Informe Tecnico Informatico 2013 Vale

ING. MILTON HINOJOSA DELGADO & TITO LOYOLA MANTILLA ESPECIALISTAS EN INFORMÁTICA FORENSE

1.

GENERALIDADES

Página

1

INFORME TÉCNICO INFORMÁTICO 2013  Milton Danilo HINOJOSA DELGADO, Ingeniero de Sistemas con CIP N° 132415, identificado con DNI N° 40623608, con domicilio en la calle cerro prieto 235 - Surco - Lima.  Luis Tito LOYOLA MANTILLA, Perito criminalístico, especializado en investigación de delitos informáticos y computacionales, identificado con DNI. N° 08691869, con domicilio en la avenida Canevaro 1529 202 Lince – Lima. 2.

DATOS DEL SOLICITANTE Mg. Elmer MIO CHÁVEZ, identificado con DNI N° 16426735, con ddomicilio real en la calle las Colinas No 201 de la urbanización 3 de Octubre - Chiclayo, asesorado por la Dra. Amanda Julia VARIAS CÉSPEDES, con Colegiatura: ICAL 3253 y domicilio procesal en la avenida Luis Gonzales No 180 - 1er Piso - CHICLAYO.

3.

PUNTOS DE ANÁLISIS INFORMÁTICO Teniendo en consideración las documentales, presentadas en fotocopias por la parte solicitante, que se mencionan: a. b. c. d. e. f. g.

Carta N° 0149-2013/GG-USS del 19AGO2013 Carta de despido del 24JUL2013 Informe 0239-2013/DRH-USS del 12JUN2013 (impreso 19JUL2013) Carta de descargo del 15JUL2013 Carta de preaviso de despido del 10JUL2013 Informe N° 010-2013/DTI-USS del 21JUN2013 Acta de entrega y recepción del 24AGO2011 Se desea verificar: a. Sí, para analizar la computadora laptop, marca HP, en la que supuestamente se encontró 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K que según el Informe No. 010-2013/DTI-USS del 21JUN2013, y si este hallazgo digital se realizó desde la copia espejo y/o bajo los procedimientos

Página

2

establecidos para autenticar y garantizar su admisión y validez en un proceso administrativo – laboral. b. Sí, se cumplió con asegurar mediante el uso y/o generación de las firmas checksum a los 141MB de información almacenada en la laptop asignada durante los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, contenida en la laptop y la respectiva verificación de su autenticidad de la copia de dicha carpeta. c. El perfil profesional del auditor informático, para auditar un equipo de cómputo. d. Si, los 141MB de información almacenada en la laptop asignada al empleado, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, ha sido accesada antes del mes de junio 2013, en que fue analizada por la Dirección de Tecnologías de la Información de la Universidad Señor de Sipan de Chiclayo. 4.

ESTUDIO Y CRITICA DESDE LA INFORMÁTICA FORENSE DE DOCUMENTOS PRESENTADOS POR EL SOLICITANTE a. Explicar en qué consiste la copia de bit a bit, copia espejo o imagen de disco; y su aseguramiento de la evidencia digital. b. Mencionar que herramientas básicas se usan para obtener la copia de bit a bit y su aseguramiento. c. Explicar los pasos para analizar indicios binarios y obtener la evidencia digital, con fines probatorios. d. Explicar los cuidados del equipo o unidad de almacenamiento que contiene los 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, considerada como fuente de evidencia digital.

5.

PROCEDIMIENTOS A EMPLEARSE 5.1. Ámbito del informe técnico

Página

3

El objetivo del análisis informático forense de dispositivos electrónicos (ordenadores personales, servidores, agendas electrónicas, teléfonos móviles, etc.) es la identificación de rastros digitales que evidencien que cierto suceso ha ocurrido en el dispositivo. Estas evidencias pueden ser usadas en un juicio. 5.2. Normas y estándares para auditar e inspeccionar informáticos

