redseguridad 073

prueba digital

opinión

Para la norma, los pr incipios esenciales a los que debe ajustarse la evidencia digi tal para que la jur isdicción la admi ta son: relevancia, conf iabi l idad y suf iciencia

La evidencia digital tiene unas características propias que la dife- rencian de las pruebas o eviden- cias físicas. Éstas son: la facilidad para modificarlas, la volatilidad, el borrado o eliminación, la contami- nación, la posibilidad del anonimato, etc. Aunque las anteriores dificultan el tratamiento, su naturaleza facilita la realización de copias de la evi- dencia digital original, permitiendo a los informáticos forenses trabajar con tranquilidad y reducir los riesgos vinculados con su integridad. Otro aspecto que debe tenerse en cuenta es la situación en que la evidencia digital se encuentra, pues no es lo mismo que circule o fluya a través de las infraestructuras de comuni- caciones electrónicas, esté alojada permanente en un servidor o se halle incorporada en un dispositivo volátil por un periodo de tiempo. En el tratamiento de las eviden- cias digitales son de gran relevancia las condiciones del lugar donde se produjeron los hechos, el estado de los sistemas y dispositivos que las alojan, la posición estática o dinámi- ca de la evidencia y las acciones de las personas que tuvieron o tienen contacto con ellas. Por ello, a título de ejemplo, puede ser necesario impermeabilizar el espacio donde la evidencia se encuentra, garantizar su integridad y autenticidad, docu- mentar qué personas acceden y qué hacen con la evidencia digital, adquirirla en función del grado de volatilidad, tener en cuenta si el sis- tema informático soporta servicios de terceros, conocer si es factible interrumpir su funcionamiento, con- trolar la electricidad estática, etc. Fases del examen forense El examen forense de la evidencia digital abarca varias fases: identifica- ción, recolección, adquisición, pre- servación, análisis y presentación.

La primera supone precisar dónde se encuentra la evidencia. La segun- da conlleva recolectarla y trasladarla a un laboratorio. La tercera requiere efectuar una copia de la evidencia digital original, a la que se aplica una función hash que, mediante un algoritmo, garantiza que la infor- mación contenida en el dispositivo original es la que es; la firma hash de la copia que se adquiere debe corresponder con la de la evidencia original. La cuarta busca mantener la integridad de la evidencia digital durante las fases de la investiga- ción adoptando las medidas nece- sarias. La quinta conlleva analizar la evidencia empleando herramientas tecnológicas. La sexta consiste en la elaboración de un informe tecno- lógico forense. La ISO/IEC 27037:2012 también contempla la cadena de custodia de la evidencia digital o prueba, que evita que se manipule, altere, destruya, contamine, etc., garanti- zando su autenticidad. La anterior afecta a la identificación, recolección, adquisición, preservación y análisis de la evidencia digital, facilitando su trazabilidad. La cadena de custodia implica establecer un procedimiento que permite registrar las personas que acceden a la evidencia, la fecha y la hora, tenerla permanentemente localizada, conocer el lugar donde se encuentra, identificarla de forma uní- voca, documentar los cambios que se produzcan y justificarlos. La firma hash es imprescindible para preser- var la cadena de custodia y reforzar la validez de la evidencia digital apor- tada como medio de prueba.

Tras identificar, recolectar, adquirir, preservar y analizar la evidencia digi- tal, los resultados se incorporan en un informe tecnológico forense, que se aporta como prueba pericial en un proceso judicial. También es fac- tible que los resultados de la investi- gación forense se viertan en un dic- tamen. El contenido del informe pericial o el dictamen debe com- prender las evidencias digitales halladas y especificar los límites con los que la investigación se topó, junto con otros aspectos. La redac- ción debe ser precisa, sistemática y muy clara para el destinatario, que, por lo general, no es un especialista en la materia.

La cadena de custodia implica establecer un procedimiento que permite registrar las personas que acceden a la evidencia, la fecha y la hora.

segundo trimestre 2016 red seguridad 51