pgm 150406 jornada evidencias digitales

EVIDENCIAS DIGITALESPROCEDIMIENTOS PARA IDENTIFICAR, ANALIZAR Y PRESENTAR

EVIDENCIAS DIGITALES EN PROCESOS JUDICIALES

JORNADA DE FORMACIÓN

www.gpartners.es

1

Jornada Formación Evidencias Digitales

Tecnología Forense, al servicio de los abogados

La generalización del uso de la informática en el entorno empresarial en los últimos años, ha determinado que los sistemas y dispositivos electrónicos de cualquier compañía constituyan una fuente esencial de información a tener en cuenta en el marco de cualquier conflicto empresarial, ya sea un fraude, un soborno, una demanda financiera o un litigio laboral.

Es de vital importancia seguir una metodología y procedimientos rigurosos que garanticen en todo momento la validez y exactitud de las pruebas, así como el derecho fundamental a la privacidad de las personas.

“Identificar, analizar y presentar adecuadamente la información en un proceso judicial puede ser la diferencia entre ganar y perder un caso”


Obtención de evidencias digitales

La huella digitalLas herramientas de hardware y software que utilizamos para adquirir una evidencia garantizan que la información del dispositivo original no es alterada en el proceso de adquisición. El resultado de este proceso es una imagen forense, esto es, una colección de archivos que son una copia bit a bit del disco duro, a la que se ha aplicado un algoritmo para identificar de manera inequívoca el estado de ese disco duro en el momento en que se adquirió, con lo que cualquier intento de alteración de la imagen quedaría evidenciado pues la firma sería distinta.

¿Qué es una imagen forense?Es una copia exacta e inalterable de cualquier información electrónica obtenida por expertos independientes y que es susceptible de ser aportada en un procedimiento judicial.

Función Hash MD5 (Messge-Digest Algorithm 5)



Cadena de custodia y almacenamiento de los datosDesde el momento en que se nos proporciona el dispositivo o fichero que será objeto de la investigación o imagen forense, comenzamos a documentar la “Cadena de custodia”. Durante el proceso de adquisición, se identifica información referente al dispositivo informático

objeto de la adquisición, las técnicas utilizadas, hora de inicio y de fin de la adquisición, herramientas empleadas. Además, generamos una copia de seguridad.

La adquisición es supervisada por un testigo que garantice que no modificamos la evidencia y por nuestro responsable de tecnología forense, que se asegura que la adquisición se ha realizado conforme a nuestra metodología y estrictos requisitos de calidad.

Toda esta información se incluye en lo que denominamos “Acta de Obtención de Evidencia”. La “Cadena de Custodia” no es más que el registro e identificación cronológica del receptor,

creación, posesión, transferencia, localización y/o disposición de la evidencia.

Estos procedimientos nos permiten: Garantizar que la evidencia no ha sido manipulada. Utilizar como prueba admisible en un proceso judicial. Emitir y presentar informes ante los Tribunales.



¿Dónde podemos adquirir u obtener pruebas digitales? Discos duros de los ordenadores asignados a los

empleados. Servidores de correo corporativo. Servidores de ficheros corporativos (carpetas de red). Smartphones teléfonos móviles, tarjetas de memoria,

USB´s, CD´s, DVD´s, y en general cualquier dispositivo electrónico.

Información pública en Internet.


Análisis de evidencias digitales

El objetivo primordial en la etapa de análisis es extraer únicamente aquella información relevante para la investigación salvaguardando los derechos fundamentales de privacidad de la información y de los de carácter personal que pudieran contener las evidencias.

Metodología de Búsquedas ciegasSe extrae de las imágenes forenses únicamente aquella información que es considerada relevante para la investigación. Y no se revisa el resto.Se realizan búsquedas selectivas de información mediante la utilización de palabras clave, dependiendo del contexto de la investigación.


Recuperación de la información

Reconstruimos y recuperamos la información borrada o dañada de forma accidental o intencionada

Documentos borrados Emails borrados / emails enviados Discos duros dañados. Fechas de creación de documentos Documentos enviados a la impresora Historiales de navegación por internet Documentos protegidos con contraseña

También se puede trazar los movimientos de un documento a través de su huella digital.

Se pueden recuperar archivos cifrados y con contraseñas


Utilización de la evidencia digital

¿Cuándo podemos utilizar la evidencia digital?

Situaciones de compra venta de empresas (Forensic Due Diligence) Delitos contra la propiedad industrial e intelectual Descripción de tecnologías y sistemas involucrados en el caso Investigaciones de fraude Sospechas sobre ciertas actuaciones de los

trabajadores. Despidos y conflictos laborales Competencia desleal Cumplimiento de obligaciones y contratos Fuga de datos Verificación de licencias de software Delitos informáticos. Intrusiones, robo de

información, secretos industriales Abuso de los sistemas informáticos


Elaboración y ratificación de Informes Periciales

Nuestras actuaciones y trabajos sobre las evidencias digitales pueden quedar reflejadas en un informe pericial de carácter puramente tecnológico, o bien, pueden complementar los informes periciales realizados por nuestros compañeros expertos económicos, quienes valoran los daños y perjuicios.

Redactamos el informe pericial de carácter tecnológico para ser aportado a procedimientos judiciales de cualquier jurisdicción

Proporcionamos una visión clara, objetiva e independiente de los hechos

Exponemos nuestras conclusiones de una forma fácilmente comprensible y sólidamente documentada

Aportamos sentido a la información en los conflictos empresariales

Probamos y testeamos asunciones, afirmaciones y argumentos tanto de nuestros clientes como de las otras partes implicadas


Protocolo de mejores prácticas.Obtención, análisis y presentación de evidencias digitales

Protocolo de obtención, análisis y presentación de evidencias digitales

1. Autorización del propietario de la información.2. Política de seguridad3. Obtención de imágenes forenses con herramientas

especializadas y en presencia de testigos - De menor a mayor cualificación

1. El propio empleado (carta de consentimiento)

2. Representante de la empresa y/o asesores legales.

3. Representante de los trabajadores

4. Notario

4. Documentación de la firma digital (código HASH)5. Documentación de la cadena de custodia6. Análisis de la información mediante búsquedas selectivas.

1. Metodología de búsquedas ciegas basadas en palabras clave.

2. Documentación de las palabras clave

7. Informe pericial firmado y ratificación en el juicio.


Conclusiones y aspectos clave

Obtención de imágenes forenses con herramientas especializadas que garanticen que tenemos toda la información del dispositivo (borrada y visible) y que no se ha podido manipular

Ha sido obtenido por especialistas independientes y en presencia de testigos

Se documenta y garantiza la Cadena de Custodia

Se garantiza el derecho fundamental a la intimidad de las personas y el secreto de las comunicaciones mediante la utilización de técnicas de “búsquedas ciegas”.

Si existe, se aporta el protocolo de uso aceptable de los Sistemas de información aplicable en el cliente.

Se presentan los resultados del análisis ante el juzgado en un informe pericial, claro, conciso y transparente y se ratifica

CASOS PRÁCTICOS12


Casos prácticos I

Reclamación por irregularidades en procesos de inversión privada.

Metodología aplicada: Análisis digital forense, definición de medidas cautelares, Obtención de evidencias en el CPD de la entidad bancaría, analítica de protocolo de inversión, análisis del gestor documental y de la aplicación central del banco.

Resultados obtenidos: Se encontraron irregularidades en el protocolo de inversiones, en las fechas de la documentación y creación de la mismaSe cuantificó un perjuicio económico de 2,2 millones de euros.

Informes Periciales: Dieron base a las acciones legales que se emprendieron.

Caso 1: Sector Financiero

Certificación de las visitas y numero de hits en servidores de publicidad on line en un contrato publicitario.

Metodología aplicada: Análisis digital forense de los servidores, análisis de logs y trazabilidad de impresiones.

Resultados obtenidos: Se obtuvo la información de la actividad on line y número de impactos, tiempos de servicios y consumos reales de las campañas

Se evito un litigio sobre un contrato de 600.000 euros.

Informes Periciales: dieron base a evitar las acciones legales, consiguiendo alcanzar un acuerdo sin necesidad de juicio.

Caso 2: Sector Empresas On-line


Casos prácticos II

Caso de Competencia Desleal

Metodología aplicada: Obtención de evidencias digitales de dos antiguos directivos. Recuperación de información borrada. Obtención de últimos accesos a ficheros y entorno web. Obtención de últimos dispositivos de almacenamiento externo conectados.

Resultados obtenidos: Se ha podido comprobar que estas personas utilizaron software especializado en borrado seguro justo antes de su marcha.La investigación sigue en curso a la fecha.

Informes Periciales: Se elaborará un informe pericial con las pruebas obtenidas y una reclamación que rondará los 1,7 millones de euros.

Caso 3: Sector Tecnologías de la Información

Caso de Competencia Desleal

Metodología aplicada: Obtención y análisis de las evidencias digitales de los ordenadores de antiguos directivos que se marcharon y crearon una empresa paralela. En paralelo se llevó a cabo una cuantificación del perjuicio económico ocasionado a la entidad bancaria.

Resultados obtenidos: Se aportaron las evidencias digitales que prueban la competencia desleal, y se cuantificó el perjuicio económico que dichas actuaciones ocasionaron a la entidad bancaria.

Informes Periciales: Se elaboraron 2 informes, uno de contenido tecnológico y otro de contenido económico, ambos aportados al procedimiento legal.



Casos prácticos III

Certificación de las comunicaciones mantenidas entre dos compañías.

Metodología aplicada: Análisis digital forense de los equipos, y recuperación de emails borrados y certificación de contenido y documentación adjunta.

Resultados obtenidos: Se encontraron todas las comunicaciones que habían sido borradas de los equipos, con los que se pudieron certificar los acuerdos alcanzados entre las partes.Se aportaron los informes a dos litigios de 1.200 y 200 millones de dólares respectivamente.

Informes Periciales dieron base a evitar las acciones legales, consiguiendo alcanzar un acuerdo sin necesidad de juicio.

Caso 5: Sector Telecomunicaciones

Forensic Due Diligence

Metodología aplicada: Obtención y análisis de las evidencias digitales de los vendedores de la compañía. Revisión financiera y contable.

Resultados obtenidos: Se detectó información que no había sido facilitada a los compradores, con gran impacto en el precio de la transacción. La operación se fijó inicialmente en 80 mill € aprox., y los ajustes fueron aprox de 60 mill €.

Informes Periciales: Nuestro trabajo sirvió para que los compradores interpusieran una Demanda, aunque finalmente ambas partes llegaron a un acuerdo.

Caso 6: Sector Industrial


Casos prácticos IV

Competencia Desleal

Metodología aplicada: Análisis digital forense de los equipos. Obtención de evidencias en el CPD de la entidad, definición de medidas cautelares para intervención in situ por la BIT.

Resultados obtenidos: Se encontraron evidencias de la preparación de la nueva compañía por parte de los ex empleados, se detallaron todos los accesos a información no autorizada, los dispositivos empleados para las copias de la información sustraída, los proveedores involucrados, todos los trabajos realizados para la futura compañía sin haber salido de la empresa.Se ha cuantificado hasta la fecha un perjuicio económico de 2,9 millones de euros. Investigación en curso.

Informes Periciales: Dieron base a las acciones legales que se emprendieron, consiguiendo una intervención por los CSE por robo de información.

Caso 7: Sector Automoción

Certificación de comunicaciones mantenidas entre personas.

Metodología aplicada: Análisis digital forense de Smartphones, y recuperación de SMS borrados y certificación de contenido.

Resultados obtenidos: Se encontraron todas las comunicaciones que habían sido borradas de los dispositivos, con los que se pudieron certificar los contenidos con amenazas personales.Desconocemos la cuantía y pernas de la reclamación.

Informes Periciales: Dieron base a presentar la correspondiente demanda penal.

Caso 8: Penal (Amenazas)


Casos prácticos V

Solicitud de analítica forense de evidencias en poder de la GGCC ante la falta de resultados, en un delito contra la propiedad intelectual.

Metodología aplicada: Análisis digital forense.

Resultados obtenidos: Se encontraron evidencias de todos los procesos de destrucción de información, así como de los métodos de ocultación de información, obteniendo listados de clientes, listado de títulos comercializados, cuentas bancarias, cuentas de correo, conversaciones de email con clientes, métodos de envío y pago, etc.Se condeno al acusado a más de dos años de cárcel.

Informes Periciales para ser aportados en las acciones legales en curso.

Caso 9: Cuerpos de Seguridad del Estado

Investigación de potenciales irregularidades cometidas por el ex Presidente

Metodología aplicada: Obtención y análisis de evidencias digitales, análisis financiero, entrevistas indagatorias.

Resultados obtenidos: Se detectó una irregularidad cometida por el antiguo Presidente de la entidad financiera, a la hora de vender una participación que tenía la entidad en una sociedad del IBEX-35, manipulando deliberadamente su valor.

Informes Periciales: Elaboración de Informe Pericial que fue facilitado al Banco de España y a la Fiscalía Anti-Corrupción, cuantificando un perjuicio económico a la entidad financiera de 18 mill de €.



Contactos

Eduardo Gómez García Licenciado en Economía y Máster (MBA) en Dirección de Empresas por el Instituto de Empresa. ReFor Nº 1.937 / ECIF Nº 2.080Tlf. 659 369 [email protected]

Antonio Gómez LópezLicenciado en Economía y en Administración y Dirección de Empresas.ReFor Nº 1.906 / ECIF: 2.081Tlf. 678 352 [email protected]

Jesus Fernández PérezSocio Responsable de Tecnología ForensePerito JudicialTlf. 640 29 16 [email protected]

www.gpartners.es

19

pgm 150406 jornada evidencias digitales

Documents