Análisis forense Diego Cano, MBA CFE FTI - Managing Director Argentina Country Manager Nuevas...
-
Upload
eugenio-acuna-cano -
Category
Documents
-
view
238 -
download
1
Transcript of Análisis forense Diego Cano, MBA CFE FTI - Managing Director Argentina Country Manager Nuevas...
Análisis forense
Diego Cano, MBA CFEFTI - Managing DirectorArgentina Country Manager
Nuevas técnicas que debemos conocer y cuidados especiales que debemos tener en cuenta en los procesos de investigación.
Temas a tratar• Introducción al Fraude e Investigaciones Corporativas
• Rol de la Tecnología en la Investigación Corporativa
• Desafíos del Análisis de Smartphones
• Consideraciones Legales
• Buenas Prácticas para una Investigación Exitosa
• Errores Comunes
• Proceso Investigativo
Fraude e Investigaciones Corporativas
El fraude y su investigación ha ido ganando un lugar cada vez más importante en el mundo de los negocios
Según las estimaciones de la ACFE (Association of Certified Fraud Examiners), las empresas americanas pierden un monto cercano al 7% de sus ganancias anuales como consecuencia de acciones fraudulentas
Investigaciones Corporativas
A las investigaciones de Fraudes Corporativos deben sumarse las que surgen de la legislación norteamericana y afectan a empresas que coticen en Bolsas estadounidenses
Foreign Corrupt Practices Act (FCPA)
SEC Regulatory Compliance
Anti-Money Laundering
Estas investigaciones implican el relevamiento de enormes cantidades de información
Tecnología e Investigaciones Corporativas
El amplio uso de la tecnología en el ámbito corporativo ha generado que la recolección de información digital se torne fundamental en cualquier tipo de investigación
Gran cantidad de la información se encuentra almacenada en medios electrónicos
– Discos rígidos en computadoras– Teléfonos celulares– Cámaras digitales– Pendrives– Tarjetas de Memoria
DIGITAL FORENSICS
El uso de la Tecnología y de sus practicas forenses constituye una herramienta fundamental en todas las
investigaciones internas
“Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y
almacenados en un medio informático “http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
Tecnología e Investigaciones Corporativas
Que diferencia la evidencia informática de la evidencia tradicional?
• La volatilidad
• La capacidad de duplicación
• La facilidad de alterarla
• La cantidad de Metadatos que posee
Tecnología e Investigaciones Corporativas
Datos Obtenidos conherramientas comunes• Documentos• Correos electrónicos• Fotos digitales
Datos adicionales obtenidoscon herramientas forenses(Borrados, Renombrados, Ocultos)• Usuarios del sistema y sus claves• Actividad en el sistema operativo• Líneas de tiempo• Actividad en Internet• Ubicación geográfica de una computadora• Webmail• Impresiones realizadas• Medios removibles conectados• Fotos digitales y su relación con cámaras
El “iceberg” de los datos
Tecnología e Investigaciones Corporativas
Que hace falta para una investigación Forense
1) Profesionales entrenados
2) Herramientas
a. Hardware (ej. bloqueadores de escritura)
b. Software (EnCase, FTK)
Tecnología e Investigaciones Corporativas
Etapas del Análisis Forense
• Adquisición: Acceso al objeto de estudio
• Preservación: Conservar el objeto
• Obtención: Análisis y búsqueda
• Presentación: Informe de resultados
Tecnología e Investigaciones Corporativas
Evidencia y archivo de evidencia
Copia exacta de disco bit por bit a archivo de evidencia (DD, E01)
Mantiene intacta la prueba original
Tecnología e Investigaciones Corporativas
Hardware para adquisición
Tecnología e Investigaciones Corporativas
Desafíos del Análisis de Smartphones
En la actualidad el desarrollo corporativo y personal de los usuarios ha
concentrado una gran cantidad de información en estos dispositivos. Dicha
información incluye:
•Correos – Calendario – Tareas
•Fotos
•Conversaciones
•Ubicación Geográfica
•Documentos
•Redes Sociales
La posibilidad de recuperar su contenido para un análisis que contribuya a la
investigación varía de acuerdo al software que contenga el dispositivo:
Android
Windows
iOS
BlackBerry
Firefox
Symbian
Desafíos del Análisis de Smartphones
Principales Desafíos:
Lograr acceder a los datos desconociendo las contraseñas de acceso
Evitar la manipulación remota del contenido del equipo
Al día de la fecha existen grandes dificultades para acceder a los equipos sin las claves
respectivas. Esto significa una importante limitación a la investigación, requiriendo la
colaboración del investigado.
Cualquier intervención de rotura de claves podría significar una contaminación de la prueba. Sin
embargo, existen desarrollos independientes embrionarios que permitirían acceso a los datos
con intervenciones menos invasivas.
Desafíos del Análisis de Smartphones
En la actualidad la mayoría de los Smartphones del mercado incluyen herramientas de
integración y administración remota con servidores en la nube.
Dichas herramientas permiten al usuario realizar diversas tareas sin tener acceso físico al
equipo. Entre ellas, el usuario puede eliminar completamente el contenido del equipo sin
necesidad de un conocimiento informático elevado.
Esta posibilidad, junto con la necesidad de solicitar la colaboración del investigado puede
frustar la obtención de prueba a partir de éstos dispositivos. Para lograr la preservación del
contenido es necesario inhabilitar inmediatamente la conectividad del equipo. Dicho
bloqueo puede realizarse por medio del uso del Modo Avión o físicamente (Faraday).
