Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NORMA MEXICANA
NMX-I-27037-NYCE-2015
PREFACIO
- NIELSEN
- SERVICIOS DE VALOR DE TI
2. Por otra parte, también fue aprobado por las instituciones y empresas que
a continuación se señalan y que conforman el Comité Técnico de
Normalización Nacional de Electrónica V Tecnologías de la Información V
comunlcectén de NYCE.
- GRUPO ADO.
- INTELI, S.C.
- REDIT.
- SIEr~ON.
- UNIVERSIDAD IBEROA~IERICANA.
Paginas
o Introducción 1
2 Referenc.ias 3
3 Términos y definiciones 4
4 Abreviaturas 7
5 Información general 8
8 Bibliografía 46
Apéndice A 48
(Informativo)
Competencias básicas y descripción de competencias del DEFR
Apéndice 6 51
(Informativo)
Requisitos mínimos de documentación para la transferencia de
evidencia
Apéndice e 52
(Informativo)
Normas que complementan a esta Norma Mexicana
NORMA MEXICANA
NMX-I-27037-NYCE-2015
o INTRODUCCIÓN
Esta Norma Mexicana proporciona las directrices para actividades específicas en el
manejo de evidencia digital potencial, estos procesos son; identificación, recopilación,
adquisición y preservación de la evidencia digital potencial.
Esta Nonna Mexicana también pretende informar a Quie-ne-s toman las decisiones, Que
necesitan determinar la fiabilidad de la evidencia digital que se les presenta. Es
aplicable a organizaciones necesitadas de proteger, analizar y presentar evidencia
digital potencial. Es relevante la presencia de organismos creadores de políticas que
creen y evalúen los procedimientos relacionados a la evidencia digital, a menudo como
perte de un organismo de mayor evidencia.
La evidencia digital potencial referida en esta Ncrma Mexicana puede estar disponible
desde diferentes tipos de dispositivos digitales, ..ede.s, bases de datos, etc. Se refiere a
datos que ya se encuentran en un formato digital. Esta Norma Mexicana no pretende.
cubrir la conversión de datos analógicos en un formato digital.
NMX-I-27037-NYCE-2015
2/52
Aunque esta Norma Mexicana no incluye preparación forense, una preparación forense
adecuada debe incluir la identificación, recopilación, adquisición y preservación de la
evidencia digital. La preparación forense es el logro de un nivel adecuado de capacidad
de una organización con la finalidad de que sea capaz de identificar, recopilar, adquirir,
preservar proteger y analizar la evidencia digital. Considerando que los procesos y
actividades descritos en esta Norma Mexicana son e-sencialmente medidas de reacción
usadas para investigar un incidente después de que ocurrió, la preparación forense es
un proceso proactivo de tratar de planificar este tipo de eventos.
Esta Norma Mexicana proporciona orientación para los siguiente.s dispositivos y/o
funciones que son usados en diversas circunstancias:
NOTAS:
2) Las circunstancias incluyen que los dispositivos mencionados anteñol1"(lente existan en varias
formas. Por ejemplo, un sistema automotriz puede incluir un sistema de navegación móvil. un
almacenamiento de datos y un sistema sensorial.
2 REFERENCIAS
Para la correcta aplicación de esta Norma f\1exicana se requiere consultar las siguientes
Normas Mexicanas vigentes o las Que las sustituyan:
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de esta Norma Mexicana se aplican las definiciones de la NMX-EC-
17020-IMNC, NMX-EC-17025-IMNC y la NMX-I-Z7000-NYCE, edemas de las siguientes:
Adquisición
NOTA: La autorización. la formación y la calificación son requisitos esperados y necesarios pera producir
evidencia digital ccnñabte, sin embargo algunas ctrccnseancies individuales pueden d.erivar en un
individuo que no -cumpla con estas carecterisricas, En este caso. la legislaciOn local. la política
organizacional y las circunstancias individuales deben ser consideradas.
Confiabilidad
Creación de imágenes
NOTA: La copia bit a bit, también es conocida como una copia física.
Ejemplo - Al creer la imagen de un disco duro. el OEFR también copia los datos que han sido
eliminados.
Individuo que pue-de llevar a cabo las tareas de un OEFR y Que tiene conocimiento
especializado, así como las habilidades y capacidades para manejar una amplia gama
de asuntos técnicos.
NOTA: Un DES puede tener un nicho de hebíbdedes .edklcnales, por ejemplo. conocimiento en redes.
memorias RAM.en el software del sistema operativo o conocimiento de servidores.
NOTA: Se entiende por recopilar üuntar en compendio recolectar; unir diversas evidencias digrtales).
3.12 Expoliación
Acto de hacer o permitir cambio (s) a la evidencia digital pot-encial Que disminuye su
valor como evidencia.
NOTA: Una facilidad de preservecén de evidencia no debe de estar expuesta a campos magnéticos. polvo.
vibración. humedad o cualquier otro elemento ambiental (como puede ser una temperatura extrema
o humedad} que puedan dañar la evidencia digital potenóal dentro de la facilidad.
Función usada para verificar Que dos conjuntos de datos son idénticos.
