Análisis forense Diego Cano, MBA CFE FTI - Managing Director Argentina Country Manager Nuevas...

Análisis forense

Diego Cano, MBA CFEFTI - Managing DirectorArgentina Country Manager

Nuevas técnicas que debemos conocer y cuidados especiales que debemos tener en cuenta en los procesos de investigación.

Temas a tratar• Introducción al Fraude e Investigaciones Corporativas

• Rol de la Tecnología en la Investigación Corporativa

• Desafíos del Análisis de Smartphones

• Consideraciones Legales

• Buenas Prácticas para una Investigación Exitosa

• Errores Comunes

• Proceso Investigativo

Fraude e Investigaciones Corporativas

El fraude y su investigación ha ido ganando un lugar cada vez más importante en el mundo de los negocios

Según las estimaciones de la ACFE (Association of Certified Fraud Examiners), las empresas americanas pierden un monto cercano al 7% de sus ganancias anuales como consecuencia de acciones fraudulentas

Investigaciones Corporativas

A las investigaciones de Fraudes Corporativos deben sumarse las que surgen de la legislación norteamericana y afectan a empresas que coticen en Bolsas estadounidenses

Foreign Corrupt Practices Act (FCPA)

SEC Regulatory Compliance

Anti-Money Laundering

Estas investigaciones implican el relevamiento de enormes cantidades de información

Tecnología e Investigaciones Corporativas

El amplio uso de la tecnología en el ámbito corporativo ha generado que la recolección de información digital se torne fundamental en cualquier tipo de investigación

Gran cantidad de la información se encuentra almacenada en medios electrónicos

– Discos rígidos en computadoras– Teléfonos celulares– Cámaras digitales– Pendrives– Tarjetas de Memoria

DIGITAL FORENSICS

El uso de la Tecnología y de sus practicas forenses constituye una herramienta fundamental en todas las

investigaciones internas

“Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y

almacenados en un medio informático “http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm


Que diferencia la evidencia informática de la evidencia tradicional?

• La volatilidad

• La capacidad de duplicación

• La facilidad de alterarla

• La cantidad de Metadatos que posee


Datos Obtenidos conherramientas comunes• Documentos• Correos electrónicos• Fotos digitales

Datos adicionales obtenidoscon herramientas forenses(Borrados, Renombrados, Ocultos)• Usuarios del sistema y sus claves• Actividad en el sistema operativo• Líneas de tiempo• Actividad en Internet• Ubicación geográfica de una computadora• Webmail• Impresiones realizadas• Medios removibles conectados• Fotos digitales y su relación con cámaras

El “iceberg” de los datos


Que hace falta para una investigación Forense

1) Profesionales entrenados

2) Herramientas

a. Hardware (ej. bloqueadores de escritura)

b. Software (EnCase, FTK)


Etapas del Análisis Forense

• Adquisición: Acceso al objeto de estudio

• Preservación: Conservar el objeto

• Obtención: Análisis y búsqueda

• Presentación: Informe de resultados


Evidencia y archivo de evidencia

Copia exacta de disco bit por bit a archivo de evidencia (DD, E01)

Mantiene intacta la prueba original


Hardware para adquisición


Desafíos del Análisis de Smartphones

En la actualidad el desarrollo corporativo y personal de los usuarios ha

concentrado una gran cantidad de información en estos dispositivos. Dicha

información incluye:

•Correos – Calendario – Tareas

•Fotos

•Conversaciones

•Ubicación Geográfica

•Documentos

•Redes Sociales

La posibilidad de recuperar su contenido para un análisis que contribuya a la

investigación varía de acuerdo al software que contenga el dispositivo:

Android

Windows

iOS

BlackBerry

Firefox

Symbian


Principales Desafíos:

Lograr acceder a los datos desconociendo las contraseñas de acceso

Evitar la manipulación remota del contenido del equipo

Al día de la fecha existen grandes dificultades para acceder a los equipos sin las claves

respectivas. Esto significa una importante limitación a la investigación, requiriendo la

colaboración del investigado.

Cualquier intervención de rotura de claves podría significar una contaminación de la prueba. Sin

embargo, existen desarrollos independientes embrionarios que permitirían acceso a los datos

con intervenciones menos invasivas.


En la actualidad la mayoría de los Smartphones del mercado incluyen herramientas de

integración y administración remota con servidores en la nube.

Dichas herramientas permiten al usuario realizar diversas tareas sin tener acceso físico al

equipo. Entre ellas, el usuario puede eliminar completamente el contenido del equipo sin

necesidad de un conocimiento informático elevado.

Esta posibilidad, junto con la necesidad de solicitar la colaboración del investigado puede

frustar la obtención de prueba a partir de éstos dispositivos. Para lograr la preservación del

contenido es necesario inhabilitar inmediatamente la conectividad del equipo. Dicho

bloqueo puede realizarse por medio del uso del Modo Avión o físicamente (Faraday).


Una vez extraída la información de los dispositivos las herramientas de análisis

permiten la extracción de una variada cantidad de información:


Cronología de Coordenadas:


Detalle de Actividad (SMS, Llamadas, Redes Sociales, Fotos, etc):


Gráfico de Vinculaciones (combinable con varios investigados):


Contraseñas guardadas:


Consideraciones Legales

Para la utilización correcta y exitosa de las herramientas de Tecnología Forense, son fundamentales algunas cuestiones legales.

Por lo cual el trabajo en conjunto y coordinado con el equipo de abogados de la empresa se torna fundamental.

Las empresas proveen a sus empleados con computadoras, celulares y dispositivos móviles, como los Smartphones, para que estos lleven adelante sus tareas, pero la propiedad de la mismas y su contenido siguen perteneciendo al empleador

El usuario tiende a desarrollar confianza en los mismos (Expectativa de Privacidad)


Para evitar posibles problemas es importante que los empleados firmen un FORMULARIO DE CONSENTIMIENTO, al serles entregados esos elementos

En estos Formularios, los empleados declaran conocer las políticas de Uso Adecuado de los elementos provistos, a la vez que prestan su Consentimiento para que los mismos seansusceptibles de monitoreo por la empresa

Las legislaciones al respecto varían de acuerdo al país


Sin embargo, existe en el día de hoy un debate jurisprudencial en Argentina respecto de la “Expectativa de Privacidad” de los usuarios corporativos.

Los fallos recientes han debatido en torno a tres elementos:•Propiedad de los elementos utilizados•Finalidad esperada de los elementos utilizados•Acceso restringido y consecuente expectativa de privacidad

A los fines de limitar la expectativa de privacidad del usuario resultan fundamentales (aunque no decisivos) los Formularios de Consentimiento. Asimismo el cumplimiento de las Buenas Prácticas Forenses facilitará la aceptación de prueba informática en juicio.


Buenas Prácticas Forenses

•Formularios de Consentimiento•Participación Notarial (Latinoamérica): la presencia de un Notario durante la adquisición, como testigo de la misma, fortalece el resultado probatorio•Participación de profesionales idóneos•Software que garantice la inalterabilidad de la evidencia obtenida•Cadena de Custodia

Cadena de Custodia de la Evidencia- Nombre de la persona y fecha de contacto con la evidencia- Registro del pasaje de una persona a otra- Registro del pasaje de una ubicación física a otra- Tareas realizadas durante la posesión- Sellado de la evidencia al finalizar la posesión- Registro de testigos- Fotografías de la evidencia en las tareas realizadas- Log de actividades durante la posesión

El fundamento principal de la Cadena de Custodia es garantizar la inviolabilidad e inalterabilidad de la Evidencia durante su traslado. Identifica y registra la responsabilidad sobre la preservación de la Evidencia.

Errores Comunes

•Incorrecta manipulación de la pruebaoEncendido de la Computadora o Dispositivo

•Incorrecta adquisición de la pruebaoAusencia de Bloqueador de EscrituraoCopia simple de la informaciónoImprimir o fotografiar la información

•Incorrecto registro o identificación de la pruebaoAusencia de Hash identificatorio de archivos (MD5, SHA1, y SHA256)oIncorrecto registro de la Cadena de Custodia (Cortes cronológicos, ausencia de firmas, fechas y demás datos esenciales)

Proceso Investigativo

Diego Cano, MBA CFEFTI - Managing Director

Argentina Country Manager

Migueletes 1646 PB

Buenos Aires, Argentina

C1426BUZ

Tel: +5411 4785-9007

[email protected]

Diego Cano es Country Manager de FTI Argentina. Tiene más de 12 años de experiencia en consultoría en investigación. Administra y supervisa complejas investigaciones de fraude corporativo que involucran aspectos financieros, incluyendo el cumplimiento del FCPA (Práctica de Actos Corruptos en el Extranjero) en toda América Latina.

Además de dirigir directamente el área de Investigaciones, gerenció casos de contabilidad forense, identificó fraudes financieros y administrativos, fraudes perpetrados por créditos, compras y por departamentos contables de empresas objeto de investigación.

Antes de incorporarse a FTI en enero de 2007, el Sr. Cano fue Managing Director de Holder Internacional. De 2001 a 2005, fue jefe de investigaciones para Kroll Inc. Argentina. De 1999 a 2001, fue Director de Investigaciones de Kroll Inc en Brasil.

Su carrera incluye trabajos como consultor a miembros del Congreso Nacional de Argentina. Es profesor de Ciencia Política en la Universidad de Salvador y de Economía Política en la Universidad de Buenos Aires.

El Sr. Diego Cano posee un Master en Administración de Empresas de la Universidad de Sao Paulo, Brasil; es candidato a Master en Análisis y Gerenciamiento de Información Estadística y es Licenciado en Ciencia Política de la Universidad del Salvador. Habla fluidamente en castellano, inglés y portugués.

Análisis forense Diego Cano, MBA CFE FTI - Managing Director Argentina Country Manager Nuevas...

Documents

Transcript of Análisis forense Diego Cano, MBA CFE FTI - Managing Director Argentina Country Manager Nuevas...