Aquí les dejo, de momento, las principales conclusiones contenidas en el informe de INTERPOL sobre el análisis a las computadoras incautadas a Raúl Reyes, el "número 2" de las FARC, durante el ataque a su campamento ubicado en territorio ecuatoriano por parte de los militares colombianos.
INFORME FORENSE DE INTERPOL SOBRE LOS ORDENADORES
Y EQUIPOS INFORMÁTICOS DE LAS FARC DECOMISADOS POR COLOMBIA
PARTE 5: PRINCIPALES CONCLUSIONES DEL INFORME PÚBLICO
En esta parte del informe se presentan las conclusiones a las que ha llegado INTERPOL una vez
finalizado el análisis forense19. La exactitud y el origen del contenido de los datos queda fuera del
alcance del examen informático forense Cantidad y tipo de datos contenidos en las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
Conclusión no. 1: Las ocho pruebas instrumentales decomisadas a las FARC, a saber, ordenadores portátiles, llaves USB y discos duros externos, contienen en total 609,6
gigabytes de datos en forma de documentos, imágenes y vídeos.
57. Se pidió a INTERPOL que efectuara un análisis forense de un total de ocho pruebas instrumentales de carácter informático decomisadas a las FARC: tres ordenadores portátiles, dos
discos duros externos y tres llaves USB. Colombia20 asignó un número de referencia único a cada prueba instrumental. Los tres ordenadores portátiles llevan los números 26, 27 y 28 respectivamente; los dos discos duros externos, 30 y 31; y las tres llaves USB decomisadas, 32, 33 y 3421.
58. Todos los datos fueron indexados por los especialistas en investigación informática forense de
INTERPOL con el fin de poder realizar búsquedas por palabra clave para localizar los documentos que podían ser relevantes para la investigación. Se trata de un proceso muy largo y laborioso. La obtención de imágenes exactas de los datos22 supuso tres días de trabajo, y la indexación de las pruebas instrumentales, una semana en total. El índice obtenido también permitirá más adelante a los investigadores colombianos encontrar fácilmente en las ocho pruebas instrumentales los archivos de usuario que les pueda interesar si a lo largo de la investigación se descubren otros documentos que las fuerzas del orden puedan considerar relevantes.
59. En total, estas ocho pruebas instrumentales contienen 609,6 gigabytes de datos.
Conclusión no. 2: Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de INTERPOL en informática forense, las autoridades colombianas accedieron a todas las pruebas instrumentales.
70. INTERPOL explicará de manera sencilla los dos modos principales de acceder a los datos contenidos en los ordenadores portátiles, las llaves USB y los discos duros externos: uno se ajusta a los principios reconocidos a escala internacional para el manejo de pruebas electrónicas por parte de las fuerzas del orden26, mientras que el otro no se ajusta a ellos.
Conclusión no. 2a: El acceso a los datos contenidos en las ocho pruebas instrumentales de carácter informático decomisadas a las FARC realizado por el Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia entre el momento en que las recibieron, el 3 de marzo de 2008 a las 11.45 horas, y el momento en que las entregaron a los especialistas en informática forense de INTERPOL, el 10 de marzo de 2008, se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
Conclusión no. 2b: Entre el 1 de marzo de 2008, fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45 horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia, el acceso a los datos contenidos en las citadas pruebas no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
77. Cuando los funcionarios de los organismos encargados de la aplicación de la ley acceden
directamente a las pruebas electrónicas decomisadas sin hacer en primer lugar una copia imagen de los datos, el acceso a las pruebas y su visualización quedan registrados. El acceso directo puede complicar en gran medida el proceso de validación de las pruebas para presentarlas ante los tribunales, porque en este caso los funcionarios de las fuerzas del orden deben demostrar o probar que el acceso directo que efectuaron no afectó materialmente a la finalidad de las pruebas.
78. Utilizando herramientas forenses, los especialistas en informática de los organismos encargados de la aplicación de la ley pueden determinar los distintos tipos de archivos de sistema, temporales y permanentes, creados en un ordenador como consecuencia del encendido o el apagado de éste. Por motivos relacionados con las investigaciones que llevan a cabo las fuerzas del orden, INTERPOL no revelará las herramientas forenses que utilizaron sus especialistas para proceder a tal determinación durante el análisis de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
79. Las autoridades colombianas encargadas de la aplicación de la ley comunicaron abiertamente a los especialistas de INTERPOL en investigación informática forense que un funcionario de su unidad antiterrorista accedió directamente a las ocho pruebas instrumentales citadas, en circunstancias exigentes y marcadas por la premura de tiempo, entre el 1 de marzo de 2008, cuando fueron decomisadas por las autoridades colombianas, y el 3 de marzo de 2008.
80. Como se ha señalado anteriormente, los especialistas en informática de los organismos encargados de la aplicación de la ley pueden reconstruir lo ocurrido durante un acceso directo a pruebas electrónicas decomisadas, y eso han hecho los especialistas de INTERPOL en el curso de su examen forense.
81. De este modo, los especialistas de INTERPOL descubrieron lo siguiente:
82. Los sistemas operativos de los tres ordenadores portátiles decomisados mostraban que los tres ordenadores habían sido apagados el 3 de marzo de 2008 (a diferentes horas, pero todos ellos antes de las 11.45, hora en que fueron entregados a los investigadores en informática forense de la policía judicial colombiana). Los dos discos duros externos y las tres llaves USB habían sido conectados a un ordenador entre el 1 y el 3 de marzo de 2008, sin que se hubieran obtenido previamente copias imagen forenses de su contenido y sin emplearse dispositivos de bloqueo de escritura (write-blockers).