NMX-I-27037-NYCE-2015
6/52
NOTAS:
1) Dos conjuntos de datos no-idénticos no pueden producir una igualacion de una función de
verificación;
2) las funciones de verificación son comúnmente implementadas usando funciones hash como MOS,
SHA1, eee., pero se pueden usar otros métodos.
3.15 Identificación
Infonnación que está especialmente propensa a cambiar y que puede ser fácilmente
modificada.
NOTA: Un cambio puede ser el corte de energía eléctrica o la exposición de la informaoon a través de un
campo magnético. la Intcrrnaclén volátil también incluye información que cambia cuando el estado
del sistema cambia. Algunos ejemplos incluyen la memoria almacenada en RAMy las direcciones IP
dinémkes.
3.17 Manipulación
3.20 Periférico
3.21 Preservación
3.22 Recopilación
3.23 Repetibilidad
3.24 Reproducibilidad
Propiedad de que un proceso llevado a obtener los mismos resultados bajo diferente
ambiente de experimentación (diferente computadora, disco duro, modo de operación,
etc.).
Tiempo generado por el reloj del sistema y usado por el sistema operativo, no es el
tiempo estimado por el sistema operativo.
3.26 Validaci6n
Cadena de bits que es la salida de una función hash, véase la nonna que se indica en
el inciso C.~ del apéndice C.
4 ABREVIATURAS
CO Disco Compacto.
IP Protocolo de Internet.
UV Ultravioleta.
s Información general
La evidencia digital puede ser requerida para su uso en un sin número de escenarios,
cada uno de los cuales tiene un equilibrio diferente entre los impulsores de la calidad
de la evidencia, la puntualidad del análisis, la restauración del servicio y el costo de la
recopilación de la evidencia digital. Por ello es necesario que las organizaciones,
NMX-I-27037-NYCE-2015
9/52
En la mayoría de. las jurisdiccione-s y organizaciones, la evidencia digital está regida por
tres principios fundamentales: relevancia, confiabilldad y suficiencia. Estos tres
principios son importantes en todas las investigaciones, no sólo en aquellas en las que
la evidencia digital es aprobada en una corte. La evidencia digital es relevante cuando
va encaminada a aprobar o desaprobar un elemento del caso específico, inve.stigado. A
pesar de la detallada definición de "confiabilidad", e-sta puede variar entre las
diferentes jurisdicciones, el significado general del principio, "asegurar la evidencia
digital es lo que se pretende" está ampliamente sostenida. No siempre es necesario
que el DEFR recopile todos los -datos o haga copias completas de la evidencia digital
original. En muchas jurisdicciones, el concepto de suficiencia signifiGa que el DEFR
necesita recopilar suficiente evidencia dig_ital potencial que permita a los elementos
relacionados ser adecuadamente examinados o investigados. la comprensión de este
concepto es importante para el DEFR con la finalidad de priorizar el esfuerzo
adecuadamente cuando el tiempo o el costo es una preocupación.
NOTA: El OEfR debe asegurar que la reccpüacén de evidencia digital potencial es concordante con las
leyes y regulaciones de la jurisdicción local, como es requerido por las circunstancias especificas.
Todos los procesos usados por el DEFR y el DES se recomienda Que hayan sido
validados ante-s de .su+uso. Si la validación se lleva a cabo externamente, se
recomienda que el DEFR o el DES verifiquen que la validación e·s apropiada para su uso
específico en los procesos y en ambientes y circunstancias en los cuales los procesos
son aplicados. Es conveniente que el DEfR o el DES también:
5.3.1 Generalidade,s
NOTA: los materiales deben ser reunidos mediante las actividades de adquisición y/o recopilación.
Se recomienda que xsee posible para un asesor independiente, o para otras partes
interesadas acreditadas, evaluar las actividades realizadas por un DEfR y un DES. Esto
hace posible la apropiada documentación de todas las acciones' tomadas. Es
conveniente que el DEFR y el DES sean capaces de justificar el proceso de toma de
decisiones en la selección de un determinado curso de acción. los procesos realizados
por el DEFR y el OES deben de estar disponibles para la evaluación independiente para
determinar si se siguió un apropiado método científico, técnica o u,\pfocedimiento.
5.3.3 Repetibilidad
5.3.4 Reproducibilidad
La reproducibilidad se da cuando los mismos resultado.s de una prueba se dan bajo las
sig uientes condicione-s:
Es conveniente que el DEFR sea capaz de justificar todas las acciones y métodos
usados en el manejo de la evidencia digital potencial. La justificación puede ser
alcanzada mediante la demostración de que la decisión fue la mejor elección para
obtener la evidencia digital potencial. Otro DEFR o DES también puede demostrar esto
mediante la reproducción exitosa o la validación de las acciones y métodos usados.
Es parte del interés de la organización contar con un DEFR o OES que- posea
competencias básicas tal (On10 se describe en el apéndice ...~" de esta Norma
Mexicana. Esto asegura que los procedimientos y proce-sos seguidos sean los correctos
en el manejo de la evidencia digital potencial para asegurar la eventual preservación
de. la evidencia digital que pueda tener un valor probatorio. Esto también asegura que
las organizaciones son capaces de usar la evidencia digital potencial, por ejemplo, en
los procedimientos disciplinarios o en la facilitac,ión del intercambio de evidencia digital
potencial entre jurisdicciones.
