#MundoHacker: ¿Cómo obtener evidencias legales en entornos digitales?

certificar contenido web

Estoy intentando aprovechar ratos libres en el verano para ir completando el curso de Técnicas OSINT para investigación en Internet (ES) de CiberPatrulla.

Hace unos meses recuerdo que por el grupo privado de mecenas en telegram me hablaron de este curso, y las casualidades de la vida han hecho que Julián, su creador y con el que ya he coincidido en algún que otro «sarao», me escribiera para invitarme a probarlo.

Y lo cierto es que se nota que hay trabajo detrás. Ya no solo porque el curso cuenta con 7 bloques, con 187 lecciones, consumibles tanto vía vídeo como en PDF, sino por haber volcado en un mismo espacio la experiencia de Julián de todos estos años estando del lado de los OSINT «buenos».

El caso es que entre lección y lección me he encontrado con un tema la mar de interesante. Tanto como para trasladarlo por estos lares.

¡Vamos a ello!

La validez de evidencias digitales que obtengamos de Internet

La pregunta puede parecer baladí, pero nada más lejos de la realidad.

En el mundo analógico una prueba obtenida con las garantías necesarias (licitud) y autenticidad suele contar ya con el respaldo de integridad esperable.

Pero en el entorno digital, y por su propia ideosincracia, además tendremos que demostrar que no ha sido modificada o alterada. Tanto la prueba en si como el sistema utilizado para obtenerla. E incluso el soporte donde se entrega.

Para colmo entra en juego la propia volatilidad del entorno digital. Un contenido publicado tal día puede desaparecer de improvisto, lo que nos obliga a generar algún tipo de sistema que cuente con la validez legal oportuna… y que además sea capaz de almacenar la información necesaria para la prueba habiéndola obtenido previamente.

Así, para que una prueba tenga validez legal se deben cumplir estos tres requisitos:

  • Licitud: Las pruebas que presentemos deben haber sido obtenidas de forma que no vulneren ningún derecho fundamental. Por ejemplo, utilizando OSINT, sin caer en técnicas de fingerprinting que vulneren la seguridad de los sistemas donde están almacenadas.
  • Autenticidad: Es imprescindible, igual que en el entorno físico, garantizar la autenticidad del documento. Cosa que normalmente se consigue aportando cuanta más información sea posible tanto de los métodos utilizados para obtenerla como de la prueba en sí.
  • Integridad: Por último, es necesario demostrar que la prueba no ha sido manipulada, modificada o alterada desde el momento de la obtención hasta el momento de su aportación en un juicio o denuncia. En fin, que hay que respetar la llamada «cadena de custodia».

Lo perfecto, como dice Julián en el curso, es que un fedatario público levante acta del contenido de la misma. Pero como esto además de caro a veces ni tan siquiera es posible, otra opción es que utilicemos los servicios de empresas que emiten certificados digitales, y que como terceros de confianza y basándose en la normativa de firma electrónica, pueden acreditar tales contenidos.

Pone además el ejemplo de la Sala Segunda del Tribunal Supremo en la sentencia 300/2015 del 19 de mayo (ES), sobre unos «pantallazos» incorporados a la causa para acreditar una supuesta conversación mantenida entre dos personas a través de Tuenti.

La cuestión es que según el Alto Tribunal la prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea debe ser abordada con cautela. A fin de cuentas, existe una posibilidad de que esas pruebas hayan sido manipuladas. E incluso de tratarse realmente de una comunicación real, las propias herramientas de mensajería pueden ser manipuladas para aparentar que X persona ha dicho X cosa utilizando para ello perfiles usurpados o cuentas con identidad fingida.

Algo semejante a lo que vivimos el año pasado con el caso de los insultos al Ayuntamiento de Madrid por parte de un grupo de WhatsApp y presumiblemente las cuentas de unos cuantos policías locales.

¿Cómo legitimamos una evidencia digital en un correo electrónico?

Este es un tema que ya he tratado con anterioridad, contando precisamente una situación a la que recientemente se había enfrentado un cliente mío, así que no voy a alargarme mucho.

Básicamente la idea es utilizar un servicio de terceros que sea el que genera ese certificado de acuse de recibo y validez que a ojos de una denuncia o ante un juez pueda tener valor como prueba.

¿Cómo legitimamos una evidencia digital en una aplicación móvil (como WhatsApp, Instagram o Facebook)?

Por aquí, y al menos hasta donde he llegado del curso, Julián no se mete. Pero indagando un poco por la red veo que, como cabría esperar teniendo en cuenta que son comunicaciones que se realizan dentro de un entorno no estandarizado, lo que recomiendan es:

  • Sacar pantallazos: Una prueba visual, aunque per sé, y como ya hemos visto, por sí misma puede no tener validez.
  • Los números de teléfono/usuarios/nicks involucrados.
  • Entregar el dispositivo original: O al menos, un dispositivo de consulta de dicha información, preferiblemente que esté dentro de dicha conversación.
  • La hora y la fecha del contenido: Y todos los metadatos que podamos obtener de dicho contenido.
  • Reforzarse todo con una pericial informática y/o testificales: Es decir, contratar a un experto que pueda sacar dicha información manteniendo la cadena de custodia, y/o al menos aportar el relato de terceros que puedan ratificar el contenido de la evidencia.
descargar web

¿Cómo legitimamos una evidencia digital en una web?

Otras veces, lo que necesitamos es obtener evidencias de una página web. Y para ello sería necesario presentar:

  • La URL al archivo original: Simplemente copiar la dirección y pegarla en el informe.
  • Una copia de la página web en formato HTML: Para ello damos botón derecho en cualquier parte de la web y seleccionamos Guardar cómo… El sistema se encargará de descargar el HTML y también los recursos en una carpeta aparte.
  • Una captura en formato imagen o PDF de la página web: Podemos hacerlo a mano copiando y pegando pantallazos (lo normal es que no toda la web sea visible sin hacer scroll hacia abajo), o bien utilizar alguna extensión de navegador como Fireshot (EN), que nos permite obtener una sola imagen del tamaño de la página completa.
  • Un documento impreso: Para facilitar la visualización por parte del destinatario de la evidencia.

Todo esto lo podemos obtener nosotros mismos, o bien utilizar servicios de terceros como eGarante, del cual ya hablé cuando profundizamos en la certificación de correos, y cuya versión gratuita (ES) nos genera un informe bastante básico de una URL específica simplemente con enviar un email a websigned@egarante.com con la URL en el asunto (sin nada de texto en el cuerpo del email). Por supuesto las versiones de pago ya cubren todas las necesidades legales antes mencionadas.

Otras opciones podrían ser Doy Fe (ES) y Terminis (ES), que ya he usado en alguna que otra ocasión.

Julián comenta el caso de OsirtBrowser (EN), un navegador creado específicamente para la obtención de evidencias, ya que al parecer junto con los datos necesarios genera un hash de cada prueba, lo que de nuevo dota de mayor validez a la evidencia.

Como ya sabrás, un hash es un identificador alfanumérico que tiene una longitud fija, constante, estable y única para cada elemento digital. De forma que si ese elemento (por ejemplo, una evidencia) se modifica, el hash verá alterado su valor.

Con esto generamos esa cadena de custodia de la que hablábamos antes, ya que tanto el contenido, como el contenedor, se podrían comprobar con los originales (si es que todavía existen) mediante sus respectivos hash para validar su legitimidad.

El caso es que he intentado descargarme este navegador y al menos a mi me da error (el archivo no está en la URL que dice). De todas formas lo publico por aquí ya que puede tratarse de un error puntual a la hora de escribir esta pieza.

El papel crítico del soporte de la evidencia

También es interesante recordar que a la hora de entregar una evidencia, el soporte juega un papel determinante.

Podemos por supuesto hacerlo vía papel, por eso de facilitarle el trabajo a los juristas, pero la prueba en sí debe ser entregada en formato digital (por razones obvias), y bajo esta premisa, lo recomendable sería utilizar un soporte óptico (CD-ROM o DVD) en vez de uno magnético (Disco Duro o USB), por eso de que en los primeros podemos demostrar además que los archivos están protegidos contra escritura.

De hecho al acceder a cualquier disco magnético corremos el riesgo de modificar los elementos digitales del mismo. De ahí que aquellos que se dedican a la recuperación de archivos en discos utilicen herramientas de forense en su día a día.

Manuel Guerra (aka @ciberpoli) comentaba en su página (ES) que puesto que no siempre es posible (por tamaño o por el dispositivo donde se han obtenido, por ejemplo) meter los documentos en un soporte óptico, una manera ingeniosa (ejem :D) de mantener la cadena de custodia a salvo es meter el disco directamente en una bolsa debidamente precintada y referenciada.

Vamos, que hablamos de pasar la validación de cadena de custodia de un soporte digital a uno físico. Exactamente el mismo que lleva toda la vida utilizándose a nivel policial/judicial.

En fin, que no me queda otra que recomendar el curso de Julián (ES) para todos aquellos que os queráis dedicar profesionalmente al OSINT. E incluso para aquellos que queráis saber un poco más de cómo trabajan los profesionales del sector.

¡Gran trabajo amigo!

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.