La Tecnología Forense. Investigación de los Ordenadores Asignados a los Empleados en la Prevención del Fraude Interno en la Empresa

El fraude ha existido desde que existen las empresas, pero el avance de las tecnologías ha propiciado que este se pueda desarrollar con mayor anonimato e impunidad. Dicho anonimato y la sencillez para acceder a la información que proporciona la tecnología hacen que la motivación y oportunidad para cometer un fraude sea más elevada. Pongamos por ejemplo, entrar en el despacho y robar un expediente del archivador del presidente de una compañía con la llave que la secretaria se ha dejado olvidada encima de su mesa. Es un hecho que la mayoría de los trabajadores no están dispuestos a realizar.

Pero acceder al mismo expediente desde el anonimato de un puesto de trabajo, utilizando la contraseña que hemos visto escrita en el ordenador de la secretaria, es otra cosa muy distinta.

Y, en situaciones de crisis como la que estamos viviendo en estos momentos en nuestro país, el fraude interno, cometido por empleados de la propia empresa, es cada vez más frecuente.

Por ello, cada día es más habitual encontrarnos con la necesidad de analizar los ordenadores y correos corporativos asignados a los empleados en el curso de una investigación interna.

REVISIÓN DE ORDENADORES Y TELÉFONOS CORPORATIVOS ANTE SOSPECHAS DE FRAUDE INTERNO EN LA EMPRESA

Cuando el fraude se produce desde dentro de la propia empresa, por empleados con acceso a los sistemas informáticos y lo que se pretende es sacar un provecho propio, un lucro personal, sin llamar la atención de nadie, o bien dañar los sistemas, es difícilmente detectable por los controles de seguridad tradicionales, y su detección requiere de una investigación más profunda.

Para entender mejor en qué consisten estas investigaciones de fraude interno, veamos algunos ejemplos de casos comunes que nos estamos encontrando en GPartners, dentro de las investigaciones realizadas para nuestros clientes.

- La creación de sociedades paralelas. Quizás ésta sea una de las infracciones más habituales cometidas en el seno de las empresas de nuestro país. El empleado utiliza los recursos de la empresa que le ha contratado para construir su propia sociedad al margen de ésta, desviando clientes y pequeños márgenes de beneficio de la empresa hacia la suya, y captando, en muchos casos, a compañeros que son contratados en la otra sociedad hasta que tiene la suficiente cartera de negocio para abandonar la empresa y poner su propio negocio.

- Revelación de información confidencial a terceros. Divulgación de secretos. Estos casos se basan en el hecho de que un empleado logre acceder a datos confidenciales de la empresa con el fin de revelarlos a terceros. Por ejemplo, la divulgación a la prensa de información interna/confidencial de una empresa o un organismo público. Este hecho es un delito tipificado en el nuevo Código Penal.

- Boicot a la empresa. Se produce, principalmente, entre los empleados descontentos dentro de una empresa o ex-empleados, quienes aprovechan el anonimato que ofrecen los foros y portales de internet para desprestigiar a la empresa, hacer publicidad negativa de los productos y servicios que ésta ofrece, y atacar a sus jefes y compañeros. Y, en los peores casos, para divulgar información confidencial de la misma.

- Robo de proyectos y clientes. Delito de espionaje industrial y robo de información con propiedad industrial. En esta línea, son habituales los empleados que se llevan el trabajo desarrollado en la empresa previa: un determinado proyecto o una cartera de clientes o la información de los planes futuros de una compañía para luego fichar por la competencia o crear su propia empresa.

- Pago de comisiones y sobornos. Habitualmente, se tiende a pensar que el pago de comisiones y sobornos en adjudicación de contratos es una práctica minoritaria; sin embargo, esto no es así y, en el día a día de nuestro trabajo, vemos que estos incidentes son más habituales de lo que a priori parece.

En los estudios del año pasado publicados por las firmas de auditoría internacional sobre el fraude en las empresas, pudimos ver que en España, el 24% de los directivos encuestados admitió haber sufrido un caso de corrupción o soborno y el 32% afirmó haber perdido oportunidades de negocio por no pagar un soborno frente a un competidor que sí lo hizo.

- Abuso del uso de los sistemas informáticos. Resulta muy común que el trabajador destine parte de su tiempo laboral a hacer consultas particulares a través de internet. Sin embargo, cuando este uso resulta abusivo, se accede a contenidos ilegales (descargas de productos sin copyright o uso de programas sin licencia) o se compromete la seguridad de la red de la propia empresa introduciendo virus/troyanos o vulnerabilidades en los puestos de trabajo, esto termina provocando problemas e incidentes a la empresa.

En todos estos casos, el análisis de los ordenadores corporativos asignados a los empleados resulta fundamental para esclarecer los detalles del fraude y llevar ante el juez las evidencias del delito cometido.

EL ANÁLISIS DE LOS ORDENADORES NO PUEDE HACERSE DE CUALQUIER MANERA Y SIN UN PROTOCOLO

Para que la investigación tenga éxito sin que la propia empresa cometa alguna irregularidad en contra de los derechos del trabajador y que las pruebas obtenidas puedan ser aceptadas en un proceso judicial, el análisis debe ser realizado de forma profesional, siguiendo unos protocolos rígidos, y salvaguardando siempre los derechos de privacidad y secreto de las comunicaciones de los investigados.

LA INTENCIONALIDAD DE LOS HECHOS DETRÁS DE L AS PRUEBAS

El análisis de los ordenadores es, a menudo, una gran fuente de pruebas y evidencias en toda investigación, ya que la mayoría de información, hoy en día, se encuentra en formato digital y difícilmente puede llevarse a cabo cualquier fraude sin utilizar un ordenador, correo electrónico o smartphone. Además, las evidencias digitales aportan una diferencia fundamental en las investigaciones, ya que, no sólo se aportan las pruebas físicas de los hechos, si no que, en muchos casos, permiten establecer claramente la intencionalidad con la que los investigados han actuado. Pongamos un ejemplo: supongamos una venta de una empresa donde se sospecha que se ha producido un fraude, adulterando la contabilidad. El análisis de las pruebas tradicionales -como los estados financieros de la empresa y los informes de auditoríason muy importantes; pero completarlo con el análisis del contenido del PC corporativo del director financiero y encontrar los borradores de las hojas de cálculo que ha ido realizando para “ajustar” la contabilidad o el mail de su consejero delegado pidiéndole realizar esos ajustes puede ser definitivo para demostrar la intencionalidad de los hechos.

Metodología de Análisis Forense. Es obvio que para investigar lo ocurrido en casos como los mencionados no sirven los métodos tradicionales. Y, aunque no existe una metodología de análisis forense estándar para todos los casos, a continuación, detallaremos los principales aspectos a tener en cuenta para llevar a cabo una investigación forense dentro de los propios ordenadores de una empresa:

- Existencia de una Política de Seguridad. Es altamente recomendable contar a priori con una política de seguridad de la empresa, donde se especifique con detalle el uso profesional de los equipos informáticos, se regule el uso personal que la empresa permite hacer al empleado de los mismos y se informe de los procedimientos de monitorización, auditoría y custodia de éstos por parte de la empresa. Sin embargo, pese a que siempre se recomienda disponer de esta política a priori, existen sentencias del Tribunal Supremo de Madrid donde se reconoce el derecho de la empresa a acceder al contenido de sus equipos informáticos sin la existencia de una política de seguridad en situaciones de crisis para la empresa.

- Adquisición de las evidencias en presencia del empleado y los representantes de la empresa. La adquisición de las evidencias debe realizarse siempre que sea posible por parte de personal especializado, en presencia del propio empleado y de un representante de la empresa que hará de testigo en todo el procedimiento. Para dotar al proceso de mayores garantías, puede solicitarse la presencia de un notario que levante acta y que quede en custodia de una de las copias realizadas.

En este caso, el perito realizará dos copias idénticas de la evidencia, una que quedará en custodia del notario hasta que sea necesario aportarla en un proceso judicial y otra que se lleva al laboratorio de tecnología forense para su posterior análisis.

- Imagen forense firmada digitalmente y cifrada. El proceso de copia de la información contenida en el ordenador es una de las partes más relevantes del procedimiento de investigación. La adquisición de la evidencia digital debe realizarse obteniendo una imagen forense de los equipos informáticos y no realizando una mera copia de seguridad de los archivos contenidos en el ordenador.

Las imágenes forenses son una copia exacta y no manipulable de los datos contenidos en los equipos informáticos originales que se realizan con equipos especializados de tecnología forense. Las principales características técnicas de una imagen forense son las siguientes:

- Es una copia íntegra de todos los sectores que componen un volumen físico o soporte digital. Es decir, es una copia completa (copia byte a byte) de toda la información contenida en un soporte digital. De esta forma, obteniendo una imagen forense podemos garantizar que tenemos una copia con el 100% de la información original.

- Está firmada digitalmente mediante una función HASH que permite identificar unívocamente el contenido de la imagen forense. Es decir, es posible verificar en todo momento que la información contenida en la copia es idéntica a la original. De esta forma, obteniendo una imagen forense podemos garantizar la integridad de la información que se presenta.

