"Cómo se recopila y se preserva la evidencia digital" Entrega #3

Recopilar y preservar evidencia digital es un proceso complejo que requiere de conocimientos especializados y una comprensión profunda de la tecnología y los sistemas informáticos. En este artículo se explorará cómo se lleva a cabo este proceso, desde la identificación y adquisición de la evidencia digital hasta su preservación y presentación en un tribunal.

A medida que el mundo se vuelve cada vez más digital, la capacidad de recopilar y preservar evidencia digital de manera efectiva se vuelve cada vez más importante. Este artículo examinará las mejores prácticas y técnicas utilizadas por expertos en informática forense para recopilar y preservar evidencia digital de manera confiable y precisa.

El proceso de recopilación y preservacion de la evidencia digital.

La recopilación y preservación de evidencia digital es un proceso crucial en las investigaciones judiciales y forenses modernas. El proceso generalmente consta de los siguientes pasos:

1. Identificación y aseguramiento de la evidencia.
2. Adquisición de la evidencia.
3. Análisis de la evidencia.
4. Documentación y presentación de la evidencia.
5. Preservación de la evidencia.

La recopilación y preservación de evidencia digital es un proceso complejo que implica la identificación y aseguramiento de la evidencia, la adquisición de la misma, el análisis de la información recopilada, la documentación y presentación de la evidencia, y la preservación de la evidencia. Este proceso es esencial para garantizar la integridad y la confiabilidad de la evidencia digital en investigaciones judiciales y forenses.

Identificación y aseguramiento de la evidencia.

La identificación y aseguramiento de la evidencia digital es un paso crucial en cualquier investigación criminal o civil que involucre tecnología. Este proceso se inicia en la escena del crimen o en el lugar donde se encuentra la fuente potencial de evidencia.

Un ejemplo de este proceso podría ser en una investigación de ciberdelitos en la que se sospecha que un empleado de una empresa ha robado información confidencial y la ha compartido con terceros. En este caso, la empresa podría contratar a un equipo forense digital para recopilar la evidencia y determinar qué sucedió exactamente.

En primer lugar, el equipo de investigación identificaría todos los dispositivos que se han utilizado en la empresa, incluyendo computadoras, dispositivos móviles, servidores y dispositivos de almacenamiento en la nube. Luego, los dispositivos identificados se asegurarían mediante técnicas de copia forense, que garantizan que se copia toda la información, incluyendo los datos que han sido eliminados o que no son fácilmente visibles.

En este caso, se podrían copiar los discos duros de las computadoras utilizadas por el sospechoso, su teléfono móvil y cualquier cuenta de almacenamiento en la nube a la que tenga acceso. Además, se asegurarían los registros de acceso a los sistemas y otros registros de actividad en la red de la empresa.

Para evitar la alteración de la evidencia digital, se utilizarían herramientas especializadas para la copia forense que garantizan la integridad de los datos. Además, se tomarían medidas para bloquear la escritura en los dispositivos de almacenamiento y para evitar el uso de cualquier equipo que pueda alterar la evidencia.

Una vez que se ha asegurado la evidencia, se debe almacenar en un lugar seguro y protegido por medidas de seguridad apropiadas para garantizar su integridad y confidencialidad. La cadena de custodia de la evidencia, que documenta el manejo y traslado de la misma, debe ser cuidadosamente documentada para garantizar su autenticidad y para asegurarse de que se mantenga intacta a lo largo del proceso de investigación.

La identificación y aseguramiento de la evidencia digital es un proceso crucial en cualquier investigación que involucre tecnología. Al seguir cuidadosamente este proceso, se puede garantizar que se recopila y se preserva la evidencia de manera adecuada para su posterior análisis y uso en la investigación.

Adquisición de la evidencia (El momento crítico)

La adquisición de evidencia digital es el proceso de recopilar la información de los dispositivos electrónicos que podrían contener pruebas en una investigación. Este proceso es fundamental para garantizar que se recolecta toda la información relevante y se preserva de manera adecuada para su posterior análisis.

En el caso de los computadores, la adquisición de la evidencia puede implicar la extracción de todo el contenido del disco duro, incluyendo los archivos eliminados y los sectores no utilizados. Esto se puede lograr mediante técnicas de copia forense, que crean una imagen exacta del contenido del disco duro, o mediante la extracción de los archivos relevantes.

