P. 1
Evidencia Digital

Evidencia Digital

|Views: 5.507|Likes:
Publicado porRaisa Vides Alvarez

More info:

Published by: Raisa Vides Alvarez on Aug 09, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

11/07/2014

pdf

text

original

8. Evidencia digital Una definición uniforme y universal de evidencia digital no es fácil de encontrar.

Sin embargo se considera acertada la ofrecida por J. Cano1, quien manifiesta que la evidencia digital es un tipo de evidencia física. Continúa definiéndola a la misma como aquella evidencia construida por campos magnéticos y pulsos electrónicos que pueden ser recolectados, almacenados y analizados con herramientas técnicas especiales. La evidencia digital es una denominación usada de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal. De acuerdo con el HB: 171 2003 Guidelines for the Managment of IT Evidence, la evidencia digital es cualquier información que, sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático. El documento mencionado establece también que la evidencia digital puede dividirse en tres categorías: y y y Registros almacenados en el equipo de tecnología informática (por ejemplo, correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.). Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.). Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos vistas parciales de datos, etc.).

La evidencia digital es única, cuando se la compara con otras formas de evidencia. A diferencia de la evidencia física, la evidencia digital es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único es su potencial de realizar copias no autorizadas de archivos, sin dejar rastro alguno. La evidencia digital posee, entre otras, las siguientes características: y y y y y Es volátil Es anónima Es duplicable Es alterable y modificable Es eliminable

Tales características sugieren la exigente labor requerida por los especialistas cuando tenga que llevarse adelante investigaciones sobre la delincuencia informática, en procedimientos, técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia encontrada en la escena del crimen2. Se requiere tratamiento especial a tiempo de manejar la evidencia digital durante el juicio, mas allá del cumplimiento de las normas formales, pues estas
Cano, Jeny, Estado del arte del peritaje informático en Latinoamérica , comentarios de tecnología y Derecho, disponible en www.alfa-redi.org, 26 de julio de 2008. 2 th Brungs A, y Jameison R. Legal issues for computer forensics. Proceedings for 14 Australasian Conference on Information Systems. Perth, Western Australia, November, 2003.
1

la evidencia siempre debe ser recolectada de lo mas a lo menos volátil). ya que muchas veces encontrara detalles importantes que posteriormente puede ser de enorme utilidad durante la investigación (serán documentos todas aquellas formas de expresión producto del desarrollo de las técnicas de la comunicación y la informática. 8. 97. Al concluir este paso el investigador debe describir con detalle la escena del crimen. etc. por ejemplo videos y fotografías digitales). etc. Evidencia Digital: Conceptos y Retos .2 Recolección En esta etapa se debe recoger la información relevante y conservarla para garantizar los requisitos de admisibilidad de la prueba: Como muchas veces no es posible presentar los sistemas involucrados en una audiencia o tenerlos durante la investigación. 8. . Cano. incluidos nombres de usuarios y roles. Dicha aproximación incluye cinco etapas: 8. además de fijar el proceso adecuado para la recolección de la evidencia. el investigador se debe familiarizar con el entorno informático y con el incidente en cuestión. El primer paso consiste en identificar el problema aparente o probable e indagar qué grado de contacto tuvieron los usurarios con el sistema involucrado. Jeny. Como segundo paso. Es una estrategia en el que se espera que se detecte el incidente y luego el investigador se familiarice con el mismo y con el entorno en el que ocurrió. pág. si hay políticas de seguridad o no las hay y quienes son responsables del funcionamiento de los equipos y los servicios de entidad.. Este proceso se realiza por medio de herramientas que permitan copiar el contenido visible del dispositivo de 3 Cano.1. no es posible definir un procedimiento único para llevar adelante un análisis completo en la colección de la evidencia digital. puntos de red. agosto de 2003. Admisibilidad de la Evidencia Digital: Algunos elementos de revisión y análisis . que registros generan.1 Planificación. equipos.de su contenido. Para ello se sugiere el desarrollo de entrevistas al personal de la organización o entidad que tenga algún tipo de relación con el entorno informático y determinar que sistemas informáticos se usa. además debe registrar información grafica del lugar ( a través de fotografías y videos). para evitar la contaminación de la escena del crimen. que representara al sistema en cuestión y que además será sobre la que se trabaje (independientemente del camino tomado para realizar el proceso de recolección. Jeny. pero si definir una aproximación metodológica que permita el manejo adecuado.1 Cadena de custodia y procedimiento de colección de la evidencia digital Dado que no existen investigaciones iguales. minimizar los errores en su manejo y garantizar su admisión en los tribunales de justicia3.1. su ubicación física de los mismos. Revista de derecho informático. se recomienda tomar una copia idéntica bit a bit.deben estar articuladas con los esfuerzos de conservación y seguridad de los estándares internacionales. Comercio Electrónico & Telecomunicaciones. 2002. incluidos.

. los procesos que se están ejecutando. generar una imagen del estado del sistema antes de que sea apagado. Desarrollo de criterios para establecer la relevancia o irrelevancia de la evidencia recolectada. Además es recomendable clasificar la evidencia para su presentación en un juicio e identificar si los datos: y y y Verifican los datos y teorías existentes (evidencia que inculpa). Mucha de ella será utilizada para revelar evidencia admisible que si es importante. los que no están siendo utilizados por ninguna partición y el espacio sobrante. La evidencia debe poder ser utilizada en el presente y futuro. Logs and Captures: Evidence from Cyberspace . es decir. Mantener y verificar la cadena de custodia. Con este enfoque es posible realizar una inspección cruzada en la que la copia de bajo nivel sea la encargada de sustentar técnicamente los argumentos presentados en la parte editada y comentada. cuando la información que se escribe en un bloque es menor que el tamaño de este. Queda a criterio del investigador determinar si es correcto apagar o reiniciar el sistema relacionado con el delito que se investiga. que archivos están abiertos. En la recolección de la evidencia se requiere el cumplir con los siguientes objetivos: y y y y y Establecimiento de buenos procedimientos para recolectar evidencia digital. en la que este solo la información relevante y que explique que se hizo con ella y porque. etc. Seguimiento de las regulaciones y normas de recolección de la evidencia digital. teniendo en cuenta la hipótesis y las teorías del caso planteadas. al hacer esto se perderá información que puede ser valiosa en el momento de correlacionar la evidencia recolectada (el contenido de la memoria.almacenamiento y el contenido invisible.). Una de bajo nivel en la que se muestre la información tal como es sin ninguna anotación y/o modificación y otra editada . en el documento Downloads. 8. por esta razón se recomienda. especifica que en la mayoría de los casos puede ser apropiado ofrecer 2 posibilidades. esto incluye los sectores que se encuentran disponibles para escritura. la información de las áreas del disco que no son utilizados. el estado de las conexiones de red. mientras sea posible.1. La cantidad de información que se recolecta debe ser decidida por el investigador durante la etapa de planificación. Sommers. Muestran signos de manipulaciones para esconder otros datos.3 Presentación de la evidencia digital La pregunta obligada ¿Cómo se puede garantizar la neutralidad de esta presentación? A pesar de que no existe una respuesta única a este interrogante. Es importante mencionar que no se espera que toda la información que se examine o recolecte deba ser admisible como evidencia en el curso del proceso. ya que. Contradicen los datos y teorías existentes (evidencia que exculpa). debido a las enormes diferencias que existen entre los incidentes. los usuarios que están dentro del sistema.

8.1. extensiones e inclusive los encabezados internos que identifican los formatos de archivo que existen pueden ser de utilidad en la clasificación de evidencia digital. por su dirección de origen. es necesario extraer solamente los relacionados con un equipo en particular). si la evidencia no tiene relevancia alguna en la investigación. por ejemplo. La clasificación de la evidencia digital es el proceso por el cual se busca características que pueden ser utilizadas para describirla en términos generales y distinguirla de especímenes similares y que puedes ser útil al reconstruir un delito porque mediante la provisión de detalles adicionales e inclusive acerca del mismo sospechoso del hecho. Características: Los nombres de archivo. Se debe realizar un procedimiento de limpieza que por un lado conserve la integridad de la información recolectada y por otro que represente en su totalidad el escenario analizado (por ejemplo. un sistema de logs puede registrar miles de eventos. un programa que inesperadamente transfiere información valiosa desde un computador confiable a una locación remota podría ser clasificado como un caballo de Troya y se individualizado por la localización remota a la que transfiere la información. una de las razones que dificultan la investigación de las conductas relacionadas con incidentes informáticos o con la informática. Función: El investigador puede examinar cómo funciona una programa para clasificarlo y algunas veces individualizarlo. Por el contrario. se debe iniciar el proceso de clasificación. de los cuales. comparada e individualizada de varias maneras. puede ser clasificado por su contenido como SPAM e individualizado a partir del contenido de sus encabezados. comparación e individualización. por ejemplo. de acuerdo con la evidencia obtenida. información que por lo general no es visible para el usuario. por ejemplo. los datos contenidos en ella requieren un proceso (de conversión) para que una persona los pueda interpretar. adicionalmente. y y Una de las características de los delitos informáticos es su carácter cambiante que la escena del crimen puede estar distribuida en varios sistemas con diferentes horarios (fechas y horas). que por supuesto pueden ser localizados físicamente en jurisdicciones distintas. para ello se debe considerar los siguientes aspectos: y Contenido: Un e-mail por ejemplo. La evidencia digital puede ser clasificada. lo que en muchos casos . normalmente requiere de un proceso antes de que pueda ser comprendida por las personas. la evidencia digital. el desconocimiento de los aspectos técnicos básicos y del lenguaje utilizado en estos casos de los funcionarios judiciales dificulta aún más la penalización de los delitos informáticos.4 Análisis de la evidencia digital Luego de recuperar información que podría ser relevante es necesario realizar un proceso de filtrado que permita extraer información directamente relacionada con el incidente. Una vez obtenida.Lamentablemente en la actualidad no existen pautas generales en los códigos de procedimientos penales y menos en el boliviano sobre cómo debe ser presentada la evidencia digital. cuando se tiene la imagen de un disco.

8. adicionalmente. ya que noes posible tener acceso a evidencia que podría ser clave para conocer cuando. donde y por que del incidente. muchos de los delitos de alta tecnología. Este es uno de los mayores obstáculos que se presenta al realizar una investigación.2 . debido a la falta de regulación. como. son cometidos desde cafés internet en los que.dificulta o termina prematuramente una investigación. anonimato y la alta actividad que presentan estos sistemas hacen que la evidencia digital que se encuentra en ellos tenga un tiempo de vida muy corto y por consiguiente la investigación solo llegue hasta ese punto. a pesar de ser cometidos desde sistemas locales.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->