capÍtulo vii la pericial informática - cpiicyl.org · perito ingeniero en informática y auditor...

© LA LEY 313

CAPÍTULO VII

LA PERICIAL INFORMáTICA

Joaquín anGuas Balsera

Perito Ingeniero en Informática y Auditor de Sistemas de Información, CISA, CISM

1. INTRODUCCIÓN

La pericial informática se ha ido convirtiendo en un elemento común en multitud de escenarios de conflicto, en todas las jurisdicciones. Aunque en su práctica y aplicación en el litigio operarían los principios generales asociados a cualquier actividad pericial, conocer los escenarios en los que interviene, sus particularidades y principales elementos de valor, puede con-tribuir a la mejor orientación de los conflictos en los que interviene.

El presente capítulo pretende precisamente hacer un repaso somero de dichos escenarios, particularidades y principales elementos de valor de la pericial informática desde un enfoque que procurará ser eminentemente práctico. La relativamente corta vida de esta pericia y su inherente resisten-cia a someterse a corsés formales hace que no sea posible un acercamiento convencional a algunos aspectos de la misma, por lo que no se puede elu-dir una cierta carga teórica que proporcione los elementos de juicio más relevantes a la hora de enfrentarse a cada caso particular.

Cabe destacar desde este punto de vista conceptual y como elemento diferenciador, la virtualidad intrínseca de los elementos en los que se basa habitualmente la pericia informática.

Como ilustración de esta virtualidad, resultan especialmente significati-vas las reflexiones del artista y pensador contemporáneo Prof. Roy Ascott,

La pericial informática

314 © LA LEY

que al respecto de la cultura post-biológica(1) describía una realidad mixta compuesta por la realidad «validada», la realidad «vegetal» (en general enteógena) y la realidad «virtual».

La realidad validada se correspondería con aquello que constituye el consenso de nuestra experiencia común y cuya aprehensión es directa, no mediada. Descartando la realidad «vegetal» por encontrarse fuera del pro-pósito de esta obra, la realidad «virtual» se significa en contraste con la rea-lidad validada por no ser directamente accesible: por ser una construcción que precisa de un medio tecnológico para ser experimentada y asimilada.

El paso del tiempo ha arrinconado las metáforas inmersivas que parecía que iban a caracterizar a la realidad virtual hace unos años, siendo éstas sustituidas por otras metáforas menos basadas en nuestro entorno diario a medida que los usuarios han ido madurando y aceptando nuevos paradig-mas de interacción(2), de forma que el cisma semántico entre ambas reali-dades tiende a amplificarse.

En este contexto, la realidad mixta que conforma el entorno de interac-ción con los sistemas informáticos, será verificable en la medida en que sea posible establecer y validar la debida coherencia interna, dentro del medio informático, y externa, en el marco de la realidad validada. El elemento central de la verificabilidad es por tanto el contexto de coherencia, que debe permitir validar, o rechazar por disonancia los hechos que se derivan de las evidencias informáticas.

un contexto de coherencia pobre o viciado, en cambio, nos llevará a la imposibilidad de verificar hechos en base a las evidencias disponibles, lo que en última instancia dejaría los litigios en manos del mero sofismo.

(1) ascoTT, R., «When the Jaguar lies down with the Lamb: speculations on the post-bio-logical culture.» En Proceedings of CAiiA-STAR Symposium: «Extreme parameters. New dimensions of interactivity». universitat Oberta de Catalunya, Barcelona, 11 y 12 de julio de 2001.

(2) La evolución más reciente de los interfaces de usuario viene a confirmar esta tendencia, con un abandono progresivo de los planteamientos basados en el «skeuomorfismo»: la simulación de elementos reales, como la imitación a «madera» o «aluminio» (materia-les), las «estanterías» (estructuras, conceptos) o los mandos giratorios (actuadores) con objeto de presentar un medio de interacción amigable y más fácil de asimilar para los usuarios.

Tratado pericial judicial

© LA LEY 315

Citando al filósofo Jean Baudrillard en referencia a las simulaciones y lo virtual:

«There is no more hope for meaning. And without a doubt this is a good thing: meaning is mortal.

But that on which it has imposed its ephemeral reign, what it hoped to liquidate in order to impose the reign of the Enlightenment, that is, appear-ances, they, are immortal, invulnerable to the nihilism of meaning or of non-meaning itself.

This is where seduction begins»(3)

2. LA INFORMáTICA

2.1. hitos y evolución histórica

La humanidad se ha servido de modelos, abstracciones y simulaciones desde tiempos inmemoriales, asistiéndose de dispositivos cuando la evo-lución tecnológica se lo ha permitido. Más allá de la mecanización del cálculo, la informática se asocia con el proceso lógico, que se desarrolló en buena medida en la obra de Ramon Llull, que ya en el siglo xIII descri-be una incipiente máquina lógica llamada «Ars Magna». En el siglo xvII Gottfried Liebniz contribuyó a la evolución del cálculo mecánico y refinó el sistema de numeración binario. La lógica binaria se formaliza un siglo después de la mano de George Boole. En esas fechas Charles Baggage y Ada Lovelace trabajan en el «motor analítico», una máquina mecánica que utilizaba tarjetas perforadas para realizar operaciones de cálculo. Es preci-samente Ada Lovelace quien diseña el que se considera el primer programa de ordenador, que tiene como objeto el cálculo de números de Bernoulli.

Los dispositivos de computación pasan con el tiempo de ser máquinas mecánicas a utilizar relés o posteriormente válvulas pero la actividad con-tinúa siendo considerada prácticamente un arte. No es hasta la década de

(3) Baudrillard, J. En Simulacra and simulation university of Michigan Press, 1994, pp. 107. Traducción del autor: «No hay más esperanza para el significado. Y sin duda es algo

bueno: el significado es mortal. Pero aquello sobre lo que ha impuesto su reino efímero, lo que tenía la esperanza de liquidar con objeto de imponer el reino de la Ilustración, esto es, las apariencias, estas son inmortales, invulnerables al nihilismo del significado o el no-significado en sí mismo. Ahí es dónde empieza la seducción.»


316 © LA LEY

1930 cuando aportaciones anexas a las matemáticas hacen bascular su es-tatus reconocido hacia el de ciencia. Dichas aportaciones se ejemplifican en los resultados de Alan Turing, Alonzo Church y Kurt Gödel, cuyos traba-jos seminales evolucionaron hasta constituir teorías completas en los años siguientes. En 1946 John von Neumann propone el modelo de arquitectura de computador vigente hasta nuestros días. Aparecen el transistor y los cir-cuitos integrados. En 1948 Claude E. Shannon publica un trabajo esencial sobre la teoría de la información y la comunicación.

Los ordenadores comerciales ganan presencia y se produce un nuevo punto de inflexión. El tamaño, alcance y complejidad de los proyectos re-quirieren nuevos modelos que faciliten la generación de economías de es-cala que redunden por un lado en la fiabilidad del proceso y resultado y por otro en la contención del coste. Estos modelos se basan en gran medida en abstracciones de la ingeniería, siendo el punto de partida la primera conferencia de la OTAN de Ingeniería del Software que se celebró en Gar-misch-Partenkirchen en 1968.

hoy en día, en pleno auge de la computación personal y corporativa, ya alcanzada una cierta madurez de dichos modelos y abstracciones, la tendencia actual dominante nos ubica en la «era del conocimiento», en la que el pensamiento creativo, conceptual o inductivo es predominante. Pa-sado el tiempo, en la informática actual conviven influencias de enfoques previos y presentes: arte, ciencia, ingeniería y conocimiento.

2.2. Conceptos básicos

Informática corporativa e informática personal se han complementado, evolucionando desde los primeros sistemas monousuario hasta los actuales sistemas virtualizados y en la nube. Pese a su gran variabilidad, los elemen-tos básicos siguen siendo fundamentalmente los mismos.

Los ordenadores están basados en su práctica totalidad en la llamada «arquitectura de von Neuman», que consta de una memoria principal, una unidad aritmético-lógica, una unidad de control y elementos de entrada/salida como teclados, pantallas, medios táctiles y diversos tipos de co-nexiones (uSB, Thunderbolt, etc.). Además de los ordenadores personales, durante tiempo el conjunto más numeroso y visible, siguen este mismo modelo servidores, dispositivos tipo tablet, teléfonos móviles o incluso dis-


© LA LEY 317

positivos ubicuos de tipo Google Glass. Cuando un ordenador tiene como propósito específico una tarea que se ofrece para un consumo o acceso concurrente se le llama servidor y a aquellos que consumen o acceden a un servicio se les llama clientes. Los servidores suelen estar construidos con el propósito de una mayor densidad; maximizando parámetros como la robustez, la resiliencia, el rendimiento, el mínimo consumo energético y facilidad de operación. Al conjunto de programas que permite una utiliza-ción básica del ordenador se le llama sistema operativo.

un sistema informático es un conjunto de componentes software y/o hardware interconectados e integrados con un propósito común. un sis-tema de información es el nombre corto de un sistema de información de una organización y se refiere a un sistema de gestión integrada: un sistema que modela los procesos de negocio de la organización. Los sistemas in-formáticos pasan por diferentes etapas que constituyen el llamado ciclo de vida de los sistemas. Dichas etapas cubren la detección de la necesidad, la planificación, la incepción, la implementación, la explotación, el manteni-miento y la evolución de los sistemas. La explotación comprende todas las acciones orientadas a su uso dentro de los procesos organizativos e incluye la gestión de la seguridad, integración con la gobernanza corporativa, etc.

La gestión del ciclo de vida de los sistemas requiere de métodos y téc-nicas específicos, con énfasis en la transferencia de conocimiento y la ges-tión de expectativas. La gestión de expectativas requiere la intervención activa y coordinada de todos los interesados en el sistema y comprende las actividades orientadas a conseguir, bajo parámetros de efectividad, que los sistemas de la organización reflejen fielmente la realidad. Con objeto de establecer puntos de puesta en común, suelen distinguirse dos o más entornos sobre los que realizar pruebas antes de llegar a un estado estable que permita la puesta en producción del sistema. A estos entornos se les suele llamar de «desarrollo» y/o de «test», separados del sistema definitivo llamado sistema de «producción».

2.3. ámbito científico-técnico

La informática como ciencia sistematiza el tratamiento automatizado de la información dentro de un marco teórico fuertemente conectado con las matemáticas, incluyendo la teoría de la calculabilidad, teoría de la com-plejidad, teoría de la codificación, teoría de autómatas, teoría de lenguajes,


318 © LA LEY

métodos formales, etc. Como área de conocimiento resulta difícil de some-ter a convencionalismos, pues sobre ella operan paradigmas de carácter matemático, científico y tecnológico.

La ingeniería en informática es una disciplina dentro de la ingeniería que aplica el marco teórico de la ciencia informática al desarrollo, implantación, integración, operación, evolución y mantenimiento de sistemas informáti-cos. Según su enfoque y objeto se distinguen los ámbitos de la ingeniería del software, que sistematiza el desarrollo de los sistemas informáticos; la ingeniería del hardware, que cubre la incepción y desarrollo de dispositivos de computación; la ingeniería de sistemas, que se aproxima a los sistemas como entes complejos e integrados; la seguridad de sistemas, cuyo objetivo es garantizar que los sistemas soportan fielmente y sin disrupciones los pro-cesos de negocio; la gestión de sistemas de información, centrada en el mo-delado de los procesos de negocio mediante sistemas de gestión integrados; las comunicaciones informáticas, orientadas a la interconexión e integración de sistemas; la gobernanza informática corporativa, que pretende la evalua-ción y control de la alineación de la función informática con la estrategia de la organización y la gestión del conocimiento, que comprende visiones y estrategias para la generación efectiva de conocimiento y en general para la gestión de activos cognitivos o creativos. Los ámbitos anteriores constituyen conjuntos de paradigmas y herramientas con una aproximación disciplinar según diferentes focos, compartiendo un núcleo común de conocimiento.

2.4. Cualificación profesional

El acuerdo del Consejo de universidades publicado en el BOE 187 del 4 de agosto de 2009 describe un modelo de competencias para las titu-laciones asociadas a las profesiones de ingeniería e ingeniería técnica en informática. La ANECA(4) verifica que los títulos cumplen con este modelo y está integrada en EQANIE(5), contribuyendo al desarrollo del sello europeo de calidad Euro-Inf. Podrían considerarse otras fórmulas de adquisición de competencias o cualificación profesional, mediante modelos de certifica-ción o a través de experiencia contrastable, etc. pero la formación reglada ofrece una estructura de competencias cohesionada y coherente dentro

(4) Agencia Nacional de Evaluación de la Calidad y Acreditación.(5) Red Europea para la Garantía de la Calidad en la Educación en Informática.


© LA LEY 319

del marco conceptual nacido del consenso de la academia en el ámbito científico-técnico correspondiente.

3. EL PERITAJE EN INFORMáTICA

Los peritos en informática intervienen cuando para la introducción de hechos relevantes en un proceso reglado se requieran conocimientos espe-cializados en informática. De forma sintética, la acción del perito consiste en responder las cuestiones que se le plantean. Tomando como entrada elementos indiciarios informáticos y haciendo uso de sus conocimientos y experiencia construye un ámbito de plausibilidad en el que se derivan he-chos relevantes al proceso, dando la debida respuesta a dichas cuestiones.

Se distingue de otras periciales en que los elementos que trata no nos son en general accesibles directamente, precisando un medio tecnológico para su observación, llevando asociada una inherente intangibilidad y ausencia de sig-nificado propio. Esta circunstancia impone que en el tratamiento de dichos ele-mentos se deba verificar su originalidad y autenticidad, que se garantice su in-tegridad y en general que se observe el contexto en el que se encuentran dentro de un marco que haga posible la contradicción y la evaluación de su relevancia.

3.1. Rasgos característicos

De las particularidades de los elementos indiciarios informáticos se deri-van diferentes rasgos característicos, como puede ser aquellos relacionados con la persistencia, la intangibilidad y ausencia de significado propio y la facilidad de alteración.

3.1.1. Intervención de la persistencia

La persistencia es la capacidad de mantener inalterada una información. Únicamente es posible el estudio de aquellos elementos que pueden ser dotados de persistencia, bien de forma directa o mediante el auxilio de elementos externos que permiten la copia a medios persistentes.

3.1.2. Intangibilidad y ausencia de significado propio

Dado que no es posible su percepción no-mediada, la información re-sulta intangible. Los medios de acceso operan además como traductores:


320 © LA LEY

los bits de información cobran sentido para ser finalmente presentados con un significado dentro del contexto técnico aplicable. Además de dotarlos de significado, este contexto técnico constituye una red de coherencia que permite su contraste posterior.

3.1.3. Facilidad de alteración

Los elementos indiciarios informáticos son susceptibles de ser manipu-lados y copiados de forma exacta e indistinguible del original, siempre que se respete la coherencia con el resto del sistema. La solidez del contexto de coherencia observado, y por tanto la capacidad de contraste y detección de alteraciones, depende del nivel de acceso que pueda tener aquel que lo estudia o de sus conocimientos sobre dicho contexto.

Así, en el caso de pretender alterar una evidencia de forma que sea in-distinguible del estado original del sistema, será necesario modificar todo el contexto de coherencia al que puede tener acceso quien estudie la evi-dencia. Este contexto de coherencia puede incluir elementos de terceros que resulten inaccesibles o estar asociado a aspectos teóricos o de carácter técnico inmutables, que pueden resultar insalvables a quien pretende la manipulación.

3.2. Principios básicos

Los principios que rigen el acceso, adquisición, preservación, análisis y presentación de resultados en base a elementos indiciarios informáticos no son en el fondo diferentes a los que puede presentar cualquier otro tipo de elemento, material o virtual. Pero es precisamente esa componente de virtualidad la que viene a amplificar algunos aspectos que cabría destacar.

3.2.1. Originalidad y autenticidad

El concepto de originalidad se suele invocar en contraposición a la co-pia. Puesto que los elementos indiciarios informáticos son susceptibles de ser copiados de forma exacta, en el contexto informático tiene un sentido más genérico, en cierto modo asociado a la amplitud del contexto adquiri-do al acceder a la evidencia, por cuanto un mayor contexto viene a ofrecer un mayor abanico de elementos de contraste. La falta de originalidad se esgrime con frecuencia de forma poco sólida para desvirtuar elementos


© LA LEY 321

indiciarios por tratarse de «meras copias». Pero si las copias conservan el contexto de coherencia necesario y puede garantizarse su integridad, son tan válidas como los «originales».

Ampliamente se reconoce el valor de la llamada «mejor evidencia», que no es más que aquella evidencia auténtica que incluye el marco de coherencia más completo posible: que da soporte al abanico de com-probaciones disponible más amplio. En ocasiones intervienen en este contexto elementos de coherencia extra informáticos, como puede ser la concordancia con patrones de actividad dentro de un abanico de hechos anejos conocidos y en general todo aquello que construye un marco de regularidad. El contraste con todos los elementos disponibles dibujará un cuadro de normalidad o por el contrario presentará un escenario de ano-malía que irá en detrimento de la autenticidad de la evidencia y de su valor en el litigio.

3.2.2. Integridad y no alteración

Si la originalidad y la autenticidad están asociadas a la completitud del contexto de coherencia de la evidencia, la integridad se refiere a su no al-teración reflejada en la consistencia (o la incongruencia) dentro de dicho contexto.

La presencia de elementos de gestión de la integridad va a ayudar a des-cartar dudas al respecto de las circunstancias de los elementos indiciarios y va a permitir en principio centrar la controversia en otros aspectos. Pero en ocasiones la mera ausencia de elementos de gestión de integridad anima a la parte que podría ver su posición perjudicada por los hechos que se derivan de los elementos indiciarios informáticos, a discutir y cuestionar estos elementos, a veces de forma infundada. La ausencia de elementos de gestión de integridad no es en absoluto insalvable, siempre y cuando sea posible el contraste con el debido contexto de coherencia.

Es común el uso para el propósito de la gestión de integridad de coman-dos o herramientas de cálculo de funciones matemáticas llamadas «fun-ciones de hash». una «función de hash» es una función matemática que a partir de una entrada genera un código alfanumérico llamado «resumen de integridad» o sucintamente «hash», de forma que cualquier alteración de la entrada genera cambios significativos en el resultado de dicha función.


322 © LA LEY

La adquisición, preservación, tratamiento y análisis de elementos infor-máticos debe producirse de forma que éstos no se alteren en modo alguno, puesto que de lo contrario el contexto de coherencia podría quedar vicia-do, con el impacto que esto puede tener en la derivación de hechos a partir de estos elementos informáticos.

3.2.3. Relevancia y procedencia

Los elementos en los que se basa la pericia deben ser siempre relevantes y procedentes. En ocasiones se pretende discutir sobre elementos que no son significativos al objeto de la discusión entre las partes, a veces por des-conocimiento, a veces con la intención de generar confusión. En general dicha discusión se produce con el objeto de generar dudas sobre la solidez de la postura de la contraria. En este sentido es importante que el juzgador disponga de elementos suficientes para valorar dicha relevancia y proce-dencia dentro del contexto técnico aplicable.

3.2.4. Contexto y contradicción

Cuando se pretende introducir hechos en un proceso reglado en base a elementos indiciarios informáticos, se debe ofrecer el conjunto completo de componentes que permiten reproducir el escenario que se ha conside-rado, hasta el punto que sea posible la evaluación y contraste del contexto de coherencia adyacente a dichos elementos indiciarios. Este contexto va a permitir la debida contradicción y debe incluir todo aquello que habilita para la reproducción de los resultados obtenidos, si así se requiere.

3.3. La informática forense

La informática forense constituye un conjunto de técnicas orientadas a la adquisición, preservación y análisis de elementos indiciarios informáti-cos de una forma verificable y sólida, de manera que puedan ser introduci-dos en un procedimiento reglado de resolución de conflictos.

Siendo un conjunto de técnicas con un propósito general no constitu-yen una disciplina en sí misma. Las técnicas de informática forense son utilizadas por un abanico amplio de profesionales: peritos, fuerzas del or-den, equipos de gestión de seguridad, auditores y otras disciplinas que en general requieran de un conjunto sólido de técnicas que permitan que los


© LA LEY 323

posibles conflictos derivados se centren en elementos sustanciales y no en la autenticidad, integridad, contexto y materialidad de las evidencias.

Dado que los elementos indiciarios informáticos no se encuentran aisla-dos, es conveniente que un perito que valore las circunstancias en las que se encuentran dichos elementos disponga de conocimiento y experiencia en la administración de sistemas afines a los implicados.

La informática forense comprende también un contexto de coherencia propio, derivado de la evolución de dichas técnicas dentro del marco de la persecución de conductas delictivas. La prueba en base a elementos in-diciarios informáticos se ha desarrollado en buena parte asociada a formas delictivas nuevas que se engloban dentro de lo que se ha dado en llamar «ciberdelitos» o delitos informáticos.

El ánimo de ocultación y la pericia de los propios delincuentes forzó la investigación, muchas veces con un notable grado de empirismo, de ele-mentos que denotasen conductas o que permitiesen derivar hechos a partir de circunstancias o estados determinados. De este modo se utilizan efectos laterales poco conocidos o funcionalidades no documentadas oficialmente (pero soportadas por un proceso de verificación empírico) para evidenciar conductas o hechos de interés. Se utilizan también herramientas que per-miten el acceso a los medios o ficheros de forma alternativa a la convencio-nal y que permiten un análisis desde un nivel semántico más bajo.

Los medios de almacenamiento contienen información estructurada en particiones, que representan contenedores de información dentro de di-chos medios. Dentro de las particiones los sistemas de ficheros crean es-tructuras que permiten estructurar la información. Los sistemas de ficheros permiten la realización de las operaciones básicas de creación de carpetas contenedoras o la creación, modificación o borrado de ficheros. Las accio-nes de borrado no suponen la sobrescritura de la información contenida en los mismos, los sistemas de ficheros únicamente marcan el área de almace-namiento como disponible, de forma que con las herramientas adecuadas es posible acceder a información que no se encuentra ya vigente en el sistema.

La relación con la persecución de delitos ha generado términos aná-logos a su equivalente no informático como «cadena de custodia». Cabe señalar que una cadena de custodia convencional sirve a dos propósitos:


324 © LA LEY

garantizar la integridad del elemento indiciario y restringir y controlar las operaciones que se realizan sobre el mismo. El equivalente informático no permite normalmente la segunda componente de control de acceso. Debido a la posibilidad de realizar copias completas a muy bajo coste, el acceso a los elementos indiciarios suele ser binario o no se tiene acceso a ellos o si se tiene, se tiene para realizar cualquier acción sobre los mismos. Esto no impide que en ocasiones se restrinja el acceso de manera que las operaciones se deban realizar en presencia de fedatario público y se im-pida, por ejemplo, obtener copia siquiera de los resultados parciales de dichas operaciones. La actuación del fedatario público no está exenta de inconvenientes, puesto que a las dificultades que pudiera tener para eva-luar la integridad de los medios, herramientas o sistemas empleados en la acción hay que añadir la posible complejidad de las acciones a realizar por el perito y la dificultad que puede tener su debida observación, verificación y estricta documentación.

Existen herramientas y dispositivos diseñados con propósito forense y que operan dentro de los principios de integridad y no alteración enuncia-dos en apartados anteriores. Esto incluiría dispositivos de bloqueo de es-critura, clonadoras, programas de adquisición de teléfonos móviles, herra-mientas de copia de medios, herramientas de análisis, etc. Existen también las llamadas «distribuciones forenses» que son versiones de sistemas ope-rativos que se comportan de forma que facilitan las tareas de adquisición y/o análisis y que incluyen conjuntos de herramientas útiles al propósito forense.

3.3.1. Copia forense de medios

una de las técnicas más extendidas dentro de la informática forense es la llamada «copia espejo», «copia exacta», «imagen de disco» o «clona-do». Pese a que en ocasiones se usan estos términos indistintamente, lo cierto es que aunque en general y por su efecto serían intercambiables, denotan operaciones diferentes. Todas las formas corresponderían con la copia exacta del medio e implicarían la reproducción bit a bit de dicho medio completo, pero mientras clonado y copia espejo implican que la copia se realiza de un medio de almacenamiento a otro medio de almace-namiento, la imagen generaría un fichero con todo el contenido del medio original. En todos los casos se pretende conservar el estado más amplio y


© LA LEY 325

completo posible, de forma que no se pierda capacidad de contraste o de análisis.

Es común el uso de dispositivos de propósito específico llamados clona-doras que disponen de los interfaces necesarios para conectar los medios origen y destino y generar duplicados exactos de forma autónoma.

Ilustración 1. Clonadora con salida simultánea a dos discos

Los procesos de clonación suelen ir acompañados del cálculo del co-rrespondiente resumen de integridad a partir del contenido completo del disco, de forma que es posible iniciar una cadena de custodia del medio.

3.3.2. Gestión de la integridad

Otra de las técnicas más utilizadas de la informática forense es el cálculo de resúmenes de integridad. Este cálculo se basa en un conjunto de funciones que tienen unas características especiales que las hacen idó-neas para la gestión de la integridad, pues generan como salida un código alfanumérico que cambia de forma notable con el más mínimo cambio en la entrada.


326 © LA LEY

3.3.3. herramientas de análisis

La informática forense incluye también técnicas de contraste o de aná-lisis de bajo nivel o basadas en funcionalidades poco conocidas. Sería el caso de las herramientas de búsqueda por palabras clave que permiten ex-plorar todo un medio de almacenamiento o de las herramientas de acceso, análisis y recuperación de información borrada. En todo caso y en general, aquellas herramientas o sistemas que se presentan como «forenses» deben respetar escrupulosamente la integridad de los elementos indiciarios sobre los que trabajan.

4. LOS VALORES Y LA FUNCIÓN DEL PERITO

Para llevar a cabo las tareas conducentes a dar respuesta a las cuestio-nes que se le plantean de forma efectiva, el perito informático precisa de una formación, experiencia y una cierta actitud, actuando dentro de unos principios éticos y deontológicos, tal y como se describe en los siguientes apartados.

4.1. Formación y experiencia

Sea cual sea el objeto de la pericia, el término perito tiene connota-ciones de conocimiento contrastable y experiencia. En este sentido, una formación reglada en el ámbito en el que actúa le va a permitir utilizar un andamiaje conceptual sólido sobre el que construir su discurso. Por el con-trario, un perito que no haya recibido formación estructurada podría verse sometido a contradicción a través de elementos que le pudieran ser ajenos. Si confiamos en la capacidad de la academia para determinar y cubrir los ámbitos de conocimiento sobre los que opera, la elección a priori mejor fundamentada sería la de una persona con la titulación correspondiente a su ámbito.

En el caso de la informática no es diferente, aunque es cierto que la dis-ciplina ha atraído a profesionales con titulaciones afines que han adquirido su capacitación a través de formación complementaria o en base a una, a veces dilatada, experiencia profesional.

Además del conocimiento contrastable, el término perito se asocia con experiencia profesional en el ámbito concreto o actividades afines. Por


© LA LEY 327

ejemplo, cuando se aplican técnicas de informática forense será deseable experiencia en administración de sistemas informáticos, por cuanto este ámbito sirve de contexto a este tipo de operaciones. Esto es especialmente importante cuando se evalúan factores relacionados con los usos y costum-bres dentro de la actividad empresarial o profesional. un perito que no dis-pone de una experiencia más o menos amplia en implantación de sistemas ERP no se encontraría capacitado para evaluar un proceso de implantación controvertido.

Quedaría excluida de lo anterior y por representar una barrera de entra-da que resultaría infranqueable, la experiencia en el propio ámbito pericial, aunque sí sería deseable formación de contexto previa.

4.2. Actitud y ética profesional

En la pericial informática operan los mismos valores que para cualquier pericia, pero en el caso concreto de la informática son significativos los siguientes aspectos por cuanto afectan de forma más notable al resultado final de la pericial.

Como cualquier tipología de perito es conveniente una actitud rigurosa y de una cierta inquietud intelectual, siempre moderando cualquier pulsión inquisitiva. En el caso de la pericial informática ambos aspectos aparente-mente contradictorios son especialmente relevantes. El perito debe perse-guir una materialidad que le lleve a exigir el acceso y análisis de aquellos elementos disponibles que le permitan fundamentar su estudio de la forma más sólida posible, pero su papel en el proceso no le permite explorar líneas de investigación de forma no dirigida. El perito estudia, valora, ana-liza, pero nunca investiga.

Resulta de gran importancia también que el perito sea capaz de determi-nar adecuadamente su competencia en el ámbito en el que se le propone actuar, puesto que si entra en aspectos para los que no está preparado, bien por falta de formación estructurada o bien por falta de experiencia profe-sional previa, puede comprometer gravemente la posición en litigio de la parte que interesa su intervención.

Puesto que el perito en informática está expuesto a información que puede resultar sensible, el perito debe comportarse siempre con discreción. En la misma línea, ceñirse escrupulosamente a la información necesaria


328 © LA LEY

para la consecución del encargo implica no solo filtrar aquello accesorio e irrelevante, sino también poner los medios para proteger esta información mientras es necesaria. La protección de la información implica que se pro-cura que las comunicaciones e intercambios de información con el cliente se realizan por medios seguros; que conserva la información en medios cifrados si es informática y bajo llave si es física y que una vez completado el encargo se destruye dicha información de forma segura.

Debe el perito tener en cuenta su posición dentro del proceso y los plazos que en él operan, determinando los elementos que deben ser objeto de su pericia y planificando las acciones de comprobación y análisis necesarias.

La pericial no deja de constituir en cierto modo una forma de trasmisión del convencimiento. En este sentido resulta vital que el perito esté él mismo convencido de los resultados a los que llega y los hechos que en el contexto técnico se derivan y sea capaz de presentar estos resultados de forma persua-siva. Para ello deberá construir un discurso que permita llegar mediante pasos lógicos desde los elementos estudiados hasta las conclusiones. Esta trasmisión de convencimiento se realiza en el contexto de experiencia del perito y debe comprender el ámbito de coherencia de las evidencias observadas, realizan-do la construcción del discurso de forma que se salven los niveles semánticos desde las evidencias estudiadas hasta lo que es accesible al propio juzgador.

El perito debe cumplir sus encargos fielmente, poniendo los medios a su alcance para consumar su intervención en el proceso de la forma más efec-tiva posible, siempre en el contexto de equilibrio de prestaciones acordado en el encargo. Debe obtener un encargo escrito que le habilite a realizar las acciones necesarias y la declaración explícita del cliente al respecto de aquellas acciones y operaciones que están soportadas por el debido cono-cimiento informado de los usuarios del sistema si es el caso. En ocasiones cuando se trabaja sobre sistemas corporativos se hace necesaria la inter-vención de personal de la organización, comúnmente personal de adminis-tración de sistemas. Dicho personal no debe exponerse de forma alguna a las circunstancias de la intervención pericial más allá de lo imprescindible al objeto de las acciones en las que es necesaria su intervención, por cuan-to se debe mantener la discreción y porque pueden tener implicación de una u otra índole en los hechos que traen causa de la acción pericial. De forma sintética, los conflictos y todos los aspectos relacionados son asunto exclusivo de quienes por necesidad deben estar implicados y nada más.


© LA LEY 329

Si se aprecia falta de independencia o imparcialidad del perito su encar-go puede no surtir el efecto requerido, por lo que se deberá cuidar este ex-tremo ya desde las etapas más tempranas del caso, poniendo de manifiesto el perito cualquier elemento que pudiera desmerecer su opinión.

Si los anteriores elementos constituyen valores apreciables y máximas de lo deseable en la práctica profesional, existen líneas que el perito no debe cruzar en ningún momento. La actitud inquisitiva y la iniciativa inves-tigadora, como ya se ha dicho, no corresponden al perito, el perito anali-za, estudia, aporta su experiencia y da una opinión, pero no investiga. Si precisa nuevos medios o nuevos escenarios de análisis los propone y se le proporcionan o no, pero no actúa de forma autónoma, mucho menos rea-liza acciones de examen indiscriminado de medios o sistemas. Tampoco es labor del perito vulnerar o pervertir medidas de seguridad o confundir la confianza de terceros utilizando medios de elusión, revelación o captación de contraseñas, como por ejemplo presentándose como una relación en una red social para obtener información de personas o entidades.

4.3. Administración de los encargos

El perito puede recibir la petición de encargo de una de las partes o sus representantes legales o de un órgano judicial. Los órganos judiciales ges-tionan listas de peritos que en el caso de la pericial informática tiene su ex-presión más completa en las listas de peritos que proporcionan los colegios de ingeniería e ingeniería técnica en informática y que distinguen entre diferentes subespecialidades, de manera que resulta más fácil identificar el perito más adecuado para el objeto de cada pericia.

una vez recibida la petición, el perito debe estudiar el objeto de la pe-ricia y determinar su competencia profesional para cumplir el encargo que se interesa. En algunos casos esta evaluación inicial requiere ya el acceso a información sensible, por lo que es conveniente la firma de un documento de encargo profesional, aunque sea exploratorio, y de compromiso de con-fidencialidad, de forma que el perito pueda justificar su exposición a dicha información y la parte pueda asegurarse que el perito guardará la debida confidencialidad. Aclarada cualquier duda que se le pueda plantear, espe-cialmente al respecto del objeto y alcance de la pericia, si se considera com-petente y no intervienen factores que le impidan actuar con independencia e imparcialidad, el perito aceptará el encargo. Elaborará una provisión de fon-


330 © LA LEY

dos y la presentará a quien interesa su actuación, en caso de nombramiento judicial dentro del plazo de tres días. una vez abonada la provisión de fon-dos estudiará el caso en mayor profundidad, si es necesario, y planteará una planificación para la realización de las operaciones de análisis y en el caso de tratarse de un encargo de parte, para la liberación de un borrador, que iniciará el proceso de cierre del informe. En dicho proceso es útil utilizar he-rramientas de gestión de cambios y versionado en los diferentes borradores cruzados si fuese el caso.

En los encargos de parte el informe pericial debe alinearse con la es-trategia de litigio que marcan los juristas. El perito debe disponer de com-pleta libertad para decidir los elementos en los que basa sus conclusiones y establecer las operaciones y el discurso que considera más conveniente para ello. Los juristas pueden influir en la definición de los extremos de la pericial, de manera que pueden perfilar y matizar aspectos que influyen en la estrategia de litigio y que si no se cuidan pueden suponer la diferen-cia entre el éxito o el fracaso de la intervención pericial. Debemos tener en cuenta que son los juristas los que defienden sus puntos de vista en sala, por lo que también deben estar cómodos con el planteamiento de la pericial.

El perito presentará el informe correspondiente una vez cerrada su redac-ción en forma de tantas copias físicas como partes más una (juzgado) y en la jurisdicción penal dos (juzgado y ministerio fiscal). El informe irá firmado, preferiblemente rubricado en todas las páginas que irán numeradas con total y contendrá la declaración correspondiente al artículo 335.2 de la LEC.

Aunque es facultativo, existen normas que proponen modelos de in-formes periciales, en concreto y en el seno de AENOR(6), la norma AEN/CTN197001 propone una estructura formal para informes periciales gené-ricos, encontrándose en trámite la norma AEN/CTN197010 que se enfoca a los informes periciales informáticos.

Por último y si es requerido intervendrá en el acto del juicio ratificando su informe y aclarando aquellos elementos que se le soliciten.

(6) La Asociación Española de Normalización y Certificación es una entidad privada sin fines lucrativos que se creó en 1986. Es el organismo legalmente responsable del desa-rrollo y difusión de las normas técnicas en España.


© LA LEY 331

En las fases previas al inicio del proceso el perito puede ayudar a la parte en la evaluación de la posición en el conflicto y a colegir las posibilidades de éxito en base a la capacidad probatoria que se presume, contribuyendo a la construcción de la estrategia de conflicto y estrategia probatoria.

En caso que el objeto de la pretensión tenga carácter informático el pe-rito también puede ayudar en su definición. En todo el proceso judicial el perito puede contribuir a la debida evaluación de la posición de conflicto de la parte, interpretando dentro del contexto de la pericial informática la posible fuerza o solidez de las pruebas aportadas por la contraria o el sus-tento fáctico potencial que pueden tener sus pretensiones.

Puede contribuir también a la debida definición y dimensionamiento de medidas cautelares que afecten a elementos informáticos, ofreciendo ele-mentos que permitan al juzgador tomar decisiones informadas al respecto de la proporcionalidad, idoneidad o necesidad de dichas medidas, así co-mo sobre la relevancia técnica de las mismas en el conflicto.

5. TIPOLOGÍA DE CASOS

Atendiendo al objeto de la pericia pueden distinguirse diferentes tipolo-gías de casos. En base a la amplitud del contexto pericial que aplica cabe distinguir entre aquellos casos en los que la informática interviene como objeto y aquellos en los que interviene como medio.

5.1. La informática como objeto

Cuando la informática interviene como objeto se requiere un mayor contexto pericial, por cuanto no sólo es necesario delimitar y describir las circunstancias que envuelven a los elementos estudiados, sino que a menudo es necesario aclarar en qué forma operan dentro del ámbito informático.

5.1.1. Delitos informáticos

La utilización de la informática para fines ilícitos ha generado escena-rios delictivos novedosos, produciéndose su expansión al popularizarse las tecnologías de interconexión de área amplia en los años setenta del siglo xx.


332 © LA LEY

El incentivo generado por este impulso delictivo ha llevado a la evolu-ción de las técnicas llamadas de informática forense y a la generación de normas adjetivas y sustantivas que pretenden una persecución más efectiva de estas actividades delictivas.

El perito en informática puede contribuir a aclarar el escenario en el que se produce el delito, proporcionando elementos que permitan la investi-gación por parte de unidades especializadas en etapas tempranas del con-flicto. La rapidez en la respuesta es esencial, pues en estos casos confluyen en el delincuente una cierta pericia técnica además del natural ánimo de ocultación, por lo que uno de los objetivos debe ser asegurar el mayor aba-nico de evidencia posible, requiriendo de aquellos proveedores implicados toda la información que pudiera resultar de relevancia.

una vez disponibles las evidencias puede mediante su análisis concre-tar las circunstancias en las que se producen los hechos y contribuir a la identificación de los responsables y si es el caso interesar la ampliación del ámbito de evidencia mediante acciones de entrada y registro debidamente acordadas. En este sentido el perito también puede aportar su visión en la delimitación y determinación de las acciones más adecuadas y efectivas para la consecución de los fines de dichas medidas.

En general se consideran delitos informáticos aquellos tipos delictivos que podríamos considerar novedosos. En este sentido, una estafa en la que no intervienen como objeto medios informáticos no se consideraría un de-lito informático.

5.1.2. Prestación de servicios y obras

En otro contexto diferente se encontrarían los pleitos en los que se dis-cute la bondad de soluciones informáticas, prestaciones de servicios, siste-mas, etc. En estos casos el perito no interviene únicamente en la valoración de las circunstancias de los elementos indiciarios, sino que también aporta su conocimiento del ámbito concreto para identificar y valorar aquellos factores clave en el litigio.

Existirían tantas tipologías de intervención como posibles discrepancias en la prestación de servicios u obras, siendo lo más común la valoración de implantaciones de sistemas ERP, el desarrollo de aplicaciones o en general la evolución y resultado de proyectos informáticos.


© LA LEY 333

5.1.3. Propiedad intelectual de programas de ordenador

Los programas de ordenador se construyen utilizando lenguajes forma-les llamados lenguajes de programación. Los lenguajes de programación ofrecen una serie de construcciones y abstracciones que facilitan la imple-mentación de procesos o flujos de negocio en forma de programas. A los ficheros escritos bajo la formalidad de un lenguaje de programación se les llama ficheros o código fuente.

Cuando se plantea el posible aprovechamiento irregular en base a la reutilización de código fuente por parte de quien no ostenta este derecho, el perito informático puede ayudar a determinar el alcance y profundidad de dicho posible aprovechamiento realizando acciones de comparación de diversa índole, dependiendo de las circunstancias del encargo. En estos casos, conviene que el perito conozca bien el lenguaje y entorno en el que se genera el programa y sea capaz de aplicar máximas de experiencia para identificar aquellos elementos que denotan aprovechamiento o por el con-trario consisten en coincidencias triviales.

5.2. La informática como medio

La intervención del perito cuando la informática participa como medio en el conflicto es tan amplia como amplia es la penetración de la informá-tica en la sociedad y en la práctica empresarial.

Se evalúan las circunstancias de ficheros o correos electrónicos bus-cando evidencias de posible manipulación u ocultación, se verifican el estado o presencia en web o redes sociales, se analizan teléfonos móviles, extrayendo de forma verificada mensajes o registros de llamadas y un largo etcétera de posibles ámbitos de análisis y verificación en el marco de cual-quier tipo de conflicto y en cualquier jurisdicción.

5.2.1. Diligencias de entrada y registro y medidas afines

Si se tienen fundadas sospechas de la existencia de elementos indicia-rios informáticos relevantes a un posible litigio que se encuentran bajo el control y acceso de otro, en determinados supuestos puede interesarse la práctica de medidas que permitan el aseguramiento de dichos elementos para su posterior introducción en un litigio.


334 © LA LEY

Cabría distinguir entre las medidas que derivan en la incautación de los medios, las que pretenden garantizar la posterior efectividad probatoria en base a los elementos indiciarios de interés y las que pretenden la mera comprobación de determinados extremos.

Estas medidas se acuerdan inaudita parte, es decir, sin conocimiento de la parte que las recibe. Para conseguir su acuerdo por el órgano judicial correspondiente es necesario acreditar que aparentemente se va a hacer un uso legítimo de las mismas (fumus bonus iuris) y que existe un riesgo de que de no acordarse puedan desaparecer o mermar sus posibles efectos en el litigio (periculum in mora). Esto último es algo extremadamente común en el ámbito informático por la facilidad en que los elementos indiciarios pueden verse alterados u ocultados.

Deben además presentarse signos racionales de la existencia de los ele-mentos indiciarios informáticos y de su relevancia en el posible litigio así como de su idoneidad y proporcionalidad. un diseño cuidadoso de la me-dida, que acote bien las acciones y minimice el posible impacto en la parte que recibe la medida va a facilitar su acuerdo por parte del órgano judicial.

Todas las formas descritas anteriormente tienen en común que efectiva-mente se tiene que acceder a los elementos indiciarios de forma sorpresiva y garantizando la efectividad de la medida en un entorno que puede resul-tar hostil o al menos poco colaborador. Se trata en general de acciones que no dan margen a segundas oportunidades, por lo que deben planificarse muy bien. Esta planificación puede incluir trabajo de campo de las uni-dades policiales para garantizar que la persona (o personas) de interés se encontrará presente en la acción.

En ocasiones no se dispone de toda la información a la hora de planear la acción, por lo que se debe considerar un conjunto amplio de escenarios posibles asociados a planes alternativos a la ejecución sin contratiempos.

La intervención de un perito en informática en este tipo de acciones puede vehicularse de dos formas principalmente.

Cuando unidades de policía judicial prevén que en una acción pueden hacerse necesarios conocimientos o técnicas complejos o especializados, pueden interesar al juzgado que un perito en informática les acompañe y asista.


© LA LEY 335

En aquellos casos asociados a supuestos de la ley de propiedad intelec-tual o ley de competencia desleal y para el aseguramiento de prueba o la comprobación de hechos, el juzgado puede encargar directamente al pe-rito la realización de estas acciones, que llevará a cabo en el seno de una comisión judicial, asistido en ocasiones por policía, pero en este caso para garantizar que la acción puede realizarse sin contratiempos.

5.2.2. Sistemas

El estudio o evaluación de sistemas informáticos forma parte del volu-men más importante y convencional de la actividad del perito informático y presenta una gran variabilidad de escenarios y entornos. Es habitual que se requiera la evaluación o análisis de circunstancias de ficheros o sistemas por cuanto evidencian acciones o se verifique la coherencia y/o integridad de medios o ficheros, etc.

5.2.3. Dispositivos móviles

Los dispositivos móviles tienen una presencia cada vez más habitual co-mo fuente de evidencia. Tratándose de elementos que guardan una íntima relación con los usuarios requieren de un tratamiento y cuidado especial.

Como particularidad, los dispositivos móviles contienen medios de al-macenamiento integrados a los que habitualmente no es posible acceder directamente sin extraerlos del dispositivo, siendo la extracción destructiva (requiere desoldar los chips de memoria). Esto es así porque la conexión ofrecida por los teléfonos está bajo el control de su sistema operativo y da-do que con objeto de mantener restringidas determinadas funciones de los teléfonos(7), dicho sistema operativo impide el acceso libre y completo a sus medios de almacenamiento.

Para tener un acceso completo a los medios de almacenamiento del te-léfono es preciso realizar una acción denominada comúnmente «rooting» que consiste en forzar al sistema operativo del teléfono a permitir el acceso completo a los medios de almacenamiento que contiene. una vez obteni-

(7) Estas funciones suelen estar asociadas a la restricción de uso del dispositivo en redes de telefonía determinadas cuando se trata de dispositivos subvencionados.


336 © LA LEY

do dicho acceso es posible tratar los medios como si de un disco duro se tratara, siendo entonces posible realizar acciones de análisis de bajo nivel y la recuperación de datos borrados. La acción de «rooting» requiere de la copia y ejecución de un programa en el teléfono, programa que en modo alguno debe alterar los datos de usuario visibles que el teléfono contiene.

Ilustración 2 «rooting» de un teléfono Android con SuperOneClick

5.2.4. Comunicaciones

Las diferentes fórmulas de comunicación informática dejan rastros que el perito puede analizar y verificar, bien sea correo electrónico, mensajes cortos, telefonía IP o videoconferencia, etc. El contexto de coherencia en el que se evalúan los elementos de interés puede ser complementado con otros elementos que pueden ser aportados por diferentes proveedores de servicio.

5.3. Tasaciones

En ocasiones se requieren los servicios de un perito para valorar equipos o incluso los costes asociados a la prestación de servicios. En estos casos el perito aporta su conocimiento del sector para establecer un contexto de valoración coherente y sólido. Ocurre que en ocasiones, debido a la duración de los ciclos judiciales, este tipo de encargos se requiere cuando los sistemas se encuentran al final (o fuera) de su vida útil o sus ciclos de soporte, siendo en ocasiones difícil documentar un número suficiente de transacciones que constituyan una base sólida de valoración.


© LA LEY 337

6. INTERVENCIÓN DEL PERITO EN EL PROCESO

El perito en informática interviene en diferentes fases del proceso ju-dicial, contribuyendo a resolver los conflictos de la manera más efectiva posible con la aportación de sus conocimientos y experiencia en al ámbito.

6.1. Fase de proposición: determinación de los extremos

La determinación del objeto y alcance de la pericia es una tarea en mayor o menor medida bidireccional. Por un lado quien requiere la ac-tuación del perito dispone de un contexto jurídico en el que pretende pre-sentar hechos relevantes al proceso y por otro el perito aporta un ámbito de conocimiento y técnico pericial. Si bien es cierto que algunas pericia-les vienen determinadas por un conjunto de extremos, es prácticamente imposible que la redacción de dichos extremos no deje lugar a dudas y sea perfectamente asumible por el perito sin necesidad de matiz alguno al respecto.

Esta bidireccionalidad no debe interpretarse como la puerta abierta a la imposición de posiciones o estrategias de análisis o evaluación al perito, que debe gozar siempre de libertad para aplicar aquellos elementos que considere más oportunos para dar la debida respuesta a los extremos que se le plantean.

En cuanto al alcance de la pericia, es esencial que el jurista entienda qué escenario se cubre con la formulación de la pericial que se plantea y qué riesgos existen en caso de descartarse escenarios u opciones más comple-jas o costosas.

una vez determinado el objeto y alcance de la pericia el perito debe trabajar con toda libertad y presentar un borrador de su informe para con-trastar con las posiciones de partida.

Cabe la posibilidad de corregir y adaptar el objeto y alcance a los re-sultados que se producen, pero el perito debe ser capaz de responder con libertad dentro de las circunstancias del encargo. Aunque el jurista pue-de sugerir fórmulas de expresión que hagan más claro el resultado de la pericia, el perito debe huir de consideraciones categóricas forzadas, de apreciaciones infundadas y en general de cualquier valoración fuera de su ámbito de experiencia, que no olvidemos que es la informática y no el


338 © LA LEY

derecho o la estética. Debe evitar del mismo modo apreciaciones para las que no son necesarios conocimientos específicos.

6.2. Operaciones periciales

Definidos los extremos, el perito estudia las circunstancias del caso. Si los extremos se le plantean desde un punto de vista teórico, su respuesta se basará en el núcleo del conocimiento especializado que aporta.

Si no es así, el perito deberá determinar los elementos que debe estudiar para dar debida respuesta a los extremos que se le plantean. En todos los casos el perito deberá tener libertad para seleccionar y priorizar aquellos elementos que considere más relevantes de los disponibles. En caso de precisarlo, puede requerir el auxilio judicial para obtener el acceso que requiera la realización de las operaciones periciales.

En algunos casos, por ejemplo en aquellos casos en los que interviene información sensible, la realización del análisis puede interesarse en sede judicial. En esos casos es preciso que se planifiquen bien las operaciones de análisis pues el perito puede encontrarse limitado en las herramientas a utilizar.

Las operaciones periciales deben permitir el debido contraste. Para ello será preciso documentar las circunstancias, medios, herramientas, proce-dimientos y objetos que intervienen en el análisis, ilustrando las acciones realizadas y guardando en la medida de lo posible los resultados inter-medios generados. Resulta conveniente utilizar herramientas accesibles, probadas, fiables y en la medida de lo posible creadas con propósitos forenses.

Estos elementos permitirán cubrir los aspectos positivos que se detallan en apartados posteriores relativos a la contradicción, minimizando los po-sibles reproches que pudiera esgrimir la contraria.

6.3. Emisión del dictamen pericial

El trabajo del perito accede al proceso en forma de informe pericial y a través de las declaraciones que dicho perito puede realizar ante el juzga-dor. Deben cuidarse por tanto ambos factores.


© LA LEY 339

Los informes acompañan una breve reseña de la formación y experien-cia del perito en el ámbito. Este elemento suele también ser una de las preguntas más comunes al iniciarse la declaración del perito en el acto del juicio.

Los asuntos sobre los que trabaja el perito en informática pueden llegar a ser muy complejos, requiriendo en ocasiones grandes dosis de abstrac-ción y conocimiento específico. El perito, como especialista en la materia objeto de su trabajo, dispone de una visión global de todo el escenario de complejidad. Puesto que la prueba pericial es tenida en cuenta dentro de un sistema de valoración motivada, el juzgador precisará de elementos que le permitan construir dicha motivación y estos elementos deben ser acce-sibles y útiles a este propósito. una excesiva simplificación o el abuso de los símiles puede, por el contrario, resultar en un discurso que no es fiel a la realidad.

El perito debe definir un discurso claro y asimilable, que refleje todos los elementos de complejidad imprescindibles pero que no se pierda en deta-lles irrelevantes, que dé cumplida respuesta a los extremos que se plantean y que en definitiva busque la efectividad de su intervención. Del mismo modo su intervención en el acto de juicio debe ser firme pero siempre con-siderada hacia las partes y/u otros peritos.

6.4. La contradicción del dictamen pericial

La contradicción es un principio clave que impregna diferentes fases del procedimiento por cuanto sus efectos influyen directamente en el enfoque y planteamiento de toda la intervención pericial.

Si atendemos a las características intrínsecas del perito, cabe señalar como factores relevantes la formación reglada en el ámbito objeto de su pericia, la experiencia profesional en asuntos similares y la exposición a conflictos análogos desde diferentes prismas, lo que redunda en su idonei-dad técnica y en una postura informada y a la vez imparcial.

Al respecto de los sistemas objeto de análisis en la pericia cabría evaluar su idoneidad por cuanto reflejen de forma más fiel su estado o por cuanto permita un mayor contexto de coherencia. un sistema que no está estable, que ninguna de las partes identifica como referencia, sobre el que no se ha


340 © LA LEY

establecido mecanismo alguno de gestión de integridad, no será un sistema del que puedan extraerse conclusiones sólidas y útiles al proceso.

Cuando la intervención pericial no se cuida convenientemente pueden presentarse elementos que desmerecerían de forma manifiesta la postura del perito. En este sentido, los elementos negativos más frecuentes estarían rela-cionados con la falta de formalidad, con la falta de idoneidad del perito, con su falta de independencia o imparcialidad y con la opacidad de su interven-ción, apareciendo estos factores en ocasiones de forma concurrente.

En relación con la formalidad cabe señalar que en ocasiones acceden al proceso informes sin las prevenciones que marca el apartado 2 del artículo 335 de la LEC, incluso sin firma. Esta circunstancia suele ir unida a otra que también podría considerarse formal y es que en ocasiones el objeto del informe no es el de una pericial. Se presentan como informes periciales informes realizados por equipos de respuesta a incidentes de seguridad, administradores de sistemas, equipos de auditores, o evaluaciones de ter-ceros cuyo marco de trabajo no es el pericial y cuyo objeto tampoco tiene relación con el objeto de discusión en el litigio, entre otras cosas porque en el momento en el que se realizan, el conflicto está en un estado incipiente, desconociéndose en ese punto cuál va a ser exactamente dicho objeto.

Las carencias formales suelen subsanarse aportando un escrito en el que el perito realiza las manifestaciones pertinentes, incluso en declaración el día del juicio o resolverse mediante la conversión del informe «pericial» en testifical o documental.

vista desde el punto de vista de la imparcialidad, la participación de personal con interés en el pleito sería también poco recomendable, bien sea personal de la parte o bien de un tercero que le presta servicios. un equipo de respuesta a incidentes de seguridad dentro de una organización es el que en primer lugar se enfrenta con la situación y por tanto está en disposición de asegurar aquellas evidencias más relevantes de forma contrastable. Pero si este mismo equipo pasa a analizar dichas evidencias y a derivar conclusiones de las mismas, su posición podría verse discutida en el litigio. Del mismo modo, el implantador en un nue-vo intento tras una implantación fallida, no es el más adecuado para valorar el cumplimiento o no de los compromisos del anterior proveedor.

un elemento muy relevante por cuanto poco obvio y de gran impacto es el hecho que el perito no actúe como tal. Es relativamente común que el


© LA LEY 341

perito presente un discurso que se limita a trasmitir la posición de la parte que encarga el dictamen, llegando en ocasiones al extremo de aparentar prácticamente una declaración por representante. Dentro de toda una ex-plicación vestida con una jerga que el juzgador no domina, a éste le será difícil identificar qué es discurso y qué es conocimiento técnico especia-lizado. Si unimos este factor a la posible tentación del juzgador de dotar al perito de unos determinados valores y presunciones, el efecto puede ser devastador. En un sentido similar, pero en una forma más detectable por el juzgador, es relativamente común que los peritos realicen apreciaciones extra-técnicas, cuando no jurídicas, de los hechos.

El perfil del perito debe también adaptarse a los hechos que se discuten y que son objeto de su dictamen, evitando pronunciarse al respecto de aquellos aspectos ajenos a su área de experiencia o formación.

Si consideramos que el perito responde cuestiones relevantes al pro-ceso, es difícil encontrar justificación para informes que carecen de ex-tremos. un informe que carece de extremos es demasiado a menudo una vía abierta por la parte que lo encarga para trasmitir su posición en el litigio por boca del perito. Suele darse la circunstancia que un informe sin extremos suele tener un discurso deficiente y poco estructurado. Se plantean en ocasiones los informes como un relato de decenas de pá-ginas salpicado de conclusiones, lo que impide en gran medida centrar la debida contradicción en aquellos elementos más discutibles. Cabría pensar que este elemento puede restarle efectividad, pero lo cierto es que si no se plantea la debida respuesta, en un ámbito complejo como es la informática, puede darse el caso de que un informe que crea confusión acabe por generar un efecto beneficioso para la posición en el litigio de parte que lo encarga, aunque en general su efecto será perverso para la justicia. No cabe duda que un discurso difuso y poco compacto no sólo es más difícil de atacar sino que además dificulta la acción del juzgador a la hora de determinar si el informe versa sobre elementos relevantes a la controversia o no.

Esta situación puede producirse también en el propio acto del juicio, en el que un perito con pocos miramientos puede eludir una crítica sólida uti-lizando jerga o simplemente planteando explicaciones ante las que quien le está sometiendo a contradicción no sepa repreguntar. Es útil en estos ca-sos pedir la comparecencia simultánea de los peritos o preparar al abogado


342 © LA LEY

para que comprenda bien las diferentes vías posibles en el interrogatorio e impida que el perito eluda los aspectos controvertidos.

La comparecencia simultánea resulta muy útil cuando las posturas de los peritos son enfrentadas, sobre todo si el perito tiene la debida dispo-sición firme pero respetuosa. Dicha comparecencia puede interesarse en virtud del punto 5.º del apartado 1 del artículo 347 de la LEC. El juzgador suele solicitar en ese caso la presencia concurrente de los peritos en la sala y tras las advertencias legales les plantea la mecánica de su intervención. Normalmente considera que las preguntas que se formulen en general las deben contestar los peritos indistintamente y las que se formulen a un peri-to las deberá contestar en primera instancia este perito, sin perjuicio de que otro perito pueda dar su opinión al respecto a continuación.

Desde el punto de vista epistemológico, el discurso de los peritos de-bería estar construido sólidamente en evidencias, contexto técnico y ex-periencia, de forma que sea posible aplicar sobre el mismo un juicio de falsabilidad. Pero en ocasiones los peritos no sólo obvian la debida refe-rencia a los medios o instrumentos empleados, sino que incluso obvian el mínimo detalle del proceso de análisis que les lleva a sus conclusiones, de forma que la contradicción se hace prácticamente imposible. En estos casos puede resultar útil dar el ejemplo contrario y presentar periciales es-pecialmente cuidadosas, sólidas y estructuradas, de forma que el juzgador pueda comparar ambos planteamientos.

La evaluación del dictamen pericial se realiza en el marco de libre va-loración motivada descrito en el artículo 348 de la LEC. En este contexto, los elementos de valoración deben hacerse accesibles al juzgador, que va a preferir la simplicidad a la complejidad. Buscar el equilibrio entre el reflejo fiel de la realidad y la excesiva simplificación es uno de los principales re-tos de la intervención pericial.

Ocurre también que el perito refiere a entrevistas con su cliente, no como elemento para guiar su análisis, si no como fuente de eviden-cia. Cualquier marco asociado a las evidencias califica este tipo de elementos como de bajo nivel probatorio, desde luego muy lejos de la mejor evidencia disponible. Ocurre también que impelidos por esta dinámica los peritos plantean su discurso realizando afirmaciones que estarían reservadas a aquellos que han vivido las acciones que evalúa.


© LA LEY 343

Y esto normalmente no es así si no es que el perito actúa también como testigo.

En este sentido cabe resaltar la tendencia de algunos peritos a ceder su discurso a la parte, convirtiéndose en meros trasmisores de su posición en el litigio sin una mínima actitud de sana curiosidad. También se usan los informes periciales para incorporar documentación de forma extemporá-nea que se pretende usar no sólo para basar las conclusiones del perito, en ocasiones alterando el status quo planteado en la demanda y contestación, sino también para derivar nuevos hechos a partir de las mismas.

6.5. En la ejecución

En ocasiones, una vez resuelta la controversia, la tarea de la ejecución de lo acordado resulta complicada y requiere la intervención de un perito en informática. Suele tratarse de casos en los que la informática interviene como objeto, siendo lo más habitual la comprobación de que un determi-nado código fuente sirve para reproducir un determinado sistema o si dicho sistema cumple con unos determinados compromisos de funcionalidad.

7. RETOS PRESENTES Y FUTUROS

En el presente apartado se presentan algunos elementos que constituyen retos en la actualidad y/o que en un futuro próximo pueden llegar a repre-sentar problemas serios.

Desde los inconvenientes y dificultades que genera la granularidad (ta-maño de la unidad de almacenamiento utilizada) hasta la falta de masa crítica, con la consiguiente falta de especialización, se trata de problemas que deberían preocupar a todos los actores que intervienen en la intro-ducción de hechos en procesos reglados en base a evidencias o contexto informático.

Si conceptualizamos este contexto como un sistema a controlar veremos que trata de un sistema complejo y con unas inercias notables. El ritmo evolutivo de las normas y de la tecnología son muy diferentes. Es más, en el proceso normativo no interviene el uso de parámetros que permitan evaluar su efectividad. De hecho en ocasiones el propio status quo legal impide que estos parámetros lleguen a medir la bondad del conjunto de


344 © LA LEY

normas, instituciones y personas implicadas. Cualquier actuación sobre el sistema que sea de un gran calado o amplitud sería como tratar de gobernar un barco en medio de una tempestad dando constantes golpes de timón.

No cabe duda que hay retos presentes que no se están afrontando, se están posponiendo, se están evitando: existen unidades especializadas de policía judicial y fiscalías especializadas, pero ¿a quién acudir cuando es-tamos tratando un delito convencional en el que la informática interviene como medio de forma relevante? ¿Cuántos casos de delitos tecnológicos llegan a litigarse hasta el final para valorar la efectividad de las normas sustantivas y adjetivas que les aplican? ¿Comprenden los juzgadores el im-pacto que pueden tener las medidas cautelares que acuerdan cuando éstas tienen un objeto informático?