Para realizar una copia forense, se utiliza un software especializado para crear una imagen exacta del disco duro. Es importante utilizar un software que garantice la integridad de los datos y cree un registro hash para verificar la autenticidad de la copia. Además, se deben tomar medidas para evitar la escritura en el disco duro y para garantizar que la copia sea lo más exacta posible.

En el caso de los teléfonos móviles, la adquisición de la evidencia puede implicar la extracción de los datos del teléfono, incluyendo los mensajes de texto, el registro de llamadas, las imágenes y otros datos. Esto se puede lograr mediante técnicas de copia forense, la extracción de los archivos relevantes o mediante el uso de herramientas especializadas de análisis de teléfonos móviles.

Para realizar una copia forense de un teléfono móvil, se utiliza un cable USB o una conexión inalámbrica para acceder al contenido del teléfono y crear una imagen exacta de los datos. Es importante utilizar una herramienta especializada que garantice la integridad de los datos y cree un registro hash para verificar la autenticidad de la copia. Además, se deben tomar medidas para evitar la escritura en el teléfono y para garantizar que la copia sea lo más exacta posible.

Un ejemplo de la adquisición de la evidencia digital en un caso criminal podría ser una investigación de un posible delito de fraude financiero. En este caso, los investigadores podrían obtener una orden judicial para incautar los dispositivos electrónicos utilizados por los sospechosos, incluyendo sus computadoras y teléfonos móviles. Luego, se utilizarían técnicas de copia forense para obtener una imagen exacta del contenido de estos dispositivos y analizarlos en busca de pruebas relevantes, como correos electrónicos, registros bancarios y otros documentos.

La adquisición de la evidencia digital es un proceso crítico en cualquier investigación que involucre dispositivos electrónicos. Al seguir cuidadosamente este proceso y utilizar herramientas especializadas, los investigadores pueden garantizar que se recolecta toda la información relevante y se preserva adecuadamente para su posterior análisis.

Análisis de la evidencia.

El análisis de la evidencia digital es el proceso de examinar la información recopilada para identificar patrones, relaciones y pistas que puedan ser relevantes para la investigación. El objetivo del análisis es encontrar pruebas que apoyen o refuten la hipótesis del caso, lo que puede ser crucial para el éxito de una investigación.

Durante el análisis de la evidencia, los investigadores pueden utilizar una variedad de herramientas y técnicas para examinar los datos. Algunas de estas técnicas incluyen:

• Análisis de metadatos: El análisis de los metadatos, que incluyen información como la fecha, la hora, la ubicación y el tamaño de los archivos, puede proporcionar pistas importantes sobre el comportamiento y las actividades del sospechoso.
• Análisis de archivos: El análisis de los archivos puede incluir la recuperación de archivos eliminados, la identificación de archivos ocultos y la identificación de archivos relevantes para la investigación.
• Análisis de comunicaciones: El análisis de las comunicaciones, como los correos electrónicos, los mensajes de texto y las llamadas telefónicas, puede ayudar a identificar patrones de comportamiento y a establecer relaciones entre las personas involucradas en el caso.
• Análisis de redes sociales: El análisis de las redes sociales puede proporcionar información valiosa sobre la actividad en línea del sospechoso y sus conexiones con otras personas.
• Análisis forense de memoria: El análisis forense de la memoria RAM puede proporcionar información sobre las actividades que se estaban realizando en el dispositivo en el momento de la incautación.

Existen varios software open source disponibles para llevar a cabo el análisis de la evidencia digital. Algunos de los más populares incluyen:

• Autopsy: Es una plataforma de análisis forense digital que es compatible con Windows, Linux y macOS. Ofrece una interfaz gráfica de usuario (GUI) fácil de usar y cuenta con una amplia variedad de módulos de análisis, incluyendo análisis de archivos, análisis de metadatos y análisis de comunicaciones.
• Sleuth Kit: Es una colección de herramientas de análisis forense que es compatible con Windows, Linux y macOS. Ofrece una interfaz de línea de comandos y se utiliza comúnmente en combinación con Autopsy.
• Volatility: Es una herramienta de análisis forense de memoria RAM que permite a los investigadores examinar el contenido de la memoria en busca de pistas y pruebas.
• OSForensics: Es una plataforma de análisis forense digital que es compatible con Windows. Ofrece una GUI fácil de usar y cuenta con una amplia variedad de módulos de análisis, incluyendo análisis de archivos, análisis de metadatos y análisis de comunicaciones.