NOTA: La competencia descrita en el apéndice "A" se limita a la función del DEFR. fa cual está alineada con
el rol del DES como se define en el inciso 3.10.
5.4.1 Generalidades
A pesar de que el proceso completo del manejo de (a evidencia digital incluye otras
actividades (por ejemplo, presentación, disposición, etc.), el alcance de esta Norma
Mexicana se refiere únicamente al proceso inicial del manejo de la evidencia, que
consiste en (a identificación, recopilación, adquisición y preservación de la evidencia
digital potencial.
La evidencia digital puede ser frágil por naturaleza. Puede ser alterada, manipulada o
destruida por un manejo o examinación inapropiados. Es conveniente que los
manipuladores de la evidencia digital sean competentes en la identificación y el manejo
de riesgos y consecuencias de los potenciales cursos de acción cuando trabajan con
evidencia digital. Una talla en el manejo de dispositivos de evidencia digital de una
manera inapropiada, puede generar que la evidencia digital contenida en estos
dispositivos sean inutilizebles,
NMX-I-27037-NYCE-2015
12/52
5.4.2 Identificaci6n
La evidencia digital e-s representada de forma fisica y lógica. La forma física incluye la
representación de datos dentro de un dispositivo tangible. La forma lógica de la
evidencia dig ital potencial hace referencia a la representación virtual de los datos en
un dispositivo.
Los incisos 6.1 y 6.6 proporcionan información sobre la cadena de custodia, aspectos
de empaquetamiento o embalaje y etiquetado de la identificación de la evidencia
NMX-I-27037-NYCE-2015
13/52
5.4.3 Recolecci6n
Una vez que se identifican los dispositivos digitales que pueden contener evidencia
digital, se recomienda que- el DEFR y el DES decidan si la evidencia es recolectada o
adqu-irida en el siguiente proceso. Existen diversos ractores de decisión para esto,
estos factores se discuten en el capítulo 7. Se recomienda que fa decisión se base en
las circunstancias del incidente.
NOTAS:
2) Se recomienda que los detalles en dispositivos digitales no recolectados sean documentados con
justificación para su exclusión, de acuerdo a Jos requisitos de la:juñsdícción aplicable.
5.4.4 Adquisición
Se recomienda que los métodos usados para adquirir la evidencia digital potencial
estén documentados clarernente a detalle y, tan practico como sea posible, ser
reproducibles o verificables por un OEFR competente. Se recomienda que el DEFR o el
DES adquiera la evidencia digital potencial de. fa manera menos intrusiva posible, con
la finalidad de evitar la introducción de cambios. Se recomienda que en la ejecución de
este proceso, el DEFR considere el método más apropiado. Si el proceso resulta e·n una
NMX-I-27037-NYCE-2015
14/52
En la-s circunstancias en las que e,1 proceso de verificación no se puede llevar a cabo,
por ejemplo, cuando se pretende la adquisición de un sistema que e-sta en ejecución, la
copia original contiene sectores erróneos o el periodo de tiempo para la adquisición es
limitado, se sugiere que- el DEFR use el mejor método posible disponible y sea capaz de
justificar y defender fa selección del método. Si e-s necesario, se recomienda que el
método de adquisición sea capaz de obtener los espacios asiqnados y no asignados.
NOTAS:
1) Cuando el proceso de verificación no se puede llevar a cabe en la fuente ccmpleea debido. a errores
en la fuenee, entonces se debe utilizar una verificaóon que pueda leer cerffiablemente estas partes
de la fuente.
Pueden existir instancias en las que no. es factible o permisible crear una copia. de la evidencia
digital de una fuente de evidencias, cerne cuando. la fuente es demasiado. larga. En estas instancias.
el DEFR lleva a cabe una adquisiciOn lógica, cvvcs objetives únicamente especifiquen les tipes de
datos, dfrececrics o lccaliaecícnes, Este por le general se lleva a cabo en un archive y nivel de
partición. Durante la adquisición lógica, les archivos activos y el espado asignado. no. basado en
archives en el medkl de almacenamiento digital se recomiende sean copiades. Otras instancias
dende este método. es útil puede ser cuando. se trata de sistemas de misión moca y no. se pueden
apagar.
2) Algunas jurisdicciones requieren tratamiento especial para la info.rmación, por ejemplo, sellar la
evidencia en presencia del dueño. de la Informecién. El sellado. debe hacerse de acuerdo a los
requisitos locales (procedimientos legislativos).
5.4.5 Preservación
En cualquier investigación es convenie-nte que el DEFR sea capaz de dar cuenta de toda
la información y dispositivos adquiridos en el tiempo que se encuentra en custodia del
DEFR. El registro de la cadena de custodia es un documento que identifica la
cronología del movimiento y el manejo de la evidencia digital potencial. Es conveniente
que sea instituido un proceso de recolección o adquisición. Esto se logra típicamente
mediante el trazado de la historia de cada elemento desde el momento en el que fue
identificado, recolectado o adquirido por el equipo de investigación, hasta su costado y
localización presentes.
Quién tuvo acceso a la evidencia, asi como el fugar y la fecha en que sucedió;
Por qué fa evidencia fue retirada (con qué propósito y en qué) y la autoridad
relevante, si aplica;
NOTA: Algunas jurisdicciones pueden tener requlsucs especiales respecto a la cadena. de custodia. el DEfR
se debe adherir a esos requisitos.
6.2.1 Generalidade,s
Asegurarse que los individuos se muevan lejos de los dispositivos y fuentes de.
alimentación;
Documentar a las personas que tengan acceso al lugar y a las personas que
tengan razones para estar involucrados en" la escena del incidente;
NOTAS:
2) Los DEFRs necesitan estar al tanto de que la evidencia digital potencial no esté siempre en una
ubicación obvia. como en el caso de almacenamiento distribuido o virtual izado.
6.2.2 Personal
¿El áre-a que rodea la zona del incidente puede tener impacto en el riesgo
potencial?
Se recomienda Que el DEFR sea cuidadoso cuando use una herramienta específica para
la recolección o adquisición de la evidencia digital potencial. El hecho de no calcular los
riesgos antes de actuar puede resultar en la pérdida de una parte o toda la evidencia
digital potencial debido a la tecnología aplicada durante la recolección o adquisición. Es
conveniente que- los riesgos sean evaluados para reducir exposiciones que puedan
provocar daños.
¿Es posible el acceso remoto a alguno de los dispositivos digitales, esto implica
una amenaza a la inte-gridad de la evidencia?;
El DEFR tam bién puede requerir la asistencia de soporte técnico del personal
especializado en éreas relacionadas. El rol de un DES incluye el abastecimiento del
soporte técnico al OEFR en la identificación, recolección, adquisición y preservación de
la evidencia digital potencial en la escena del incidente. El OES provee e-xperiencia
personalizada al OEFR. la matriz de competencias del DEFR {véase el apéndice "AH)
sirve como una guia para identifica-r su nivel para las competencias relevantes.
NOTA: En el contexto del manejo de incidentes donde el ISIRT des,empeña los roles del DEfR ylo CES
como miembros del equipo ISIRT se discuten en la norma que se indr· a en el inciso e.s del
apéndke e.
6.4 Competencias
Evitar cualquier acción que pueda llevar a una expoliación de la evidencia digital
potencial almacenada en los dispositivos digitales debido a accicnes intencionales o no
intencionales. Por ejemplo, la exposición a campos magnéticos puede expoliar la
evidencia digital potencial contenida en un medio de almacenamiento magnético. Se
recomienda que el DEFR no acceda a los dispositivos digitales, como la realización de
un volcado de memoria de un dispositivo digital en vivo, a menos que tengan la
competencia requerida y con el uso de procesos confiables y validados.
Si existe alguna obligación para usar otros métodos (por ejemplo, evitar la
interrupción del negocio);
6.6 Documentación
6.7 Instrucciones
6.7.1 Generalidades
Es esencial para el DEFR y el DES tener las instrucciones adecuadas por la autoridad
relevante antes de llevar a cabo sus tareas, en lo referente a la confidencialidad, leyes
y restricciones (por ejemplo, conocimiento básico necesario), Es importante tener una
sección de instrucciones formales para entender el incidente, qué se espera y que no
ocurra durante la investigación, y un recordatorio contra la manipulación y expoliación
de la evidencia. Es conveniente que las instrucciones sean suficientes para que los
miembros estén bien preparados en la realización de sus roles y responsabilidades,
asegurando la extracción de toda la evidencia digital potencial relevante.
Factores legales o de otro tipo que son aplicables y Que prohíban la recolección
de cualquier dispositivo digital o de la evidencia digital potencial que oontienen.
Una sesión de. instrucciones debe enfocarse explícitamente en la guía del personal
específico para informar a los. DEFRs, cuátes 50n los aspectos pertenecientes a las
partes involucradas en la investigación. Durante la sesión de instrucciones, el equipo
investigador será provisto de las instrucciones relacionadas al personal específico.
Éstas pueden incluir:
Mandato de la investigación;
Plazo de la investigación;
Información logística; y
Se recomienda que el OEfR evite situacione.s en las que las acusaciones de una
tendencia inherente puedan llevarse a cabo. Un ejemplo de tendencia inherente es
cuando un DEfR copia a una computadora y no otra (que posteriormente. es la que
contiene la evidencia exculpatoria) basada en la percepción formada en la sesión de
instrucciones.
Priorizar la evidencia digital potencial que pueda ser perdida para sie-mpre si la
energía es removida; y
Tomar acciones rápidas para recopilar y adquirir este información con métodos
validados.
NOTAS:
1) Algunos datos volátiles pueden cambiar debido a factores que incluyen, pero no se limitan a la
ubícacién. tiempo y cambios del ambiente que rodea a los depcsmvcs, asegurar que la informadoo
sea preservada antes de mover el drspositivo;
2) Los dispositivos digitales que contienen la evidencia digital pueden ser una fuente de evidenda ñsica
(por ejemplo, huellas, AON, eic.). Los DEFRs necesitan tener cuidado de no expolia.' tal evidencia y
cccrdtnerse con otros recolectores de evidencia relevantes antes de proceder con las actividades
siguientes.
