L constante reporte de vul- nerabilidades en sistemas de información, el aprove- chamiento de fallas bien

...

Evidencia digital

De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para des- cribir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utiliza- do como evidencia en un proceso legal".

En este sentido el documento men- cionado establece que la evidencia

digital puede ser dividida en tres categorías a saber:

- Registros almacenados en el equi- po de tecnología informática (P.e. correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)

- Registros generados por los equi- pos de tecnología informática (regis- tros de auditoría, registros de transacciones, registros de eventos, etc.).

- Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, con- sultas especializadas en bases de datos, vistas parciales de datos, etc.).

La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. Sin embar- go y considerando, el ambiente tan cambiante y dinámico de las infraes- tructuras de computación y comuni- caciones, es preciso detallar las características propias de dicha evi- dencia en este entorno. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la bús- queda de la verdad:

1.Es volátil 2.Es anónima

---------------------------------------------------------------

- Es duplicable

- Es alterable y modificable 5.Es eliminable

Estas características nos advierten sobre la exigente labor que se requie- re por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito. Por tanto, es necesario mantener un conocimiento detallado de las normas y regulacio- nes legales asociadas con las pruebas y el derecho procesal, así como de las técnicas y procesos que permitan mantener la confiabilidad de los datos recogidos, la integridad de los medios, el análisis detallado de los datos y la presentación idónea de los resultados.

Procedimientos

Considerando la fragilidad del insu- mo con el cual trabajan los especia- listas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labo- res, pues cualquier imprecisión en las mismas puede llevar a compro- meter el proceso bien sea legal u organizacional [WILSON 2003, TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E y LIE-

DERBACH, J. 2006]. En este senti-

do, detallamos de manera básica algunos elementos que deben ser considerados para mantener la ido- neidad del procedimiento forense adelantado:

- Esterilidad de los medios de informáticos de trabajo

Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal mane- ra, que éstos no hayan sido expues- tos a variaciones magnéticas, ópticas (láser) o similares, so pena de que las copias de la evidencia que se ubi- quen en ellos puedan estar contami- nadas. La esterilidad de los medios es una condición fundamental para el inicio de cualquier procedimiento forense en informática, pues al igual que en la medicina forense, un ins- trumental contaminado puede ser causa de una interpretación o análi- sis erróneo de las causas de la muer- te del paciente.

- Verificación de las copias en medios informáticos

Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. La verificación de éstas debe estar asistida por métodos y procedimientos matemáticos que establezcan la completitud de la información traspasada a la copia. Para esto, se sugiere utilizar algorit- mos y técnicas de control basadas en

---------------------------------------------------------------

firma digitales que puedan compro- bar que la información inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmen- te, es preciso que el software u apli- cación soporte de esta operación haya sido previamente probado y analizado por la comunidad científi- ca, para que conociendo su tasa de efectividad, sea validado en un pro- cedimiento ante una diligencia legal.

- Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados

El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versio- nes, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontación sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicación del método científi- co es posible que un tercero repro- duzca sus resultados utilizando la misma evidencia.

- Mantenimiento de la cadena de custodia de las evidencias digitales

Este punto es complemento del ante- rior. La custodia de todos los ele-

mentos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especia- les para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administra- ción de las pruebas a su cargo.[pic 2][pic 3]

-