Aspectos jurídicos de la investigación forense en la nube

Publicado originalmente en Revista Forensic.

Desgraciadamente, muchas empresas se han subido a la nube sin consultar antes el tiempo. Los servicios en la nube se han disparado principalmente porque son más baratos y más cómodos que la alternativa. ¿Qué ocurre si la nube se pone tormentosa, sufres una brecha y te encuentras en la tesitura de tener que llevar a cabo un análisis forense digital? ¿Y ahora qué? ¿Puede recopilar los datos usted mismo? ¿Dónde están sus datos? ¿Quién más ha tenido acceso a sus datos? ¿Es el proveedor el titular real de los datos o los ha subcontratado? Muchas de estas cuestiones es mejor abordarlas antes de entrar en la nube. Si no, ¿qué puede hacer?

Retos de la investigación forense en la nube

A diferencia del análisis forense digital tradicional, el análisis forense de la nube presenta un desafío único debido a la naturaleza omnipresente de "la nube". Muchos de estos retos son legales y pueden superarse mediante la planificación El NIST define la nube como, "un modelo para permitir el acceso ubicuo, conveniente y bajo demanda a la red a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción del proveedor de servicios."²

Bien, en español, la nube es un servicio, como las copias de seguridad en línea, el software en línea y otros servicios informáticos, propiedad de otra persona y que no reside físicamente en tu ordenador, de forma similar al alquiler de un coche. Se puede acceder a ella desde cualquier lugar con conexión a Internet.

Mucha gente asume erróneamente que servicios como Gmail, Yahoo, LinkedIn, etc., son servicios en la nube. La principal diferencia es que esos servicios son gratuitos, mientras que los servicios en la nube requieren el pago de los abonados. Esta distinción es importante, porque proporciona una descripción más clara de la nube. Es probable que las cuestiones legales y de privacidad difieran entre los servicios de pago y los gratuitos, al igual que la capacidad de negociar las condiciones del servicio. La necesidad absoluta de negociar las condiciones se tratará más adelante en este artículo.

Las cuatro características que definen la nube son: autoservicio a la carta,³ rápida elasticidad,⁴ independencia de ubicación,⁵ y replicación de datos.⁶

¿Por qué es necesario recopilar datos de un proveedor de servicios en la nube?

En este artículo se analizan los problemas a los que puede enfrentarse una empresa o un examinador forense al recopilar información de la nube, centrándose principalmente en litigios civiles u otras acciones, en contraposición a la recopilación de pruebas para un proceso penal. Existe un gran solapamiento entre ambas situaciones, por lo que se harán algunas comparaciones.

Aunque en este artículo se tratan muchas cuestiones jurídicas, no se trata de un artículo de instrucciones jurídicas, ya que no se abordan todas y cada una de las posibles cuestiones, herramientas, técnicas, etc. El objetivo es ofrecer una visión de la investigación forense en la nube. Mi investigación sobre el tema no ha dado lugar a una fuente que proporcione una orientación clara y concisa, así que espero que esto sirva para empezar.

Los temas que trataré incluyen:

• ¿Puede recopilar los datos usted mismo?
• ¿Qué jurisdicción se aplica?
• ¿Puede obligar a revelar datos?
• ¿De qué herramientas o técnicas se dispone para obtener información convincente?
• ¿Puede prepararse para la investigación forense en la nube?

¿Puede recopilar los datos usted mismo?

Una vez que sospeche que se ha producido un incidente y decida recopilar datos, debe decidir por qué se recopilan los datos (por ejemplo, para la reparación, para los tribunales o por alguna otra razón) y, por lo tanto, qué datos es necesario recopilar. Si puede recopilar fácilmente los datos necesarios en el curso normal de la actividad a través del acceso de la empresa a la nube, debe recurrir a técnicas forenses digitales estándar siguiendo procedimientos bien establecidos y garantizando una cadena de custodia limpia.

Por otro lado, si tiene que pedir ayuda a los proveedores de la nube, debe identificar al proveedor. Hacerlo puede no resultar obvio inicialmente, ya que tu empresa puede haber cambiado de proveedor a lo largo del tiempo, la persona que inició el uso de la nube puede no estar ya en la empresa, o muchas otras razones.⁷ Una vez identificado el proveedor, determine dónde se encuentra su sede y su estado de constitución. Esto es necesario para poder determinar la jurisdicción y la legislación aplicables, ya que es posible que tenga que enviar documentos legales, cartas de preservación o retenciones y citaciones judiciales para preservar los datos y obligar a su recopilación.

Llegados a este punto, es necesario hacer un breve comentario sobre la propiedad de los datos. Cuando pones tus datos en la nube, asumes que sigues siendo su propietario. En la mayoría de los casos es cierto, pero por si acaso, comprueba el contrato, el acuerdo de nivel de servicio (SLA) y las condiciones del servicio (ToS). Recuerde que hay dos tipos de datos: los contenidos, que en la mayoría de los casos siguen siendo de su propiedad, y los metadatos o datos sobre los datos, que en muchos casos son propiedad del proveedor y están bajo su control. Es posible que pueda recopilar fácilmente el contenido, pero son los metadatos los que puede necesitar, y son los metadatos los que probablemente sean más difíciles de obtener por muchas razones.

¿Qué jurisdicción se aplica?

En la mayoría de los casos, la estructura corporativa del proveedor de la nube puede ser complicada. La sede central puede estar situada en un estado y los servidores en una o varias jurisdicciones distintas. Uno o más de sus servidores pueden incluso estar ubicados en el extranjero.

Por lo tanto, la pregunta "¿Dónde están mis datos?" puede no ser fácil de responder. Si sus datos están realmente dispersos en numerosos servidores, ¿cómo determina qué jurisdicción se aplica (por ejemplo, en qué tribunal estatal confía para emitir citaciones, presentar una demanda civil, etc.)?⁸ Su idea inicial puede ser determinar dónde están almacenados sus datos y utilizar esa jurisdicción. Sin embargo, esto puede ser una tarea desalentadora, ya que sus datos podrían estar dispersos en múltiples servidores a través de múltiples jurisdicciones en un momento dado.⁹

La respuesta más sencilla a la cuestión de la jurisdicción es fijarse en el Estado de constitución o sede del proveedor de la nube. Actualmente, no hay una respuesta correcta, pero probablemente sea la mejor, y las alternativas pueden ser demasiado engorrosas. Para muchos proveedores -al menos los grandes- la dirección y a veces los procedimientos para entregar una citación se encuentran en su sitio web, aunque esto puede dejar sin respuesta la cuestión de la jurisdicción.

¿Se puede obligar a revelar datos?

En caso necesario, ¿cómo puede obligar a su proveedor a recopilar y entregarle datos? Si crees que el proveedor te va a dar acceso a sus servidores para que indagues y averigües qué necesitas recopilar, estarás muy equivocado. Si su SLA o contrato permitiera el acceso, sería relativamente fácil, y más adelante hablaremos de cómo conseguirlo. En la mayoría de los casos, no tendrás acceso a los servidores del proveedor, y es bastante probable que tu proveedor no te diga simplemente: "Dinos lo que necesitas y te lo proporcionaremos inmediatamente".

Esto te deja al menos dos opciones: negociar lo que quieres en caso de incidente antes de firmar un contrato con un proveedor y, si eso no es una opción, intentar obligar al proveedor, a través de disputas legales, citaciones y otras herramientas, a que te dé lo que necesitas. La negociación de contratos y acuerdos de nivel de servicio, que se tratará al final de este artículo, sigue siendo posible en esta fase, aunque a distancia. Una vez que se haya notificado el incidente al proveedor y se le haya facilitado una carta de preservación o una retención por litigio, intente negociar los datos necesarios. Dependiendo de la envergadura del proveedor y del tamaño de su empresa, puede tener cierta influencia si amenaza con trasladar toda su actividad a otro lugar.

¿Qué herramientas y técnicas existen para lograr una información convincente?

I. Cartas de preservación y retenciones de litigios

Una vez que determine su proveedor de nube y la ubicación de su sede o estado de constitución, emita inmediatamente una carta de preservación o una retención de litigios. Una retención de litigios "es una suspensión temporal de las políticas de destrucción de retención de documentos de la empresa para los documentos que puedan ser relevantes para un juicio o que se prevea razonablemente que puedan ser relevantes."¹⁰ Esto también puede utilizarse para inducir al proveedor a empezar a recopilar datos que normalmente se destruyen mensual, semanal o incluso diariamente. Una empresa debe preservar datos o pruebas cuando tenga conocimiento o motivos para creer que los datos o las pruebas son relevantes para un litigio o debería haber sabido que los datos o las pruebas pueden ser relevantes para un posible litigio.¹¹ La carta de retención o preservación de litigios proporciona esa notificación necesaria.

Al emitir la carta o la retención, es muy importante intentar definir, con la mayor especificidad posible, los datos o la información que busca y en qué forma o formato, es decir, "su formato original". Un proveedor, para facilitar su propia vida, puede limitarse a copiar los datos en una unidad de disco u otra unidad de almacenamiento y proporcionárselos a usted. El formato en el que los reciba puede no ser el original, y es probable que no reciba una cadena de custodia o documentos que describan las técnicas de recopilación concretas utilizadas, a menos que usted dicte qué es lo que busca y cómo.

II. Reglas federales de procedimiento civil y citaciones judiciales

Suponiendo que haya podido solicitar u obligar al proveedor a conservar los datos, pero no haya tenido éxito en obligar a cooperar en la recopilación de datos, las siguientes Reglas Federales de Procedimiento Civil (FRCP) y citaciones pueden ser aplicables y algunas de las pocas herramientas disponibles en nuestro escenario. Recuerde, en este escenario su objetivo no es el enjuiciamiento penal.

La Regla 34 del FRCP le permite presentar una solicitud para conservar datos e incluso puede permitirle recoger e inspeccionar datos. La regla 45 del FRCP le permite especificar en una citación la forma o formas de recogida de información almacenada electrónicamente (ESI). Sin embargo, las reglas 26 y 37 del FRCP podrían jugar en contra de sus esfuerzos al limitar lo que el proveedor debe producir y lo que se considera razonable en ese momento. Estas reglas se resumen brevemente a continuación.

Cada estado utiliza sus propias normas de procedimiento civil, y muchas se redactaron después del FRCP. Por lo tanto, en muchas jurisdicciones, las normas pueden ser similares. Como es probable que lean este artículo profesionales de muchas jurisdicciones diferentes, nos centraremos en el FRCP. Además, en aras de la brevedad, este artículo no ahondará en si debe utilizar normas estatales o federales. Baste decir que, si puede afirmar con rotundidad que todas las partes interesadas y la información se encuentran dentro de la jurisdicción de su estado, entonces inclínese por las normas procesales civiles estatales, aunque también deben revisarse muchos otros factores.

Según la Regla 34 del FRCP, una parte puede solicitar a otra que esté en posesión o control de datos en la nube que el titular "presente y/[o] permita a la parte solicitante o a su representante inspeccionar, copiar, probar o tomar muestras de los... elementos en posesión, custodia o control de la parte demandada".¹² Suponiendo que su carta de retención o preservación de litigios haya sido seguida y efectiva, esta norma podría permitirle ver y/o recoger exactamente lo que necesita o, como mínimo, solicitar la información al proveedor.

La Regla 34(b)(2)(E) del FRCP, titulada "Presentación de los documentos o de la información almacenada electrónicamente (ESI)", establece específicamente:

A menos que el tribunal estipule u ordene otra cosa, estos procedimientos se aplican a la presentación de documentos o información almacenada electrónicamente:

(i) Una parte debe presentar los documentos tal y como se conservan en el curso habitual de sus negocios o debe organizarlos y etiquetarlos para que correspondan a las categorías de la solicitud;

(ii) Si una solicitud no especifica una forma de presentación de la información almacenada electrónicamente, la parte deberá presentarla en la forma o formas en que se conserve habitualmente o en una forma o formas razonablemente utilizables.....

La Regla 45 (a)(1)(C) del FRCP, titulada "Combinación o separación de una orden de presentar o de permitir la inspección; especificación de la forma para la información almacenada electrónicamente", establece:

La orden de presentar documentos, información almacenada electrónicamente o cosas tangibles, o de permitir la inspección de locales puede incluirse en una citación... o puede establecerse en una citación separada. Una citación puede especificar la forma o formas en que debe presentarse la información almacenada electrónicamente.

(a)(3) Emitida por quién. El secretario debe expedir una citación, firmada pero en blanco, a la parte que la solicite. Esa parte debe completarla antes de la notificación. Un abogado también puede emitir y firmar una citación como funcionario de:

(A) Un tribunal en el que el abogado está autorizado a ejercer....

Ahora, antes de que te emociones demasiado, echemos un vistazo a las Reglas 26 y 37 del FRCP.

La Regla 26(b)(2)(B) del FRCP, titulada "Limitaciones específicas de la información almacenada electrónicamente (ESI)", establece:

No es necesario que una parte proporcione información almacenada electrónicamente de fuentes que la parte identifique como no razonablemente accesibles debido a una carga o coste excesivo. Cuando se solicite la exhibición de pruebas o una orden de protección, la parte a la que se solicite la exhibición de pruebas deberá demostrar que la información no es razonablemente accesible debido a una carga o coste indebidos. costo. Si se demuestra esta circunstancia, el tribunal puede, no obstante, ordenar la obtención de pruebas de dichas fuentes si la parte solicitante demuestra una causa justificada, teniendo en cuenta las limitaciones de la Regla 26(b)(2)(C). El tribunal puede especificar las condiciones para el descubrimiento.

Por último, la FRCP 37(e) establece que una parte puede quedar eximida de su deber de conservación si los datos "se pierden como resultado del funcionamiento rutinario y de buena fe de un sistema de información electrónico".

Pero no todo está perdido. El análisis forense requiere un pensamiento innovador, al igual que gran parte de la ciberseguridad. Por ejemplo, los proveedores de la nube conservan muchos datos con fines de facturación, y estos datos pueden ser muy valiosos. "Es probable que los proveedores de la nube conserven información sobre cuándo se aprovisionan y desaprovisionan recursos con fines de facturación".¹³

¿Puede prepararse para la investigación forense en la nube?

La clave para evitar gran parte de este dolor es estar preparado antes de que se produzca un incidente. ¿Cómo conseguirlo? Negocie el acuerdo de nivel de servicio o el contrato y sus condiciones antes de firmar en la línea de puntos. Una vez que te conviertes en cliente, has perdido gran parte de tu influencia. Algunas de las cosas que debería considerar negociar:

• El proveedor le notificará inmediatamente o en un plazo de 24 horas si se produce algún tipo de violación o compromiso o si incluso se sospecha de alguno en el sistema del proveedor, ya que puede afectar a sus datos.
• El proveedor le permitirá acceder a los servidores o al sistema para que pueda autocobrarse.
• Determine qué tipo de datos recopila el proveedor, durante cuánto tiempo los conserva y si los almacenará para usted durante más tiempo.
• Determine si el proveedor posee y controla realmente los servidores.
• Redacte un plan de continuidad de la actividad/recuperación en caso de catástrofe. En él, incluya los procedimientos necesarios y la información de contacto a la que hay que llamar si se produce un incidente. Asimismo, intente determinar de antemano los datos o el tipo de datos que necesitará para una investigación forense. Para ello puede ser necesario hablar con empresas que hayan sufrido una brecha o ponerse en contacto con un investigador forense que le ayude a determinar lo que necesitará recopilar. Una vez identificados los datos, negocie en el contrato la posibilidad de acceder a ellos o de que el proveedor los conserve, los recopile para usted y le proporcione una cadena de custodia, así como procedimientos detallados sobre cómo lo hizo.
• Determine dónde -en qué estado, estados o país- se almacenarán sus datos para poder determinar qué leyes pueden ser de aplicación.

Obviamente, estos consejos y cuestiones no son exhaustivos, pero deberían ser un buen punto de partida.

Conclusión

La preparación es la clave del éxito. Negociar el acuerdo de nivel de servicio o el contrato con antelación permite reaccionar con rapidez y facilidad cuando las cosas van mal, como si se estableciera un plan de recuperación y continuidad de la actividad en caso de catástrofe. Si no estabas preparado, lo que estoy seguro que fue resultado de circunstancias completamente fuera de tu control, los consejos anteriores deberían serte útiles.

Referencias y notas a pie de página

1. NIST es el acrónimo de Instituto Nacional de Normas y Tecnología.
2. Mell, P., & Grance, T., Definición de computación en nube: NIST Special Publication 800-1, (2011) en. En lo sucesivo NIST.
3. El autoservicio a la carta en el contexto de la nube se refiere a que el cliente pueda añadir y eliminar servicios según le convenga, de forma rápida y sencilla. Techopedia en https://www.techopedia.com/definition/27915/on-demand-self-service.
4. La elasticidad rápida es la capacidad de escalar o añadir y eliminar recursos tanto hacia arriba como hacia abajo según sea necesario. Glosario de computación en nube en .
5. La independencia de la ubicación, tal y como su nombre indica, permite al cliente estar en cualquier parte del mundo donde tenga acceso a una conexión a Internet y acceder a sus servicios en la nube, por ejemplo, oficina, almacenamiento, etc. ReliScore.com.
6. La replicación de datos consiste en compartir información para garantizar la coherencia entre recursos redundantes, como componentes de software o hardware, para mejorar la fiabilidad, la tolerancia a fallos o la accesibilidad. Wikipedia en https://en.wikipedia.org/wiki/Data_replication. Véase NIST en la nota 3.
7. Si su empresa es muy grande, es posible que haya habido cambios de personal en el departamento de TI, que lleve tiempo utilizando la nube y no recuerde quién es el proveedor, o que en algún momento haya cambiado de proveedor a lo largo de los años. Existen numerosas situaciones que podrían contribuir a la falta de conocimiento de la arquitectura informática actual de su empresa.
8. El Comisario de Privacidad de Canadá ha señalado: "Por su propia naturaleza, la computación en nube tiene la posibilidad de enviar, almacenar y procesar datos en múltiples jurisdicciones ....". Oficina del Comisario de Privacidad de Canadá, Reaching for the Cloud(s): Cuestiones de privacidad relacionadas con la computación en nube (marzo de 2010), http://priv.gc.ca/information/pub/cc_201003_e.cfm.
9. Para algunas de las empresas más pequeñas, la ubicación puede ser fácil, por ejemplo, un puñado de servidores en una ubicación. Para las empresas más grandes, es probable que haya servidores ubicados en múltiples jurisdicciones y que sus datos no estén en uno solo de esos servidores, sino dispersos en muchos para crear redundancia, protección, copia de seguridad y economía de escala. Véase Dexter Duncan, Xingchen Chu, Christian Vecchiola y Rajkumar Buyya, "The Structure of the New IT Frontier: Cloud Computing - Part I", Cloud Computing and Distributed Systems (CLOUDS) Laboratory Department of Computer Science and Software Engineering, The University of Melbourne, Australia, consultado el 15 de febrero de 2013, en http://www.buyya.com/papers/AnekaMagazineArticle1.pdf.
10. Definiciones de USLegal.com, http://definitions.uslegal.com/l/litigation-hold/.
11. Zubulake contra UBS Warburg, 220 F.R.D. 212, en 216 (S.D.N.Y.2003).
12. Forsheit, Tanya, "Legal Implications of Cloud Computing - Part Four (E-Discovery and Digital Evidence)," Information Law Group, (27 de noviembre de 2009), .
13. Josiah Dykstra y Damien Riehl, "Forensic Collection of Electronic Evidence from Infrastructure-as-a-Service Cloud Computing", XIX Rich. J. L. & Tech. 1, disponible en 

David Wilson es un abogado licenciado en Nueva York, Connecticut y Colorado, una autoridad en ciberseguridad y derecho y un oficial retirado del JAG del ejército. Es propietario de Titan Info Security Group, LLC, un bufete de abogados especializado en gestión de riesgos y ciberseguridad.