Autenticidad: Para que una evidencia digital sea auténtica,
se debe cumplir:
1.
Probar
que esta evidencia ha sido generada y registrada en el lugar de los hechos.
2.
Demostrar
que los medios de la evidencia no han sido modificados, que los registros,
archivos, fechas y atributos sean correspondientes a la realidad.
Esto se debe a que los
medios digitales, presentan la posibilidad y capacidad de ser manipulados, por
esta razón es importante verificar y garantizar la autenticidad de las pruebas.
Confiabilidad: Los registros de una evidencia digital son
confiables si vienen de fuentes verificables y creíbles. Para garantizar esto,
se debe contar con equipos de análisis en correcto funcionamiento y con una
arquitectura computacional sólida, que sea segura y que genere datos confiables
y verificables. También es confiable si el sistema que dio los resultados no es
penetrado o hackeado al momento de la generación de la prueba.
Suficiencia: La prueba realizada debe ser completa, en
ningún momento debe permitir resultados parciales, esto debido a que puede
haber algún tipo de manipulación de los datos, y la interpretación de los
resultados y pruebas son vitales para dar un veredicto sobre el acusado.
Respeto por las leyes y el poder judicial: Todo análisis realizado
debe ir dentro del marco de las leyes y estatutos legales del país, ya que en
caso contrario puede ser descartada la evidencia.
Adicionalmente, es
importante hacer uso de medios forenses estériles para realizar las copias de
la información, ya que la evidencia encontrada se debe mantener intacta,
manteniendo la integridad de este. Además, al momento que la evidencia se
encuentre en poder de una persona natural, este debe ser un profesional
forense, y es responsable legalmente, de las alteraciones sobre esta.
La evidencia digital
debe ser meticulosamente analizada y recopilada, para posteriormente cumplir
con los requisitos de admisibilidad en una corte.
ü
Que estrategias se
usaron para la recolección de las pruebas electrónicas
Estrategias
para la recolección de pruebas electrónicas
Llevar un
orden de recopilación de información
Si la recolección de datos se realiza
correctamente y de una manera ordenada, es mucho más útil en la detención del
atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un
proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los
siguientes pasos básicos:
Buscar la
evidencia.
Determinar dónde puede estar la evidencia que
se esta buscando y si esta se encuentra almacena en el sistema atacado, para
ello se hace necesario hacer una listado de verificación que puede ayudar en el
proceso de recolección, comprobando que todo lo que se está buscando este en el
sistema.
Determinar
la relevancia de los datos.
Al descubrir la evidencia, se debe decidir qué
partes de ella son relevantes para el caso, para estar seguro, se debe
recopilar toda la información necesaria y no excluir ninguna prueba que tenga
afinidad con el caso reportado, es necesario trabajar rápido y no perder tiempo
recogiendo información que no será de utilidad para el caso.
Al adquirir y tratar la evidencia electrónica, los
elementos que deben regir el trabajo del perito informático son: la no
alteración de la prueba y el principio de imparcialidad. En este sentido y con
el fin de garantizar la autenticidad y seguridad de la información que
constituye la prueba, la IOCE (International Organization on Computer Evidence)
propone cinco principios sobre la adquisición y el tratamiento de la evidencia
electrónica:
1.
Las acciones llevadas a cabo para adquirir la evidencia electrónica no
deben modificarla.
2. Las personas que accedan a la
evidencia electrónica original deben estar formadas especialmente para ello.
3. Toda aquella actividad referente
a la adquisición, acceso, almacenamiento o transferencia de la evidencia
electrónica, debe ser totalmente documentada, almacenada y debe estar
disponible para revisión.
4. Un individuo es responsable de
todas las acciones llevadas a cabo con respecto a la evidencia electrónica
mientras ésta está en su posesión.
5. Cualquier organismo que sea
responsable de la adquisición, acceso, almacenamiento o transferencia de la
evidencia electrónica debe cumplir estos principios.
ü Que indicios fueron tenidos en cuenta para
la recolección de evidencias.
Lo primero que se debe buscar son los archivos eliminados,
ya que, a pesar de creer que se elimina el archivo, queda rastro de la acción y
del archivo mismo. La conservación de los archivos es vital para la
investigación del caso, ya que posiblemente es la información que el acusado
querría ocultar. Posteriormente, hacer una búsqueda de archivos por atributos
ya que en este caso, al tener datos sobre el acusado, y de la investigación del
caso, se puede hacer uso de la ingeniería social para hacer análisis de la
información.
ü Los cuidados tenidos en cuenta al tener
evidencia volatilidad, se necesitase extraer del computador incautado.
·
Eliminar la
interferencia exterior.
Es
importante no alterar los datos originales, ya que la información alterada no
es fuente confiable de evidencia por lo cual es necesario impedir cualquier
contaminación, evitando que atacantes puedan instalar un interruptor que puede
borrar evidencia una vez el equipo se desconecta de la red o de Internet.
·
Recoger la evidencia.
Para
iniciar el proceso de recolección se pueden utilizar las herramientas de
software disponibles para esta tarea. Examinar los elementos recogidos
anteriormente y revisar que elementos en el listado pueden faltar para
inspeccionar nuevamente la escena.
·
Documentar todas las
acciones realizadas.
En
los litigios legales cualquier método de recolección de evidencia que se
presenta podrá ser puesto en duda, por lo cual es indispensable mantener un
registro de todo lo que se hace en el proceso de recolección. Las marcas de
tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar
el proceso de recolección de evidencia.
·
Cantidad
de Información recolectada.
Incautar sólo lo mínimo necesario para efectuar una
investigación seleccionando la información potencialmente importante para no
incurrir en demandas por dañar o alterar el sistema informático.
·
Cuidados
al Hardware
El hardware es uno de los
elementos que se debe tener en cuenta a la hora de la recolección de evidencia,
debido a que puede ser usado como instrumento, como objetivo del crimen, o como
producto del crimen.
·
No
apague el sistema hasta que haya completado todos los procedimientos de
recolección de pruebas para pruebas volátiles
·
Se
recomienda hacer una lista de elementos con prioridad de apagado para
conservarlos activos mientras dure la indagación
·
No
confiar en los programas activos en el sistema.
·
Ejecutar
los programas de obtención de pruebas (software forense) en los medios de
comunicación debidamente protegidos.
·
No
ejecute programas que modifican el tiempo de acceso de todos los archivos en el
sistema (por ejemplo tar o xcopy).
Sistema Operativo Windows 95
- Características
·
El
botón de inicio tiene un símbolo de Windows.
- Procedimientos de
cierre
·
Fotografiar
la pantalla y anotar los programas en ejecución.
·
Retire
cable de alimentación de la pared
ü Recordar jerarquía de evidencia digital:
o
Datos Volátiles
§
Registros
del Procesador
§
Contenido
de Memoria Caché
§
Contenido
de Memoria RAM
§
Conexiones
de Red
§
Procesos
activos
o
Datos No Volátiles
§
Contenido
del Sistema de Archivos y Medios de Almacenamiento Fijos
§ Contenido Medios de Almacenamiento Removibles
No hay comentarios:
Publicar un comentario