Mientras tanto el legislador propone permitir que las Fuerzas y Cuerpos de Seguridad, bajo control judicial, instalen programas espía para realizar lo que llaman «registros remotos». Tardaremos años en averiguar la efectivi-dad de medidas de este cariz y ver si contribuyen a una mejor persecución de los delitos o por el contrario provocan nulidades o pruebas poco sólidas. Y mientras tanto la evolución tecnológica no va a esperar a las normas.

Nos hallamos en lo que se ha llamado «la era conceptual», en la que los activos creativos o cognitivos tienen cada vez mayor importancia. En esta era se enfatiza el pensamiento conceptual y otras habilidades como la em-patía, la creatividad y la imaginación como factores claves de la evolución económica y cultural y en la emergencia de nuevas áreas de oportunidad. Que la informática ofrezca una base sólida al conocimiento humano y permita garantizar la seguridad jurídica de las transacciones que soporta, depende en buena parte de nuestra capacidad para afrontar los retos que se nos presentan al respecto de la prueba en base a elementos informáticos.

7.1. Desencuentros entre lo jurídico y lo técnico

Por lo general cada actor en el marco de la prueba pericial en informáti-ca tiene una visión diferente de la misma. Es natural que el enfoque no sea exactamente el mismo, pero lo preocupante es que hay muy pocos puntos de contacto.

El mismo vocabulario nos separa muchas veces. Desde posiciones no técnicas se abusa de lo «cyber» y se habla de la informática forense como


© LA LEY 345

si fuera una disciplina, cuando es un conjunto de técnicas utilizadas por peritos, pero también por equipos de seguridad o auditores, por citar dos perfiles ajenos al ámbito jurídico.

El hermetismo de la informática no ayuda, pero deberíamos compartir un marco común en el que los principios básicos estuvieran claros: auten-ticidad, integridad, relevancia, contexto y contradicción.

Desde posiciones jurídicas se requiere en muchas ocasiones a los pe-ritos para que simplifiquen sus planteamientos y su discurso. Pero en nuestro ámbito las situaciones son en ocasiones complejas. Si se abusa de las analogías, si se plantean las situaciones de forma simplista ¿no estamos tergiversando la realidad? Se busca siempre un equilibrio, pero la efectividad final de este equilibrio depende en muchas ocasiones de la voluntad o capacidad de los juristas de aproximarse a lo que desde el punto de vista técnico se plantea, naturalmente no desde el punto de vista del experto sino desde un punto de vista epistemológico o incluso del sentido común.

Como ejemplo de escenario en este sentido, consideremos una diligen-cia de investigación en la que se autoriza la inspección de una serie de equi-pos informáticos. En muchas ocasiones estas acciones y otras asimilables a diligencias de entrada y registro se plantean en dos pasos: la incautación de los medios en los que se sospecha que podrían encontrarse elementos rele-vantes y su clonado para su posterior análisis. Pero en ocasiones se planea la acción como una mera comprobación. Puede darse el caso que el perito encuentre durante la práctica de la acción que ésta no puede realizarse de forma no destructiva y considere necesario realizar una adquisición previa del estado del sistema, adquisición que es costosa en tiempo. Pero si se expresan urgencias en el seno de la comisión judicial el perito puede estar tentado de tomar atajos que pueden afectar a los derechos de las partes.

7.2. Niveles de detalle: granularidad

Dentro de un proceso de adquisición, tratamiento o presentación de resultados en la pericial informática, la granularidad se refiere a la unidad básica de gestión de información. La granularidad, como nivel de detalle, interviene en diferentes fases del procedimiento, a nivel técnico, pero tam-bién a nivel jurídico.


346 © LA LEY

Por ejemplo, si no se tiene en cuenta la granularidad al valorar la ido-neidad de una medida cautelar pueden producirse problemas de difícil solución a posteriori. Consideremos un caso en el que se denuncia la ex-tracción y uso de un conjunto de contactos de clientes y se interesa y con-cede una copia espejo de los discos de todo el sistema de gestión ERP de la organización que recibe la medida. una vez realizada dicha copia, el análisis, identificación y extracción de la información relevante va a pre-sentar numerosos problemas técnicos y jurídicos, empezando por la repro-ducción del entorno de ejecución del sistema y siguiendo por quién debe realizar la comprobación y bajo qué control. En cambio si en lugar de la copia espejo se hubiera interesado y acordado la consulta ante la fe pública del secretario del juzgado de aquellos elementos relevantes del sistema ERP y su exportación y aportación a la causa, la medida hubiera resultado más efectiva.

En este mismo sentido, en marzo de 2009 una decisión judicial bloqueó 4.5 millones de sitios web bajo el dominio «wordpress.com» cuando pre-tendía impedir el acceso a un conjunto muy reducido de ellos por una mala definición de la medida, que no identificó inequívocamente cada uno de ellos sino que se refirió al dominio genérico o dirección IP que los alojaba.

7.3. Búsquedas automáticas, análisis y presentación de resultados

una de las fórmulas que permiten a los peritos determinar la posible relevancia de un elemento indiciario sin tener que estar expuestos a su conjunto de forma indiscriminada es el de las búsquedas automáticas. Pe-ro este procedimiento no está exento de problemas, pues en ocasiones no es trivial determinar qué términos llevan a un conjunto de resultados abarcable. El procedimiento es inherentemente imperfecto y requiere una evaluación humana final para determinar la relevancia real o no de dichos resultados, por lo que no se garantiza la no exposición a elementos ajenos al objeto del estudio. Por otro lado las búsquedas requieren de la decodi-ficación de los elementos que no se encuentran un formato que permita la búsqueda tal y cómo se plantea.

En la presentación de resultados puede intervenir también la granulari-dad, ya que incluso en una misma unidad de asignación pueden encon-trarse elementos relevantes junto con otros que no lo son. O que incluso pueden comprometer derechos de la parte que recibe la medida. En este


© LA LEY 347

sentido puede resultar útil la práctica poco extendida de realizar las accio-nes periciales en el entorno controlado de la sede judicial y bajo el control de su secretario. Aunque pueda resultar algo más incómodo y dilate los pla-zos asociados a las acciones interesadas, es perfectamente posible realizar las acciones de análisis en sede judicial, de forma que se pueda ejercer el debido control de las operaciones y se evite la filtración o uso descontrola-do de información que pudiera ser sensible.

Por otro lado, se están haciendo cada vez más comunes en diferentes ti-pologías de herramientas, funcionalidades que permitirían la segmentación e identificación de perfiles mediante el empleo de elementos selectores. Su uso para fines no estrictamente periciales fuera de un contexto de vigilancia judi-cial de la relevancia, idoneidad y proporcionalidad de las medidas dentro del marco de los derechos de las personas, puede presentar problemas en el futu-ro. Estos sistemas pueden ingerir y digerir una gran cantidad de información y usar parámetros o configuraciones adaptativas para definir descriptores de comportamiento que pueden permitir determinar incluso patrones de vida y utilizarse para el «targeting», el perfilado o la evaluación de redes de relacio-nes, centricidad y relevancia de personas. Estas herramientas y técnicas han estado en uso por agencias nacionales de información desde hace años, pero poco a poco van accediendo a software y herramientas comerciales.

7.4. La preparación forense y equilibrio en la supervisión

El amplio uso de la informática en el ámbito corporativo y su posible intervención como vehículo o medio en actividades fraudulentas o des-leales lleva aparejada la necesidad de obtener evidencia de los sistemas utilizados por los empleados o directivos. El asiduo litigio de circunstancias no pacíficas ha ido perfilando la amplitud y alcance de las acciones y ele-mentos de control asociados a esta necesidad.

El status quo actual permite al empleador establecer marcos de control amplios y realizar un conjunto generoso de acciones de comprobación y análisis, siempre que se informe de manera expresa al trabajador de que la política de uso aceptable de los sistemas incluye la posibilidad de estas ac-ciones. Se ha venido a determinar que este conocimiento informado redu-ce o incluso en condiciones determinadas hace desaparecer la expectativa de privacidad que el trabajador pudiera tener en el uso de los sistemas de la empresa.


348 © LA LEY

Esta tendencia se alinea con la llamada preparación forense, que incluye actividades y sistemas que tienen como objeto garantizar que los elemen-tos indiciarios se recogen y preservan en las mejores condiciones para su acceso a los procedimientos reglados que pudieran derivarse en caso de posibles conflictos.

Como otros factores dentro el mundo de la informática y el conflicto, se está produciendo un efecto péndulo: si antes el empresario prácticamente tenía vetado el acceso y análisis de un amplio abanico de elementos, la tendencia actual permite acciones de supervisión más o menos inquisi-tivas. Está por ver la solidez de estos planteamientos y hasta qué punto encajan en los procedimientos reglados y permiten derivar sólidamente hechos a partir de los análisis realizados sobre este tipo de sistemas «fo-rensic ready».

Es de señalar que de forma incipiente emerge la tendencia contraria. Dentro de marcos de gobernanza corporativa basada en valores, algunas organizaciones limitan de forma unilateral y voluntaria su capacidad de control y análisis de sus sistemas empresariales.

7.5. Metodologías, métodos y marcos de trabajo

Desde algunos ámbitos afines a la pericial informática se vería como algo positivo la generación de un consenso alrededor de la sistematización y ordenación de las diferentes actuaciones periciales. Se considera que esta sistematización podría fructificar en forma de una metodología. El uso que se hace en estos casos del término metodología no es del todo adecuado, por cuanto el término metodología aplica principalmente al análisis sis-temático y teórico de los métodos o principios asociados con un ámbito de conocimiento, no a los métodos en sí. Por otro lado a menudo dos enfoques metodológicamente diferentes pueden ser igualmente válidos y generar en conjunto resultados más ricos y provechosos.

Es un hecho también que en ocasiones se pretende utilizar elementos de consenso fuera del marco en el que dicho consenso es válido. Así, elemen-tos como la comprobación por resúmenes de integridad y que si existen permiten realizar afirmaciones al respecto de dicha integridad, se utilizan para desvirtuar elementos sobre los que no se han generado, pretendiendo en su ausencia prácticamente una presunción de alteración.


© LA LEY 349

Otro problema de este planteamiento es precisamente la fuente y la am-plitud del consenso, pues a menudo las organizaciones que promueven este tipo de iniciativas no están impelidas a una representatividad abierta y equilibrada, basada en la experiencia o la exposición a un abanico amplio de dificultades en el ámbito.

Cabe el temor de que precisamente las metodologías, o mejor dicho los métodos, sean utilizados de forma negativa, como «arma arrojadiza», más que de forma positiva, para construir un marco común de actuación.

En el ámbito informático se emplea otra abstracción que podría ser de utilidad en este contexto. Los marcos de trabajo son aproximaciones a la sistematización más abiertas y flexibles. Ofrecen principios, modelos, dis-ciplinas, conceptos y guías para la consecución de los objetivos de la ac-tividad.

La convergencia de una representación basada en la exposición y expe-riencia en el ámbito junto con un enfoque más flexible en forma de marco de trabajo podría resultar en un conjunto de principios, modelos y guías que permitan todos los puntos de vista válidos y sirvan para orientar mejor la actuación pericial.

7.6. Tendencias tecnológicas

El ritmo de evolución de la tecnología, su capacidad para influir profun-damente en diferentes aspectos de la sociedad y su potencial de generar impacto socio-económico interfiere sin duda en la prueba de hechos en base a elementos informáticos.

Cabría decir que el elemento tecnológico con una mayor capacidad de disrupción son las criptodivisas, siendo la más popular la llamada «bitcoin» y sus derivados. Las criptodivisas son medios de intercambio convertibles en unidades monetarias corrientes que utilizan tecnologías criptográficas para el control de transacciones económicas y que operan al margen del sistema de pagos convencional.

De forma paralela, la popularización de las tecnologías de cifrado de datos en almacenamiento o comunicaciones supone una dificultad aña-dida a las tareas de análisis. En el caso del cifrado de comunicaciones, el acceso a redes no convencionales a través de tecnologías de enrutamiento


350 © LA LEY

anónimo viene a dificultar cuando no a impedir las aproximaciones hasta ahora vigentes al respecto. Cabría preguntarse por otro lado hasta qué pun-to el uso de estas tecnologías no señala efectivamente que se está cruzando información sensible.

Son precisamente estas características, junto con las criptodivisas, las que han permitido iniciativas como «the armoury», un mercado ilegal de armas en línea o «the silk road», centrado en el tráfico de narcóticos y que fue desmantelado en octubre de 2013 para reaparecer un mes después. Con un abanico de oferta que va desde los órganos hasta las especies pro-tegidas, pasando por las citadas drogas y armas, se estima que los mercados negros ocupan a 1.800 millones de personas de forma directa o indirecta y este tipo de plataformas tienen la capacidad de atraer un volumen impor-tante de transacciones.

En cuanto a las tecnologías de cifrado empleadas en medios de alma-cenamiento, su uso cada vez más popular puede complicar o impedir el análisis de medios aprehendidos en diligencias de entrada y registro.

Los modelos de explotación de sistemas en la nube son también un elemento de disrupción, por cuanto deja de ser válida la correspondencia entre el objeto de la aprehensión y una localización física determinada, quedando la extracción del estado de los sistemas de interés en manos del proveedor de servicios en la nube.

Medios de almacenamiento flash presentan también características que vienen a alterar la práctica habitual en el tratamiento de medios de almacenamiento. En concreto, el espacio no utilizado en estos medios puede relocalizarse debido a algoritmos de nivelación de desgaste, que previenen el fallo de las celdas de memoria antes de que se produz-ca. Estos algoritmos operan siempre que el dispositivo tiene corriente e implican que el resumen de integridad del medio completo puede alterarse sin que efectivamente el contenido de los ficheros cambie en modo alguno.

Esta falta de soporte de los resúmenes de integridad no es nuevo y se produce también en los medios magnéticos que presentan errores. En estos casos, el problema afecta a dos aspectos diferentes de la copia completa del medio. Por un lado el empleo de dispositivos de copia que no soporten una gestión adecuada de los errores de lectura puede generar una imagen


© LA LEY 351

subóptima. En esos casos deben usarse dispositivos que soporten gestión de errores u ordenadores de propósito general que ejecuten sistemas de pro-pósito forense que incluyan comandos como «ddrescue» que minimizan los datos no legibles. Por otro lado el resumen de integridad puede cambiar de una ejecución de la copia a otra, pues dependiendo del origen del pro-blema en la lectura, este puede expandirse, con lo que los resúmenes no coincidirían.

En ambos casos, medios flash y copia con errores, es posible generar una copia lo más amplia posible y considerar esta copia como el «canon» sobre el que garantizar la integridad.

Las tecnologías de impresión 3D y la fabricación aditiva(8) trasladan al mundo físico muchos de los problemas e interrogantes que genera el mun-do virtual. La reproducción de objetos físicos y las nuevas fronteras que abre en ámbitos que van desde la microelectrónica o la fabricación de prótesis hasta la arquitectura son elementos que también vienen a alterar sustancialmente el status quo general.

Por último prácticas como BYOD(9) y la creciente implantación de los sistemas móviles y de computación ubicua representan hoy en día y repre-sentarán en el futuro un reto en diferentes ámbitos, no sólo por la sensibi-lidad de la información y la interacción que soportan, sino por cómo se entremezclan de forma casi inseparable actividades profesionales y perso-nales. Especialmente preocupante es la computación ubicua actualmente representada por la iniciativa Google Glass y que permitiría realizar opera-ciones de forma integrada con la actividad normal de las personas.

