Investigaciones forensic de carácter financiero contable - Parte 3

Los procedimientos de e-discovery (Identificar, analizar y presentar adecuadamente las evidencias digitales en una investigación) pueden ser la clave para poder demostrar ciertos hechos y dar respuesta a las preguntas de la investigación

En el anterior artículo tratamos las cuestiones principales del plan de investigación. Dicho plan da paso al inicio de los procedimientos forensic de investigación. En este artículo vamos a abordar los procedimientos de investigación que abarcan la revisión de evidencia digital, también conocido como e-discovery.

¿Qué se entiende por e-discovery?

Los procedimientos de revisión de evidencia digital o e-discovery son aquellos que se realizan con el objetivo de identificar, analizar y presentar adecuadamente las evidencias digitales que soporten o ayuden a soportar los objetivos de la investigación y que, no olvidemos, son dar respuesta a las siguientes preguntas: ¿qué ha pasado?; ¿por qué ha pasado?; ¿quién está involucrado?; ¿dónde y cuándo ha ocurrido?; ¿cómo ha ocurrido?; ¿cuánto es el impacto?

¿Qué es la evidencia digital y que riesgos conlleva su análisis?

La evidencia digital es aquella información o documentación clave para la investigación que se vaya a realizar y que:

• Está dentro de la información corporativa o de negocio contenida en dispositivos electrónicos, tales como ordenadores, teléfonos móviles, tablets, discos duros, USBs, tarjetas de memoria… y también en la infraestructura de red corporativa como carpetas u otros repositorios de información electrónica.
• Está comprendida dentro de la comunicación corporativa interpersonal que se realiza a través de los anteriores dispositivos, mediante el intercambio de correos electrónicos, SMS, WhatsApp, chats de aplicaciones como Teams u otras similares.

Por tanto, esta documentación o evidencia digital es una fuente esencial de información para tener en cuenta en cualquier investigación. Identificar, analizar y presentar adecuadamente las evidencias digitales en una investigación puede ser la clave para poder demostrar los hechos y dar respuesta a las preguntas de la investigación.

No obstante, hay que tener en cuenta que la información digital que se genera en las organizaciones presenta múltiples riesgos cuando, en el entorno de una investigación hay que acceder a la misma, entre los que destacan:

• La cantidad de información: La información corporativa digital y las comunicaciones interpersonales a través de dispositivos electrónicos vienen presentando un crecimiento exponencial que se mantendrá en el futuro. Además, las nuevas tecnologías traen, a su vez, nuevos riesgos como, por ejemplo, la grabación y transcripción automática de las reuniones de llamadas y videollamadas.
• La potencial existencia de información personal sensible:  tanto en la información contenida en los dispositivos electrónicos como en las comunicaciones interpersonales puede haber mezcla de información corporativa y personal.

Para poder afrontar estos riesgos de manera adecuada es imprescindible:

• Por un lado, que la organización establezca políticas y normativas internas que regulen el marco de referencia de las investigaciones internas (este aspecto se desarrolló en el primer artículo de esta serie).
• Por otra lado, que los procedimientos de e-discovery se realicen siempre bajo los principios de proporcionalidad y justificación, aplicando el juicio profesional que vaya requiriendo la investigación, en cuanto:

a)     a los dispositivos y personas bajo análisis;

b)     el alcance temporal que analizar;

c)      y los conceptos claves (bien en términos de palabras clave o de relacionales bajo análisis).

¿Cuáles son las fases de los procedimientos de e-discovery?

Generalmente, un procedimiento de e-discovery comprende las siguientes fases:

• Obtención y salvaguarda de la información.
• Análisis y filtrado de la información.
• Revisión de resultados.

La primera fase es la obtención de la información de los dispositivos electrónicos y la protección de la información obtenida. Cualquier error o procedimiento no adecuado en esta fase puede invalidar todo el análisis que viene después. Por tanto, es imprescindible siempre la involucración de expertos de IT en la materia y también, según el caso,  el acompañamiento en el proceso de expertos legales para asegurar que se cumple con la normativa de aplicación (externa y/o interna).

Esta fase debe hacerse lo más pronto posible con el objetivo de asegurar la escena y evitar el borrado de pruebas, especialmente en aquellas organizaciones en las que no se realicen y archiven backups de modo recurrente.

La obtención y la protección de la información se realiza a través de:

Una Imagen Forense. Esta imagen es una copia exacta e inalterable de cualquier información electrónica obtenida de manera experta a través de un software específico para este fin. Cada Imagen Forense lleva asociada una huella digital única que se denomina número Hash. En términos simples, un valor hash es una cadena de números específica que se crea a través de un algoritmo y que está asociada con un archivo en particular. Si el archivo se modifica de alguna manera y vuelve a calcular el valor, el hash resultante será diferente. En otras palabras, es imposible cambiar el archivo sin cambiar también el valor hash asociado. Entonces, si tiene dos copias de un archivo y ambas tienen el mismo valor hash, puede estar seguro de que son idénticas.

Establecimiento de una cadena de custodia que vaya desde la obtención de la imagen hasta el establecimiento de una copia de seguridad, y que recoja, entre otros, la autorización de la persona responsable del dispositivo, o en su ausencia la normativa interna que permita el acceso al mismo, así como otros datos técnicos que permitan proteger cada uno de los elementos probatorios para evitar su destrucción, suplantación o manipulación.

Es de vital importancia documentar exhaustivamente todo el proceso de obtención de la información digital.

Análisis y filtrado de la información: Una vez que se tiene la información, es el momento de realizar el análisis de esta:

Este análisis se realiza a través programas expertos de filtrado de datos. Este tipo de programas permite identificar todos aquellos documentos contenidos en la evidencia digital que contienen los términos de búsqueda requeridos.

Para el establecimiento de aquellos términos o palabras clave hay que tener en cuenta:

• Deben ser seleccionados con juicio profesional y que respeten el principio de proporcionalidad y justificación del contexto de la investigación.
• No se deben incluir términos muy genéricos dado que el resultado arrojaría muchos falsos positivos.
• La selección de palabras clave se suele hacer tras, al menos, haber mantenido una serie de entrevistas que hayan proporcionado al equipo investigador de un conocimiento del potencial contexto de los hechos y de los motivos de este. 
• Durante el transcurso de la investigación pueden aparecer nueva información que conlleve que se incluyan nuevas palabras clave o incluso que se desechen algunas de las inicialmente seleccionadas.

Una vez aplicado los criterios anteriores el programa de búsqueda permitirá, entre otros, realizar los siguientes procedimientos:

• Leer en detalle los documentos que contienen una o varias de los términos seleccionados.
• Entender patrones entre los documentos seleccionados. Por ejemplo; buscar patrones de fechas, remitentes y receptores de correos electrónicos, etc.
• Tras los análisis pertinentes se procederá a clasificar los documentos en categorías de importancia para la investigación (por ejemplo; no relevantes, relevantes o muy relevantes).
• Se procederá también a analizar si los documentos soportan evidencias de incumplimiento, o abren nuevas vías de investigación (añadir personas en la población de investigados o ampliar el periodo bajo análisis).

Revisión de resultados: ¿qué hacer con las conclusiones obtenidas en los procedimientos de e-discovery?

La documentación obtenida que se clasifique como relevante o muy relevante para la investigación podrá utilizarse en otros procedimientos como, por ejemplo, cuando se realicen entrevistas de constatación de datos, o deberá adjuntarse como evidencia en el informe de conclusiones que generé la investigación.

En conclusión, unos procedimientos de e-discovery realizados de manera correcta y adecuada permitirá Identificar, analizar y presentar adecuadamente las evidencias digitales en una investigación y así poder demostrar ciertos hechos.