La evidencia digital en el Código General del Proceso · La evidencia digital en el Código...
Transcript of La evidencia digital en el Código General del Proceso · La evidencia digital en el Código...
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 1
1
La evidencia digital en el Código General del Proceso
Retos y reflexiones emergentes en un mundo digitalmente modificado
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
2Agenda
JCM-17 DECEVAL * Evidencia Digital 2
• Introducción• Convergencia tecnológica• Retos emergentes – Delincuencia digitalmente modificada• Fundamentos conceptuales tradicionales• Código general del proceso• Ejemplos digitalmente modificados• Cambio de paradigma• Reflexiones finales• Referencias
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 2
3
Introducción
JCM-17 DECEVAL * Evidencia Digital 3
4Transformación digital
JCM-17 DECEVAL * Evidencia Digital 4
WEF-Accenture (2017) Digital TransformationInitiative. P.63. Recuperado de: http://reports.weforum.org/digital-transformation
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 3
5
Convergencia tecnológicaRetos y tendencias
JCM-17 DECEVAL * Evidencia Digital 5
6Convergencia tecnológica
JCM-17 DECEVAL * Evidencia Digital 6
Computación cognitiva
Grandes datos y
analítica
Redes sociales
Computación móvil
Computación en la nube
Internet de las cosas
Datos personales y corporativos
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 4
7Convergencia tecnológica
JCM-17 DECEVAL * Evidencia Digital 7
Ho
war
d, C
., P
lum
mer
, D. C
., G
eno
vese
, Y.,
Man
n, J
., W
illis
, D. A
. y M
itch
ell S
mit
h, D
. (2
01
2)
The
nex
us
of f
orc
es: S
oci
al, M
ob
ile, C
lou
d a
nd
Info
rmat
ion
. Gar
tner
rep
ort
. Rec
up
erad
od
e:h
ttp
s://
ww
w.g
artn
er.c
om
/do
c/20
4931
5
DensidadDigital
Con ideas de: KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre
8Ecosistemas Digitales Criminales
JCM-17 DECEVAL * Evidencia Digital 8
ECOSISTEMA DIGITAL
Mercado potencial(Estados, actores no-
estatales, hacktivistas, hackers criminals, bandascriminales organizadas)
Requerimientos(Interrupción,
interceptación, modificación, intrusion,
Engaño)
Estrategia técnica(Recolectar información, cazar vulnerabilidades,
despliegue en DeepWeb, cubrir los rastros, cripto-
monedas)
Prototipos y simulaciones(Vulnerabilidades de día
cero, botnets, APT, Comando & Control,
código de explotación)
Oferta y demanda(Ventas y Mercado de
entrada)
CIRCUITOS DE FEED-BACK / FEED-FORWARD
Infraestructura del adversario
Disrupciones políticas, económicas, sociales y tecnológicas
Motivaciones políticas, económicas, sociales y tecnológicas
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 5
9
Retos emergentes – Delincuencia digitalmente modificadaEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 9
10Premisas de la delincuencia digital
JCM-17 DECEVAL * Evidencia Digital 10
Uso de plataformasdigitales públicas y
gratuitas, asistidas porcomunidades
especializadas.
Máximo anonimato, con el mínimo de evidenciaposible.
Máxima efectividad, con el mínimo de esfuerzo.
Uso de criptomonedas como medio de pago.
Máxima ambigüedad jurídica, con el mínimo de conocimiento tecnológicodisponible.
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 6
11Estrategias resilientes del malware
JCM-17 DECEVAL * Evidencia Digital 11
Ideas tomadas de: Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. Recuperado de: https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/
ANTI MÁQUINA VIRTUALSi se ejecuta en máquina virtual modifica secuencia de ejecución y cambia comportamiento.
