LA INVESTIGACIN DE LOS DELITOS INFORMTICOS EN LA GUARDIA CIVIL

Juan Salom Clotet Comandante de la Guardia Civil Jefe del Grupo de Delitos Telemticos

Jueves 22 de septiembre de 2005

ndice
1. DELITO INFORMTICO Delito informtico?. Convenio Ciberdelincuencia del Consejo de Europa. Respuesta de la Guardia Civil a la delincuencia informtica. El GDT 2. INVESTIGACIN DELINCUENCIA INFORMTICA Metodologa de investigacin. 3. PROBLEMTICA DE LA INVESTIGACIN Conservacin de datos de trfico. Imposibilidad de identificacin de usuario. Virtualidad de la prueba informtica. Determinacin espacial de la Ley penal. Mundo digital desconocido. Judicatura.

DELITO INFORMTICO?
DELITO INFORMTICO CIBERDELITO

F N CIBERCRIMEN I TO DELITO LI DE TELEMTICO

TECNOLGICO O

DELITO M R

CO TI

OTROS DELITOS

ACCIN DEL DELITO

DATOS Y SISTEMAS INFORMTICOS

INSTRUMENTO DE COMISIN DEL DELITO

(MEDIO DE PUBLICIDAD)

DELITO INFORMTICO? INFORMTICO

CONVENIO SOBRE CIBERDELINCUENCIA CONSEJO DE EUROPA
(Copia oficial en castellano en www.guardiacivil.org/telematicos)

Mandato: 1997 Creacin Comit de expertos

3 aos 25 borradores

Formacin: 45 pases + EEUU + Canad + Sudfrica + Japn Firmado en Budapest el 23 de noviembre de 2001. Ratificacin: Albania (20-6-02), Croacia (17-10-02), Estonia (12-503), Hungra (4-12-03), Lituania (2-03-04), Rumania (12-5-04), Eslovenia (8-9-04) y Macedonia (15-9-04) Protocolo Adicional al Convenio para criminalizar los actos de racismo y xenofobia cometidos a travs de sistemas informticos (28-01-03)

Medidas de derecho penal sustantivo que debern adoptarse a nivel nacional Medidas de derecho procesal que debern adoptarse a nivel nacional

DELITO INFORMTICO? INFORMTICO

Medidas de derecho penal sustantivo que debern adoptarse a nivel nacional
Prop Intelec
DELITOS RELACIONADOS CON INFRACIONES DE LA PROPIEDAD hacking INTELECTUAL Y DE LOS DERECHOS DELITOS CONTRA LA AFINES CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE DATOS Y SISTEMAS INFORMTICOS
Descubrimiento y revelacin de secreto y acceso ilegal (197) Apoderamiento de secreto de empresa (278) Daos en datos y sistema informtico (264) Abuso de los dispositivos (270)

pedofilia falsificacin y fraudes

DELITOS INFORMTICOS
Falsedad documental (390 y ss.) Estafa informtica (248) Defraudacin en fluido telecomunicaciones (255 y 256)

DELITOS RELACIONADOS CON EL CONTENIDO

Difusin de pornografa infantil (189) Provocacin sexual y prostitucin (186 y 187) Amenazas (169), injurias (208) y calumnias (205) Apologa racismo y xenofobia (607)

RESPUESTA DE LA GUARDIA FRENTE A LOS DELITOS TECNOLGICOS (1)

Ao 1996: Creacin Grupo Delitos Informticos Ao 1999: Grupo de Delitos Alta Tecnologa Ao 2000: Departamento Delitos Telemticos Ao 2003: Grupo de Delitos Telemticos Departamento de Informtica y electrnica Inicio del proceso de descentralizacin

RESPUESTA DE LA GUARDIA FRENTE A LOS DELITOS TECNOLGICOS (2)

SERVICIO DE POLICA JUDICIAL

LABORATORIO CRIMINALSTICA
DEPARTAMENTO DE ELECTRNICA E INFORMTICA

UNIDAD DE ANLISIS

UNIDAD CENTRAL OPERATIVA

DROGAS

SECCIN DELINCUENCIA ESPECIALIZADA

DELINCUENCIA ORGANIZADA DELINCUENCIA ECONMICA

U,s TERRRITORIALES U.O.P.J. (Eq. Inves. Tecno.)