Todos los elementos anteriores vienen a imponer una disrupción en los escenarios que actualmente se cubren y/o en el volumen y profundidad de las intervenciones de los peritos, por lo que los problemas que actualmente adolece la introducción de hechos en base a evidencias informáticas, lejos de reducirse, se debe pensar que se exacerbarán.

(8) Ambas fórmulas permiten la generación de objetos o piezas terminadas a partir de la superposición o agregación de materiales.

(9) Siglas de «Bring Your Own Device», «trae tu propio dispositivo», fórmula de gestión que fomenta que los usuarios utilicen el dispositivo que prefieran dentro del entorno corpo-rativo.


352 © LA LEY

7.7. Presencia en línea y legado digital

Diferentes proveedores de presencia en línea ofrecen fórmulas más o menos ágiles para la gestión de la continuidad o la extracción del contenido de dicha presencia en línea en caso de fallecimiento. Es común que dicha gestión se ba-se en conceptos fiduciarios anglosajones, conceptos cuya transposición al res-to del mundo se encuentra limitada por las diferencias entre culturas jurídicas.

Estas circunstancias se extenderían a diferentes tipos de activos digitales y po-drían aplicar de un modo muy similar en caso de incapacidad. En un contexto como el actual, con un auge notable de la gestión de activos mediante modelos de explotación en la nube, en los que no se tiene acceso físico a los medios que guardan la información, el activo queda en manos del proveedor, con todo lo que esto representa a la hora de obtener acceso o control sobre el mismo.

7.8. Generalidad de casos vs. especificidad de roles

Existe una disonancia entre la gran variabilidad de escenarios en los que puede intervenir evidencia informática y la especificidad de los roles jurídicos (fiscales especializados, unidades de policía judicial especializadas, etc.) que operan en el ámbito. ¿A quién acudir cuando la informática es un medio en el marco de una estafa convencional? ¿Lo penal es diferente? En concreto, en ca-so de delitos informáticos, ¿tan diferentes son las condiciones o circunstancias en las que se tratan los elementos indiciarios informáticos en el marco penal comparados con la intervención de dichos elementos en otras jurisdicciones?

Si bien es cierto que la persecución de los delitos de nueva configu-ración ha generado la creación de unidades especializadas, de técnicas adecuadas englobadas en la llamada informática forense, la intervención de fiscales especializados, alcanzada una cierta madurez quizás sería inte-resante buscar una visión global y darnos cuenta de que una buena parte de lo aprendido en este tiempo sirve para la introducción de hechos en un litigio en base a elementos indiciarios informáticos, sea cual sea la jurisdic-ción u objeto del conflicto.

7.9. Falta de parámetros de medida y masa crítica

Es especialmente preocupante y sorprendente para un ingeniero que se realicen cambios en las normas adjetivas y sustantivas sin que existan pa-


© LA LEY 353

rámetros que midan la bondad del status quo al respecto. En la efectividad de la prueba en informática intervienen múltiples actores, desde el perito hasta el juzgador, pasando por el personal de los juzgados. No se plantean las iniciativas legislativas desde parámetros de efectividad, entre otras co-sas porque esos parámetros no existen o se dispone de unas muestras tan escasas que difícilmente pueden servir al propósito de extraer norma de los mismos.

En ese sentido y a falta de estadísticas en nuestro ámbito jurídico, es de señalar que en jurisdicciones como la estadounidense se estima que el ratio es de 1/10 o incluso 1/20 para los casos litigados respecto a los casos abier-tos(10), siendo el resto casos en los que se llega a un acuerdo de conformi-dad. No se dispone de cifras concretas al respecto pero la realidad podría no estar muy lejos de estas cifras. Es común que se genere sobre el acusado una presunción de culpabilidad en base de elementos más o menos sólidos y que dicha presunción incentive la conformidad ante la incertidumbre del resultado final. Pero precisamente este escenario de incertidumbre abunda en la propia incertidumbre, pues impide que efectivamente se aclare la interpretación de las normas o la carga de evidencia necesaria para la con-dena o la absolución.

Por otro lado los modelos delictivos o antisociales se basan en redes cada vez más complejas y en las que intervienen notables economías de escala y especializaciones.

Puesto que los ciclos de evolución normativos no se validan, ¿cómo sabemos que vamos en la buena dirección?

7.10. El secreto y el debido proceso

Aunque es relativamente infrecuente en nuestro ámbito jurídico, al me-nos si atendemos a la dedicación de personal que requiere en compara-ción con otrós ámbitos jurídicos(11), lo cierto es que los asuntos en los que

(10) Según apreciación al respecto del abogado Sr. Ken White, editor del blog http://www.popehat.com/ en http://www.reddit.com/r/IAmA/comments/1aokls/iama_federal_crimi-nal_defense_attorney_and_former/

(11) La actividad del CNI está supervisada por un único magistrado del Tribunal Supremo, mientras que en Estados unidos son once los jueces dedicados en exclusiva sólo dentro


354 © LA LEY

interviene el secreto existe un peligro de vulneración de derechos. Este aspecto es relevante en el caso de la informática porque cada vez más la informática afecta de forma importante a la estabilidad nacional, en forma de infraestructuras críticas, operaciones delictivas a gran escala o incluso desde según qué prismas movimientos sociales, por lo que la tendencia vigente puede llevarnos a situaciones de indefensión o falta de garantías. Otro factor relacionado sería la intervención de medios u objetos someti-dos a secreto, como el análisis de redes de información de seguridad nacio-nal o el uso de funcionalidades o características no difundidas o secretas.

8. ESCENARIOS DE EJEMPLO

Aunque como ya se ha enunciado en apartados anteriores la variabilidad de escenarios en los que interviene la pericia informática es muy amplia, los siguientes dos escenarios presentan una conjunción de elementos jurídico-técnicos comunes que pueden ser ilustrativos de las situaciones y valores que influyen en la práctica pericial informática y como consecuencia en la definición e implementación de la correspondiente estrategia de conflicto.

El primer escenario gira alrededor de la extracción y utilización de acti-vos intangibles de las organizaciones. Secretos industriales, propiedad in-telectual, fondo de comercio, etc. son activos de gran valor en las organiza-ciones y son susceptibles de ser extraídos y utilizados en beneficio propio o de terceros por trabajadores o directivos desleales. Según el tipo de activo implicado las acciones judiciales se vehiculan a través de diferentes tipos penales que al final condicionan la intervención o no de unidades especia-lizadas de policía judicial, la intervención o no de peritos nombrados judi-cialmente y en general la incepción y desarrollo del conflicto en general.

El segundo escenario viene a ilustrar la importancia que tienen los con-ceptos y valores genéricos aplicados a la pericial informática aun cuando no se trate de escenarios asociados a tipos delictivos. La asociación general de las técnicas de informática forense con los llamados delitos informáti-cos viene determinada por el inicial protagonismo y visibilidad de la lucha contra estas modalidades novedosas de delitos. Pero una vez superado este protagonismo inicial se debe imponer una etapa de madurez que no distinga

de la FISC (siglas en inglés de tribunal de vigilancia de inteligencia extranjera)


© LA LEY 355

los principios vigentes en la adquisición, tratamiento, análisis y presentación de evidencias informáticas según la sede en la que nos encontremos. En este sentido, se presenta como escenario un conflicto asociado a la implantación fallida de un sistema de información ERP, ya que viene a cubrir una doble faceta: por un lado pone de manifiesto que efectivamente se presentan los mismos retos jurídico-técnicos que en el ámbito delictivo y por otro ilustra los conflictos que se producen cuando la propia informática es el objeto de la disputa, con los retos que esto plantea a la hora de determinar el objeto y alcance de la pericia y el profesional óptimo para llevarla a cabo.

8.1. Escenario 1: extracción y/o uso de información sensible

En los casos afines al que se presenta se dan circunstancias en las que in-terviene la voluntad de ocultación, el secreto, etc, por lo que se trata de casos en los que conviene planear muy bien las acciones asociadas a los mismos. En principio el conflicto se desarrolla en tres fases: detección, análisis y búsqueda de elementos que permitan sostener una petición de medidas y la ejecución de dichas medidas; el proceso de instrucción, con el análisis de los elementos a los que se haya tenido acceso (pueden darse varios ciclos de análisis, determinación de relevancia, nuevo análisis) para sostener la apertura del juicio oral o por el contrario para evidenciar que se impone el sobreseimiento y ya en fase de juicio oral las acciones orientadas a completar el discurso para el acto del juicio.

En estos casos, sobre todo cuando la denuncia / querella involucra a una organización, intervienen unidades especializadas de policía judicial, en ocasiones dependiendo del tipo de sistemas a adquirir, asistidos por peritos informáticos. Estas unidades no sólo intervienen en dicha diligencia, sino que pueden convertirse en un tercero independiente en caso de que se tenga que tratar información que no debe accederse por la contraria. Estas unidades en ocasiones tienen difícil asignar medios para este tipo de accio-nes de análisis, lo que puede convertirse en un problema.

En un inicio se suele disponer de algún tipo de fuente indiciaria que hay que asegurar y analizar, con vista a solicitar el acceso a aquellas fuentes más sólidas que se encuentran en poder de la contraria.

Dependiendo de los derechos vulnerados estos casos se plantean en forma de denuncia o querella y se vehiculan a través de los juzgados de instrucción o en determinados casos como pueden ser los delitos contra el mercado y los


356 © LA LEY

consumidores o contra la propiedad industrial, a través de los juzgados mer-cantiles. La fórmula empleada por los juzgados mercantiles en el planteamien-to de medidas de aseguramiento de prueba afines a las diligencias de entrada y registro difieren levemente de las empleadas por los juzgados de instrucción, pero en el fondo y en cuanto a la intervención de los peritos serían asimilables.

Dado el ánimo de ocultación natural en estos casos, dichas medidas de aseguramiento de prueba resultan de gran importancia, por lo que se debe-rá cuidar su solicitud y práctica con suma atención.

8.1.1. Detección/sospecha

Cuando la organización sospecha que puede haber una extracción de activos intangibles por parte de un trabajador o directivo debe evaluar en qué forma verificar si efectivamente se está produciendo esta situación.

Con objeto de garantizar el respeto por los derechos de los implicados, así como la solidez de las acciones posteriores, es necesario asegurarse de que existe una política de uso aceptable que incluye las posibles acciones que permitan el análisis de la información que pueda ser relevante.

Los elementos que pueden ser objeto de análisis vendrían a cubrir los diferentes vectores de extracción e incluyen registros de actividad locales y centralizados, correos electrónicos corporativos, conexión y transferencia de información a medios extraíbles, utilización de servicios de almacenamien-to en la nube, conexiones irregulares a los sistemas de la organización, etc.

Es recomendable que por un lado los trabajadores conozcan la política de uso aceptable de la organización y que existan medios de detección y control adecuados al propósito de asegurar que en caso de producirse una situación de extracción de información, sea posible evidenciarla con solidez.

El objeto de esta fase es la consulta de aquellos elementos que pudieran evidenciar de forma fácil y no intrusiva las acciones de interés.

8.1.2. Aseguramiento

una vez se ha confirmado la posibilidad de evidenciar los hechos de interés es necesario establecer un punto de inicio de cadena de custodia, realizando una copia del contexto de coherencia necesario de forma lo más sólida posi-


© LA LEY 357

ble. En este sentido suele realizarse una acción de clonado del disco duro de interés ante notario y si es posible ante un representante de los trabajadores.

Dicha acción de clonado precisa de una planificación minuciosa que in-cluye la identificación del equipo de interés asociado al perfil de usuario del trabajador, las características del disco duro que contiene (tecnología y ta-maño), así como la definición de las acciones necesarias para su extracción del ordenador. En algunas circunstancias en las que la extracción sea muy costosa o intrusiva, será necesario realizar el clonado sin extraer el medio, iniciando el ordenador mediante una distribución de propósito forense. En ambos casos es útil facilitar al notario de forma previa un guión de la acción, siempre con la reserva de que ante elementos no previstos dicho guión de-berá adaptarse a las circunstancias que finalmente se produzcan.

En caso de que el trabajador haya dejado ya la organización, se deberá garantizar que no se han producido modificaciones en los medios a estu-diar. Es recomendable que se retire el disco duro del ordenador del traba-jador en el mismo momento en que éste deja la empresa y se precinte y se custodie convenientemente durante un periodo prudencial.

8.1.3. Análisis

En base al estado del ordenador (u ordenadores) del que se ha clonado el disco duro se procederá al análisis y verificación de los hechos de inte-rés. En ocasiones los elementos encontrados serán indiciarios, estando los elementos que de forma más concluyente podrían evidenciar de los hechos de interés bajo el control y acceso de terceros. En estos casos se hará ne-cesario interesar una diligencia de entrada y registro que complemente y permita verificar los supuestos hechos detectados.

8.1.4. Denuncia/querella y petición de diligencias

En base al análisis anterior se redactará un escrito de denuncia o que-rella interesando en su caso que se practiquen diligencias adicionales de acceso a medios fuera del acceso y control de la parte.

La presentación de una querella permite estructurar de forma más sólida y completa el planteamiento de la parte, mientras que la fórmula de denun-cia podría permitir la involucración temprana de las unidades especializa-


358 © LA LEY

das de policía judicial, de forma que es posible un mayor alineamiento de planteamientos.

En todo caso el perito, que normalmente es un experto en administra-ción de sistemas, puede asesorar al respecto de las medidas más efectivas y menos intrusivas y su justificación, de manera que el juzgador tenga más fácil su acuerdo. Esto es especialmente importante cuando quien recibe la diligencia de entrada y registro es una organización, por las implicaciones que pudiera tener en su negocio que se paralicen sus sistemas informáticos durante el tiempo necesario para realizar la acción.

8.1.5. Entrada y registro / incautación

En caso de que se plantee y se acuerde la medida, en el alcance que sea, ésta puede tener dos modalidades principales. La primera se da principal-mente en sede de instrucción y vendría a involucrar a unidades de policía judicial especializadas en informática. En caso de preverse alguna com-plejidad añadida pueden servirse de un perito especialista en los sistemas objeto de la diligencia. En ocasiones es posible la presencia del perito de la parte pero en ningún caso deberá intervenir. La segunda se daría en sede mercantil y consistiría en el encargo del juez a un perito de la realización de la acción interesada con el soporte de unidades policiales convenciona-les para garantizar un entorno de actuación adecuado.

En ambos casos se realizarán las acciones con total observancia de lo acordado en el auto correspondiente, resultando normalmente en la incau-tación de medios o en la comprobación de circunstancias. Se suele produ-cir una incautación cuando se precisa impedir incluso la mera tenencia de los elementos de interés.

8.1.6. Evolución del procedimiento judicial

una vez realizada la acción se pondrá el resultado a disposición del juz-gado. Este resultado puede tener una granularidad coherente con el objeto del litigio o no. Por ejemplo, en caso de que se acuerde la incautación de los medios susceptibles de contener información relevante al caso (por tra-tarse de un secreto no es suficiente encontrar evidencia de las acciones, es necesario e interesante que se incaute la información supuestamente obte-nida de forma irregular, con objeto de frustrar el uso fraudulento de la mis-


© LA LEY 359

ma) puede contener información personal irrelevante al caso. Esto presenta no pocos problemas, ya que será necesario discernir qué es relevante y qué no y esto no puede realizarse mediante el acceso completo e incontrolado de la parte denunciante/querellante. No existe una solución canónica a este problema y cada juzgador actúa como cree más conveniente.