3) Cuando se sospecha de cifrado o rnefwere, es deseable examinar la informaoon volátil.
NOTA: El uso de una bolsa de Faraday, u otro empaque de blindaje de. radiofrecuencia puede aumentar el
drenado de la bareria de un teléfono móvil. Esto puede requerir el abastecimiento de una fuente de
alimentación para el dispositivo que reside en estos empaques.
Se recomienda que las actividades básicas se lleven a cabo, a menos que haya una
buena razón para no hacerte. Esto también puede refedrse como el mínimo de
actividades que se sugiere se realicen. Durante .el empaquetamiento o embalaje es
conveniente que el DEFR anote y lleve a cabo las siguientes actividades básicas:
NMX-I-27037-NYCE-2015
25/52
No tocar la cinta magnética, recoger las cintas por su estuche. protector o las
áre.as que se sabe que no contienen datos (por ejemplo, orilles de 105 discos
ópticos). Esto sólo puede hacerse si el DEFR tiene guantes libres de pelusa;
NOTA: las áreas específicas de medios de almacenamiento que se sabe que no contienen
información dependen del tipo de medio. Es la responsabilidad del DEFR conocer la
tecnología que se investiga y estar familiarizado con su manejo.
Utilizar guantes libres de pelusa para asegurar que las manos están limpias y
secas,
NOTA: Es conveniente que el DEFR asegure que la recolección de información sensible o personal está
permitida por las leyes y regulacjones sobre protección de datos de la jurisdicción local.
7.1.1 Identificaci6n
Antes de que una recolección o adquisición puedan llevarse a cabo, los aspectos de
seguridad de la evidencia digital potencial necesitan ser considerados. E,stos aspectos
se describen e-n los incisos 6.2.1 y 6.2.2. Es conveniente que el DEFR cuide, sin
embarco, que se asegure que un equipo aparentemente independiente no haya estado
conectado recientemente a una red. Cuando se sospeche que un equipo independiente
ha sido desconectado reciente Inente de una red, se recomienda considerar como un
equipo de red para asegurar Que otras partes de la red se manejen correctamente" Se
sugiere que el OEFR anote y realice al menos lo siguiente:
NMX-I-27037-NYCE-2015
28/52
NOTAS:
El DEfR también puede necesitar recopilar alguna evidencia al hablar con las personas
que puedan tener información útil o relevante acerca de la evidencia digital potencial o
dispositivos diqitales a ser recopilados. Cualquier respuesta se sugiere sea
documenteda con precisión. Estos individuos pueden incluir el administrador del
sistema, el propietario del dispositivo y los usuarios de las computadoras y los
dispositivos periféricos. Durante esta recopilación de pruebas verbales, el OEFR puede
solicitar información como lo es la configuración del sistema y la contraseña de
administrador / la contraseña del usuario root. Esta información adicional puede- ser
útil en la etapa de análisis de la evidencia digital potencial. Estas conversaciones se
suqiere sean documentadas para asegurar que los datos son precises y la declaración
documentada no se pueden cambiar. El DEFR necesita estar familiarizado con los
requisitos jurídicos releva ntes relativos a la recopilación de la evidencia ro digital.
No so No
7.1.2 Recopilación
El OEfR puede seguir las directrices para la recopilación cuando el dispositivo digital
esta encendido. No todas las directrices son ideales y apropiadas para todos los casos;
algunas directrices solo son relevantes para casos específicos. En consecuencia, fas
directrices pueden ser categorizadas COITIO un-a actividad básica o adicional. las
Actividades básicas pueden aplicarse en todas las "circunstancias. La figura 2 ilustra las
actividades básicas y -adicionales aplicables a encender los dispositivos digitales de
recopilación.
NMX-I-27037-NYCE-2015
31/52
1:1'
...._ •• "_a><'>.d.oO~
Y c> .. :I.II.~ tudo.
1". ~¡ •• Y p ... <t_ d. 1... ci..... ".III""'• .,
(010<:4' "NI O~ ~obre el !r(CO'>'UIXOI' (le
"timen!'I'Q"'"
--------.,
I:.,.,..jo el. b • ..,pe ....
lI¡j¡(¡)<'IdC'~cle .c:~o
~
L-_.,__ -',
(YI 4lrOl'ln«,s :-50~'" CO$
J
I- ,~~,
NOTA: Es conveniente que todas estas actividades sean de acuerdo con las leyes y regulaciones
jurisdiccionales locales.
Es responsabilidad del OEfR conocer la tecnología actual y estar falniliarizado con las
guías del manejo de medios de almacenamiento.
Las siguientes actividades básicas se recomienda sean seguidas por el DEFR en todos
los casos de evidencia digital potencial. Estas directrices se aplican cuando el DEFR ha
decidido que el dispositivo de encendido digital se debe recopilar:
NOTAS:
2} Hay dispositivos de hardware que permiten el encendido del dispositivo para desconectarse
de la red eléctrica y que son transferidos a UPS portátiles sin interrumpir la alimentación al
dispositivo. Hay ratones jigglers que pueden ser usados para prevenir que se active el
protector de pantalla. Ambos dispositivos proveen herramientas útiles cuando se trata de un
dispositivo de encendido cifr.ado que puede estar activado. OJan-do un dispositivo de
encendido se recoge de tal manera que se mantiene el poder, el embalaje' y el transporte de
un sistema en funcionamiento tienen que abordar les pro.bSemas asociados con el suministro
de .-efrigeración. prcteccén contra golpes mecánicos. etc.
