PRESERVACION PRUEBA DIGITAL

CADENA DE CUSTODIA

ASOC. ABOGADOS LA PLATA

La Plata - 12 Diciembre 2012

Definiciones

Informática Forense.

Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243).

Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

Informática forense

Se ocupa de:

– Procesos automatizados

– Factores humanos

– Metodologías y estándares

Procura:

– Identificar a los autores

– Descubrir los procesos que llevaron al suceso analizado

– Entender los procesos sistémicos u operativos que crearon el

problema.

La “Informática forense”, y en particular, la “computación

forense” apuntan en dos direcciones:

– Hacia “adentro”:

Clarificar y documentar procesos erróneos

Determinar responsabilidades internas

– Hacia “afuera”

Constituir prueba de validez legal para perseguir a

los autores de los incidentes

Informática forense

Computación forense

Es “un proceso para responder interrogantes sobre estados y eventos digitales” (Carter)

Admite una definición un poco más compleja:

– “... es el uso de técnicas especializadas para el recupero, la autenticación y el análisis de datos electrónicos cuando un caso involucra cuestiones relativas a la reconstrucción del uso de una computadora, el examen de datos residuales, la autenticación de los datos mediante análisis técnico, o la explicación de características técnicas de los datos y del uso de computadoras.

Computación forense

Técnicas especializadas de recupero, autenticación y análisis de datos

Para reconstrucción del uso de un sistema informático

Examinando datos residuales

Autenticando los datos mediante análisis técnico

Explicando características técnicas de datos y uso.

“La práctica forense informática requiere capacidades especializadas que van más allá de las técnicas usuales de recolección y preservación de datos disponibles para los usuarios comunes o el personal de soporte de los sistemas”

Computación forense

La práctica forense informática debe realizarse de modo que

adhiera a las normas legales sobre prueba admisibles ante

un tribunal. En consecuencia, la práctica es por naturaleza

técnico-legal, en lugar de puramente técnica o puramente

legal.

Consideraciones fundamentales:

– Entender a los sospechosos

– Entender la prueba

– Asegurar el entorno

Informática forense

La interpretación de la evidencia lograda (*)

– Es necesario la aplicación de herramientas + un

experto que las domine y explique al Juez el

resultado obtenido

– Analizar bien la herramienta a aplicar

(confiabilidad)

– Interactuar con expertos entrenados en el uso

de las herramientas (con experiencia +

conocimiento + dominio = credibilidad)

(*) Fred Cohen – Intituto de Investigaciones Forenses de California

Informática forense

Objetivos

Evitar la contaminación de la prueba (invalidación)

Definir – Respetar un protocolo pericial asociado a

la pericia informática

Establecer claramente los límites del proceso de

forensia a realizar (precisión en los puntos de

pericia)

Obtener y adjuntar los reportes automáticos que

generan las herramientas seleccionadas.

Informática forense

Metodología – Protocolo – Pasos a considerar

ETAPA I

1. Preparación del incidente (análisis de la

estretegia de información a obtener)

2. Detección del incidente

3. Preservación de la “escena del crimen”

4. Identificación del responsable (huellas

dactilares?)

Informática forense

Metodología – Protocolo – Pasos a considerar

ETAPA I

5. Intervención adecuada de los elementos (bolsas

antiestáticas, papel de protección para golpes, identificación

clara de los elementos, franjado completo de los equipos, uso

de bandas antiestáticas)

6. Generación de la “cadena de custodia”

7. Almacenamiento de los elementos

Informática forense

Metodología – Protocolo – Pasos a considerar

ETAPA I (Cadena de Custodia - Concepto)

La cadena de custodia de la prueba se define

como el procedimiento controlado que se aplica a los

indicios materiales relacionados con el delito, desde su

localización hasta su valoración por los encargados de

administrar justicia y que tiene como fin no viciar el manejo

de que ellos se haga y así evitar alteraciones, sustituciones,

contaminaciones o destrucciones.

Informática forense

Metodología – Protocolo – Pasos a considerar

ETAPA II

1. Copia de forensia

2. Análisis de la evidencia (búsqueda – investigación)

3. Recuperación de le evidencia

4. Reporte – Informe Pericial

Informática forense

Metodología – Protocolo – Pasos a considerar

COPIA DE FORENSIA

Informática forense

Metodología – Protocolo – Pasos a considerar

ETAPA III

1. Preservación final de la prueba

2. Decisión (Análisis del Juez en relación al crimen)

3. Devolución de la fuente de evidencia

Informática forense

Objetivos de la metodología:

Obtener información de los elementos a peritar sobre

la base de una estrategia definida en relación con

el delito que se investiga:

– Información “legible”

– Información que pueda obtenerse de archivos

borrados

– Datos en particiones ocultas

– Datos en áreas de disco liberadas (slack space)