Descubrimiento electrónico: la evidencia digital y sus retos empresariales

Introducción

Procesar conductas punibles en un mundo digital establece un reto técnico, administrativo y legal para la gobernabilidad de cualquier nación o empresa. Por tanto, conocer con claridad la estructura técnica de los elementos materiales probatorios en medios tecnológicos, sus medidas de aseguramiento y estrategia de presentación se convierte en una prioridad para todos los operadores de la administración de justicia y los profesionales del derecho en un país o corporación.

En este contexto, toma especial importancia, establecer y desarrollar protocolos que permitan identificar, recoger y custodiar los rastros electrónicos propios de cada escena del crimen digital o situación corporativa particular, de tal forma que al presentarse en audiencia no se encuentren reparos o anotaciones que puedan llegar a desvirtuar la misma, privilegiando el espacio de la duda razonable que actúa a favor de los posibles involucrados.

En este sentido, es fundamental establecer una base conceptual técnica de buenas prácticas y estrategias que, desde el punto de vista técnico y con miras al soporte jurídico posterior, puedan brindar a la entidades del estado y a la sociedad en general, una confianza razonable de los procedimientos aplicados para asegurar elementos materiales probatorios digitales a los que pueda tener acceso tanto los particulares como los servidores públicos en el ejercicio de sus funciones.

En consecuencia, los temas relacionados con la computación forense y el descubrimiento electrónico se advierten como dos elementos fundamentales tanto en la administración de justicia como en el ámbito corporativo respectivamente, para comprender con mismo nivel de certidumbre cómo ocurrió un incidente informático, sus móviles y posibles participantes, así como establecer y ubicar la información electrónicamente almacenada relevante para preparar a una organización frente a demandas o litigios donde este tipo de datos digitales son claves para plantear los argumentos requeridos para reclamar o reconocer los derechos de las personas naturales o jurídicas. (CANO 2010, cap. 7)

Entendiendo el descubrimiento electrónico

Hablamos entonces de una disciplina cercana a la computación forense que denominamos “descubrimiento electrónico” o en inglés “electronic discovery”, e-discovery. Una breve definición de qué es e-discovery sería: procedimiento legal donde se le ordena a una de las partes involucradas la producción de pruebas electrónicas. Generalmente el resultado de este procedimiento implica el análisis de un amplio número de dispositivos electrónicos o medios de almacenamiento, para recabar la evidencia electrónica requerida. (ISF 2008, pág 2)

En este contexto, se revela el deber que tienen las organizaciones de preservar información relevante, para anticiparse a un posible litigio jurídico. Por tanto, las empresas deben establecer políticas de retención de información electrónica para eventos como: injurias (preservación de datos de empleados o clientes ante injurias, especialmente aquellas donde la empresa pueda aparecer como negligente), despidos (registros de pagos, préstamos, liquidaciones salariales, prestaciones) e incidentes donde estén involucrados ejecutivos de la empresa (políticas conservación electrónica de las actuaciones de los ejecutivos, particularmente cuando ya no están en la empresa). (CIO EXECUTIVE BOARD 2011b, pág. 10)

Ciclo de vida del descubrimiento electrónico en la empresa

En línea con lo anterior, el abogado especializado en temas de información electrónicamente almanacenada (IEA), Michael R. Arkfeld, en su libro “Electronic discovery and evidence. 2011 -2012 Edition”, publicado por LawPartner publishing, LLC., establece un ciclo de vida para desarrollar el concepto de descubrimiento electrónico en una empresa, siguiendo cinco pasos fundamentales basado en el modelo de e-discovery de FULBRIGHT y JAWORSKI, para balancear la administración del riesgo corporativo y la estimación y contención de los costos, propios del tratamiento de la información electrónica en una organización. Los pasos son: (ARKFELD 2011, cap.3)

Paso 1: Identificar, preservar y recolectar

Identificar, se adelanta de manera paralela con la acción de “preservar”, se entiende como el tipo, fuente y localización de toda la IEA que debe ser preservada. Es importante anotar, que basado en la naturaleza del caso que se lleve se define el tipo y las fuentes de IEA requeridas, considerando todo el tiempo los costos de localizar y convertir la IEA en formatos legibles y usables que permitan una presentación adecuada frente a los terceros y autoridades involucradas.