NOTA: Si algún dispositivo de inido se deja cuando la maquina se vuelva a conectar, puede
errencer desde los medios de comunicación en lugar del dis-coduro (como una unidad flash
o herramientas de forense) dependiendo de la configuración BIOS de las computadoras.
NMX-I-27037-NYCE-2015
33/52
7.1.2.2.1 Generalidades
~¡:o:;:"';:.;;:":;;"::.'_..L._..,..._...,
I"'!IMO~II'~
¡¡:tlr;, n.:-:m:C!~ .;r:¡;i)'f
I);¡IIII¡~
.\t.oe,lc ""¡~lIcJe",$(OWI'O'I)\
UCQIlIII"_ .. <1-1 ,,,,,., lo
.......
¡ .."
"hn~., 1... ", ..:110'
UIIC'O~.I.u <l • .0 ........ <10.... n
,.c ,,+.-..e-me.c •• ~.df¡e~c
o. ",.¡j'6C
hlq<: 'OIUO" ... Oy
OO( ... mll (~tlOOOS- '0$
o;I.;e¡,' '"~
L. ~-----{~~r
Es responsabilidad del OEfR conocer la tecnología actual y estar familializado con las
guías del manejo de medios de almacenamiento.
Desconecte y asegure todos los cables de los dispositivos digitales y etiquete los
puertos para que el sistema pueda ser reconstruido en una etapa posterior;
NMX-I-27037-NYCE-2015
34/52
NOTA: En la mayoría de los casos, es conveniente que &osmedios de almacenamiento no sean retirados del
dispositivo digital hasta que va a ser adquirido como la expulsión aumenta el riesgo de daño o
confusión con Otro medio de almacenamiento. Los procedimientos locales con respecto a tener que
quitar los medios de almacenamiento de dispositivos digitales deben desarrollarse y seguirse.
Si las condiciones del lugar requieren que ef disco duro sea retirado, se
recomienda que el OEFR cuide la tierra del dispositivo digital para evitar que la
electricidad estática dañe el disco duro. De lo contrario, el disco duro no Se
debe quitar en el lugar. Etiquetar el disco duro como disco sospechoso y
documentar todos los detalles, como la marca, el nombre del modelo, el
número de serie y el tamaño del disco duro;
NOTA: Si algún dispositivo de inicio se deja cuando la máquina se vuelva a conectar, puede arrancar desde
los medios de comunicación en lugar del disco duro (como una unidad flash o herramientas de
forense) dependiendo de la configuración BIOS de las computadoras.
7.1.3 Adquisición
7.1.3.1.1 Generalidades
Existen tres escenarios en los cuales la adquisición puede necesitar estudio, cuando los
dispositivos digitales estén encendidos, cuando estén apagados y cuando están
encendidos pero no pueden ser apagados (tales como dispositivos digitales de misión
crítica). En todos estos escenarios, se requiere Que el DEFR haga una copia de la
evidencia digital precisa de los medios de almacenamiento de los dispositivos digitales
de los que se sospecha Que contienen evidencia digital potencial. Si no se puede
obtener una imagen, pueden Ser adquiridos de copias exactas de archivos específicos
sospechosos que contengan evidencia digital potencial. lo ideal es que sean
NMX-I-27037-NYCE-2015
35/52
producidas tanto una copia maestra verificada como copias de trabajo. La copia
maestra no se recomienda sea utilizada de nuevo a menos que sea necesario verificar
el contenido de fa copia de trabajo o producir una copia de trabajo de reemplazo
después de un daño a la primera copia de trabajo.
El DEFR puede seguir una serie de guias para la adquisición cuando el dispositivo
digital -se encuentra encendido. No todas las guías son ideales y apropiadas para todos
los casos; algunas guias son únicamente relevantes para casos específicos. Por lo que
las guias se pueden categorizar corno actividad básica o adicional. Se debe considerar
la posibilidad de que en el encendido del sistema pueda entrar en modo de protector
de pantalla o el bloqueo automático "'b que estas son consecuencias de cualquier
esfuerzo necesario para prevenirlos. Por ejemplo, el uso de un mouse-jiggler requiere
que un USB con clave de entrada al registro lleve a cabo modificaciones por cualquier
medida adoptada. Es conveniente que el uso de métodos fiables minimicen las
consecuencias de tales acciones. la figura 4 ilustra la actividad básica y adicional
aplicable al encendido en la adquisición del dispositivo digital.
...
,,
,
~::;!"!;I;.":; :'!:,!".:I:.-" ..
