«En esta parte del informe se presentan las conclusiones a las que ha llegado INTERPOL una vez finalizado el análisis forense. La exactitud y el origen del contenido de los datos queda fuera del alcance de exámen informático forense» (*) El pasado 1 de marzo de 2008 y en el transcurso de una acción militar […]
«En esta parte del informe se presentan las conclusiones a las que ha llegado INTERPOL una vez finalizado el análisis forense. La exactitud y el origen del contenido de los datos queda fuera del alcance de exámen informático forense» (*)
El pasado 1 de marzo de 2008 y en el transcurso de una acción militar contra un campamento de las FARC en territorio ecuatoriano las autoridades (por seguir la terminología empleada en el informe) colombianas decomisan 8 dispositivos informáticos (5 de ellos de almacenamiento externo) propiedades que el informe analizado atribuye a Raul Reyes, nombre de guerra (utilizando otra vez la terminología del informe) de Luis Edgar Devia Silva, uno de los siete miembros de la secretaría de las FARC.
Concluida la operación las autoridades colombianas solicitan ayuda a la Interpor para llevar a cabo un análisis forense independiente de las pruebas realizadas. Del citado análisis, Interpol publica unas conclusiones públicas (http://www.interpol.int/Public/ICPO/PressReleases/PR2008/pdfPR200817/ipPublicReportNoCoverES.pdf) y una memoria técnica de las actividades forenses realizadas que declara secreta. Resulta desafortunada la intención con las segundas por cuanto el informe ofrece unos aspectos que desde mi punto de vista no quedan claros.
En la lectura de las conclusiones públicas pueden extraerse que:
1.- Entre el 1 y el 3 de marzo de 2008 (mientras dichas pruebas informáticas seguían en posesion de las autoridades colombianas) el acceso a los datos contenidos «no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicacionde la ley» (extraído del resumen de conclusiones disponible en la página 8/41 del informe).
2.- La siguiente conclusión (página 8/41) del informe dice no obstante que no hay indicios de creación, modificación o supresión de archivos de usuario en ninguna de dichas pruebas. Esta conclusión puede ser puesta en duda a tenor de los desarrollado en el informe en las siguientes páginas, en el siguiente párrafo, sin ir más lejos, donde declara que las autoridades accedieron a las pruebas sin haber creado y/o utilizado los mecanismos de salvaguarda necesarios para que el mero acceso no alterara las pruebas.
3.- La unidad de gestón de crisis Informático-Forenses de la Interpol afirma que el viciado de origen de las pruebas arriba referido no es poco común ni mucho menos por lo que emite una serie de recomendación para que dichos defectos dejen de existir (página 10/41).
Dentro del desarrollo del informe de Interpol sobre el decomiso puede leerse que:
1.- Tres días despues del decomiso Interpol recibe por los cauces pertinentes y siguiendo el procedimiento establecido al efecto una solicitud para que proveyera asistencia técnica independiente para corroborar la integridad las pruebas informáticas decomisadas (pag12/41).
2.- Las citadas pruebas no pasan a estar a disposición de la policia judicial colombiana hasta pasadas 48 horas (pag. 18/41) desde la operación de incautación por parte de las autoridades colombianas (la diferente caracterización entre «autoridades colombianas» y «policia judicial colombiana» en el informe hace pensar por momentos que, contra toda lógica, los segundos no forman parte de los primeros, pero que si aplicamos dicha lógica nos podremos preguntar qué elementos concretos de las «autoridades colombianas» tomaron parte en el decomiso para caer rápidamente en la cuenta que un cuerpo policial no suele operar más allá de sus fronteras jurisdiccionales).
3.- Especialmente intrigante resulta el párrafo 48 (pág. 23/41) donde se declara que las autoridades colombianas proporcionaron a Interpol una relación de documentos que se pedía que fueran localizados en las pruebas incautadas.
Finalmente, y dentro de la parte correspondiente a las principales conclusiones del Informe Público, y cuya lectura me ha provocado cierta hilaridad puede leerse que:
1.- Los contenidos de las pruebas decomisadas está detallados en el informe confidencial y que le corresponde a las autoridades colombianas decidir de forma soberana sobre la revelación de éste o no (pág. 27/41 y siguiente).
2.- Se contacta con Interpol para decidir con imparcialidad sobre la integridad de las pruebas mientras la cadena de custodia estaba rota (pág. 28/41)
3.- Una de los mecanismos que usa Interpol para establecer la integridad de las pruebas es la seña temporal de los ficheros pues marca su fecha de creacíon y/o última modificación (pág. 28/41).
4.- Durante las 48 horas que mediaron entre el decomiso y la tutela de la policia judicial, las pruebas fueron accedidas concienzudamente como demuestran lás páginas 32/41 y 33/41 del informe) violando flagrantemente los principios internacionales de manejo de evidencias electrónicas.
5.- Se desprende tras la lectura de los párrafos 92 a 97 (pag. 34/41) que la información contenida en las señas temporales de los ficheros dista mucho de ser infalible.
6.- Para seguidamente añadir que por ello dicha información (que no sus contenidos) no puede ser considerada como tal (aquí estallé a risas).
Echo de menos el acceso al informe confidencial y esto es así porque la alteración de contenidos en una prueba informática bajo una cadena de custodia rota es tremendamente sencilla en la mayor parte de los casos y casi con total seguridad cuando hablamos de dispositivos de almacenamientos externos como es este el caso.
Pero también son criticables los resultados del informe público por la postura ciertamente parcial de la agencia internacional, especialmente la actitud que deriva en la redacción del párrafo 98. Esto es, según las pruebas incautadas algunos ficheros fueron creados en el futuro, cosa imposible, por ello, lejos de considerar como no válida la práctica de tomar como buenos los valores de firma temporal de los ficheros (lejos de ser infalibles como puede corroborarse) dictaminan su eliminación como prueba válida cuando para ser considerados como tales tan solo hubieran necesitado esperar.
Finalmente hay que hacer una consideración sobre un factor que ya he venido señalando y que resulta perverso: la diferenciación entre «autoridades colombianas» y «policía judicial» a lo largo y ancho del informe. Miren Vds., las únicas «autoridades colombianas» con capacidad para llevar a cabo una acción armada en plena selva y más allá de las fronteras jurisdiccionales colombianas es el Ejército.
Por lo tanto, lo que dice el informe es que el Ejército Colombiano proporciona, policia judicial colombiana mediante, 8 dispositivos informáticos (3 ordenadores portátiles y 5 dispositivos de almacenamiento externo) atribuidos a cierto guerrillero (por mi parte con un portátil me basto aunque parece que los hay que son capaces de escribir a 6 manos) a Interpol para que los analice tras haber estado 48 horas en su poder realizando tal violación de los protocolos internacionales de manejo de evidencias electrónicas que hacen que Interpol incluya en el informe recomendaciones para que ello no vuelva a pasar.
Si a esto se añade que, anterior al restablecimiento de la cadena de custodia, las pruebas fueron accedidas concienzudamente y que el procedimiento más sencillo de establecer las fechas de modificación de un fichero es una chufla y que las mismísimas autoridades colombianas le están diciendo a Interpol qué ficheros son los que realmente le interesan, ya me diran Vds. de qué sirven las conclusiones del informe.
Eso o que hagan público el confidencial informe técnico de Interpol.
(*)Extraído de forma literal del encabezado del apartado 5 del informe reseñado (pág. 26/41)