Preservar, la obligación de preservar puede provenir de diferentes fuentes: leyes, estatutos, regulaciones u órdenes de cortes. Dependiendo del tipo de regulaciones o exigencias legales, el deber para preservar las pruebas o evidencia se establece cuando el litigio es: razonablemente anticipado, razonablemente predecible, inminente o pendiente. En este sentido, para minimizar el riesgo de la destrucción de la evidencia y evitar sanciones, la evidencia digital debe ser preservada tan pronto como se notifique por la parte sobre las potenciales reclamaciones que se pueden presentar. (ARKFELD 2011b, sección 7.9)

Recolectar, es el proceso de reunir potenciales datos relevantes para ser procesados y revisados. En este sentido, considerando la gran cantidad de IEA almacenada en múltiples ubicaciones, con variedad de formatos, se debe asegurar que el procedimiento que se establezca para ello, sea comprensivo y legalmente defendible. Es importante anotar que dado el incremento de datos informáticos almacenados fuera del control directo de la empresa, generalmente en dispositivos personales o en la nube, se cuenta con un reto adicional en este proceso de recolección. (CIO EXECUTIVE BOARD 2011b, pág. 11)

Paso 2: Filtrar y convertir a Información electrónicamente almacenada (IEA)

Filtrar significa reducir y asegurar la precisión de la IEA. Esto es, aplicar una serie de criterios que permitan afinar lo requerido según el caso, efectuar revisiones más focalizadas y mantener controlados los costos de producción de la evidencia. En este sentido, las consideraciones claves que se sugieren para adelantar este paso son:

Negociación del cumplimiento

La premisa en este punto es reunirse y acordar con el abogado de la contraparte los alcances de la preservación de la IEA con el fin de limitar los costos de producción y mantenimiento de la misma. En este sentido, se sugiere que durante la negociación esté presente el personal del área de tecnología de información, o si la negociación se torna tensa o difícil, asistirse de una tercera parte neutral.

Considerar las protecciones legales

Existen declaraciones y disposiciones legales que dan forma y moderan las peticiones de IEA, evitando la extralimitación en su solicitud, incluso considerando el hecho que no esté razonablemente accesible. Los tribunales revisan con detalle las peticiones de protección efectuadas por la parte, para establecer si ésta es una carga, no es excesivamente amplia o pertinente, o no está razonablemente accesible, y así establecer si se autoriza o no dicha solicitud.

Filtrado de la IEA

Este proceso reduce el tamaño de la población de IEA disponible. El proceso de filtrado responde a una “valoración temprana del caso” o su revisión “analítica”. Se estima que aproximadamente entre el 75 y 95 por ciento de los datos inicialmente recolectados en respuesta a una solicitud de descubrimiento electrónico, será eliminada pues no responde a lo requerido y podrá ser filtrada para su no revisión posterior.

Siguiendo lo establecido en Judges’ Guide to Cost-Effective E-discovery (http://www.ediscoveryinstitute.org/JudgesGuide/ (Consultado: 11-01-2012), detallamos algunos de los métodos técnicos conocidos para efectuar filtrado de IEA:

• Limitar la búsqueda de términos (palabra clave, expresiones booleanas y sistemas de búsqueda conocidos) a nombre específicos, fechas y código predictivo.

• Limitar hacia archivos específicos (Word, Excel, PDF, etc) filtrado por extensión (.pdf, .docx, .pst, etc)

• Reducir la duplicación de archivos.

• Remover los archivos conocidos del sistema, de las aplicaciones y software base utilizando para ello la lista general de estos archivos provista por el NIST – National Institute of Standard and Technology (para comparar sus respectivas firmas de HASH)

• Revisar cadenas de texto en correos electrónicos.

• Analizar los nombres de dominio

• Establecer una muestra de la IEA disponible para determinar la relevancia para el caso y el costo de su procesamiento.

Conversión de la IEA

La conversión es un proceso de extracción de los datos de usuario, texto o metadata de los archivos que representan la IEA. Durante la extracción se convierten en un formato para ser importados en otras aplicaciones; eventualmente los datos se convierten en imágenes o se imprimen en papel para revelarlos y presentarlos en una corte. Es importante anotar que durante este momento la IEA no se convierta a archivos PDF o TIFF, sin antes cursar la revisión inicial de la relevancia de la misma.

Paso 3: Revisar y analizar

Luego de filtrar la información no relevante, los profesionales del derecho deben revisar los datos seleccionados para determinar los subconjuntos necesarios, que no sean de acceso privilegiado, para responder a lo solicitado. El costo real del descubrimiento electrónico no es la solicitud o la adquisición de datos, sino el costo del profesional que asiste la revisión de la información para almacenar o localizar información confidencial o reservada antes de su revelación.

En este sentido, generalmente este paso se apoya en herramientas informáticas como los sistemas automatizados para soporte de litigios (Automated litigation support systems – ALS), los cuales cuentan con capacidades de búsqueda y acceso a documentos, reorganización de hechos, registro de análisis previos, puntos de vista entre otros, que permiten colaborar con el equipo de apoyo al proceso jurídico.

Paso 4: Revelar y “Formularios o formas”

Para adelantar este paso es importante establecer la forma para recibir o divulgar la IEA. En este contexto, se detallan a continuación algunos criterios relevantes:

• ¿La IEA es susceptible para hacer búsquedas? Los archivos en formato nativo, bases de datos, texto plano, etc. son susceptibles de búsquedas, pero es probable que deban ser convertidos a un formato conveniente para efectuar las mismas.

• ¿La metadata de la IEA está incluida en el formato? Existen algunos formatos de archivo que no contienen metadata.

• ¿Es posible identificar o resaltar la información privilegiada o confidencial? En los archivos con formato nativo, no es posible identificar esta información sin cambiar el archivo. Es viable con algún código o funcionalidad indicar que la información confidencial se ha retirado electrónicamente.

• ¿Es posible sellar los documentos a ser divulgados? Se recomienda utilizar firma digitales o algoritmos de hash para asegurar la autenticidad de los documentos requeridos para presentarse.

Es importante anotar que si la contraparte en su requerimiento no especifica la forma o formularios para producir la IEA, la otra debe producir o entregarla en la forma o con los formularios con los cuales ordinariamente administrada o razonablemente utilizada. Por tanto, la otra parte no debe producir o entregar la misma IEA en más de una forma.

Paso 5: Presentar

Este es el paso final, que incluye la planeación de la presentación de la evidencia siguiendo el procedimiento legal establecido. Para ello, debe considerar los equipos de apoyo disponibles en recinto de las audiencias, asegurando que se cuenta con el software y hardware requerido para ilustrar con detalle lo requerido durante el despliegue de la presentación.

En razón con lo anterior, resulta conveniente desarrollar al interior de las organizaciones una política o lineamiento corporativo relacionado con la información electrónicamente almacenada de tal forma que se identifique sus periodos de retención, los procedimientos asociados y la persona encargada de la IEA, que permitan recuperar su información para reconstruir los eventos relacionados con reclamaciones o solicitudes que impliquen algún tipo de proceso en el contexto jurídico o empresarial.

Retos emergentes para el descubrimiento electrónico

Avanzar en una estrategia corporativa de descubrimiento electrónico, define un reto en sí misma dado que se hace necesario vincular al menos tres vistas que permitan sintonizar los esfuerzos para beneficio de la organización: el negocio, la tecnología de información y los referentes de conservación y archivo. Cada uno de ellos, establece connotaciones particulares que articuladas en el proceso de sustentación de pruebas informáticas, fortalece y asegura la posición de la organización frente al ciclo de vida del descubrimiento electrónico.

En razón con lo anterior, se presentan tres retos claves (CORPORATE EXECUTIVE BOARD 2011) para considerar a nivel organizacional con el fin de visualizar los aspectos sensibles que deben mantenerse en la agenda de los responsables organizacionales de asegurar una posición apropiada de la empresa frente a litigios con información electrónicamente almacenada.

1. Mapa de datos e información de la organización

Este es un elemento crítico frente al descubrimiento electrónico. Contar con un inventario o mapa de información de una empresa, exige de ésta un alto nivel de madurez en conservación y archivo, así como la declaración de la información como un activo de la corporación. Mientras esto no sea la constante, las organizaciones mantendrán un espíritu reactivo frente a requerimientos legales con registros electrónicos.

2. Información almacenada o residente dentro de dispositivos móviles o en equipos propios de terceros que prestan servicios

Con la alta penetración de dispositivos electrónicos móviles como teléfonos inteligentes y tabletas, las organizaciones cambian su forma de movilizarse frente a la IEA. Ahora la información no permanece en los equipos de cómputo personal, sino que viajan en los medios móviles, generalmente sin un control definido y bajo la responsabilidad del usuario del dispositivo tecnológico. Sin una adecuada orientación y guía en la empresa en este tema, muchas serán las brechas sobre fuga y/o pérdida de información que se reportarán en las empresas.

