Cadena de custodia informtico-forense

Y. Ingrid Enrquez Rocha

Ateneo Universitario
27 de febrero 2016

Cadena de custodia informtico-forense

La cadena de custodia es una serie de pasos llevados a cabo por un perito, un
agente del MP o un juez sobre algn instrumento del delito, objeto o producto de l
o cualquier evidencia relacionada, los cuales son asegurados, trasladados,
analizados y almacenados con la finalidad de que sean alterados, destruidos o se
pierdan y as brindar la seguridad y soporte de prueba ante un juez.
Para esto se han establecido procedimientos para poder ofrecerle veracidad a las
pruebas en materia de informtica y as garantizar que no han sido suplantadas,
modificadas, alteradas o adulteradas las pruebas, lo cual llega a ser muy comn
en evidencias digitales. En resumidas palabras la cadena de custodia nos debe
asegurar que la evidencia que se recolecto es la misma que se le presenta al juez.
Los requisitos fundamentales que deben presentar dichas pruebas son, un registro
detallado que nos permita identificar la evidencia, sus poseedores, lugar, hora,
fecha, nombres y que dependencia es la que est involucrada, en caso de carecer
de algunos de estos datos, la prueba queda sin valor probatorio. Sin embargo es
relevante recalcar las caractersticas que debe presentar una prueba informticoforense, comenzamos con que dichas pruebas son indicios digitalizados,
codificados y resguardados en un contenedor en especial, prueba la cual est
compuesta por dos partes que son la informacin que es el conocimiento
almacenado y el objeto el cual es un conjunto fsico el cual contiene la
informacin. Esta informacin podemos encontrarla de tres formas diferentes:
almacenada o sea que est en un reservatorio esperando ser accedida, en
desplazamiento la cual se encuentra viajando en un objeto fsico como un cable,
laser, etc. y por ultimo en procesamiento que es donde la informacin se
encuentra en un equipo aun en funcionamiento y que dicha informacin est
siendo procesada, modificada, actualizada y resguardada por lo que convierte esta
forma en la mas compilada ya que aqu se toma la decisin de apagar o no el
equipo en el que se encuentra y en caso de tomar la decisin incorrecta se corre
el riesgo de perder la informacin. Es una decisin incierta. Si se decide mantener
el equipo encendido, se corre el riesgo de haber sido detectado durante su
aproximacin al mismo, y que en realidad la actividad del mismo est consistiendo
en borrar de manera segura cualquier informacin almacenada (usando tcnicas
especficas de eliminacin de la informacin que la hacen irrecuperable a los
mtodos informtico-forenses), con lo que cuanto ms tiempo permanezca el
equipo funcionando mayor ser el dao producido. Si, por el contrario, se decide
apagar el equipo, es posible que el mismo tenga un mecanismo de seguridad ante
estos eventos que dispare las mismas acciones de borrado detalladas, sobre los
equipos remotos, eliminando enlaces y reservorios dentro de la misma red o en

redes externas (es muy comn que, con fines delictivos o no, la informacin sea
almacenada en un reservorio remoto, lo que aumenta la seguridad y confiabilidad
de la misma, ya que est exenta de los riesgos edilicios, fsicos y lgicos, del local
donde se utiliza). La mejor manera de solucionar este problema es la labor de
inteligencia previa (ataques pasivos, consistentes en intercepcin, escucha o
anlisis de trfico, por medios remotos). Esta tarea resuelve el problema, pero
demanda recursos tcnicos y, sobre todo, humanos sumamente escasos. Por otra
parte, debe ser autorizada judicialmente y la prctica nos indica que la mayora de
los Juzgados, por muy diversas causas, son sumamente reacios a autorizar estar
intervenciones (lo mismo ocurre con las clsicas y siempre restringidas medidas
previas o preliminares, aunque constituyan prueba anticipada y renan las
condiciones requeridas para la misma: peligro en la demora, credibilidad del
derecho invocado fumus bonis iuris.
Uno de los aspectos importantes en la preservacin de pruebas informticas es el
tema de su originalidad que es donde interviene la cadena de custodia, ya que
informticamente hablando no podemos identificar cuando un archivo es una copia
a excepcin de que estemos presentes al momento de realizar esta accin lo cual
marca la diferencia en relacin a una prueba no digital o sea en papel. Sin
embargo la cadena de custodia nos puede brindar la seguridad de que las pruebas
recabadas son las originales y adems obtenemos la ventaja de que un perito
informtico puede obtener una copia de dichos archivos y trabajar en ellos sin
afectar el original, a diferencia de un documento en papel ya que los peritos solo
pueden trabajar sobre el original, debilitando la prueba con la salida del tribunal ya
que
se
presta
para
alteraciones,
destruccin
etc.
Otra de las ventajas de una prueba digital sobre una fsica es que esta ltima debe
ser recolectada y trasladada, en cambio una digital solo es necesario copiarla de
dispositivo a dispositivo para despus ser trasladada, siempre y cuando la copia
sea certificada. Un ejemplo de esto se puede presentar en cualquier empresa de
gran magnitud para la cual la informacin que tiene en sus dispositivos es de vital
importancia para su funcionamiento lo que impide el secuestro de los
mencionados dispositivos, es aqu donde se recurre a una copia certificada de la
informacin. Pero a pesar de las ventajas que pueden tener estas pruebas
digitales debe cumplir con ciertas caractersticas como la trazabilidad que pude ser
humana o sea la responsabilidad que tienen los peritos al manipular las pruebas,
fsica haciendo mencin a los dispositivos que pudiesen estar involucrados y
lgica la cual se refiere a la correcta descripcin de la informacin obtenida, otro
punto fundamental es la confiabilidad, que nos brinde autenticidad y seguridad de
ella. Sin embargo la autenticad de esta informacin cae en el tema de la
privacidad ya que aunque la prueba digital cumpla con todas las caractersticas ya
mencionadas, no se sabe si esta informacin fue obtenida de una manera legal

como por ejemplo a travs de un allanamiento de morada, etc. En caso de no ser

as, la prueba debi haber sido recabada de la siguiente manera por el perito: el
primero paso es la colocacin de guantes para posteriormente tomar fotos del
lugar de intervencin desde la periferia hacia el rea debitada, el tercer paso es el
ms importante ya que aqu se toman fotografas de los dispositivos informticos,
las fotos debern ser a las pantallas de los equipos de manera frontal, lateral y
posterior, as como a los nmeros de series y a sus etiquetas de garanta, tambin
se debern de fotografiar los perifricos como teclados, monitor, impresoras,
mouse, cmaras, celulares, ipod etc., en caso de haber algn material impreso
tambin se tomara foto de ello as como del cableados y de dispositivos
inalmbricos y alambritos como mdems. Una vez asegurados fotogrficamente
estos elementos se proceder a inventariar registrando su tipo, marca, numero de
serie, registro de garanta, en qu estado se encuentra el equipo y algunas
particularidades en caso de presentarse. Tambin ser necesario realizar un
croquis del lugar de intervencin para ubicar los equipos, as como el mobiliario y
cableados. El perito informtico forense deber recolectar la evidencia
procediendo de manera acorde al origen del requerimiento de la pericia
informtico-forense, a saber: 1. Por orden judicial, cuyo texto indica: a. Secuestrar
la evidencia para su posterior anlisis en el laboratorio, el perito informticoforense proceder a: i. Certificar matemticamente la evidencia. e. Identificar y
registrar la evidencia. iii. Elaborar un acta ante testigos. iv. Iniciar la cadena de
custodia. v. Transportar la evidencia al laboratorio. b. Efectuar la copia de la
evidencia para su posterior anlisis en el laboratorio, el perito informtico forense
proceder a: i. Certificar matemticamente la evidencia. ii. Duplicar la evidencia. iii.
Identificar y registrar la evidencia y la copia. iv. Elaborar un acta ante testigos. v.
Transportar la copia o duplicacin de la evidencia al laborato rio.