GRUPO DELITOS TELEMTICOS GRUPO APOYO

FUNCIONES DEL GDT Desarrollo de investigaciones relacionadas con la delincuencia informtica. Apoyo a aspectos tcnicos del resto de investigaciones de la UCO. Formacin del personal de los equipos de investigacin tecnolgica de las distintas Comandancias. Direccin tcnica de los Equipos de investigacin tecnolgica. Representar y promover la participacin de la Guardia Civil en foros y encuentros internacionales sobre cibercrimen. Punto de contacto de cooperacin internacional en el mbito de cibercrimen

UNIDAD DE POLICA JUDICIAL

UNIDAD CENTRAL

GDT

GUARDIA CIVIL

Conocimientos de informtica Conocimientos tcnica procesal penal Experiencia investigadora Relaciones internacionales Prestigio y confiabilidad en la judicatura Proyeccin temporal en la investigacin Discrecin

INVESTIGACIN DEL DELITO

OBJETIVO INVESTIGACIN

Identificar y localizar delincuente Asegurar y presentar las pruebas del delito

Investigacin tecnolgica + clsica

OPERADORA PROVEEDOR DE ACCESO
AC CE SO

PRESTADOR DE SERVICIOS

abonado

COMUNICACIN

equipo
Web Chat Foros Telefona Mail Comercio electrnico Consultora ...

USUARIO

DATOS DE TRFICO

Nm. IP (198.23.55.255)
FECHA Y HORA

METODOLOGA DE INVESTIGACIN POLICIAL (1)

cmo?

IDENTIFICACIN OBTENCIN DE PRUEBAS

1. FASE PREVIA. qu ha pasado? 1. FASE DE INVESTIGACIN. cmo y quin lo ha hecho? 1. FASE DE INCRIMINACIN. Asegurar y presentar la prueba

METODOLOGA DE INVESTIGACIN POLICIAL (2) 1. FASE PREVIA. qu ha pasado?

Denuncia Conocimiento delito pblico Recogida de evidencias del delito (~inspeccin
ocular) Recuperacin de logs, mensajes, backups, imgenes (volcado), Penalidad aadida a la vctima. Auxilio administradores de sistemas afectados. Acreditar el delito.

METODOLOGA DE INVESTIGACIN POLICIAL (3) 1. FASE PREVIA. qu ha pasado? 1. FASE DE INVESTIGACIN. cmo y quin lo ha hecho?
Anlisis de evidencias y bsqueda de indicios de autora Bsqueda de informacin (ayudas externas) y referencias identificativas (vanidad) Resolucin de datos de trfico de indicios y referencias identificativas (ISP,s) Identificacin y localizacin (telfono) Vigilancia Interceptacin de telecomunicaciones (telfono, e-mail, sniffers, ADSL)

METODOLOGA DE INVESTIGACIN POLICIAL (4) 1. FASE PREVIA. qu ha pasado?

1. FASE DE INVESTIGACIN. cmo y quin lo ha hecho?

Conexin delictiva prueba

Dato de trfico Conexin colateral INDICIO

+=
?

METODOLOGA DE INVESTIGACIN POLICIAL (5) PRUEBA INFORMTICA? PRUEBA DE INDICIOS

PLURALES
(STS 202/98 y 437/98)

?
Datos de trfico de las conexiones de autora o relacionadas

ACREDITADOS COHERENTES ENTRE SI ENLACE PRECISO Y DIRECTO entre indicio y hecho determinante de la responsabilidad segn las reglas de la lgica y la experiencia.

Sistema informtico intervenido

Activos patrimoniales defraudados Objetos vinculados al delito

METODOLOGA DE INVESTIGACIN POLICIAL (6) 1. FASE PREVIA. qu ha pasado? 1. FASE DE INVESTIGACIN. cmo y quin lo ha hecho? 1. FASE DE INCRIMINACIN. Asegurar y presentar la prueba 1) Registro e incautacin (protocolo validacin de la prueba) 2) Anlisis forense de sistema y soportes intervenidos 3) Informe policial incriminatorio

REGISTRO E INCAUTACIN DE LA PRUEBA (1) OBJETIVO DEL REGISTRO DOMICILIARIO Intervencin de dispositivos informticos

susceptibles de contener indicios de criminalidad. Obtencin de indicios que vinculen equipo y usuario (ubicacin, titularidad, declaracin, ) Intervencin de sistemas para decomiso de los efectos del delito.

REGISTRO E INCAUTACIN DE LA PRUEBA (2) PROBLEMTICA DEL REGISTRO DOMICILIARIO

Medida restrictiva de derecho fundamental: Necesidad de JUSTIFICACIN y PROPORCIONALIDAD del registro frente al mal causado (juicio de necesidad, idoneidad y proporcionalidad). Incomprensin del alcance de la intervencin (rechazo a la intervencin de diverso material tecnolgico) Desconocimiento generalizado de formas y necesidades de precinto. Secretario judicial, fedatario pblico o instructor?

