Ingeniera inversa La cadena de custodia Daniel Estrada Vzquez.

Lunes 23/septiembre/2013

La cadena de custodia.
La cadena de custodia es el conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y utilizarla como evidencia digital en un proceso judicial. No existe un estndar reconocido pblicamente. Existen procedimientos reconocidos pblicamente como robustos a la hora de preservar la informacin digital. Existen diferentes procesos de estandarizacin en los que colaboran fuerzas de la ley, investigadores y expertos (p.e. CTOSE, CP4DF).

La cadena de custodia debe: Reducir al mximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias. Mantener la identidad de las personas implicadas desde la obtencin hasta la presentacin de las evidencias. Asegurar la inmutabilidad de las evidencias en los traspasos de estas entre agentes. Registros de tiempos, firmados por los agentes, en los intercambios entre estos de evidencias. Cada uno de ellos se har responsable de las evidencias en cada momento. Asegurar la inmutabilidad de las evidencias cuando las evidencias estn almacenadas asegurando su proteccin.

Ingeniera inversa La cadena de custodia Daniel Estrada Vzquez. Lunes 23/septiembre/2013

Caractersticas: Es uno de los protocolos de actuacin relativo a la seguridad y manipulacin que ha de seguirse con respecto a una prueba durante su periodo de vida o de validez, desde que esta se consigue o genera, hasta que se destruye o deja de ser necesaria. Este protocolo controla donde y como se ha obtenido la prueba, de que se ha hecho con ella y cuando, quien ha tenido acceso a la misma, donde se encuentra esta en todo momento y quien la tiene y en caso de su destruccin, por la causa que sea, como se ha destruido, cuando, quien, donde y porque se ha destruido. Este procedimiento debe ser absolutamente riguroso, tanto como la prueba como los hechos que la afectan, asi como el personal que tiene acceso a la misma, de tal forma que cuando esta, o cualquier informe que se genere sobre ella, llegue a manos del jusgador no pueda dudarse ni por un momento de su validez, tanto de la prueba como del informe. Los datos obtenidos en el primer anlisis deben ser precisos, el de campo, en el lugar de los hechos, sobre todo si se refiere a informacin voltil, el personal encargado de recoger esta primera y valiossima informacin, deber generar un informe basado en gran parte en la prueba documental textual y fotogrfica tomada en el momento del primer estudio, hecho sobre terreno, de todos aquellos datos que pueda obtener y que sabe a ciencia cierta que van a perderse. Adems el hecho de que nunca acuda un solo agente al lugar de los hechos permite que los dems asistentes aseguren la confiabilidad de los datos, como se has recuperado y el lugar en que han sido obtenidos. Por lo tanto la cadena de custodia no debe aplicarse a solo a aquellos dispositivos que se obtienen en el momento dado, tambin deben aplicarse a los datos generados que se generan sobre terreno (informacin voltil, informes). Esta tambin debe aplicarse a todos aquellos dispositivos que hayan sido duplicados o clonados; siempre y cuando estos dispositivos que almacenan la copia pretendan ser usados como prueba, para estas nuevas pruebas deber crearse una cadena de custodia independiente que haga referencia a su procedencia. De esta forma el dispositivo origen siempre esta preservado de terceros, en un lugar seguro y libre de posibles manipulaciones o destrucciones.

Ingeniera inversa La cadena de custodia Daniel Estrada Vzquez. Lunes 23/septiembre/2013

Por esta razn establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de mtodos y procedimientos que aseguren la confiabilidad de la informacin recolectada, nico elemento integrador a proteger en os activos informticos cuestionados, ya que incluye la confidencialidad, la autenticidad, la integridad y el no repudio de los mismos. En trminos sencillos implica establecer un mecanismo que asegure a quien debe juzgar que los elementos probatorios ofrecidos como prueba documental informtica, son confiables. Es decir que no han sufrido alteracin o adulteracin alguna desde su recoleccin. El juez debe poder confiar en dichos elementos digitales, por considerarlos autnticos testigos mudos, desde un punto de vista criminalstico clsico y evaluarlos en tal sentido. Dicho procedimiento tiene como fin asegurar la inocuidad y esterilidad tcnica en el manejo de las evidencias, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta la presentacin por el orden judicial. http://www.informaticoforense.eu/?p=478 http://usecmagazine.usecnetwork.com/?p=46335