equipos

 La norma ISO 17799 (Seguridad Informática) en su versión de 2007 - segunda edición, emitida por INDECOPI, mediante Resolución N° 01-2007/CRT.  El modelo Cobit (Sistemas de Información)  La metodología ITIL (Gestión de Servicios)  Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) 5.3. Informática Forense aplicada para la obtención técnica y legal de la evidencia digital Consiste en la aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica que nos permite identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal, conocidas como "evidencia digital". Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar los indicios binarios y explicar las características técnicas del uso aplicado a los datos y sistemas informáticos. 5.4. Importancia del aseguramiento de la evidencia digital detectada, extraída y analizada, basada en el principio de contradicción en los procedimientos administrativos y/o procesos civiles y penales. En un procedimiento administrativo y/o procesos civiles y penales, cuando se presenten "pruebas electrónicas" contra empleados, demandados o denunciados, se recomienda el aseguramiento de la prueba a través de una copia espejo, llamada también copia de bit a bit o espejo, que debe ser idéntica al contenido de data almacenada en los dispositivos electrónicos o medios digitales (Computadoras, memorias, discos duros, móviles, etc.) que hayan estado a cargo de investigado.

4 Página

Un aseguramiento permite obtener una copia espejo de todas las unidades de almacenamiento de data perteneciente a una computadora, y es la que será sometido a inspección o análisis en procura de detectar, ubicar y extraer los 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, como es el caso materia de estudio técnico a cargo de los especialistas suscribientes. En los incidentes informáticos o investigaciones internas de instituciones o empresas, que no revelen indicios de delitos informáticos o computacionales, la computadora o por lo menos el disco duro del equipo, deberá ser puesta bajo custodia, en diligencia realizada por fedatario o notario público, y consiste en embalar en sobre papel o polímero, lacrado con cintas de embalaje trasparente y firmado por el encargado de realizar la investigación, del investigado y suscrito por el notario público de la jurisdicción. Dicha custodia del equipo informático, dentro de la entidad empleadora, tiene el único fin de poder acceder a la data existente a fecha de la obtención de la copia espejo de la computadora que contiene los 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, considerada como "evidencia digital", de tal forma que sí posteriormente el "trabajador despedido" no está conforme con los informes elaborados por los auditores de parte de la empleadora; podrá ser verificado y comprobado por otros expertos o especialistas para despejar las observaciones que pueda ser peticionado por el trabajador en el procedimiento o procesos judiciales. Por los incidentes informáticos o irregularidades que se cometen internamente en las empresas o instituciones por parte de los trabajadores con sistemas informáticos o dispositivos móviles y de almacenamiento da data, es imprescindible que las empleadoras dispongan de un procedimiento informático sobre la obtención de pruebas en medios digitales en un procedimiento administrativo, incidiendo en la actuación inmediata, técnica y con herramientas básicas por parte del responsable de la investigación, para que en primero orden obtener la copia espejo y aseguramiento del equipo informático para posteriormente llevar a cabo un análisis forense en un laboratorio informático forense profesional para obtener así la

Página

5

evidencia digital que reflejen o prueben la conducta irregular atribuida al trabajador Esta información (evidencia digital), puede ser utilizada a nivel interno única y exclusivamente para procedimientos administrativos internos a la empleadora y visionar en el supuesto que el conflicto se complique, para presentar como informe pericial ante un proceso judicial. La importancia recae en que al inspeccionar un sistema informático o computadoras, con el propósito de obtener evidencias digitales con fines probatorios en cualquier tipo de controversia, informáticas de un fraude garantizando que la fuente original de la información, el móvil, el ordenador, el disco, etc... no se altere ni manipule durante un proceso. Un profesional informático o de sistemas, debe conocer que una inspección,. ubicación, recupero y extracción de la "evidencia digital", nunca se hace directamente al equipo informático implicado, procurando garantizar que la fuente original de la información, el móvil, el ordenador, el disco, etc., no se altere ni manipule durante un proceso de inspección o análisis. sino Una vez que disponemos de copias exactas de los dispositivos origen, se procede al análisis de los rastros en el mismo, con el propósito de detectar cualquier rastro digital, memoria volátil, ficheros existentes, borrados, protegidos con contraseña, ocultos mediante el uso de distintas técnicas (características del sistema de ficheros, criptografía, esteganografía), tráfico de red, registros del sistema, etc. Finalmente en el informe técnico se detallará el proceso de análisis con los resultados obtenidos desde el punto de vista técnico, haciendo uso de imágenes de la captura de pantallas, códigos de las firmas de seguridad y demostración de la verificación de correspondencia entre la fuente y copia espejo que contiene la "evidencia digital". 5.5. Opinión de las actuaciones de la Dirección de TI de la empleadora – Universidad Señor de Sipan.