ANALISIS DE MATERIAL INTERVENIDO (1) OBJETIVO DEL ANLISIS Localizacin, identificacin y aseguramiento de cuantas evidencias se hallen para construir la prueba de indicios. Localizacin, identificacin y aseguramiento de cuantas evidencias se hallen que vinculen equipo informtico, usuario e indicios .

ANALISIS DE MATERIAL INTERVENIDO (2) PRCTICA DEL ANLISIS DEL MATEIAL INFORMTICO
2. Volcado de dispositivos de almacenamiento de informacin (imagen o
copia bit a bit) (principio de contradiccin y mnima injerencia en la prueba) (backup, copia de ficheros)

Equipos informticos intervenidos Dispositivos intervenidos de almacenamiento de informacin digital removible.

3. Estudio TCNICO POLICIAL TP, sobre todo el material intervenido Equipos informticos intervenidos
protegidos ) (volcados u originales

Backups o copias de ficheros de informacin Dispositivos de almacenamiento de informacin digital intervenidos Documentacin intervenida

ANALISIS DE MATERIAL INTERVENIDO (3) PROBLEMTICA DEL PROCESO DE ANLISIS

Desconocimiento generalizado en el estamento judicial. Ausencia de protocolo de volcado y anlisis homologados. Sistemas hardware, software, no homologados. Sistemas propietarios, no open source Sistemas lentos con elevadas incidencias. Limitaciones por cifrado. Posibilidad de falsificacin de indicios
(coartadas). (Firma digital, Timestamping).

Sistemas caros (HD). Se mantiene la identidad digital.

INFORME POLICIAL INCRIMINATORIO Descripcin del conjunto de evidencias electrnicas que interrelacionadas conducen por un razonamiento lgico a una conclusin de culpabilidad. Traduccin del lenguaje tcnico informtico a un lenguaje coloquial y comprensible para profanos en la materia. Descripcin de los protocolos de actuacin

utilizados en el proceso de anlisis.

Problemtica de la investigacin
1. CONSERVACIN DE LOS DATOS DE TRFICO
PROVEEDOR DE ACCESO PRESTADOR DE SERVICIOS

ACCESO

COMUNICACIN

No conservacin = impunidad
Excepto Activo patrimonial (Fraudes)

LEY 34/02 LSSIyCE Artculo 12. Deber de retencin de datos de trfico relativos a las comunicaciones electrnicas. 1. Los operadores de redes y servicios de comunicaciones electrnicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos debern retener los datos de conexin y trfico generados por las comunicaciones establecidas durante la prestacin de un servicio de la sociedad de la informacin por un perodo mximo de doce meses, en los trminos establecidos en este artculo y en su normativa de desarrollo.

Problemtica de la investigacin
1. IMPOSIBILIDAD DE IDENTIFICACIN DEL USUARIO
PROVEEDOR DE ACCESO PRESTADOR DE SERVICIOS

ACCESO

COMUNICACIN

Empresas Universidades Cibercafs Conexiones a redes WiFi Telefona prepago = IMPUNIDAD A

IPA| mensaje |IPB

AUSENCIA de legislacin administrativa sobre cibercafs, telefona prepago,

Problemtica de la investigacin
VIRTUALIDAD DE LA PRUEBA INFORMTICA

PRUEBA INFORMTICA? POSIBILIDAD DE FALSIFICACIN

Diseo de coartadas Carga de la prueba

FACILIDAD DE ELIMINACIN
Sistemas borrados HD formateados

CIFRADO ESTEGANOGRAFA
Inaccesibilidad Negativa = indicio?

= IMPUNIDAD

Problemtica de la investigacin DETERMINACIN ESPACIAL DE LA LEY PENAL RESULTADO ACCIN Diferencia espacio - temporal 1 Espacio jurdico espaol
Problema de competencia Qu Tribunal Penal debe perseguir hechos?

2 Diferentes espacios jurdicos

Problema de legislacin aplicable y de competencia

Problemtica de la investigacin DIFICULTAD DE COMPRENSIN DEL MUNDO DIGITAL Y LAS REDES DE COMUNICACIONES
Desconocimiento de la Judicatura Jurisdiccin especializada? Cultura social = Travesuras de nios (hacktivismo, hacking blanco o tico) Aplicacin de pena accesoria del decomiso (art 127 C.P.)

ESPACIOS DE IMPUNIDAD EN LAS TI

Direccin General Guardia Civil

C/ Guzmn El Bueno, 110 28003 Madrid (Espaa)

delitostelematicos@guardiacivil.org

www.guardiacivil.org Tel. 91 514 64 00 Fax. 91 514 64 02