Cómo la Interpol verificó la información de los equipos de Reyes

Semana.com hace un detallado resumen del informe oficial de la Interpol que reveló que los archivos de usuarios no fueron manipulados, pero que las autoridades colombianas sí revisaron los documentos de los computadores antes de ser entregados a los expertos de la policía internacional.

Esta mañana el secretario General de la Interpol, Ronald Kenneth Noble presentó al comandante general de la Policía, Oscar Naranjo y a la directora del DAS, María del Pilar Hurtado, el informe completo y confidencial de la información encontrada en tres computadores, tres memorias USB y dos discos duros, incautados en el campamento de las Farc en territorio ecuatoriano el 1 de marzo. También reveló los principales hallazgos del informe público, que se encuentra ya publicado en la página web de Interpol.

El informe público no revela ningún detalle del contenido de los equipos. Los nombres, países u organizaciones específicas que aparecen en los dispositivos, discos duros y portátiles se encuentran únicamente en el informe clasificado, y solo las autoridades colombianas podrán decidir cuándo divulgar esta información y hasta qué punto van a compartirla con la red de países que forman parte de Interpol.

Lo que sí dice el reporte es que las autoridades colombianas entregaron al grupo de peritos internacionales, además delo equipos, dos carpetas que contenían 18 documentos clasificados como “ultra secretos” que la misma policía colombiana había sacado del computador. Les pidieron que evaluaran si éstos habían sido modificados de alguna manera de su versión original. También entregaron unos cd´s de las copias del material de los computadores que las autoridades colombianas estaban utilizando en su investigación para que los expertos de Interpol les dijeran en cuántos equipos se repetía o se encontraba la información duplicada.

Parte de la información de estas carpetas clasificadas fueron enviadas a los gobiernos de Venezuela y Ecuador, cuando solicitaron copias del material que los vinculaba con las Farc. Otras de estas carpetas fueron filtradas a los medios de comunicación que empezaron a publicar sus contenidos sin que Interpol diera su veredicto sobre la autenticidad de la información. Para aclarar este punto el Secretario General Noble dijo hoy en la rueda de prensa que la información entregada efectivamente provenía de los computadores, pero aclaró que todavía se debe comprobar si los documentos y archivos de los equipos, aunque existen y no fueron manipuladas, revelan la verdad.

En otras palabras, muchos de los correos y documentos pueden contener apreciaciones subjetivas o falsas de las Farc. Confirmarlo requerirá de otro gran trabajo investigativo.

Los resultados del análisis

Los peritos de Interpol clasificaron los 8 equipos numéricamente para su evaluación: los tres computadores quedaron identificados con los números 26, 27 y 28, los discos duros, con el 30 y el 31, y las tres memorias USB con el 32, 33, 34. Hubo otra memoria USB catalogada con el número 29, pero según el organismo, estaba desocupada y por eso no fue tenida en cuenta en el análisis.

Interpol evaluó los archivos de sistema y los archivos de usuario que contenían cada una de las piezas. Dentro de los archivos de usuarios se encontraron: 109 archivos de documentos, 452 hojas de cálculo, 7.989 direcciones de correo electrónico, 10.537 archivos multimedia (sonido y video), 22481 páginas web, 37872 documentos escritos, y 210.888 imágenes.

Los peritos verificaron que ninguno de estos archivos de usuario hubiera sido modificado, alterado, creado o suprimido de los equipos por las autoridades colombianas después del 1 de marzo, cuando fueron incautados. El informe sí revela, sin embargo, que un funcionario de la unidad anti terrorista de la Fiscalía accedió directamente a los archivos de usuarios que se encontraban en cada uno de los ocho equipos para consultarlos. La revisión de la información se hizo entre el 1 y el 3 de marzo.

Según los principios reconocidos internacionalmente para el manejo de pruebas electrónicas, los equipos no deben ser prendidos, ni consultados antes de que se haga el proceso de copiado, pues esto puede alterar, generar o estropear algunos archivos automáticamente. Como lo comprobó Interpol, por haber sido prendidos los equipos, en cada uno aparece registrado la creación, modificación y supresión de varios archivos de sistema, que son los que automáticamente crea, modifica o suprime el sistema de un computador cada vez que se prende.