Página

6

Como se aprecian en los diversos informes proporcionados por la parte solicitante, elaborados y presentados por xxxxx en su calidad de gerente de IT de la entidad empleadora: a. No ha aplicado ninguna de las técnicas para obtener y asegurar la evidencia digital. b. Como responsable de IT, no ha diseñado políticas, protocolos o métodos para inspección, analizar y presentar evidencia digital en un procedimiento administrativo. c. El análisis se ha efectuado directamente al equipo informático implicado, lo cual para profesionales de IT. no han tomado las medidas de seguridad de la custodia de la computadora ante posteriores cuestionamientos o actuaciones probatorias necesarias en procesos judiciales (civiles-laborales o penal) d. Para obtener verdaderas "evidencias digitales", no es necesario contar con RAID. 5.6.

Algunos aspectos legales que deben tener presente el abogado defensor a. La Ley de Fomento del Empleo señala que el trabajador tiene un plazo de 30 días para impugnar el despido, a cuyo vencimiento caduca su derecho a ser indemnizado o a ser repuesto. Hasta 1999 los jueces laborales computaban el plazo de caducidad en días naturales, pero en dicho año se adoptó el criterio de que el plazo debe computarse en días hábiles. 10 años después me complace haber promovido dicho cambio. Articulo completo y base legal http://es.scribd.com/doc/13846068/Articulo-El-regimenespecial-de-caducidad-de-derechos-laborales-Robert-delAguila-Vela

b. Breves consideraciones sobre la prueba en el proceso contencioso administrativo peruano http://trabajadorjudicial.wordpress.com/breves-consideracionessobre-la-prueba-en-el-proceso-contencioso-administrativoperuano/

Página

7

Asimismo el abogado debería considerar algunos principios del procedimiento administrativo, relacionados al tema. c. Para el aspecto técnico forense de la evidencia digital, base para determinar la causa de despido laboral, se debe considerar el punto 13.2.3, folio 160 de la norma ISO 17799 (Seguridad Informática) en su versión de 2007 - segunda edición, la cual esta en el siguiente link. http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf

8 Página

6. CONCLUSIONES

a. En el presente caso, los responsables de IT, de la Universidad Señor de Sipan, en especial la xxxxxxx, no han cumplido con elaborar previamente el protocolo o métodos para inspección y analizar un equipo informático en procura de obtener "evidencia digital" y usarse como prueba de conducta del empleado en un procedimiento administrativo. b. La intrusión, hallazgo y presentación de la prueba digital, consistente en la detección de los 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, se ha realizado directamente al equipo, acciones técnicas ejecutadas por un profesional que atenta contra los principios de seguridad e integridad de la data, contraviniendo lo dispuesto por norma ISO 17799 (Seguridad Informática) en su versión de 2007 - segunda edición, acápite 13.2.3. c. El responsable de presentar el Informe No. 10, en la que prueba el hallazgo de los 141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K, no ha hecho uso de ninguna herramienta que permita obtener en primer orden, la copia espejo y posteriormente la firma checksum a fin de mantener su integridad; como esta prescrita en norma ISO 17799 (Seguridad Informática) en su versión de 2007 - segunda edición, acápite 13.2.3.

Página

9

c. No se ha dispuesto, por parte de la empleadora, la custodia del equipo informático, en forma técnica y legal, con la participación del empleado y fedatario o notario público de la jurisdicción, como está prescrita en norma ISO 17799 (Seguridad Informática) en su versión de 2007 segunda edición, acápite 13.2.3. 7. SUGERENCIAS

Que, el solicitante peticiones ante la Universidad Señor de Sipan de Chiclayo, que le permita realizar una diligencia técnica con participación de los especialistas suscribientes, a fin de: a. b. c.

Verificar el estado actual del equipo informático Obtener la copia espejo y asegurarlo con sus códigos hash Ser analizarlo en busca de la evidencia digital - "141MB de información almacenada en la laptop asignada a su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K", almacenada en la computadora laptop HP.

Lima, agosto del 2013