

du

cts

are

tran

sfo

rmin

gco

mp

etit

ion

.Ha

rva

rdB

usi

nes

sR

evie

w.N

ovi

emb

re.p

.7


http

://ww

w.itcle.co

m/w

p-

con

tent/u

plo

ad

s/20

15

/04

/Ap

ple_

Watch

_Explo

ded

_View

_Pic_0

42

91

5.jp

g

http

://thin

kapp

s.com

/blo

g/design

/ap

ple-w

atch-ap

ps-im

po

rtan

t-design

-p

rincip

les/



31

Cambio de paradigmaEvidencia digital


32Ecosistema tecnológico




33Análisis forense en un ecosistema tecnológico


34Visibilidad y confiabilidad de los rastros en un ecosistema

tecnológico




35Cambios en la investigación criminal sobre un

ecosistema tecnológico


Tradicional Ecosistema tecnológico

Evidencia estática Evidencia dinámica

Paradigma positivista Paradigma sistémico

Orientado a dispositivos específicos Orientado a plataformas digitales

Una persona o grupo Comunidades distribuidas

Basada en procedimientos conocidos y probados

Basada en analítica de datos y patrones de reconocimiento

Dificultad Intermedia Dificultad Avanzada

Individual y local Organizado y global

Afectaciones de empresas y personas

Afectaciones de comunidades ynaciones

36

Reflexiones finalesEvidencia digital




37

Concepto Paradigma Detalles Ventajas Limitaciones

Alineado con el mundodigitalmente modificado

Reconoce configuraciónde productos/servicios

digitalmentemodificados

Validez formal

Admisibilidad probatoria

Validez incierta

Admisibilidad probatoriaincierta

Productos/serviciosdigitalmentemodificados

Configuración de losproductos/servicios

digitalmentemodificados

EVIDENCIA DIGITAL

PARADIGMA SISTÉMICO

PARADIGMA MECÁNICO

Modelo de flujodinámico

Procedimientospropuestos y en

desarrollo

Modelo Causa-Efecto

Procedimientosdefinidos y probados

Repensando la evidencia digital en un mundo digitalmente modificado


38

Cada vez que desees sinceramente un cambio, lo primero que debes hacer es elevar tus estándares.

Anthony Robbins. Poder sin límites



39Referencias


• Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega Editores.

• Darahuge, M. y Arellano, L. (2014) Manual de informática forense II. Buenos Aires, Argentina: Errapar S.A• García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación

interdisciplinaria. Barcelona, España: Gedisa Editorial.• Goodman, M. (2015) Future crimes: everything is connected, everyone is vulnerable. New York, USA: Doubleday.• Cano, J. (2015) Seguridad y control en el 2020. Algunas reflexiones sobre el futuro. Revista Sistemas. Asociación

Colombiana de Ingenieros de Sistemas – ACIS. No. 134. 52-59• Cano, J. (2015b) El lado oscuro de la tecnología de información. Reflexiones desde la inseguridad de la información. Blog

IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/01/el-lado-oscuro-de-la-tecnologia-de.html• Howard, C., Plummer, D. C., Genovese, Y., Mann, J., Willis, D. A. y Mitchell Smith, D. (2012) The nexus of forces: Social,

Mobile, Cloud and Information. Gartner report. Recuperado de: https://www.gartner.com/doc/2049315• Páramo, P. (2011) La investigación en ciencias sociales. Estrategias de investigación. Bogotá, Colombia: Universidad

Piloto de Colombia.• Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. ESET. Recuperado de:

https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/• Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre• Ko, R. y Choo, R. (editors) (2015) The cloud security ecosystem. Technical, legal, business and management issues.

Waltman, MA. USA: Syngress Publications.

40Para continuar aprendiendo …


Autor: Jeimy J. Cano M., Ph.D, CFE

Editorial: Alfaomega

Edición: Segunda

Año: 2015

ISBN: 978-958-682-922-9

Mayor información en: http://www.alfaomega.com.co/catalogo/computacion/computacion-forense-descubriendo-los-rastros-informaticos-2-edicion.html

http://insecurityit.blogspot.com/2015/01/el-lado-oscuro-de-la-tecnologia-de.html

https://www.gartner.com/doc/2049315

https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/

http://www.alfaomega.com.co/catalogo/computacion/computacion-forense-descubriendo-los-rastros-informaticos-2-edicion.html



41

La evidencia digital en el Código General del Proceso

Retos y reflexiones emergentes en un mundo digitalmente modificado

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

Blog:http://insecurityit.blogspot.com

@itinsecure

la evidencia digital en el código general del proceso · la evidencia digital en el código...

Documents