Las siguientes son las actividades básicas que se deben seguir por el OEfR en todos los
casos de posible adquisición de evidencia digital en el encendido de dispositivos
digitales:
El DEFR nunca debe confiar en lo-s programas y en los sistemas. Por esta razón,
se recomienda siempre que sea posible usar herramientas de confianza
obtenidas por el DEFR (binarios estáticos). El DEFR debe ser competente para
utilizar herramientas validadas y ser competenteapara darse cuenta de los
efectos de tates herramientas que pueden tener en el sistema (por ejemplo, el
desplazamiento de la evidencia digital potencial, el contenido de la memoria de
paginación cuando el software se carga etc.), Todas las acciones realizadas y
los cambios resultantes hechos a la evidencia digital potencial deben ser
documentados y comprendidos. Si no es posible determinar el posible efecto de
la introducción de herramientas para el sistema o los cambios resultantes no se
puede determinar con certeza, esto también debe ser documental:lo;
NOTA: En situaciones donde el dispositivo está bloqueado el acceso fislcc puede serílevedc a cabo a través
de otros medios que tiene acceso directo a la memoña, por ejemplo la interfaz Firewire,
criptoqraña. Cuando este es el caso, hay que tener en cuenta que el sistema
operativo host en vivo puede ser poco fiable y considerar el uso de
herram ientas fiables y validados adecuados;
Puede ser apropiado asociar al OEFR con la evidencia digital potencial adquirida,
utilizando firmas digitales, biometría, fotografías o vídeo, entre otros;
NOTA: La acción de presionar el botón de encendido de un dispositivo digital se puede configurar pare
iniciar una secuencia de comandos que puede alterar la información ylo eliminar la informa'Ción del
sistema antes de apagar o para akrtar a los sistemas conectados que han producido un evento
inesperado para que puedan borrar antes de que se identifican los datos de valor prcbatcric.
También puede ser configurado para activar un dispositivo destinado a causar daño ñsico a la DEFR
y otras personas presentes.
7.1.3.2.1 Generalidades
Parar
documentar todos los detalles, como la marca, el nombre del modelo, número
de sede y el tamaño del almacenamiento;
Ejecutar el proceso de formación de imágene-s mediante el uso de una
herramienta de imagen validado para crear una copia de la evidencia digital del
disco sospechoso.
NOTA: En la mayoría de kls casos, se sugiere que los medios de almacenamiento no sean removidos del
aparato digital hasta que sea adquirido o removido. esto incrementa el riesgo de daño o puede
ccnfundjrse con otro medio de almacenamiento. Deben ser desarrollados y seguidos prccedfmentos
locales relativos a la necesidad de eliminar los discos duros.
Cuando solamente se seleccionan datos para ser adquirida que contiene otros
datos irrelevantes dentro del mismo sistema¡ o
Cuando se está limitado por la autoridad Ie.gal, como una orden de allanamiento
que limita el alcance de la adquisición.
Identificar carpeta (s), archivo (s) o alguna propiedad relativa de las opciones
del sistema disponibles para adquirir los datos deseados;
Se pueden encontrar varios tipos de medios de. almacenamiento digital en una escena
del incidente. Por lo general, estos son del tipo menos volátil de datos y pueden ser la
prioridad más baja durante (a recolección y la adquisición. Esto no Quiere decir que no
sean importantes, porque en muchos casos, los medios de almacenamiento digital
externos contienen la evidencia que e-stán buscando los analistas. El DEFR necesita
asegurar lo siguiente:
NMX-I-27037-NYCE-2015
39/52
Etiquete todos los medios de almacenamiento digital y las piezas asociadas con
ellos. Es conve-niente que las etiquetas de las evidencias no sean colocadas
directamente sobre las partes mecánicas de los medios digitales, ni cubran u
oculten información importante como el número de serie, número de modelo y
número de parte. Todos los medios recogidos deben ser adquiridos y
almacenados de forma que garanticen la integtidad de los medios recogidos. Es
conveniente cuando sea posible que la evidencia sea sellada con precintos de
seguridad y el DEFR o personal encargado debe firmar en la etiqueta;
7.1.4 Pre,servación
Una vez completado el proceso de adquisición, es conveniente que el DEFR selle los
datos adquiridos utilizando funciones de verificación o firmas digitales para determinar
que las copias en las pruebas digitales son equivalentes a fas oriqineles. Además, los
aspectos de seguridad requieren controles que apliquen los principios de la
preservación de la confidencialidad, integridad y disponibilidad de la evidencia digital
potencial. Con el fin de proteger contra la expoliación, se recomienda que los aspectos
ambientales 'Se aborden con medidas adecuadas. El DEFR necesita asegurar lo
siguiente:
Puede ser apropiado asociar al DEfR con la evidencia digital pote-ncial adquirida,
utilizando firmas digitales, biometría y la fotografía.
largo de su vida útil, que puede variar entre las distintas juri-sdicciones y la política de
la organización.
NOTA: Como una alternativa al sellado de los dates adquiridos con funciones de verificaoOo o firmas
digitales, el DEFR también puede usar las cereceerísnces biométricas. La biomerria utiliza
características ñskas y de comportamiento para determinar la identidad de un individuo.
Adjuntando una cerecterisrica biométrica para pruebas obtenidas, se puede asegurar que la
evidencia no puede ser alterada sin compromete.' la característica bicrnétrica.
