Table of Contents Table of Contents
Previous Page  51 / 84 Next Page
Information
Show Menu
Previous Page 51 / 84 Next Page
Page Background

segundo trimestre 2016 red seguridad 51

Para la norma, los pr incipios esenciales

a los que debe ajustarse la evidencia digi tal para

que la jur isdicción la admi ta son: relevancia,

conf iabi l idad y suf iciencia

prueba digital

opinión

La cadena de custodia implica

establecer un procedimiento

que permite registrar las personas

que acceden a la evidencia, la fecha

y la hora.

Tras identificar, recolectar, adquirir,

preservar y analizar la evidencia digi-

tal, los resultados se incorporan en

un informe tecnológico forense, que

se aporta como prueba pericial en

un proceso judicial. También es fac-

tible que los resultados de la investi-

gación forense se viertan en un dic-

tamen. El contenido del informe

pericial o el dictamen debe com-

prender las evidencias digitales

halladas y especificar los límites con

los que la investigación se topó,

junto con otros aspectos. La redac-

ción debe ser precisa, sistemática y

muy clara para el destinatario, que,

por lo general, no es un especialista

en la materia.

La primera supone precisar dónde

se encuentra la evidencia. La segun-

da conlleva recolectarla y trasladarla

a un laboratorio. La tercera requiere

efectuar una copia de la evidencia

digital original, a la que se aplica

una función

hash

que, mediante un

algoritmo, garantiza que la infor-

mación contenida en el dispositivo

original es la que es; la firma

hash

de la copia que se adquiere debe

corresponder con la de la evidencia

original. La cuarta busca mantener

la integridad de la evidencia digital

durante las fases de la investiga-

ción adoptando las medidas nece-

sarias. La quinta conlleva analizar la

evidencia empleando herramientas

tecnológicas. La sexta consiste en

la elaboración de un informe tecno-

lógico forense.

La ISO/IEC 27037:2012 también

contempla la cadena de custodia

de la evidencia digital o prueba,

que evita que se manipule, altere,

destruya, contamine, etc., garanti-

zando su autenticidad. La anterior

afecta a la identificación, recolección,

adquisición, preservación y análisis

de la evidencia digital, facilitando su

trazabilidad. La cadena de custodia

implica establecer un procedimiento

que permite registrar las personas

que acceden a la evidencia, la fecha

y la hora, tenerla permanentemente

localizada, conocer el lugar donde se

encuentra, identificarla de forma uní-

voca, documentar los cambios que

se produzcan y justificarlos. La firma

hash

es imprescindible para preser-

var la cadena de custodia y reforzar

la validez de la evidencia digital apor-

tada como medio de prueba.

La evidencia digital tiene unas

características propias que la dife-

rencian de las pruebas o eviden-

cias físicas. Éstas son: la facilidad

para modificarlas, la volatilidad, el

borrado o eliminación, la contami-

nación, la posibilidad del anonimato,

etc. Aunque las anteriores dificultan

el tratamiento, su naturaleza facilita

la realización de copias de la evi-

dencia digital original, permitiendo

a los informáticos forenses trabajar

con tranquilidad y reducir los riesgos

vinculados con su integridad. Otro

aspecto que debe tenerse en cuenta

es la situación en que la evidencia

digital se encuentra, pues no es lo

mismo que circule o fluya a través

de las infraestructuras de comuni-

caciones electrónicas, esté alojada

permanente en un servidor o se halle

incorporada en un dispositivo volátil

por un periodo de tiempo.

En el tratamiento de las eviden-

cias digitales son de gran relevancia

las condiciones del lugar donde se

produjeron los hechos, el estado de

los sistemas y dispositivos que las

alojan, la posición estática o dinámi-

ca de la evidencia y las acciones de

las personas que tuvieron o tienen

contacto con ellas. Por ello, a título

de ejemplo, puede ser necesario

impermeabilizar el espacio donde la

evidencia se encuentra, garantizar

su integridad y autenticidad, docu-

mentar qué personas acceden y

qué hacen con la evidencia digital,

adquirirla en función del grado de

volatilidad, tener en cuenta si el sis-

tema informático soporta servicios

de terceros, conocer si es factible

interrumpir su funcionamiento, con-

trolar la electricidad estática, etc.

Fases del examen forense

El examen forense de la evidencia

digital abarca varias fases: identifica-

ción, recolección, adquisición, pre-

servación, análisis y presentación.

1 46 47 48 49 50 51 52 53 54 55 56 57 84  FlippingBook