Para aclarar este punto el mismo Noble dijo que aunque acceder a la información de los equipos violaba los principios internacionales establecidos por Interpol, después del 11 de septiembre de 2001, es frecuente que la policía en distintos países del mundo decida acceder a la información cuando creen que hay datos de inteligencia que puedan prevenir un nuevo ataque o los pueda conducir a encontrar armas o integrantes de grupos terroristas. De todas maneras el informe recomienda mejorar la formación de las unidades policiales a la hora de encontrarse con pruebas electrónicas para saber cómo se deben manejar.

La participación de Interpol

El informe relata como las autoridades colombianas, luego de encontrar el material en la operación militar pidieron a Interpol un estudio independiente forense para que esta entidad certificara que no había archivo creados, modificados, o borrados por las autoridades colombianas. Esta solicitud la hicieron la directora del Das María del Pilar Hurtado y el general Oscar Naranjo, a través de dos cartas independientes dirigidas al secretario General de la Interpol.

Al día siguiente, el secretario general envió su respuesta a la directora del Das, con copia al general Naranjo, informando que Interpol enviaría en la mayor brevedad posible a un equipo de especialistas para evaluar cómo se podía llevar a cabo la misión. Las autoridades colombianas aceptaron la propuesta. De inmediato la policía internacional seleccionó a los peritos expertos en análisis forense de computadores, provenientes de las divisiones de Singapur y Australia, región que se ha especializado en este tipo de análisis. Estos expertos fueron seleccionados precisamente porque no son de la región y no hablan español, factores que reducían la posibilidad de que se dejaran influenciar por el contenido de los archivos, garantizando así mayor imparcialidad en el análisis técnico.

La delegación, compuesta por los 4 expertos en informática forense, y el secretario general llegó a Bogotá el domingo 9 de marzo. Al día siguiente, se reunieron con el Grupo Investigativo de Delitos Informáticos que le informó a Interpol acerca de la cadena de custodia y los procedimientos que habían empleado para manejar el material encontrado. Según el informe, las autoridades colombianas dijeron que la Policía Nacional colombiana había incautado los computadores, discos duros y memorias entre las 5.50 am y 7:50 am, hora local el sábado 1 de marzo. Dos días después hicieron entrega del material a la unidad forense de la Fiscalía, que lo guardó hasta que fue entregado al equipo de expertos.

Los expertos del sudeste asiático, luego de hacer un inventario detallado del material, empezaron el proceso de “imaging”( la obtención de imágenes forenses de datos) en el que se hace un duplicado exacto, con el tamaño natural de todos los contenidos y de la estructura de un disco duro, un dispositivo USB , un cd o un dvd. Esto se hace sin prender los equipos. Con este proceso se generan unos valores has, es decir unas secuencias de números y caracteres que permiten identificar y comparar cada dato de la copia con el original, para validar que son idénticos. Si los valores del original coinciden exactamente, la copia se ha realizado correctamente.

El proceso de “imaging” se realizó dos veces, tardó 3 días y se terminó el 13 de marzo de 2008. Cada dato que contenían los equipos quedó indexado. Una vez se realizó esta tarea, los equipos originales fueron devueltos a las autoridades colombianas. Una copia de los archivos fue sellada y guardada en una caja de seguridad para pruebas y la otra fue utilizada por los expertos internacionales para el análisis técnico del material que debía tardar entre 4 y 6 semanas, pero los cálculos de tiempo fueron superados por el tamaño del material encontrado: 609.6 gigas, lo que equivale a 39.5 millones de páginas. Por eso Interpol y las autoridades colombianas autorizaron que los expertos de Singapur y Australia trasladaran el material a sus países de origen, donde debían continuar la misión.

El equipo de Interpol partió de Bogotá entre el 14 y el 16 de marzo. Diez días después el material viajó custodiado por dos oficiales de policía colombianos, y llegó a su destino el 27 de marzo. La investigación fue completada el 9 de mayo.

Fuente del artículo: Semana.com


Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES