CiberCrimen Proceso de Investigación. Parte 2

Investigación


Como se reviso en la parte 1 de este post sobre ciberdelincuencia, la mayoría de las acciones punibles de los ciberdelincuentes son tomadas desde lugares remotos, por esto es necesario realizar tareas importantes para poder lograr con el paradero de los delincuentes.

Cuando se deben de realizar las pesquisas de las evidencias de los equipos ya sean PC de usuarios como servidores, esta debe de ser colectada por personal capacitado de las policías, o de empresas certificadas en las áreas de informática forense. Cualquier tipo de alteración o modificación de las evidencias puede ser fatal a la hora de presentarse en un juicio como prueba, por tanto deberán tomarse medidas técnicas que certifiquen que la información no ha sido modificada desde la colección de los datos hasta la presentación de la misma. 

El gran conocimiento que tienen la mayoría de los ciber delincuente sobre las plataformas informáticas, hacen que la tarea de investigación se haga mas difícil aún, ya que son capaces de borrar todas las huellas que dejan sobre la plataforma afectada logrando así que las acciones que toman logren quedar impunes ante la ley.


Identificación del Delincuente.



Una de las medidas que se toma a la hora de poder realizar una investigación en el ciberEspacio es que se debe de poder correlacionar la información de la IP de Origen desde la cual se perpetro el delito, fecha y hora en la cual la ip perteneció a algún abonado, y determinar la ubicación física del dispositivo si este fue realizado desde un enlace fijo.  Por lo general la mayoría de los ciber delincuentes tienen conocimiento de este tipo de investigación por IP por esta razón utilizan VPN, Redes Onion, o utilizan redes Botnet para realizar las tareas delictivas, esto hace que un usuario común pueda ser victima de un delincuente inculpándolo sin que este se de cuenta sobre el delito cometido. Para hacer efectiva esta medida se deben de realizar las siguientes tareas en cuestión:

  • Vigilancia Ordinaria: Esto implica realizar una vigilancia del sospechoso de manera tradicional.
  • Intervención telefónica. Se deberá intervenir los llamados bajo orden judicial del sospechoso para determinar, si existe algún tipo de vinculo entre las actividades diarias y el delito cometido.
  • Rastreo de IP. Se deberá realizar una revisión con ayuda de las empresas de telecomunicaciones sobre cada una de las acciones tomadas por una IP en custión y poder determinar vínculos.
  • Identificación del teléfono movil. El sospechoso puede realizar cambio de números de manera constante cambiando el chip del equipo, por tanto puede hacerse el rastreo por medio de Imei para poder realizar la identificación del mismo y cualquier tipo de carga o de llamadas no concretadas por el sospechoso.
  • Cuenta Corriente: Ya teniendo la información del abonado se deberá solicitar la cuenta corriente de pago del servicio y así determinar pagos o movimientos del individuo, mas la ubicación geográfica del mismo.

Otras de las medidas que son altamente efectivas por las policías para poder detectar movimiento ilícito y descubrir al individuo son:

  • Infiltración
  • Interceptación 
  • delatores
  • Incautación
  • logs
  • backup
  • volcado de ram.

La infiltración del policía dentro de las redes delictuales permiten al investigador poder entender el movimiento de la red, logrando detectar información clave para la identificación del indivuo. Adicionalmente, logrando la interceptación de las llamadas se puede lograr identificar nexos y otros involucrados fuera de la red virtual del delito, esta por ejemplo puede ser receptadores de información o usuarios finales del delito cometido.

La Incautación de los equipos debe ser de manera controlada, y procedimental, ya que como dice el ultimo punto el volcado de la memoria ram a un archivo sera necesaria para analizar, gran parte de las infecciones o virus terminan cargandose en la ram, y cualquier apagado del equipo podría llegar a perder esa información.