3. Información generada y distribuida a través de redes sociales

La expresión natural de los seres humanos, ahora a través de la web 2.0, es una característica nativa de los ciudadanos en la red. Por tanto, es claro que los empleados de una organización mantengan estrecha relación con sus comentarios y apreciaciones publicadas a través de sus blogs y redes sociales. En razón con lo anterior, controlar o asegurar este tipo de información, o mantener su trazabilidad, se convierte en un reto de confianza, ética y procedimientos empresariales, que los trabajadores deben asumir con toda la formalidad del caso, para limitar posibles acciones o declaraciones que puedan atentar contra el buen nombre o imagen de la corporación.

Reflexiones finales

Cuando hablamos de evidencia digital en el contexto empresarial generalmente la podemos asociar con aquella requerida para sustentar o probar algún evento, acción o situación organizacional que permita tener la certeza de que algo ha ocurrido, para lo cual el artefacto tecnológico que la produce, cuenta con las estrategias de seguridad y control requeridas para conocer de primera mano el usuario, sus perfiles, los procedimientos asociados y los mecanismos de monitoreo que acompañan el uso del mismo.

Sin embargo, esta realidad solamente se hace evidente cuando un hecho desafortunado ocurre, particularmente asociado con un incidente de seguridad de la información que manifiesta alguna vulnerabilidad, falla o error en algún momento o accionar de los sistemas de información disponibles en la organización. En este sentido, las investigaciones informáticas se convierten en las primeras solicitantes de información para esclarecer los hechos acontecidos y es allí, cuando la computación forense toma la mayor relevancia como esa disciplina especializada que revisa y analiza sistemas informáticos y dispositivos electrónicos que generan, procesan y almacenan evidencia electrónica para determinar la ocurrencia del hecho y dar la explicaciones científico-técnicas de lo que ha ocurrido.

De otra parte y tan relevante como encontrar a los atacantes, sus rastros y acciones realizadas, se tiene el descubrimiento electrónico como la estrategia legal informática de la organización, que permite proteger los intereses de ésta, frente a litigios o reclamaciones, donde los soportes documentales solicitados se encuentran en formato electrónico y se hace necesario aportarlos siguiendo las formalidades de ley requeridas y mantener la vista del proceso en los hechos y no en las evidencias electrónicas que se aportan al mismo.

En consecuencia, no solamente se requiere una vista criminalística sobre la evidencia digital en las organizaciones, sino una vista legal informática que, recabando en los riesgos propios de las empresas en sus diferentes relaciones de negocio, corporativas y con terceros, pueda establecer los elementos documentales electrónicos que soportan las mismas y prepararse para enfrentar un eventual proceso jurídico donde la información electrónicamente almacenada es factor determinante para lograr un fallo a favor o en contra de ésta.

Finalmente, el descubrimiento electrónico como disciplina emergente que busca una comprensión más sistémica de la evidencia digital, más allá de los procesos propios de la justicia criminal, requiere mayor investigación y relevancia para que pasando de una vista focalizada en los aspectos civiles del derecho, se incorpore al ordenamiento jurídico general de las naciones, como factor clave de éxito en la formulación de modelos de administración de evidencia digital tanto en el sector público como privado.

Referencias

ARKFELD, M. (2011) Electronic discovery and evidence. 2011-2012 Edition. LawPartner Publishing, LLC.

ARKFELD, M. (2011b) Guide for legal hold. LawPartner Publishing, LLC.

CANO, J. (Autor y Coordinador) (2010) La evidencia digital y el peritaje informático en Colombia. Editorial Temis – Uniandes.

CORPORATE EXECUTIVE BOARD (2011) E-discovery tools. IREC Executive cheat sheet series. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

CORPORATE EXECUTIVE BOARD (2011b) The IT Manager’s guide to E-Discovery. Information Risk Executive Board Council. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

FULBRIGHT y JAWORSKI (?) eDIG: E-Discovery and Litigation Readiness. Disponible en:

http://www.fulbright.com/index.cfm?fuseaction=description.subdescription&site_id=1197&id=1195 (Consultado 15-10-2012)

INFORMATION SECURITY FORUM - ISF (2008) ISF Briefing: Electronic Evidence. Documento interno Disponible en: https://www.securityforum.org/whatwedo/publicresearch/ (Requiere suscripción)