Las imágenes forenses constituyen la forma más eficaz y fiable de preservar y presentar la información digital.

- Protocolos y procedimientos estándar de análisis y presentación de evidencias digitales. A diferencia del papel o de otros soportes, la información almacenada en formato digital es fácilmente manipulable por cualquier usuario de informática sin que, a priori, las modificaciones realizadas sean fácilmente detectadas por otros usuarios. Así, por ejemplo, un archivo de texto en un soporte digital puede ser sobrescrito con nuevas versiones del mismo sin que estos cambios puedan ser apreciados a simple vista. Igualmente, no es sencillo determinar la autoría, o la fecha de creación o modificación de dicho archivo. Por ello, cuando se quiere realizar una investigación y aportar las evidencias a un proceso judicial, es necesario seguir una serie de protocolos y procedimientos con el fin de garantizar que la información aportada es original e íntegra y que no ha sido manipulada.

A continuación, presentamos los principales procedimientos utilizados en Tecnología Forense para el análisis de las evidencias digitales:

Recuperación de la información borrada (o no visible). En muchos de los casos, podemos encontrarnos con que el empleado ha borrado del equipo que tenía asignado en la empresa las pruebas que le incriminan. Y muchas veces, ésta es la información clave de la investigación. Por ello, siempre es útil realizar procedimientos de recuperación de la información no visible. Estos procesos se realizan en el laboratorio de tecnología forense y consisten en tratar de recuperar toda aquella información que no está visible a simple vista pero que ha quedado en el equipo. Como, por ejemplo, documentos y correos borrados por el usuario, archivos temporales de las aplicaciones relevantes, información enviada a la impresora, información almacenada en la memoria caché del navegador, etc.

Búsquedas selectivas de la información relevante (metodología de búsquedas ciegas). Con el fin de garantizar el cumplimiento íntegro de la legislación vigente y salvaguardar en todo momento los derechos fundamentales a la intimidad y dignidad de las personas y al secreto de las comunicaciones de los empleados, para realizar el análisis forense de la información contenida en las evidencias digitales, se utiliza una metodología profesional de análisis de información basada en búsquedas selectivas. De acuerdo a esta metodología, los técnicos forenses no realizan un análisis manual de todos los documentos contenidos en una imagen forense, sino que se utilizan procedimientos de análisis forense de información basados en búsquedas profesionales selectivas que utilizan el método de búsqueda “ciega”.

Esta metodología de búsqueda se basa en la selección de una serie de criterios o palabras “clave” a partir de las cuales, y mediante complejas técnicas de indexación y contextualización de la información, se identifican y extraen de las imágenes forenses únicamente aquellos ficheros que contengan alguna de las palabras “clave” en cuestión. Este proceso nos permite identificar y separar aquella parte de la información que es relevante para el caso y hace innecesario el análisis del resto de documentación que pudiera contener información de carácter privada o personal.

Siempre que es posible, el documento con los criterios de búsqueda a utilizar en la investigación se entrega al notario o testigos junto con la imagen forense original, de forma que se sepa en todo momento el uso que se va a realizar de la evidencia digital obtenida.

Documentación de la cadena de custodia. Con el fin de garantizar la integridad de las evidencias digitales, es necesario establecer una cadena de custodia sobre las imágenes forenses obtenidas. La cadena de custodia documenta la ubicación y la persona encargada de su custodia durante todo el ciclo de vida de las evidencias, desde que se obtienen hasta que se presentan en el juicio y finalmente son destruidas.

La presentación de pruebas en el juzgado. La evidencia digital. Una parte fundamental del trabajo de los tecnólogos forenses, una vez obtenidas las pruebas de los incidentes, es presentarlas y defenderlas delante del juez.

Entre las empresas e incluso entre los profesionales de seguridad, está muy extendida la idea de que las pruebas digitales no son admitidas en los juzgados porque todos los datos digitales son susceptibles de haber sido manipulados. Sin embargo, la realidad es muy distinta y cada vez son más las pruebas digitales que se aportan en los juicios.

Tal y como hemos visto anteriormente, para que las pruebas presentadas tengan plena validez en los juicios, los laboratorios de tecnología forense disponen de herramientas especializadas, así como procedimientos y metodologías de trabajo muy estrictas, que garantizan:

1. Que las evidencias se han obtenido garantizando los derechos fundamentales de los empleados investigados.

2. Que las pruebas aportadas en el juicio no han sido manipuladas.

3. Que se ha mantenido en todo momento la cadena de custodia establecida sobre las pruebas obtenidas.

 

Jesús Fernández Pérez.

Socio Responsable de Tecnología Forense en Gpartners.

Cursos y Libros Relacionados