Mattica es el primero laboratorio de investigación en delitos informáticos para Latinoamérica y fue creada en México hace 7 años. Hace 5 años hace presencia en Colombia. Entrevistamos a Juan Pablo Caro, uno de sus investigadores.
¿Qué hace y cómo trabaja un investigador forense informático?
Después de que hay un incidente o delito informático, somos contactados por los interesados e iniciamos la investigación para determinar lo que realmente sucedió. Las compañías o entidades interesadas, nos permiten el acceso a equipos de cómputo, teléfonos celulares y cualquier medio electrónico que tenga capacidad de almacenamiento y revisamos la evidencia a través de búsqueda de pistas, información y determinar los hechos desde una línea de tiempo alrededor del incidente.
¿A quienes ofrecen sus servicios?
Hemos trabajado con entidades gubernamentales como las fuerzas armadas, la fuerza pública y procuración de justicia pero por cuestiones de privacidad y seguridad no ofrecemos investigaciones sino que les vendemos equipos, les ofrecemos entrenamiento, capacitación, asesoría y demás. En el tema de investigación trabajamos más que todo con la empresa privada.
¿Cómo se procesa una evidencia informática en una corte colombiana?
La legislación colombiana respecto a ese tema todavía está en proceso sin dejar de lado que existe normatividad asociada que se considera una evidencia para un proceso judicial pero eso abarca muchas áreas y muchos elementos. También existen lo que se conoce como las mejores prácticas para procedimientos que son considerados válidos a nivel internacional para establecer la veracidad e integridad de este tipo de evidencia. Sin embargo, no hay una legislación especial que apunte directamente a la evidencia digital. En la actualidad se combinan las recomendaciones internacionales para manejo de evidencia digital junto con la legislación que existe para cualquier tipo de evidencia.
Considerando que la evidencia digital es una de las más vulnerables y manipulables ¿Cómo se determina la veracidad de una evidencia digital ante una corte?
El método que existe es el que se maneja a través de valores “Hash” que consiste en una función matemática que genera un resultado numérico a partir de un contenido de información. Ese valor debe ser inmutable siempre y cuando el contenido de información no haya cambiado. Si dicho contenido (que puede ser material evidenciario) varía en un solo bit o carácter, el resultado numérico va a ser diferente. Cuando una información entra a ser investigada, estos valores son validados constantemente con el fin de mantener un material probatorio veraz. Desde que se hace el levantamiento de evidencia hasta el momento en el que se hace e reporte final, estamos verificando estos valores para asegurar la veracidad de las pruebas.
Modificar o cambiar un contenido informático material de prueba, es igual o parecido que contaminar una escena del crimen.
Nosotros, al igual que los forenses, utilizamos técnicas para manipular la información de forma que no sea contaminada o en el caso de la informática modificada y/o manipulada.
Esta es una de las tantas mejores prácticas mundialmente aceptadas y como esta existen otros métodos que permiten medir otras variables al momento de tener evidencia digital como por ejemplo la calidad del proceso que se utilizó para recoger material probatorio de forma digital.
¿Cómo se maneja el tema de privacidad?
Cuando somos contratados por una compañía, nosotros solamente tenemos accesos a los dispositivos que son propiedad de la compañía. Es decir, en ningún momento accedemos a dispositivos personales.
¿Cómo opera un hacker?
Existen muchas formas de operación y motivaciones. La criminalidad y la delincuencia han estado con nosotros desde el inicio de la humanidad y siempre hay diferentes formas de “apuntar”. Hemos encontrado que la gran mayoría de incidentes y delitos no vienen de un hacker externo sino que son cometidos por personas dentro de la organización como por ejemplo empleados insatisfechos entre otros.
Por otro lado, existen muchas formas y métodos de realizar ataques informáticos y ya depende del hacker ver que sistema usa para llevar a cabo sus acciones. Existen ataques externos, intrusión, denegación de servicio, phishing entre muchos otros. Nosotros tratamos de amoldarnos y apuntar las investigaciones de forma diferente según sea el caso.
¿Cuál es el método más utilizado en Colombia?
Por un lado, hemos encontrado que la mayor cantidad de incidentes informáticos no se producen por un hacker sino por una persona que no tiene conocimientos técnicos y que sólo intenta lograr un objetivo muy específico.
Por otro lado, algo que se ha vuelto muy común es el tema de phishing que puede ser un correo electrónico suplantando la identidad de un servicio como tu banco, cuenta en internet entre otras. Al proveer información a ese correo que tu crees verdadero simplemente estás enviando la información necesaria para que la persona pueda acceder a tus cuentas.
Comentarios ()