Trabajando con evidencia digital en pandemia.
Uno de los temas que más consultas genera, en mis varios años ya, capacitando sobre la evidencia digital a fuerzas de seguridad, funcionarios y operadores judiciales, estudiantes e investigadores, es cómo evitar modificar la evidencia. Esto tiene mucha lógica a la luz de la fragilidad (facilidad de alteraciones y daños) que la misma presenta como una de sus características intrínsecas. Hay mucho para decir sobre esto, y normalmente los múltiples protocolos así lo especifican ampliamente intentando agotar todas las posibles circunstancias y fenómenos que amenazan la integridad de la evidencia digital. Sin embargo, me motiva realizar este artículo uno de los tantos escenarios de riesgo para el tema en cuestión, dada la gran diferencia de nuestro trabajo en la actualidad.
Producto de las medidas adoptadas para sobrellevar la pandemia que sacude a todo el mundo este año, el trabajo a distancia (teletrabajo, home office, actividades on-line, etc, etc, etc.) se ha tornado masivo. Por supuesto, la mayoría de los que tuvieron que adoptarlo de forma forzada no estaban preparados para hacerlo. Y el simple hecho de transitar este proceso, no cumple con esa preparación necesaria a la que hago referencia. En tal caso, son muchos los problemas y riesgos para un trabajo efectivo y de calidad que se manifiestan en estas horas, y cuyo impacto iremos viendo en los procesos con el tiempo. Uno de ellos es precisamente el vinculado a la generación de evidencia digital y su conservación, y otro es el relativo al trabajo de investigación que se realiza sobre la misma, vinculado a los sistemas de archivos compartidos en sus múltiples tipos y naturaleza. Nuevamente, hay mucho para abordar solo en estos dos temas mencionados. En este caso me gustaría poner de relevancia tres cuestiones que creo fundamentales.
- El uso de algoritmos de hash como medida que permita garantizar que la integridad de la evidencia no ha sido alterada, es decir que no ha sufrido modificaciones, y qué puede pasar en caso de manipulación incorrecta.
- La diferencia entre mantener la cadena de custodia de la misma e iniciarla.
- El cuidadoso trabajo de investigación sobre la evidencia digital.
En el caso de los algoritmos de hash, no está de más recordar que siempre se deben utilizar algoritmos confiables evitando aquellos que pueden tener colisiones por baja que sea la probabilidad. Esto se debe a que lo que buscamos es garantizar la integridad. Esto implica que no haya dudas sobre la capacidad de ese algoritmo elegido, dudas que son absolutamente legítimas de plantear con aquellos que conocemos débiles o que han demostrado ser susceptibles a las colisiones. Estos algoritmos no pueden dar garantías. En segundo lugar, tenemos que recordar que los hash nos muestran la más mínima modificación sobre el archivo. Un acento en un documento- por decir algo aparentemente menor- cambia completamente el hash que se pueda calcular sobre él. Algo que para aquellos que miramos desde el lado informático es obvio, para un operador judicial poco capacitado puede ser una absoluta novedad. Lo mismo para quien está investigando sobre la evidencia digital -recordemos que la capacitación y aptitud deseable, en esta pandemia, es probable que haya quedado de lado por razones de urgencia en cuanto al trabajo con nuevas herramientas-.
Entonces, pasando al punto dos, cuando mantenemos la cadena de custodia sobre evidencia digital, los hash son parte de la documentación que viene con la misma. De preferencia, esta documentación deberá ser inalterable (como en soporte papel, o con firma digital -aún mejor-), evitando documentar los hash en el mismo soporte que la evidencia -mucho más si es un soporte de fácil modificación-. Recordemos, nuevamente, que de lo que se trata es de dar garantías.
La diferencia con la generación de evidencia, por ejemplo al recibir algún tipo de archivo solicitado a un proveedor de servicios que lo envía en soporte digital, como por ejemplo: un registro de acceso, un archivo de auditoría, una imagen original (con sus metadatos), o incluso un correo electrónico original (conteniendo sus encabezados) y hasta capturas de pantalla en video; es que todo será con un procedimiento que permita dejar constancia de lo actuado y ahí mismo se calculará el hash que en el futuro dará garantías de integridad. Nuevamente, el mismo, se dejará en un soporte que maximice su seguridad e inalterabilidad (la del hash).
Todo lo cual, me permite ingresar en el tercer punto sobre lo que quisiera reflexionar y advertir: el trabajo con la evidencia. Sea que la misma haya llegado hasta el investigador, o que éste la haya “transformado en” o “generado” -como se aborda en el punto anterior-, siempre debemos recordar que a partir de que hay un documento que da cuenta de que tal o tales archivos producen un determinado hash aplicando tal o cual algoritmo, los archivos NO deben sufrir ningún tipo de alteraciones. El trabajo en entornos compartidos amplía los riesgos de manipulación accidental o intencional de la evidencia digital. Cada software con el que se abre para visualizar un archivo, tiene en potencia la capacidad de cambiarlo, alterarlo. Por lo tanto, “mirar que contiene” aunque no haya intención o voluntad de modificación implica un riesgo. Un riesgo que debo decir, sugiero no correr en ningún caso en el que se haya iniciado una cadena de custodia. Por tal motivo, dos recomendaciones: 1) dejar constancia claramente que un determinado directorio o soporte contiene evidencia que no debe manipularse -por ejemplo en el “nombre de la carpeta” contenedora. Y 2) trabajar siempre, siempre, siempre, absolutamente siempre, sobre una copia. Para nuestro alivio, la fragilidad no es la única característica de la evidencia digital, y copiarla suele ser trivial.
Así pues, dejo asociado a este artículo una pequeña presentación que oportunamente compartí con algunos colegas a fin de contribuir a echar luz sobre lo antedicho, con la esperanza de mitigar algunos de los riesgos expuestos.