83. En los archivos de la prueba instrumental decomisada no 26, un ordenador portátil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 273 archivos de sistema
- Apertura de 373 archivos de sistema y de usuario
- Modificación de 786 archivos de sistema
- Supresión de 488 archivos de sistema
84. En los archivos de la prueba instrumental decomisada no 27, asimismo un ordenador portátil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 589 archivos de sistema
- Apertura de 640 archivos de sistema y de usuario
- Modificación de 552 archivos de sistema
- Supresión de 259 archivos de sistema
85. En los archivos de la prueba instrumental decomisada no 28, igualmente un ordenador portátil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 1.479 archivos de sistema
- Apertura de 1.703 archivos de sistema y de usuario
- Modificación de 5.240 archivos de sistema
- Supresión de 103 archivos de sistema
86. En los archivos de la prueba instrumental decomisada no 30, un disco duro externo, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 1.632 archivos de sistema
- Apertura de 11.579 archivos de sistema y de usuario
- Modificación de 532 archivos de sistema
- Supresión de 948 archivos de sistema
87. En los archivos de la prueba instrumental decomisada no 31, asimismo un disco duro externo, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 3.832 archivos de sistema
- Apertura de 13.366 archivos de sistema y de usuario
- Modificación de 2.237 archivos de sistema
- Supresión de 1.049 archivos de sistema
88. En los archivos de la prueba instrumental decomisada no 32, una llave USB, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 8 archivos de sistema
- Apertura de 12 archivos de sistema y de usuario
- Modificación de 5 archivos de sistema
- Supresión de 6 archivos de sistema
89. En los archivos de la prueba instrumental decomisada no 33, igualmente una llave USB, se
presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 54 archivos de sistema
- Apertura de 168 archivos de sistema y de usuario
- Modificación de 28 archivos de sistema
- Supresión de 52 archivos de sistema
90. En los archivos de la prueba instrumental decomisada no 34, también una llave USB, se
presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores:
- Creación de 1 archivo de sistema
- Apertura de 60 archivos de sistema y de usuario
- Modificación de 1 archivo de sistema
Conclusión no. 3: INTERPOL no ha encontrado indicios de que tras la incautación a las FARC de las ocho pruebas instrumentales de carácter informático, efectuada el 1 de marzo de 2008 por las autoridades colombianas, se hayan creado, modificado o suprimido archivos de usuario en ninguna de dichas pruebas.
91. El acceso directo entre el 1 y el 3 de marzo de 2008 a las ocho pruebas instrumentales de carácter informático decomisadas a las FARC dejó rastros en los archivos de sistema, como ya se ha explicado. No obstante, los especialistas de INTERPOL no encontraron en ninguna de las ocho pruebas archivo de usuario alguno que hubiera sido creado, modificado o suprimido con posterioridad al decomiso, practicado el 1 de marzo de 2008. Utilizando sus herramientas forenses, los especialistas hallaron un total de 48.055 archivos cuyas marcas de tiempo indicaban que habían sido creados, abiertos, modificados o suprimidos como consecuencia del acceso directo a las ocho pruebas instrumentales por parte de las autoridades colombianas entre el momento del decomiso de éstas, el 1 de marzo de 2008, y el 3 de marzo de 2008 a las 11.45 horas.
92. Los especialistas de INTERPOL descubrieron asimismo que uno de los ordenadores portátiles (prueba no 28) y los dos discos duros externos decomisados (pruebas no 30 y 31) contenían archivos cuyas marcas de tiempo eran erróneas, ya que indicaban una fecha futura.
93. La prueba no 28 contiene:
- Un archivo cuya fecha de creación es el 17 de agosto de 2009
94. La prueba no 30 contiene:
- 668 archivos cuyas fechas de creación oscilan entre el 7 de marzo de 2009 y el 26 de agosto de
2009;
- 31 archivos cuyas fechas de última modificación varían entre el 14 de junio de 2009 y el 26 de
agosto de 2009.
- Estos archivos contienen música, vídeos e imágenes
95. La prueba no 31 contiene:
- 2.110 archivos cuyas fechas de creación oscilan entre el 20 de abril de 2009 y el 27 de agosto
de 2009;
- 1.434 archivos cuyas fechas de última modificación varían entre el 5 de abril de 2009 y el
16 de octubre de 2010
96. Basándose en el análisis de las características de estos archivos, los especialistas de INTERPOL concluyeron que estos archivos habían sido creados antes del 1 de marzo de 2008 en uno o varios dispositivos con una configuración de fecha y hora del sistema incorrecta. El hecho de que estos archivos aparezcan en las pruebas no 30 y no 31 indica que o bien fueron creados cuando dichas pruebas instrumentales se encontraban conectadas a un dispositivo con una configuración de fecha y hora del sistema incorrecta, o bien se transfirieron posteriormente (después de su creación), junto con sus respectivas marcas de tiempo de 2009, a las pruebas no. 30 y no. 31.
97. En lo que respecta al único archivo con fecha de creación de 2009 que contiene la prueba
no 28, los especialistas de INTERPOL llegaron a la conclusión de que este archivo había sido primero creado y después transferido a la prueba no 28, y que su fecha de creación se había transferido con él.
98. Basándose en todo lo anterior, los especialistas de INTERPOL llegaron a la conclusión de que las autoridades colombianas no deberían tener en cuenta la fecha futura marcada en los archivos de las tres pruebas citadas (28, 30 y 31).
99. Habida cuenta de todo lo antedicho y habiendo realizado un examen forense exhaustivo, los
especialistas de INTERPOL concluyen que no se ha creado, modificado o suprimido ningún archivo de usuario en ninguna de las ocho pruebas instrumentales de carácter informático después de su decomiso a las FARC, practicado el 1 de marzo de 2008.
INFORME COMPLETO EN PDF AQUÍ
No hay comentarios:
Publicar un comentario