Revisión de ordenadores y teléfonos corporativos ante sospechas de fraude interno en la empresa
Cuando el fraude se produce desde dentro de la propia empresa, por empleados con acceso a los sistemas informáticos, y lo que se pretende es sacar un provecho propio, un lucro personal, sin llamar la atención de nadie, o bien dañar los sistemas, es difícilmente detectable por los controles de seguridad tradicionales, y su detección requiere de una investigación más profunda. Para entender mejor en qué consisten estas investigaciones de fraude interno, veamos algunos ejemplos de casos comunes que nos estamos encontrando en GPartners, dentro de las investigaciones realizadas para nuestros clientes. – La creación de sociedades paralelas. Quizás ésta sea una de las infracciones más habituales cometidas en el seno de las empresas de nuestro país. El empleado utiliza los recursos de la empresa que le ha contratado para construir su propia sociedad al margen de ésta, desviando clientes y pequeños márgenes de beneficio de la empresa hacia la suya, y captando, en muchos casos, a compañeros que son contratados en la otra sociedad hasta que tiene la suficiente cartera de negocio para abandonar la empresa y poner su propio negocio. – Revelación de información confidencial a terceros. Divulgación de secretos. Estos casos se basan en el hecho de que un empleado logre acceder a datos confidenciales de la empresa con el fin de revelarlos a terceros. Por ejemplo, la divulgación a la prensa de información interna/confidencial de una empresa o un organismo público. Este hecho es un delito tipificado en el Código Penal. – Boicot a la empresa. Se produce, principalmente, entre los empleados descontentos dentro de una empresa o ex-empleados, quienes aprovechan el anonimato que ofrecen los foros y portales de internet para desprestigiar a la empresa, hacer publicidad negativa de los productos y servicios que ésta ofrece, y atacar a sus jefes y compañeros. Y, en los peores casos, para divulgar información confidencial de la misma. – Robo de proyectos y clientes. Delito de espionaje industrial y robo de información con propiedad industrial. En esta línea, son habituales los empleados que se llevan el trabajo desarrollado en la empresa previa: un determinado proyecto o una cartera de clientes o la información de los planes futuros de una compañía para luego fichar por la competencia o crear su propia empresa. – Pago de comisiones y sobornos. Habitualmente, se tiende a pensar que el pago de comisiones y sobornos en adjudicación de contratos es una práctica minoritaria; sin embargo, esto no es así y, en el día a día de nuestro trabajo, vemos que estos incidentes son más habituales de lo que a priori parece. En los estudios del años anteriores publicados por las firmas de auditoría internacional sobre el fraude en las empresas, pudimos ver que en España, el 24% de los directivos encuestados admitió haber sufrido un caso de corrupción o soborno y el 32% afirmó haber perdido oportunidades de negocio por no pagar un soborno frente a un competidor que sí lo hizo. – Abuso del uso de los sistemas informáticos. Resulta muy común que el trabajador destine parte de su tiempo laboral a hacer consultas particulares a través de internet. Sin embargo, cuando este uso resulta abusivo, se accede a contenidos ilegales (descargas de productos sin copyright o uso de programas sin licencia) o se compromete la seguridad de la red de la propia empresa introduciendo virus/troyanos o vulnerabilidades en los puestos de trabajo, esto termina provocando problemas e incidentes a la empresa. En todos estos casos, el análisis de los ordenadores corporativos asignados a los empleados resulta fundamental para esclarecer los detalles del fraude y llevar ante el juez las evidencias del delito cometido.
El análisis de los ordenadores no puede hacerse de cualquier manera y sin un protocolo
Para que la investigación tenga éxito sin que la propia empresa cometa alguna irregularidad en contra de los derechos del trabajador y que las pruebas obtenidas puedan ser aceptadas en un proceso judicial, el análisis debe ser realizado de forma profesional, siguiendo unos protocolos rígidos, y salvaguardando siempre los derechos de privacidad y secreto de las comunicaciones de los investigados.La intencionalidad de los hechos detrás de las pruebas
El análisis de los ordenadores es, a menudo, una gran fuente de pruebas y evidencias en toda investigación, ya que la mayoría de información, hoy en día, se encuentra en formato digital y difícilmente puede llevarse a cabo cualquier fraude sin utilizar un ordenador, correo electrónico o smartphone. Además, las evidencias digitales aportan una diferencia fundamental en las investigaciones, ya que, no sólo se aportan las pruebas físicas de los hechos, si no que, en muchos casos, permiten establecer claramente la intencionalidad con la que los investigados han actuado. Pongamos un ejemplo: supongamos una venta de una empresa donde se sospecha que se ha producido un fraude, adulterando la contabilidad. El análisis de las pruebas tradicionales -como los estados financieros de la empresa y los informes de auditoría son muy importantes; pero completarlo con el análisis del contenido del PC corporativo del director financiero y encontrar los borradores de las hojas de cálculo que ha ido realizando para “ajustar” la contabilidad o el mail de su consejero delegado pidiéndole realizar esos ajustes puede ser definitivo para demostrar la intencionalidad de los hechos.Metodología de Análisis Forense
Es obvio que para investigar lo ocurrido en casos como los mencionados no sirven los métodos tradicionales. Y, aunque no existe una metodología de análisis forense estándar para todos los casos, a continuación, detallaremos los principales aspectos a tener en cuenta para llevar a cabo una investigación forense dentro de los propios ordenadores de una empresa: – Existencia de una Política de Seguridad. Es altamente recomendable contar a priori con una política de seguridad de la empresa, donde se especifique con detalle el uso profesional de los equipos informáticos, se regule el uso personal que la empresa permite hacer al empleado de los mismos y se informe de los procedimientos de monitorización, auditoría y custodia de éstos por parte de la empresa. Sin embargo, pese a que siempre se recomienda disponer de esta política a priori, existen sentencias del Tribunal Supremo de Madrid donde se reconoce el derecho de la empresa a acceder al contenido de sus equipos informáticos sin la existencia de una política de seguridad en situaciones de crisis para la empresa. – Adquisición de las evidencias en presencia del empleado y los representantes de la empresa. La adquisición de las evidencias debe realizarse siempre que sea posible por parte de personal especializado, en presencia del propio empleado y de un representante de la empresa que hará de testigo en todo el procedimiento. Para dotar al proceso de mayores garantías, puede solicitarse la presencia de un notario que levante acta y que quede en custodia de una de las copias realizadas. En este caso, el perito realizará dos copias idénticas de la evidencia, una que quedará en custodia del notario hasta que sea necesario aportarla en un proceso judicial y otra que se lleva al laboratorio de tecnología forense para su posterior análisis. – Imagen forense firmada digitalmente y cifrada. El proceso de copia de la información contenida en el ordenador es una de las partes más relevantes del procedimiento de investigación. La adquisición de la evidencia digital debe realizarse obteniendo una imagen forense de los equipos informáticos y no realizando una mera copia de seguridad de los archivos contenidos en el ordenador.
Las imágenes forenses son una copia exacta y no manipulable de los datos contenidos en los equipos informáticos originales que se realizan con equipos especializados de tecnología forense. Las principales características técnicas de una imagen forense son las siguientes:
– Es una copia íntegra de todos los sectores que componen un volumen físico o soporte digital. Es decir, es una copia completa (copia byte a byte) de toda la información contenida en un soporte digital. De esta forma, obteniendo una imagen forense podemos garantizar que tenemos una copia con el 100% de la información original.
– Está firmada digitalmente mediante una función HASH que permite identificar unívocamente el contenido de la imagen forense. Es decir, es posible verificar en todo momento que la información contenida en la copia es idéntica a la original. De esta forma, obteniendo una imagen forense podemos garantizar la integridad de la información que se presenta.
Las imágenes forenses constituyen la forma más eficaz y fiable de preservar y presentar la información digital.
– Protocolos y procedimientos estándar de análisis y presentación de evidencias digitales. A diferencia del papel o de otros soportes, la información almacenada en formato digital es fácilmente manipulable por cualquier usuario de informática sin que, a priori, las modificaciones realizadas sean fácilmente detectadas por otros usuarios. Así, por ejemplo, un archivo de texto en un soporte digital puede ser sobrescrito con nuevas versiones del mismo sin que estos cambios puedan ser apreciados a simple vista. Igualmente, no es sencillo determinar la autoría, o la fecha de creación o modificación de dicho archivo. Por ello, cuando se quiere realizar una investigación y aportar las evidencias a un proceso judicial, es necesario seguir una serie de protocolos y procedimientos con el fin de garantizar que la información aportada es original e íntegra y que no ha sido manipulada.
A continuación, presentamos los principales procedimientos utilizados en Tecnología Forense para el análisis de las evidencias digitales:
• Recuperación de la información borrada (o no visible). En muchos de los casos, podemos encontrarnos con que el empleado ha borrado del equipo que tenía asignado en la empresa las pruebas que le incriminan. Y muchas veces, ésta es la información clave de la investigación. Por ello, siempre es útil realizar procedimientos de recuperación de la información no visible.
Estos procesos se realizan en el laboratorio de tecnología forense y consisten en tratar de recuperar toda aquella información que no está visible a simple vista pero que ha quedado en el equipo. Como, por ejemplo, documentos y correos borrados por el usuario, archivos temporales de las aplicaciones relevantes, información enviada a la impresora, información almacenada en la memoria caché del navegador, etc.
• Búsquedas selectivas de la información relevante (metodología de búsquedas ciegas). Con el fin de garantizar el cumplimiento íntegro de la legislación vigente y salvaguardar en todo momento los derechos fundamentales a la intimidad y dignidad de las personas y al secreto de las comunicaciones de los empleados, para realizar el análisis forense de la información contenida en las evidencias digitales, se utiliza una metodología profesional de análisis de información basada en búsquedas selectivas. De acuerdo a esta metodología, los técnicos forenses no realizan un análisis manual de todos los documentos contenidos en una imagen forense, sino que se utilizan procedimientos de análisis forense de información basados en búsquedas profesionales selectivas que utilizan el método de búsqueda “ciega”.
Esta metodología de búsqueda se basa en la selección de una serie de criterios o palabras “clave” a partir de las cuales, y mediante complejas técnicas de indexación y contextualización de la información, se identifican y extraen de las imágenes forenses únicamente aquellos ficheros que contengan alguna de las palabras “clave” en cuestión. Este proceso nos permite identificar y separar aquella parte de la información que es relevante para el caso y hace innecesario el análisis del resto de documentación que pudiera contener información de carácter privada o personal.
Siempre que es posible, el documento con los criterios de búsqueda a utilizar en la investigación se entrega al notario o testigos junto con la imagen forense original, de forma que se sepa en todo momento el uso que se va a realizar de la evidencia digital obtenida.
• Documentación de la cadena de custodia. Con el fin de garantizar la integridad de las evidencias digitales, es necesario establecer una cadena de custodia sobre las imágenes forenses obtenidas. La cadena de custodia documenta la ubicación y la persona encargada de su custodia durante todo el ciclo de vida de las evidencias, desde que se obtienen hasta que se presentan en el juicio y finalmente son destruidas.
• La presentación de pruebas en el juzgado. La evidencia digital. Una parte fundamental del trabajo de los tecnólogos forenses, una vez obtenidas las pruebas de los incidentes, es presentarlas y defenderlas delante del juez.
Entre las empresas e incluso entre los profesionales de seguridad, está muy extendida la idea de que las pruebas digitales no son admitidas en los juzgados porque todos los datos digitales son susceptibles de haber sido manipulados. Sin embargo, la realidad es muy distinta y cada vez son más las pruebas digitales que se aportan en los juicios.
Tal y como hemos visto anteriormente, para que las pruebas presentadas tengan plena validez en los juicios, los laboratorios de tecnología forense disponen de herramientas especializadas, así como procedimientos y metodologías de trabajo muy estrictas, que garantizan:
1. Que las evidencias se han obtenido garantizando los derechos fundamentales de los empleados investigados.
2. Que las pruebas aportadas en el juicio no han sido manipuladas.
3. Que se ha mantenido en todo momento la cadena de custodia establecida sobre las pruebas obtenidas.
Jesús Fernández Pérez, Socio Responsable de Tecnología Forense en Gpartners.[learn_press_profile]