Si unidades especializadas de la policía disponen de efectivos para ello, y si se establecen parámetros de búsqueda apropiados, es posible realizar un filtrado previo de la información. Con objeto de ir discerniendo qué información es relevante al caso, en ocasiones el juez puede acordar la revisión de la información así filtrada en sede judicial, bajo su control y en presencia del secretario judicial.

Seguirá en todo caso un ciclo (o varios) de evaluación, acceso a eviden-cia, etc. En algún punto del proceso se producirá la apertura de juicio oral o el sobreseimiento.

Si se abre juicio oral se podrá practicar más prueba. Ocurre por desgra-cia que en ocasiones se detectan oportunidades probatorias que en etapas tan postreras no pueden encontrar un soporte factual (borrado de registros, eliminación del factor sorpresa, etc.). En este sentido, un profesional con experiencia en casos similares podrá detectar, diseñar y proponer en el momento adecuado la ejecución de acciones técnicas dentro de práctica de las diligencias más adecuadas para el esclarecimiento de los hechos de interés.

8.1.7. Prevención

Las organizaciones deben ser perfectamente conscientes de los riesgos que representa el uso de sistemas de información y deben cubrir aquellos escenarios que permitan equilibrar los riesgos e impacto de los mismos. La dirección de la organización debe comprender cuáles son las amenazas y las consecuencias que puede tener el no disponer de las políticas y herra-mientas necesarias.

Como elemento principal cabe destacar la necesidad de proteger debi-damente los activos informáticos en las empresas. La protección debería incluir la categorización, segmentación y compartimentación de los acti-vos, la asignación de diferentes perfiles con niveles de acceso asociados que se ciñan a las necesidades del puesto de trabajo asociado, el estable-


360 © LA LEY

cimiento de medidas de seguridad adicionales para aquellos activos más sensibles, incluso su segregación en sistemas diferentes y más seguros, el análisis de los riesgos y la protección contra los vectores de extracción más comunes, la generación de una política de uso aceptable de los sis-temas, su difusión y formación del personal en dicha política y en general todo aquello que haga explícito el marco de comportamiento esperado del trabajador.

Es conveniente que existan, además de los controles y medidas mencio-nadas, procedimientos para la gestión correcta de las posibles evidencias, lo que se ha dado en llamar «forensic readiness».

Los elementos anteriores son siempre deseables por cuanto minimizarán la discusión sobre aspectos marginales dentro del proceso, discusión que puede llegar a dispersar notablemente los esfuerzos y la estrategia de litigio de la parte.

8.2. Escenario 2: Implantación fallida

un sistema ERP, también llamado sistema de gestión integral, es un sis-tema de información orientado a la gestión empresarial desde un punto de vista holístico e integrado. Inicialmente sistemas a medida, han ido evolu-cionando de forma que el modelo de negocio actual se basa en la adap-tación o parametrización de un sistema base. Este enfoque permite que operen economías de escala que hacen que el sistema final se beneficie de la estabilidad y garantía que da una base instalada amplia. Por otro lado y puesto que cada organización tiene una cultura, enfoque y orientación diferente, es preciso adaptar el funcionamiento del sistema a los flujos de negocio concretos de la organización.

De este modo en el proceso de implantación de un sistema ERP inter-vendrían principalmente tres actores normalmente diferenciados: el cliente, el desarrollador del sistema y una empresa implantadora especialista en el producto. En ocasiones el desarrollador actúa también como implantador. De no ser así, el desarrollador puede ofrecer a los clientes listados de em-presas implantadoras, dentro de un contexto de capacidad y competencia. En algunos casos interviene también un actor adicional que se ocupa de la captación de requerimientos, de controlar la evolución del proyecto y en general de su gobernanza.


© LA LEY 361

El proceso en sí se inicia con una RFP(12) que lleva a la definición del objeto del proyecto de implantación, que suele concretarse en una oferta comercial y/o un contrato de naturaleza habitualmente mixta obra/servicio.

una vez pactado el objeto de la prestación empezaría la implantación en sí con la determinación de los procesos de negocio del cliente que de-berá modelar el sistema. Siendo el implantador experto en el sistema a im-plantar, está en condiciones de detectar las diferencias entre el comporta-miento original del sistema y el comportamiento que requiere el cliente, de forma que puede diseñar los cambios necesarios en el mismo para cubrir las necesidades de la organización. El cliente por su parte debe presentar al implantador una descripción fiel e internamente consensuada de dichos procesos de negocio.

El proceso de implantación puede dividirse en fases por diferentes áreas o por iteraciones en las que cada iteración representa un sistema cada vez más próximo a la versión definitiva.

Aunque la explicación anterior presenta un escenario aparentemente pacífico, lo cierto es que existe una notable litigiosidad en el ámbito, sien-do frecuentes las desviaciones temporales y/o económicas en este tipo de procesos.

Los elementos técnicos que pueden ayudar al juzgador a determinar la responsabilidad en el caso de un conflicto son además complejos, más cuando el conflicto tarda en materializarse mientras el contexto de eviden-cia se ha ido consumiendo.

Los elementos más comunes atribuibles al cliente en un escenario de fracaso son:

— La falta de compromiso claro con la implantación por parte de la dirección de la empresa,

— La ausencia de un consenso claro al respecto del objeto de la implan-tación o la estabilidad de los procesos de negocio a modelar,

(12) RFP son las siglas en inglés de «Request For Proposal» y se refiere a una acción de un cliente para conseguir ofertas para cubrir una necesidad.


362 © LA LEY

— La intervención de usuarios poco aptos o adecuados para trasladar el conocimiento de la organización al implantador o

— Las resistencias internas de los usuarios al nuevo sistema.

Estos elementos pueden materializarse en dificultades o cambios en la definición del alcance o el detalle de los flujos de negocio y por tanto tener un impacto muy significativo en el proyecto.

Se da en ocasiones una deficiente actitud en la recepción del sistema por causas extra-técnicas, como puede ser la intención de retroceder una inversión de forma unilateral.

Los implantadores pueden contribuir, por su parte, al fracaso del proceso si:

— Existe una rotación significativa de personal clave del proyecto que impide la consolidación del conocimiento adquirido,

— No se gestionan debidamente los riesgos del proyecto, incluyendo posibles eventualidades asociadas a la propia idiosincrasia del cliente o a la complejidad de su negocio o

— No existen (o son ineficientes) los debidos puntos de sincronía en el proyecto. Dichos puntos deben permitir contrastar que el proyecto evolu-ciona de forma adecuada y que se cubren los requerimientos del cliente.

Es poco común, por patológico, el desconocimiento del implantador de la herramienta a implantar o la falta total de capacidad para enfrentar un proceso de estas características.

Los principales retos para el perito en estos casos son:

— La interpretación técnica de los compromisos de las partes,

— La determinación del sistema sobre el que realizar las pruebas, si es el caso,

— La falta de documentación del proyecto (o su exceso y falta de orga-nización de la misma) o

— La ausencia de personal directamente implicado en el proyecto que pueda orientar el planteamiento de las acciones de análisis y comproba-ción más adecuadas.


© LA LEY 363

El perito deberá en todo caso basar sus conclusiones en elementos rele-vantes y materiales.

8.2.1. Ámbito de conocimiento afectado

Sobre la implantación de sistemas ERP se aplican en general los prin-cipios asociados al ciclo de vida de los sistemas de información, ámbito netamente bajo el campo general de conocimiento de la ingeniería de soft-ware. Se precisan capacidades asociadas a la captación de requerimientos, diseño, construcción, prueba, mantenimiento, gestión de configuración y calidad del software, siendo las áreas que con más frecuencia forman parte de los hechos controvertidos la captación de requerimientos, la prueba de los sistemas y la gestión de la calidad del software, además naturalmente de los principios que rigen la gestión y gobernanza de proyectos de software en general y de implantación en particular.

Por otro lado los diferentes fabricantes proponen filosofías de implanta-ción diferentes, en algunos casos específicas de su producto. En esos casos es deseable que el perito tenga exposición al producto concreto, aunque la controversia no se centre en elementos específicos del sistema, por cuanto es posible que tenga que consultar información en el sistema en referencia a su estado o evolución. Debe tenerse en cuenta que la participación como peritos de profesionales que actualmente intervienen en el ámbito puede llevar aparejados conflictos de interés.

8.2.2. El proceso de implantación

El proceso de implantación sigue de forma más o menos literal las fases y actividades del ciclo de vida de los sistemas de información: captación de requerimientos, diseño, construcción, prueba, mantenimiento, gestión de configuración y calidad del software.

En general la principal dificultad del proceso es la gestión de las ex-pectativas, que es el proceso que procura que el sistema resultado acabe reproduciendo fielmente las funcionalidades que el cliente requiere. En la bondad de la gestión de expectativas intervienen factores ajenos a la téc-nica como la redacción de los compromisos de las partes. Es evidente que «las funcionalidades que el cliente requiere» deben poderse describir de forma que sea posible su debido contraste y validación. Existen diferentes


364 © LA LEY

aproximaciones y técnicas orientadas a la gestión de expectativas, siendo las más comunes el empleo de prototipos para validar que efectivamente se están entendiendo las necesidades del cliente o el planteamiento de diferentes fases en las que se va añadiendo funcionalidad de forma que el sistema crece para cubrir todos los aspectos necesarios.

En todo caso no hay recetas mágicas y no todos los proyectos permiten acercamientos en los que se garantiza una convergencia hacia la solución más o menos directa, siendo el factor más importante el coste que tiene la implementación de los prototipos o las diferentes fases del proyecto.

8.2.3. Implantador o implantado

Dependiendo de la posición los parámetros y factores que intervienen son diferentes.

No se puede negar que operan unas ciertas presunciones que a priori imponen una mayor carga de compromiso en el proveedor, por cuanto actúa de forma habitual en el ámbito, conoce la herramienta a implan-tar y acostumbra a presentarse al cliente en términos favorables en la fase de pre-contratación. Que las presunciones existan no quiere decir que se puedan considerar ciertas por defecto. Lo cierto es que las implantaciones fracasan y fracasan por factores vinculados al proveedor y también por fac-tores vinculados al cliente.

El factor común es siempre que el proyecto se aborta porque el cliente no consigue la funcionalidad que espera del sistema implantado. Se llega a este punto tras etapas que generan frustración y desgaste en ambas partes. El cliente ha dedicado unos recursos económicos y humanos en el proyecto y no ha recibido a cambio lo que esperaba. El proveedor ha aportado un esfuerzo muchas veces por encima de lo que inicialmente había planeado y no obtiene el rendimiento económico que esperaba.

Al habitual tándem implantado/implantador puede incorporarse el desarrollador del software a implantar y adicionalmente un actor que gestiona la gobernanza del proyecto e incluso asesora en la redacción de los contratos, definición y validación de hitos, etc. En ocasiones in-terviene también una aseguradora que cubre determinados riesgos del proyecto.


© LA LEY 365

8.2.4. Factores clave

El factor de éxito más importante es el compromiso con el proyecto. Esto es válido para ambas partes porque todos los proyectos de una cierta enver-gadura están expuestos a situaciones de crisis y las crisis pueden generarse a partir de acciones (u omisiones) del cliente o del proveedor.

Resulta complicado reclamar compromiso al cliente cuando las fechas pactadas para los hitos del proyecto son parte de la historia o al proveedor cuando el esfuerzo asociado al mismo se ha disparado en un 50%. Por eso es necesario intentar detectar las situaciones de falta de convergencia en el momento más temprano posible y poner medios para su corrección, me-dios que resulten justos y equitativos.

Es frecuente que la elección de las personas clave del cliente, que tienen la nada despreciable responsabilidad de definir con detalle y validar las necesidades, se realice sin considerar el impacto que esta decisión puede tener en el futuro, asignando a personas que desconocen el consenso al respecto del funcionamiento de los procesos de negocio, que no disponen del tiempo o incentivos necesarios para hacer un buen trabajo o simple-mente se ven perjudicados en su posición por los cambios que representa el nuevo sistema y pretenderán en la medida de lo posible que no llegue a buen puerto.

No cabe duda que el implantador como experto en el proceso y como conocedor del sistema a implantar debe cuidar aspectos muy sensibles co-mo puede ser la evaluación de riesgos y el establecimiento de controles y medidas correctivas acordes a estos riesgos. No es lo mismo una implan-tación en la que el cliente prácticamente tiene cubiertas sus necesidades con lo que ofrece el sistema en su instalación por defecto, que una implan-tación en la que el cliente requiere una funcionalidad que el sistema no ofrece y que deberá ser cubierta con un módulo de un tercero que supues-tamente se integra con el sistema pero con el que no se tiene experiencia directa. No es recomendable que el cliente entre en dinámicas de reinge-niería de procesos mientras se está realizando la implantación, pues esto va a generar cambios en el alcance que se van a reflejar en incrementos en el esfuerzo y coste asociado al proyecto. Se alega en ocasiones por parte del implantador que el cliente no se adapta al funcionamiento del sistema, y es que en ocasiones no está claro qué debe adaptar el implantador del sistema


366 © LA LEY

para cubrir las necesidades del cliente y qué debe adaptar el cliente para alinearse con el funcionamiento del sistema. Esto no debería representar mayor problema si se encuentra definido en los documentos del proyecto y las partes comparten un marco de expectativas común.

Cabe decir también que se producen situaciones perversas en las que los propios clientes premian con el contrato a aquellos implantadores que pre-cisamente les ocultan la complejidad o el riesgo que supone su proyecto. Los implantadores tienen en esta circunstancia un incentivo para plantear, al menos al inicio, escenarios simples y sin complicaciones.

8.2.5. Objeto, alcance y extremos

El objeto de la pericial cuando el encargo lo realiza el implantador suele centrarse en determinar que efectivamente se ha cumplido con los compromisos técnicos establecidos. En el caso del cliente el objeto sue-le ser que la implantación es inoperante. Naturalmente con matices, que van desde que efectivamente se ha dedicado un esfuerzo determinado en el proyecto hasta el completo cumplimiento de los compromisos pasando por el porcentaje de funcionalidad efectivamente cubierto en el caso del implantador. Y por parte del cliente desde que ni siquiera se han dedicado las horas comprometidas hasta que las mejoras organizativas conseguidas son menores que las esperadas pasando por el cumplimiento parcial de los compromisos pactados.

En aquellos casos en los que interviene el desarrollador del sistema a im-plantar podría ser objeto de estudio el posible mal funcionamiento del mis-mo. Para aquellos casos en los que interviene un tercero encargado de la gobernanza del proyecto puede interesar evaluar el modelo de gobernanza propuesto, su capacidad teórica para llevar el proyecto a buen puerto y su implementación efectiva.

La verificación de estos elementos resulta notablemente complicada, por cuanto se están evaluando hechos del pasado que han quedado par-cialmente plasmados en numerosas comunicaciones y contratos, de los que quizás no quede nadie en las organizaciones que haya tenido expe-riencia directa y que podrían presentar una notable carga subjetiva.

Es necesario establecer elementos que excluyan factores subjetivos y por el contrario permitan comprobaciones contrastables.


© LA LEY 367

8.2.6. Fuentes de evidencia

Las fuentes de evidencia disponibles en este tipo de conflicto incluyen los contratos y otros documentos afines, las comunicaciones entre las par-tes, sistemas de gestión de incidencias y el estado de los sistemas resultado de la implantación.

Estos contratos y documentos deben servir para construir un marco de compromisos que permita el contraste de la funcionalidad instalada con el consenso de las partes. El perito debe ser crítico al respecto de lo que se le presente, requiriendo información o documentos complementarios cuando no tenga clara la existencia o no de dicho consenso. Es necesario mantener en todo caso una visión holística de todo el proyecto y contrastar el estado y la evolución con los elementos disponibles.

En ocasiones se interesa la comprobación de la funcionalidad en el sis-tema. Y esto presenta nuevos retos, ya que cuando se pone de manifiesto el conflicto el estado del sistema puede haber cambiado sensiblemente. Ocu-rre en ocasiones que el implantador no guarda copia alguna del mismo en ninguna de sus formas (desarrollo, test o producción), pero en ocasiones sí dispone de ellas. De ser así cabría preguntarse qué sistema constituye una base más sólida para la realización de las pruebas: el sistema instalado en el cliente, que ha estado bajo su control y acceso durante un periodo de tiempo no despreciable o el del proveedor. Esto dependerá de muchos fac-tores, pero si existen unas mínimas garantías de integridad el sistema que estaría más cercano al estado definitivo sería el implantado en el cliente. Otro factor a tener en cuenta es si se trata del sistema en su versión final o por el contrario estamos ante una versión intermedia.

Dirimidos estos elementos se practicaría la prueba del sistema contras-tando la funcionalidad con el marco de compromisos aplicable.

8.2.7. Retos

Los litigios relacionados con la implantación de sistemas de información requieren de un enfoque riguroso, siendo especialmente relevantes los si-guientes factores.

Es necesario cuidar especialmente la elección del perito idóneo, que tiene que poder presentarse como experto en el escenario que es objeto de discusión.


368 © LA LEY

un experto que tenga una gran experiencia, pero siempre desde el punto de vista del cliente, difícilmente va a poder argumentar de forma sólida al respecto de aspectos propios de la actuación del proveedor y al contrario. La búsqueda de alguien especializado en un ámbito tecnológico estrecho debe valorarse en conjunto con el sesgo que esta elección representa, por cuanto puede significar que operen factores contrarios a la independencia o imparcialidad, quizás por ser una persona que ha tenido o tiene relaciones con el cliente o el implantador.

La determinación de los factores técnicos de valoración de los compro-misos puede ser también conflictiva, pues dichos compromisos en ocasio-nes se condensan a base de cruzar muchas comunicaciones y pueden no llegar a ser explícitos y manifiestamente consensuados.

En caso de entrar en discusión el estado del sistema implantado se de-berá establecer si el sistema ha sufrido alteración alguna desde que el pro-veedor dejó de trabajar en él y hasta qué punto es inequívoca su relación con el estado del mismo. La valoración del impacto de conductas o accio-nes inadecuadas presenta también serias dificultades y requiere un estudio minucioso del desarrollo del proyecto. La presentación de los resultados requiere un orden, rigor y un discurso sólido y debe ceñirse a los extremos solicitados por la parte que interesa el informe.

Todo lo anterior debe presentarse siempre desde un punto de vista de práctica técnica y sin entrar nunca en aquellos aspectos que constituyan una interpretación de los compromisos de las partes o incluyan valoracio-nes de carácter jurídico.

9. APÉNDICE A: GLOSARIO BáSICO

Con objeto de facilitar la comprensión de los conceptos que se presentan, se listan en un glosario aquellos términos más relevantes. Se organizan en cuatro grupos: computación, comunicaciones, sistemas e informática forense. Los tér-minos se presentan de más genéricos a más específicos dentro de cada grupo.

9.1. Computación

9.1.1. Funcionamiento de un ordenador

un ordenador es un dispositivo que procesa información. Están basados generalmente en el llamado modelo de von Neuman. Dicho modelo des-


© LA LEY 369

cribe un dispositivo que consta de una unidad de proceso, una memoria de trabajo y una unidad de almacenamiento. Además de los ordenadores personales, hasta ahora el conjunto más numeroso y visible, siguen este mismo modelo los dispositivos como las tablet, los teléfonos móviles o in-cluso los dispositivos de tipo Google Glass.

Cuando un ordenador tiene como propósito específico una tarea que se ofrece para un consumo o acceso concurrente se le llama servidor. Los ser-vidores suelen estar construidos con el propósito de una mayor densidad; maximizando parámetros como la robustez, la resiliencia, el rendimiento, el consumo energético y facilidad de operación. A los dispositivos que con-sumen o acceden a un servicio se les llama clientes.

9.1.2. Sistema de ficheros

Estructura informática que permite la organización de la información en un medio de almacenamiento.

9.1.3. Sistema operativo

Conjunto de programas que cubre las funciones básicas de interacción con el usuario, acceso a sistemas de ficheros, gestión de procesos y otros recursos, acceso a dispositivos y ejecución de utilidades.

9.1.4. Disco duro

El término «disco duro» suele referirse a un dispositivo de almacena-miento de bloques con soporte en discos provistos de un sustrato mag-nético. Mientras que la memoria volátil no mantiene su estado si se inte-rrumpe el suministro de corriente, los soportes magnéticos sí mantienen la persistencia aun sin corriente. Puede contener tanto datos como progra-mas y guarda en general el estado del ordenador o dispositivo al que está conectado.

Por extensión también se refiere a medios de almacenamiento basa-dos en otras tecnologías no magnéticas como pueden ser SSD o Flash. Según la forma de conexión se distinguen discos externos o internos. Los discos internos se conectan al ordenador utilizando conexiones nativas, mientras que los externos disponen de un módulo de con-


370 © LA LEY

versión que permite utilizar puertos estándar como uSB, Firewire o Thunderbolt.

9.1.5. Partición

La información contenida en un disco duro se distribuye en el mismo en particiones. una partición es una unidad básica o contenedor de alma-cenamiento dentro de un disco duro. un disco duro puede contener una o varias particiones.

9.2. Comunicaciones

9.2.1. Internet

Red informática global basada en los protocolos TCP/IP, actualmente formada por más de 15.000 millones de dispositivos (no simultáneos). Se

Ilustración 3 Interior de un disco duro


© LA LEY 371

estima que en el año 2020 integrarán Internet más de 80.000 millones de dispositivos, principalmente por la emergencia de la llamada «Internet of Things» (la internet de las cosas) gracias a la sustitución de IP v4 por IP v6 e impulsada por las tendencias «Machine to Machine» (máquina a máquina) y «Smart Cities» (ciudades inteligentes) entre otras(13).

9.2.2. Dirección IP v4

Conjunto de cuatro números de 0 a 255 separados por un punto que identifican un elemento de red en Internet. Las direcciones IP v4 pueden ser públicas o privadas. Mientras que las direcciones privadas pertenecen a rangos predefinidos y pueden repetirse entre redes, las direcciones públicas son únicas y constituyen la parte visible de Internet. IP v4 permite un rango máximo de unos 4.000 millones de direcciones posibles y se encuentra prácticamente agotado en la actualidad.

Los proveedores de internet disponen de rangos de direcciones IP v4 públicas que a su vez asignan a sus clientes de forma estática (el mismo cliente tiene siempre la misma dirección) o de forma dinámica (el cliente obtiene una dirección de entre un rango disponible).

Aunque la información que enlaza clientes concretos con direcciones IP v4, tanto estáticas como dinámicas, no es pública, los proveedores de Internet sí deben disponer de dicha información. Los rangos de direcciones IP v4 que cada proveedor de internet gestiona para cada localización geo-gráfica sí son públicos, por lo que es posible saber a qué proveedor y con cierta exactitud, a qué ciudad pertenece una dirección IP v4.

Se encuentra en proceso de despliegue IP v6, que ofrece entre otras cosas un número de direcciones posible notablemente superior, por lo que será posible asignar una dirección única y fija para cada dis-positivo.

(13) «The Potential Size and Diversity of the Internet of Things Mask Immediate Opportunities for IT Leaders», Gartner, 19 de Julio de 2013.


372 © LA LEY

Ilustración 4 Ejemplo de consulta de localización para la dirección 8.8.8.8

9.2.3. Nombre de dominio

un nombre de dominio es una cadena de caracteres de la forma «do-minio.extensión» que está registrado en los servidores DNS de Internet. DNS es el servicio de resolución de nombres que convierte los nombres de dominio en direcciones IP. un nombre de dominio suele estar asociado a una organización o servicio.

9.2.4. Web

Término referido al conjunto de páginas publicadas en Internet accesi-bles a través de un programa navegador (la web), y también de forma indi-vidual a cada una de ellas (una web, sitio web).


© LA LEY 373

9.2.5. Sitio web

un sitio web es un conjunto de páginas web con un contenido cohe-rente en un formato legible para un programa navegador. Los programas navegadores descargan, interpretan y muestran los ficheros en respuesta a las acciones de los usuarios de la web.

9.2.6. URL

Cadena de texto permite el acceso a un recurso en una red. El formato de la cadena indica el protocolo de acceso (por ejemplo http:// indicaría protocolo de transferencia de hipertexto), seguido de la ubicación en la red de ese recurso (por ejemplo www.dominio.com) y directorio o referencia al recurso o fichero concreto dentro de la ubicación de red (por ejemplo /proyecto_x/). Por ejemplo la uRL «http://es.wikipedia.org/wiki/Portada» se corresponde con la página web «wiki/Portada» para el protocolo «http» del servidor «es» en el dominio «wikipedia.org».

9.2.7. Información de navegación

Los navegadores son programas que recorren e interpretan páginas web. Para una navegación más ágil utilizan estrategias de que impli-can la persistencia de diferentes elementos de la navegación. Dichos elementos serían principalmente de tres tipos: el historial de navega-ción (páginas por las que se ha ido navegando), los ficheros tempo-rales (ficheros que se han ido descargando, como imágenes, etc, y que se guardan para no forzar una nueva transmisión si se vuelve a navegar por la misma página) y las llamadas «cookies» (ficheros que guardan información al respecto de las actividades realizadas en una determinada página). Los navegadores permiten eliminar los elementos persistentes y configurar diferentes parámetros de persistencia de los mismos.

9.3. Sistemas informáticos

9.3.1. Sistema informático

un sistema informático es un conjunto de componentes software y/o hardware interconectados e integrados con un propósito común. En el con-


374 © LA LEY

texto informático se utiliza el término «sistema» para referirse a un sistema informático.

9.3.2. Sistema de información

un sistema de información es el nombre corto de un sistema de información de una organización y se refiere a un sistema de gestión integrada: un sistema que modela los procesos de negocio de la orga-nización.

9.3.3. Ciclo de vida de los sistemas

Los sistemas informáticos pasan por diferentes etapas que constitu-yen el llamado ciclo de vida de los sistemas. Dichas etapas cubren la detección de la necesidad, la planificación, la incepción, la implemen-tación, la explotación, el mantenimiento y la evolución de los sistemas. La explotación comprende todas las acciones orientadas a su uso den-tro de los procesos organizativos e incluye la gestión de la seguridad, integración con el gobierno corporativo, etc. Por cuanto los sistemas informáticos de las organizaciones son activos muy valiosos y estraté-gicos, el ciclo de vida de los sistemas se integra dentro de marcos de gobernanza corporativa.

9.3.4. Entornos de producción, test y desarrollo

En el contexto de la implantación de sistemas de información, se distinguen diferentes entornos que constituyen una versión del sis-tema que integra diferente funcionalidad. El entorno de producción es el entorno en funcionamiento en la organización y debe contener únicamente funcionalidad cuyo funcionamiento está contrastado. En el entorno de test es dónde se realizarían las pruebas de integración (del sistema en global), generalmente por parte del cliente, con objeto de validar que efectivamente la funcionalidad corresponde con las especificaciones requeridas. El entorno de desarrollo sería utilizado principalmente por el equipo del implantador y en él se realizarían las pruebas unitarias (de cada componente o módulo de forma inde-pendiente).


© LA LEY 375

9.3.5. Resiliencia

Concepto que se refiere a la capacidad de los sistemas de soportar dis-rupciones sin que afecten a los parámetros que miden la operación.

9.4. Informática forense

9.4.1. Copia exacta

una copia exacta de un medio tiene como resultado un duplicado com-pleto de todo el espacio del mismo. Este tipo de copias permiten el estudio posterior íntegro del contenido del medio, tanto del especio ocupado como el marcado como borrado. Cuando esta copia se realiza de un disco a otro se le llama «clonado», mientras que cuando la copia se realiza de un disco a un fichero se llama «imagen».

9.4.2. Búsqueda automática

Proceso de búsqueda realizado por un programa informático que recibe un conjunto de términos significativos a buscar y un conjunto de elementos sobre los que realizar la búsqueda y que produce como salida un listado de elementos coincidentes sin que un operador humano tenga que verse expuesto a información a priori irrelevante.

Este tipo de búsquedas se realiza habitualmente sobre el contenido total del disco visto como una secuencia de sectores, sin tener en consideración, al menos inicialmente, si los resultados se corresponden con una entrada activa en el sistema de ficheros, ni de qué tipo.

9.4.3. hash

Se llama hash tanto a un conjunto de funciones matemáticas como al resultado de las mismas. Las funciones de hash reciben una entrada y pro-ducen como salida un número (también llamado hash) calculado a partir de todos los valores que componen la entrada, de forma que cualquier mínima modificación de la entrada producirá un valor diferente de salida. Se utilizan para verificar si un fichero, disco o partición ha sido modificado.

Es común el uso de comandos o herramientas de cálculo de funciones matemáticas llamadas funciones de «hash». una función de «hash» es una


376 © LA LEY

función matemática que tiene una serie de propiedades que la hacen ade-cuada para el propósito de la gestión de la integridad:

1. El resultado depende de toda la entrada y cualquier cambio en la entrada genera un resultado notablemente diferente. La aplicación de una función de hash sobre un fichero produce como resultado un código alfanu-mérico que variará notablemente si alteramos cualquier bit de la entrada.

2. Los resultados están equidistribuidos. Existen más valores de entra-da que posibles valores de salida, pero la correspondencia entrada-salida se encuentra equilibrada.

3. No son reversibles. A partir del resultado no es posible identificar la posible entrada.

9.4.4. Granularidad

Término que en el contexto de la informática se refiere a la propiedad de la información de ser fragmentada, conservando su contexto de coherencia. una granularidad fina permitiría segmentar la información de forma que fuese posible presentar información relevante sin implicar elementos no relevantes. Depende de muchos factores según el contexto, por ejemplo del tamaño de la unidad de asignación en el medio en el que reside la información.

En algunos casos es deseable una granularidad fina. Por ejemplo cuan-do se presentan resultados de una búsqueda automática, las herramientas forenses presentan todo el segmento de disco y le asocian su código hash correspondiente. Pero en ocasiones, como puede ser el caso del resultado de la presentación de pantallas de gestores de correo vía web, en el mis-mo segmento se puede encontrar información relevante al caso anexa a información completamente irrelevante y con una indudable carga íntima. Cuanto más fina sea la granularidad menos probable es que se presente información no relevante junto a la información relevante.

En otros casos es deseable una granularidad gruesa. Cuando se pretende documentar el resumen de integridad de un conjunto de ficheros ante fe pública, resulta poco práctico realizar el cálculo de los resúmenes para cada fichero, por cuanto cada código deberá ser documentado por el fe-datario público, interesando en ese caso agruparlos en un solo fichero y producir y documentar el resumen del mismo.

capÍtulo vii la pericial informática - cpiicyl.org · perito ingeniero en informática y auditor...

Documents