¿Existe el botón informático del pánico?

Habréis oído y visto películas sobre la habitación del pánico, el botón de alarma de un banco y otros artefactos que se utilizan como medio de defensa o aviso ante un ataque. Son varias ya las veces que usuarios, Jueces, Secretarios Judiciales, Letrados e incluso los propios agentes de policía, ante la inminencia de un operativo policial nos han preguntado sobre la posible existencia de un botón rojo o botón del pánico, refiriéndose a la posibilidad de hacer desaparecer las pruebas digitales que pudieran encontrarse.

 

Pasamos a la acción

Cuando se procede a la ejecución de una entrada y registro, por cualquier delito, por ejemplo, posible fraude fiscal y posterior blanqueo, la información que se encuentra almacenada en los dispositivos informáticos de una persona física o de una empresa son críticos para justificar a posteriori, tras su correspondiente extracción y estudio, la existencia de los delitos investigados. En este caso, se buscarían los archivos relativos a la contabilidad, facturación, contratación, correos electrónicos y cualquier otro documento electrónico justificativo.

La reacción primaria ante una actuación sorpresiva, en este caso de las autoridades policiales y judiciales, es la modificación, ocultación y en el mejor de los casos para los investigados, la desaparición de los vestigios electrónicos existentes de modo que, cuando se proceda a su extracción y análisis, a través de los procedimientos forenses establecidos, los documentos hayan desaparecido. De ahí, la necesidad imperiosa de que la actuación sea inesperada, para cubrir posibles eventualidades y no queden “pendrives” ni discos duros delatadores encima de las mesas ni bases de datos contables que analizar.

¿Es posible hacer desaparecer toda la información relativa a una empresa desde el momento que se observa la presencia policial hasta una posible detención de los investigados e interrupción de la actividad de las empresa/s para proceder a la entrada y registro? Es difícil ( y que por mucho dure). Pero existen peligros que conviene conocer.

 

El botón rojo informático ¿A qué nos podemos estar refiriendo?

A la posibilidad de que alguien, de los que se encuentra allí, dé la voz de alarma por el móvil al administrador de sistemas o cualquiera (no tiene que ser el informático) que tenga la posibilidad de acceder y conozca las claves de acceso al sistema de gestión de información a la que nos referimos de forma remota.

Sí, muchas empresas cuentan con el software específico necesario para acceder a su infraestructura tecnológica, equipos, servidores, bases de datos y cuentas corporativas, etc. de forma remota de modo que permite la centralización de todas las funcionalidades con las que cuenta la empresa y facilita la posibilidad de monitorizar, realizar informes y, en definitiva, acceder a cualquier equipo para gestionar y configurarlo desde cualquier lugar del planeta. Sí, me estoy refiriendo a softwares como SSH (Secure SHell) para Linux, Teamviewer (extendido para los sistemas operativos Windows, Mac y Linux) o VLC Remote que permiten acceder a los datos de la empresa sin necesidad de estar físicamente en ella. Tan sólo es necesario introducir unos comandos en la consola de Linux para acceder al servidor local de la empresa y a todo su contenido en el caso de SSH o bien, utilizar el interfaz más amigable que proporcionan Teamviewer y VLC, para Windows para tener el control de las máquinas de una empresa y la información crítica que contienen.

 

Donde está la grandeza de la informática, están nuestras dificultades

Esto tiene unas implicaciones procesales preocupantes ya que si, en el transcurso del “Todos quietor”, mientras se inicia la entrada y registro, alguien da la voz de alarma (algo no muy difícil), puede haber otra persona en algún lugar de la Mancha que con tan solo las claves de acceso a ese servidor local de la empresa, acceda de forma remota desde cualquier otra parte y proceda al borrado o a ejecutar lo que esté configurado en el software para hacer desaparecer la información. Luego, el control de la diligencia de entrada y registro sobre la escena del crimen no es total.

Para más INRI, la cosa se complica si la información de la empresa está administrada y almacenada por un Centro de Procesamiento de Datos (CPD) o Data Center externo (denominado Outsourcing) que proporciona servicios de hosting (alojamiento de información), cloud computing, (la nube), a veces más económico y cómodo para la empresa. Para que esta empresa tercera entregue la información almacenada en sus servidores se requiere otra petición judicial. Con suerte, esa “externalización de servicios” será legítima y no gestionada por terceros en connivencia que la hagan desparecer y que no colaboren en la entrega de los datos; o terceros legítimos que simplemente entregan la información de forma parcial, la aportan con dilaciones o la entregan en formatos (aunque están obligados a lo contrario) ilegibles, que también ha ocurrido.

Ese es el motivo por el que lo primero que se debe de hacer para evitar el acceso remoto a los equipos locales de la empresa investigada es desconectar todos los equipos de la Red, aún con el consiguiente peligro de pérdida de información volátil, desconfiguración de equipos o reinicio de sesión con petición de clave y contraseña (anotadas en las profundidades de las entrañas de los malos). Hay que ponderar cada caso, sin dormirse en los laureles.

Aunque se procediera al borrado de la información antes de que se consiga la desconexión remota, el proceso puede durar un tiempo (hablamos de información contenida en Terabytes de información, equivalente a cientos de millones  de imágenes y vídeos; podemos estar extrayendo información durante 14 horas seguidas sin comer un chusco de pan sólo para un pequeño servidor de los muchos que puede haber como en el último que se hizo) y cortarse a mitad del proceso. Y aún en el peor de los casos que se produjera el borrado, los forenses saben que para proceder a la eliminación completa de la evidencia hace falta algo más que apretar el botón de “eliminar archivos”, ya que hay que sobrescribir sobre la información original y eso lleva aún más tiempo.

Luego, el botón rojo, rojo, no es, pero sí naranja oscuro.

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies