Valor probatorio de los registros de auditoría (logs)

En la interacción con los medios informáticos es muy común que las personas se sientan observadas y crean que todos sus movimientos están siendo monitoreados y puede ser cierto hasta cierto punto; esto se debe a que los sistemas de información, equipos informáticos, programas, páginas web, entre otros, cuentan por defecto en sus configuraciones con algo que se denomina registros de auditoria o logs, que no son más que una bitácora de las actividades que realiza un usuario en su interacción con el sistema.

A pesar de lo comentado anteriormente, los usuarios deben estar tranquilos ya que normalmente esto no ocurre todo el tiempo sino cuando como parte del sistema se oprime algún botón o se ejecuta una actividad que modifique parte del sistema o la información. Ejemplo de ello es que no se guarda registro o bitácora de cada una de las teclas que se oprimen en el teclado en un Word hasta que no se oprime el botón guardar y en ese momento se genera un registro de auditoria del guardado del archivo que se esta editando y que permite modifica el sistema de archivo y los datos y metadatos del archivo, motivo por el cual se requiere de un registro de auditoria.

Otro ejemplo de los momentos en los que se genera un registro de auditoria se encuentra en el sector financiero, en el momento que se realiza una transacción de consulta de saldo, los registros de auditoria se generan en diferentes momentos, uno de ellos es al solicitar la validación del NIP que se teclea en el cajero, otro registro se genera cuando se oprime el botón de solicitud de saldo, entre otras operaciones esto sirve solo para ejemplificar los momentos en los que se realiza el registro.

Ahora bien, ya que sabemos que se realiza un registro de las actividades es importante conocer que información se encuentra en los registros de auditoria, para tranquilidad de los usuarios, los registros de auditoria no guardan las contraseñas (“Eso espero”), principalmente los datos que se contienen en un registro de auditoria son:

  • Estampa de tiempo o fecha y hora
  • Identificador de usuario o entidad que realiza la transacción
  • Identificador del tipo de movimiento que se realiza (Login, Logout, modificación de paramentos)
  • Descripción de la actividad
  • Recurso afectado (archivo, proceso, parámetro)
  • Origen de la transacción (número de proceso, dirección IP o cualquier identificador)

Cabe mencionar que existe un protocolo estándar denominado Syslog que adicional a los parámetros antes mencionados proporciona mecanismos para identificar los tipos de recursos y la severidad para con esto poder calcular la prioridad del registro de auditoria que servirá como punto de partida para otras actividades como prevención de seguridad y que no es motivo de este documento.

Las buenas prácticas de seguridad de la información establecen que los sistemas de información ya sean comprados, licenciados o desarrollados deben contar con registros de auditorías que permitan determinar entre otras los accesos de los usuarios a los sistemas de información, actividades que están realizando, modificaciones a los sistemas de información y comunicaciones, uso de privilegios y en general las transacciones generadas por el usuario o las entidades que interactúan con el sistema.

Con lo anterior se puede validar que los registros de auditoria juegan un papel importante en la descripción de las actividades de los usuarios en los sistemas, lo que puede apoyar en un proceso judicial para comprobar que un usuario realizo una actividad en el sistema, siempre que esta actividad este relacionada con el hecho que se quiere demostrar y que el registro de auditoria cuente con las siguientes características:

  • el registro de auditoria se encuentre en su forma original
  • mantenerse de forma íntegra e inalterada
  • cuenta con la fiabilidad del método con el que fue generado
  • es atribuible a las personas obligadas
  • accesible para su ulterior consulta

Lo anterior basado en lo establecido en el articulo 210-A del Código Federal de Procedimientos Civiles, para lo cual de primera instancia la presentación debería realizarse en medios electrónicos, ya que los mecanismos por los cuales se generó es a través de los sistemas de información, por otra parte es importante tomar en consideración los siguientes elementos para su resguardo y generación:

  • Las marcas de tiempo deben ser creadas a partir de los relojes internacionales para lo cual se puede utilizar el protocolo NTP.
  • Se debe contar con la configuración en el sistema de información con respecto al huso horario de la región en la cual se encuentre la operación del servicio
  • Todos los componentes que interactúen con la transacción deben estar alineados a los puntos anteriores
  • Se debe asegurar que los administradores de los sistemas no pueden alterar la información a través de una copia de seguridad de los registros de auditoria fuera de los servidores de transacción
  • Se debe mantener la documentación del proceso de generación, almacenamiento, copia, auditoria y respaldo de los registros de auditoria.
  • Establecer una política de retención de los registros de auditoria con base en la legislación aplicable, en este sentido dependerá del sector de mercado y las actividades que estén relacionadas con el registro, por ejemplo para el sector de telecomunicaciones hay algunos registros de activación de líneas que requieren de una retención de hasta 24 meses, para el caso de las instituciones financieras el periodo de retención es de 180 días naturales.
  • Los registros de auditoria deben contener la información necesaria para describir la acción, el objeto, sujeto y espacio de tiempo en el que fue realizada.
  • Para los casos en que el sistema de información lo permita o lo exija la legislación es importante que como parte de los registros se mantenga la ubicación geográfica en tiempo real.
  • Se deben configurar los registros de auditoria que identifiquen las acciones que generen mayor impacto o riesgo a las operaciones del sistema de información y la información misma

Aunado a lo anterior, con base en la tesis aislada 2020853 de la Décima Época para que los registros de auditoria sean un factor de influencia para el juzgador deben de venir acompañados por la debida interpretación de un perito en materia informática que en su momento debe tomar en consideración todos los puntos expresados anteriormente para comprobar los elementos de inalterabilidad, integridad, atribuibilidad y accesibilidad, lo que puede apoyar al juzgador a generarse una mejor perspectiva del hecho que se quiere probar y con ello también evitar que se deseche o no sea tomada en cuenta.

Cabe mencionar que a diferencia de las acciones en el espacio físico, en el ciberespacio se deja registro de las actividades que se realizan y solo depende de la forma en la que se administren estos registros la certidumbre de las acciones para impedir el repudio de esta; por lo que, recomiendo acercarse con profesionales en la materia para asesorarse en la forma en como se deben resguardar los registros y también para la presentación de este tipo de pruebas.

Publicado por: 

Licenciado en Ingeniería en Sistemas Computacionales, con Especialidad en Redes de Computadora y Maestría en Gestión de Tecnologías de la Información, con estudios en Licenciatura en Derecho y Diplomado en Derecho de las Tecnologías de la Información y Comunicaciones. Docente en Máster de Tecnologías de la Información y Seguridad, voluntario en ISOC.

Entradas relacionadas

error: Contenido protegido