El análisis de la evidencia digital es el proceso de descubrimiento de la prueba en cualquier investigación que involucre dispositivos electrónicos. Al utilizar herramientas especializadas, como las mencionadas anteriormente, los investigadores pueden examinar los datos recopilados y encontrar pruebas valiosas que puedan ser cruciales para el éxito de la investigación.

Documentación y presentación de la evidencia.

La documentación y presentación de la evidencia digital es el aspecto mas importante en cualquier investigación, ya que permite que los hallazgos del análisis sean comunicados claramente a los tribunales, otros investigadores y partes interesadas. La documentación y presentación efectivas de la evidencia digital son importantes para garantizar que los resultados de la investigación sean comprensibles, precisos y convincentes.

La documentación de la evidencia digital implica registrar y catalogar cuidadosamente los detalles de la investigación, incluyendo la fuente de la evidencia, la fecha y hora en que se adquirió, los procedimientos utilizados para adquirirla y las herramientas y técnicas utilizadas en el análisis. La documentación debe ser detallada y precisa, y debe estar respaldada por cualquier otra información relevante, como fotografías, videos o declaraciones de testigos.

Una vez que se ha documentado la evidencia digital, es necesario presentarla de manera clara y efectiva. La presentación de la evidencia puede variar dependiendo del caso y del contexto en el que se presentará. Por ejemplo, la evidencia puede ser presentada en un tribunal durante un juicio o en una reunión con otros investigadores o partes interesadas.

En general, la presentación de la evidencia debe ser clara, concisa y fácil de entender. Los investigadores deben asegurarse de que la evidencia se presente en un formato que sea accesible para el público en general y que sea fácil de interpretar. Además, se debe prestar atención a la organización y presentación de la evidencia para asegurarse de que sea fácil de seguir y que las conclusiones estén respaldadas por los hallazgos.

Un ejemplo de documentación y presentación de la evidencia digital sería el caso de una investigación de fraude financiero en la que se utilizó la información de la cuenta de correo electrónico de un sospechoso para identificar y recopilar pruebas contra él. En este caso, la documentación podría incluir información sobre cómo se adquirió la información de la cuenta de correo electrónico, los procedimientos utilizados para analizarla y las herramientas utilizadas para recopilar pruebas adicionales. La presentación de la evidencia podría incluir un resumen de los hallazgos clave, como transacciones financieras sospechosas o correspondencia incriminatoria, y una explicación detallada de cómo se llegó a estas conclusiones. También se podría proporcionar una demostración visual de la evidencia, como gráficos o diagramas, para ayudar a comunicar los hallazgos de manera clara y efectiva.

Preservación de la evidencia.

La preservación de la evidencia es el paso que garantiza que la evidencia no se modifique o destruya de ninguna manera y se mantenga intacta y segura para su uso en investigaciones futuras. La preservación adecuada de la evidencia también garantiza la integridad de la cadena de custodia y la adhesión a los requisitos legales y reglamentarios.

Existen diferentes métodos para preservar la evidencia digital, pero en general se recomienda seguir los siguientes pasos:

1. Identificar y etiquetar adecuadamente la evidencia: Es importante etiquetar la evidencia con información detallada como la fecha y hora de recolección, la ubicación, el nombre del investigador y una descripción detallada de la evidencia en sí.
2. Almacenar la evidencia en un lugar seguro: Es importante almacenar la evidencia en un lugar seguro, como una caja fuerte o una habitación cerrada con acceso restringido. Además, la evidencia debe ser almacenada en un medio de almacenamiento que esté protegido contra la manipulación, el borrado y la corrupción, como un disco duro externo cifrado o un medio de almacenamiento en línea seguro.
3. Proteger la evidencia de virus y malware: Es importante proteger la evidencia de virus y malware, ya que estos pueden dañar o borrar la evidencia. Se recomienda escanear y limpiar la evidencia de virus y malware antes de su almacenamiento.
4. Realizar copias de seguridad de la evidencia: Es importante realizar copias de seguridad de la evidencia para garantizar su recuperación en caso de fallas de hardware o software. Además, las copias de seguridad deben ser almacenadas en un lugar seguro y protegidas contra el borrado o la manipulación.
5. Monitorear la evidencia: Es importante monitorear la evidencia periódicamente para detectar cualquier cambio o manipulación. Además, se debe registrar cualquier acceso o cambio en la evidencia.

Un ejemplo de almacenamiento seguro de la evidencia sería el almacenamiento de una imagen forense de un disco duro de una computadora que se sospecha que contiene pruebas de un delito. La imagen forense se copia en un disco duro externo cifrado y se etiqueta adecuadamente con información detallada, como la fecha y hora de la recolección, la ubicación y una descripción detallada de la evidencia. La evidencia se almacena en una caja fuerte o en una habitación cerrada con acceso restringido. Además, se escanea la imagen forense en busca de virus y malware antes de su almacenamiento, y se realiza una copia de seguridad de la imagen forense para garantizar su recuperación en caso de fallas de hardware o software. Finalmente, se monitorea la imagen forense periódicamente para detectar cualquier cambio o manipulación, y se registra cualquier acceso o cambio en la evidencia.

Estándares internacionales sobre la recopilación y preservación de evidencia digital.

Existen varios estándares internacionales reconocidos para la recopilación y preservación de evidencia digital. Algunos de los más importantes son los siguientes:

1. ISO/IEC 27037: Esta norma internacional establece directrices para la identificación, recopilación, adquisición y preservación de pruebas electrónicas.
2. ISO/IEC 27041: Esta norma proporciona orientación sobre la adquisición, examen y análisis de pruebas electrónicas.
3. NIST SP 800-86: Este documento del National Institute of Standards and Technology (NIST) de Estados Unidos proporciona orientación para la adquisición forense de pruebas electrónicas.
4. ACPO Good Practice Guide for Digital Evidence: Este documento del Reino Unido establece prácticas recomendadas para la recopilación, análisis y presentación de pruebas electrónicas.
5. SWGDE Best Practices for Computer Forensics: Este documento fue desarrollado por el Scientific Working Group on Digital Evidence (SWGDE) y establece prácticas recomendadas para la adquisición y análisis de pruebas digitales.

Estos estándares son ampliamente utilizados en todo el mundo y son una guía valiosa para los investigadores y profesionales de la seguridad cibernética que trabajan en la recopilación y preservación de pruebas electrónicas. Es importante tener en cuenta que estos estándares se actualizan periódicamente para mantenerse al día con las nuevas tecnologías y amenazas, por lo que es importante estar al tanto de las últimas versiones y directrices.

Tratados internacionales relacionados

Algunos de los más importantes son los siguientes:

1. Convenio de Budapest sobre cibercrimen: Este convenio, también conocido como Convenio del Consejo de Europa sobre cibercrimen, fue adoptado en 2001 y tiene como objetivo combatir el cibercrimen mediante la armonización de las leyes nacionales y la cooperación internacional. El convenio establece medidas para la protección de la infraestructura crítica, la prevención de delitos cibernéticos y la recopilación y preservación de pruebas electrónicas.
2. Tratado de Asistencia Legal Mutua en Asuntos Penales: Este tratado, también conocido como el Tratado de Budapest, fue adoptado en 2000 y tiene como objetivo fomentar la cooperación internacional en la investigación y el enjuiciamiento de delitos graves. El tratado establece medidas para la recopilación y preservación de pruebas electrónicas y otros tipos de pruebas.
3. Convenio de la Haya sobre Obtención de Pruebas en el Extranjero en Materia Civil o Comercial: Este convenio, también conocido como Convenio de la Haya, fue adoptado en 1970 y tiene como objetivo facilitar la obtención de pruebas en el extranjero en asuntos civiles o comerciales. El convenio establece medidas para la recopilación y preservación de pruebas electrónicas en el contexto de asuntos civiles o comerciales.
4. Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional: Esta convención, también conocida como la Convención de Palermo, fue adoptada en 2000 y tiene como objetivo prevenir y combatir la delincuencia organizada transnacional. La convención establece medidas para la cooperación internacional en la investigación y el enjuiciamiento de delitos, incluida la recopilación y preservación de pruebas electrónicas.

Estos tratados son esenciales para la cooperación internacional en la lucha contra el cibercrimen y otros delitos graves que involucran pruebas electrónicas. Es importante tener en cuenta que la implementación de estos tratados varía de un país a otro y que es necesario realizar un trabajo constante para asegurar su efectividad.

Mariano Damián Manfredi