Desafíos del Análisis de Smartphones
Una vez extraída la información de los dispositivos las herramientas de análisis
permiten la extracción de una variada cantidad de información:
Desafíos del Análisis de Smartphones
Cronología de Coordenadas:
Desafíos del Análisis de Smartphones
Detalle de Actividad (SMS, Llamadas, Redes Sociales, Fotos, etc):
Desafíos del Análisis de Smartphones
Gráfico de Vinculaciones (combinable con varios investigados):
Desafíos del Análisis de Smartphones
Contraseñas guardadas:
Desafíos del Análisis de Smartphones
Consideraciones Legales
Para la utilización correcta y exitosa de las herramientas de Tecnología Forense, son fundamentales algunas cuestiones legales.
Por lo cual el trabajo en conjunto y coordinado con el equipo de abogados de la empresa se torna fundamental.
Las empresas proveen a sus empleados con computadoras, celulares y dispositivos móviles, como los Smartphones, para que estos lleven adelante sus tareas, pero la propiedad de la mismas y su contenido siguen perteneciendo al empleador
El usuario tiende a desarrollar confianza en los mismos (Expectativa de Privacidad)
Consideraciones Legales
Para evitar posibles problemas es importante que los empleados firmen un FORMULARIO DE CONSENTIMIENTO, al serles entregados esos elementos
En estos Formularios, los empleados declaran conocer las políticas de Uso Adecuado de los elementos provistos, a la vez que prestan su Consentimiento para que los mismos seansusceptibles de monitoreo por la empresa
Las legislaciones al respecto varían de acuerdo al país
Consideraciones Legales
Sin embargo, existe en el día de hoy un debate jurisprudencial en Argentina respecto de la “Expectativa de Privacidad” de los usuarios corporativos.
Los fallos recientes han debatido en torno a tres elementos:•Propiedad de los elementos utilizados•Finalidad esperada de los elementos utilizados•Acceso restringido y consecuente expectativa de privacidad
A los fines de limitar la expectativa de privacidad del usuario resultan fundamentales (aunque no decisivos) los Formularios de Consentimiento. Asimismo el cumplimiento de las Buenas Prácticas Forenses facilitará la aceptación de prueba informática en juicio.
Consideraciones Legales
Buenas Prácticas Forenses
•Formularios de Consentimiento•Participación Notarial (Latinoamérica): la presencia de un Notario durante la adquisición, como testigo de la misma, fortalece el resultado probatorio•Participación de profesionales idóneos•Software que garantice la inalterabilidad de la evidencia obtenida•Cadena de Custodia
Cadena de Custodia de la Evidencia- Nombre de la persona y fecha de contacto con la evidencia- Registro del pasaje de una persona a otra- Registro del pasaje de una ubicación física a otra- Tareas realizadas durante la posesión- Sellado de la evidencia al finalizar la posesión- Registro de testigos- Fotografías de la evidencia en las tareas realizadas- Log de actividades durante la posesión
El fundamento principal de la Cadena de Custodia es garantizar la inviolabilidad e inalterabilidad de la Evidencia durante su traslado. Identifica y registra la responsabilidad sobre la preservación de la Evidencia.
Errores Comunes
•Incorrecta manipulación de la pruebaoEncendido de la Computadora o Dispositivo
•Incorrecta adquisición de la pruebaoAusencia de Bloqueador de EscrituraoCopia simple de la informaciónoImprimir o fotografiar la información
•Incorrecto registro o identificación de la pruebaoAusencia de Hash identificatorio de archivos (MD5, SHA1, y SHA256)oIncorrecto registro de la Cadena de Custodia (Cortes cronológicos, ausencia de firmas, fechas y demás datos esenciales)
Proceso Investigativo
Diego Cano, MBA CFEFTI - Managing Director
Argentina Country Manager
Migueletes 1646 PB
Buenos Aires, Argentina
C1426BUZ
Tel: +5411 4785-9007
Diego Cano es Country Manager de FTI Argentina. Tiene más de 12 años de experiencia en consultoría en investigación. Administra y supervisa complejas investigaciones de fraude corporativo que involucran aspectos financieros, incluyendo el cumplimiento del FCPA (Práctica de Actos Corruptos en el Extranjero) en toda América Latina.
Además de dirigir directamente el área de Investigaciones, gerenció casos de contabilidad forense, identificó fraudes financieros y administrativos, fraudes perpetrados por créditos, compras y por departamentos contables de empresas objeto de investigación.
Antes de incorporarse a FTI en enero de 2007, el Sr. Cano fue Managing Director de Holder Internacional. De 2001 a 2005, fue jefe de investigaciones para Kroll Inc. Argentina. De 1999 a 2001, fue Director de Investigaciones de Kroll Inc en Brasil.
Su carrera incluye trabajos como consultor a miembros del Congreso Nacional de Argentina. Es profesor de Ciencia Política en la Universidad de Salvador y de Economía Política en la Universidad de Buenos Aires.
El Sr. Diego Cano posee un Master en Administración de Empresas de la Universidad de Sao Paulo, Brasil; es candidato a Master en Análisis y Gerenciamiento de Información Estadística y es Licenciado en Ciencia Política de la Universidad del Salvador. Habla fluidamente en castellano, inglés y portugués.