ANTI DEPURADORESDetección de debuggers (depuradores) con uso de secciones de memoria conocida
EMPAQUETARMecanismos auto-defensivos
para entorpecer y/o demorar a los analistas de seguridad
OFUSCARDisuadir estudio estático y
manual del código malicioso
Comprime tamaño del ejecutable
Limita el análisis del código
Protege la esencia de su comportamiento
Protege la esencia de su código
12Crimen como servicio
JCM-17 DECEVAL * Evidencia Digital 12
Tomado de:https://cchs.gwu.edu/sites/cchs.gwu.edu/files/Responding%20to%20Cybercrime%20at%20Scale%20FINAL.pdf
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 7
13
Fundamentos Conceptuales TradicionalesEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 13
14Contexto de base
JCM-17 DECEVAL * Evidencia Digital 14
Elementos materiales probatorios
Evidencias
Pruebas
Procedimientos técnicos
Técnica Jurídica
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 8
15Evolución de los elementos materiales probatorios
JCM-17 DECEVAL * Evidencia Digital 15
2000s 2003s 2005s 2008s 2013 2015 2020+
Desktops y LaptopsCD, DVD, USB, Discos Externos
Teléfonos móvilesSmartPhones, SIMCards, Memorias SD
Dispositivos móvilesiPad, iPhone, iCloud
Recursos generales requeridosPersonas, procesos y tecnología
Tendencias transversalesComputación en la nube, computación móvil, redes sociales, IoT, grandes datos y analítica
Vestibles (Wearables)iWatch, iglass, Dispostivos médicos
16Definiciones básicas
JCM-17 DECEVAL * Evidencia Digital 16
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 9
17Principios que gobiernan la Evidencia Digital
JCM-17 DECEVAL * Evidencia Digital 17
Confiabilidad:Valida la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital.
Relevancia:Elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos.
Suficiencia (Completitud):Las evidencias recolectadas y analizadas son las requeridas para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada.
Tomado de: ISO/IEC 27037:2012. Tecnología de la información –Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.
18Normas ISO
JCM-17 DECEVAL * Evidencia Digital 18
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 10
19Normas ISO
JCM-17 DECEVAL * Evidencia Digital 19
Aplicabilidad de los estándares a las clases de proceso de investigación y sus actividades. Tomado de: ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence. P. vii
1. Las clases fueron definidas en el ISO/IEC 27043:2015 Informationtechnology -- Security techniques -- Incident investigation principlesand processes, publicado en Marzo de 2015.
2. El detalle de las actividades está dado por la ISO/IEC 27035-2 (en desarrollo) ISO/IEC 27037:2012 y la ISO/IEC 27042.
Information security incident management -- Part 1: Principles of incidentmanagementInformation security incident management -- Part 2: Guidelines to plan and prepare for incident responseInformation security incident management -- Part 3: Guidelines for CSIRT operationsGuidelines for identification, collection, acquisition and preservation of digital evidenceSpecification for digital redaction
Storage security
Guidance on assuring suitability and adequacy of incident investigative method
Guidelines for the analysis and interpretation of digital evidence
Incident investigation principles and processes
Guidelines for Security Information and Event Management (SIEM)
Electronic Discovery, Part 1 to 4
Governance of digital forensic risk framework
20Condiciones jurídicas de la Evidencia Digital
JCM-17 DECEVAL * Evidencia Digital 20
Evidencia Digital
Admisibilidad Valor Probatorio
Exigencias legalesLey 527 de 1999 Art. 10
Peritos especializados (Expertos informática forense)
Ley 906 de 2004. Art.236
Criterio para valorar probatoriamente un mensajes de datos
Ley 527 de 1999. Art. 11
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 11
21
Código General del ProcesoEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 21
22Proceso integrado
JCM-17 DECEVAL * Evidencia Digital 22
Violación de
la Ley
Ejecución de
Sentencia
Ord
ena
mie
nto
Ju
ríd
ico
Evidencia
AdmisibleForense Persuación
Oportunidad
Descubrimiento/
AcusaciónIdentificación/
RecolecciónPreservación/
Control Revisión/
IndividualizaciónAnálisis/
Resultados Reporte/
Hallazgos
Méritos
Descubrimiento
Interrogatorio
Presentación del Caso
Testimonio de Expertos
Revisión Cruzada de Evidencias
Argumentos Finales
VerdictoSentencia
Estándares
Adaptado de: CASEY, E. (2004) Digital Evidence and Computer Crime. Cap.4 Pág. 92. Academic Press.
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 12
23La evidencia digital en el Código General del Proceso
MEDIOS DE
PRUEBA
Declaración de parte
Confesión
Juramento
Testimonio de terceros
Dictámen pericial
Inspección judicial
Documentos
Indicios
Informes
Cualesquiera otrosmedios
Art. 165 Medios de prueba
JCM-17 DECEVAL * Evidencia Digital 23
24La evidencia digital en el Código General del Proceso
Art. 243 Distintas clases de documentos
DOCUMENTO
Todo objeto mueble que tenga carácterrepresentativo o declarativo
Escritos, impresos, planos, dibujos, cuadros, mensajes de datos, fotografía, cintascinematográficas, discos, grabaciones
magnetofónicas, videograbaciones,radiografías, talons,
contraseñas, cupones, etiquetas, sellos, incripciones en lápidas, monumentos,
edificios o similares
JCM-17 DECEVAL * Evidencia Digital 24
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 13
25La evidencia digital en el Código General del ProcesoArt. 243 Distintas clases de
documentos
DOCUMENTO
Todo objeto mueble que tenga carácterrepresentativo o declarativo
Escritos, impresos, planos, dibujos, cuadros, mensajes de datos, fotografía, cintascinematográficas, discos, grabaciones
magnetofónicas, videograbaciones,radiografías, talons,
contraseñas, cupones, etiquetas, sellos, incripciones en lápidas, monumentos,
edificios o similares
Ley 57 de 1887 - Código Civil Colombiano – Art. 655
▪ Muebles. Muebles son las que pueden transportarse de un lugar a otro, sea moviéndose ellas a sí mismas como los animales (que por eso se llaman semovientes), sea que sólo se muevan por una fuerza externa, como las cosas inanimadas.
BIEN MUEBLE
JCM-17 DECEVAL * Evidencia Digital 25
26La evidencia digital en el Código General del ProcesoArt. 243 Distintas clases de
documentos
DOCUMENTO
Todo objeto mueble que tenga carácterrepresentativo o declarativo
Escritos, impresos, planos, dibujos, cuadros, mensajes de datos, fotografía, cintascinematográficas, discos, grabaciones
magnetofónicas, videograbaciones,radiografías, talons,
contraseñas, cupones, etiquetas, sellos, incripciones en lápidas, monumentos,
edificios o similares
Datos/
Información
Enmovimiento
Enreposo
En puntofinal
JCM-17 DECEVAL * Evidencia Digital 26
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 14
27La evidencia digital en el Código General del ProcesoArt. 243 Distintas clases de
documentos
DOCUMENTO
Todo objeto mueble que tenga carácterrepresentativo o declarativo
Escritos, impresos, planos, dibujos, cuadros, mensajes de datos, fotografía, cintascinematográficas, discos, grabaciones
magnetofónicas, videograbaciones,radiografías, talons,
contraseñas, cupones, etiquetas, sellos, incripciones en lápidas, monumentos,
edificios o similares
Po
rter,M
.y
Hep
pelm
ann
,J.
(2014)
Ho
wSm
art,co
nnected
prod
ucts
aretran
sform
ing
com
petitio
n.H
arva
rdB
usin
essR
eview.N
oviem
bre
.p.7
JCM-17 DECEVAL * Evidencia Digital 27
28
Ejemplos digitalmente modificadosEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 28
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 15
29Análisis forense digital – HD Vs SSD
JCM-17 DECEVAL * Evidencia Digital 29
http://www.maximumpc.com/article/features/autopsy?page=0,3http://www.cheadledatarecovery.co.uk/how-do-hard-disk-drives-work/
30Análisis forense digital - Smartwatch
Po
rter
,M
.y
Hep
pel
man
n,
J.(2
014
)H
ow
Smar
t,co
nne
cted
pro
du
cts
are
tran
sfo
rmin
gco
mp
etit
ion
.Ha
rva
rdB
usi
nes
sR
evie
w.N
ovi
emb
re.p
.7
JCM-17 DECEVAL * Evidencia Digital 30
http
://ww
w.itcle.co
m/w
p-
con
tent/u
plo
ad
s/20
15
/04
/Ap
ple_
Watch
_Explo
ded
_View
_Pic_0
42
91
5.jp
g
http
://thin
kapp
s.com
/blo
g/design
/ap
ple-w
atch-ap
ps-im
po
rtan
t-design
-p
rincip
les/
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 16
31
Cambio de paradigmaEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 31
32Ecosistema tecnológico
JCM-17 DECEVAL * Evidencia Digital 32
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 17
33Análisis forense en un ecosistema tecnológico
JCM-17 DECEVAL * Evidencia Digital 33
34Visibilidad y confiabilidad de los rastros en un ecosistema
tecnológico
JCM-17 DECEVAL * Evidencia Digital 34
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 18
35Cambios en la investigación criminal sobre un
ecosistema tecnológico
JCM-17 DECEVAL * Evidencia Digital 35
Tradicional Ecosistema tecnológico
Evidencia estática Evidencia dinámica
Paradigma positivista Paradigma sistémico
Orientado a dispositivos específicos Orientado a plataformas digitales
Una persona o grupo Comunidades distribuidas
Basada en procedimientos conocidos y probados
Basada en analítica de datos y patrones de reconocimiento
Dificultad Intermedia Dificultad Avanzada
Individual y local Organizado y global
Afectaciones de empresas y personas
Afectaciones de comunidades ynaciones
36
Reflexiones finalesEvidencia digital
JCM-17 DECEVAL * Evidencia Digital 36
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 19
37
Concepto Paradigma Detalles Ventajas Limitaciones
Alineado con el mundodigitalmente modificado
Reconoce configuraciónde productos/servicios
digitalmentemodificados
Validez formal
Admisibilidad probatoria
Validez incierta
Admisibilidad probatoriaincierta
Productos/serviciosdigitalmentemodificados
Configuración de losproductos/servicios
digitalmentemodificados
EVIDENCIA DIGITAL
PARADIGMA SISTÉMICO
PARADIGMA MECÁNICO
Modelo de flujodinámico
Procedimientospropuestos y en
desarrollo
Modelo Causa-Efecto
Procedimientosdefinidos y probados
Repensando la evidencia digital en un mundo digitalmente modificado
JCM-17 DECEVAL * Evidencia Digital 37
38
Cada vez que desees sinceramente un cambio, lo primero que debes hacer es elevar tus estándares.
Anthony Robbins. Poder sin límites
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 20
39Referencias
JCM-17 DECEVAL * Evidencia Digital 39
• Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega Editores.
• Darahuge, M. y Arellano, L. (2014) Manual de informática forense II. Buenos Aires, Argentina: Errapar S.A• García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación
interdisciplinaria. Barcelona, España: Gedisa Editorial.• Goodman, M. (2015) Future crimes: everything is connected, everyone is vulnerable. New York, USA: Doubleday.• Cano, J. (2015) Seguridad y control en el 2020. Algunas reflexiones sobre el futuro. Revista Sistemas. Asociación
Colombiana de Ingenieros de Sistemas – ACIS. No. 134. 52-59• Cano, J. (2015b) El lado oscuro de la tecnología de información. Reflexiones desde la inseguridad de la información. Blog
IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/01/el-lado-oscuro-de-la-tecnologia-de.html• Howard, C., Plummer, D. C., Genovese, Y., Mann, J., Willis, D. A. y Mitchell Smith, D. (2012) The nexus of forces: Social,
Mobile, Cloud and Information. Gartner report. Recuperado de: https://www.gartner.com/doc/2049315• Páramo, P. (2011) La investigación en ciencias sociales. Estrategias de investigación. Bogotá, Colombia: Universidad
Piloto de Colombia.• Paus, L. (2017) 5 tácticas de los cibercriminales que le arruinan el día a los analistas de malware. ESET. Recuperado de:
https://www.welivesecurity.com/la-es/2017/08/04/tacticas-de-los-cibercriminales-arruinan-dia-analistas/• Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre• Ko, R. y Choo, R. (editors) (2015) The cloud security ecosystem. Technical, legal, business and management issues.
Waltman, MA. USA: Syngress Publications.
40Para continuar aprendiendo …
JCM-17 DECEVAL * Evidencia Digital 40
Autor: Jeimy J. Cano M., Ph.D, CFE
Editorial: Alfaomega
Edición: Segunda
Año: 2015
ISBN: 978-958-682-922-9
Mayor información en: http://www.alfaomega.com.co/catalogo/computacion/computacion-forense-descubriendo-los-rastros-informaticos-2-edicion.html
Evento DECEVAL Octubre/2017
JCM-17 All rights reserved 21
41
La evidencia digital en el Código General del Proceso
Retos y reflexiones emergentes en un mundo digitalmente modificado
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
Blog:http://insecurityit.blogspot.com
@itinsecure