7.2.1 Identificaci6n
7.2.1.1 Generalidades
Identificación del equipo en la red: dirección ¡P, dirección MAC, usuario de red
entre otros.
NMX-I-27037-NYCE-2015
41/52
Debido al pequeño tamaño en general de 105 dispositivos móvile-s, el DEFR tiene que
tener un cuidado especial para identificar todo tipo de dispositivos móviles Que puedan
ser relevantes para el caso. El OEFR nece-sita asegurar la escena del incidente
sospechado y asegurarse de que no hay personas Que eliminen cualquier dispositivo
móvil o digital de la escena. Los dispositivos digitales Que pueden contener evidencia
digital deben estar protegidos contra el acceso no autorizado.
NOTA: En algunos casos, la comunicación no debe ser interrumpida. Informar a las persones autorizadas
acerca de los posibles problemas (por ejemplo, por no advertir a los individuos desconocidos sobre
el dispositivo de parada}.
7.2.2.1 Generalidades
NOTA: Es fundamental contar con procedimientos sólidos, normas que empleen herramientas validadas,
junto con una buena documentación V un DEFR capacitado y con e:-:periencia.
Generahnente, los dispositivos móviles como PDAs y los teléfonos móv)les tienen que
estar encendidos para adquirir la evidencia digital potencial. Estos dispositivos pueden
alterar continuame-nte su entorno operativo, mientras que encendido, por ejemplo, el
tem porizador del reloj puede ser actualizado. El problema asociado es que dos copias
de evidencia digital del mismo dispositivo no pueden pasar funciones de verificación
estándar, tales como hash. En esta situación, puede ser más apropiado funciones
alternativas de verificación que identifican áreas de convergencia y / o difere-ncia.
Antes de desconectar las redes de .cable, se recomienda que el DEFR trace las
conexiones con los dispositivos digitales y etiq uete tos puertos para la futura
reconstrucción de toda la red. Un dispositivo puede tener más de un método de
comunicaciones. Por ejemplo, un equipo puede tener cableados LAN. un módem
inalérnbricc y tarjetas de telefonía móvil. los PEOs tembién se pueden conectar
a la red a través de V/i-fi, conexione-s bluetooth o conexiones de red de
telefonía móvil. Se recomienda que el OEfR trate de identificar todos los
métodos de comunicación y lleve a cabo actividades apropiada-s contra la
de-strucción de la evidencia digital potencial;
NOTA: Es posible implementar una fOl'ma de red mediante dispositivos de almacenamiento extraibles como
los medios de transmisión. Es conveniente que el DEFR considere si los dispositivos que están
recog;dos pueden haber sido utilizados de esta manera y buscar informacjÓo acerca de los otros
dispositivos en un sneekernet.
En la situación e-o la que los dispositivos están conectados a una red, hay una
posibilidad de que los dispositivos estén conectados en más de una (1) red fisico y I o
virtual. Por ejemplo, un dispositivo que parece haber uno (1) visible en conexión de
red física puede de hecho e-star en marcha en una Red Privada Virtual (VPN) y la
máquina virtual con más de una (1) dirección IP. Como tal, antes de desconectar el
dispositivo de fa red, se recomiende que el DEFR lleve a cabo (a adquisición lógica de
los datos relacionados con la conexión de red lógica, (por ejemplo, la conectividad de
Internet). Los datos relacionados incluyen, pero no se limitan a las tablas de
configuración y de en rutamiento IP.
NOTAS:
NOTA: Todos los métodos de bloqueo del acceso inalámbrico a redes debe ser validada para su
uso en las frecuencias apropiadas. Se recomienda que esta validación se extienda a los
cables que pasan por el blindaje.
El uso de un sustituto (U) SIM que imita la identidad del dispositivo original ¿-
impide el aoceso a la red por el dispositivo. Estas tarjetas son capaces de
engañar al dispositivo a aceptarlos como el original (U) SIM y permitir que los
exámenes se lleven a cabo de manera seg ura en cualquier lugar. Se
NMX-I-27037-NYCE-2015
45/52
recomienda que la (U) SItvl sea validada para el dispositivo y la red antes de su
USO;
El DEFR puede nevar a cabo la adquisición en vivo del dispositivo móvil antes de retirar
la batería (por ejemplo, para acceder a la tarjeta 31M). Esto se puede hacer con el fin
de evitar la pérdida de información potencial importante en la RAtVldel teléfono o para
acelerar el proceso de e-xamen (por ejemptoc.donde ae.cree. que...el dispositivo puede
estar protegido por un P1N y / o PUK que torne una cantidad significativa de tiempo
obtener).
NOTA: Es conveniente que el DEFR garantice que la recopilación y la adquisición de la evidencia digital
potencial es conforme con las leyes y regulaciones jurisdiccionales lcceles, según sea necesario de
acuerdo a las-circunstancias especificas.
Hay algunas opciones que el DEFR puede optar para adquirir la evidencia digital
potencial de los sistemas de CCTV:
3) Adquirir los archivos de video a través de una conexión de red. Esto puede
estar disponible si el sistema de circuito cerrado de televisión (CCTV) está
equipado con un puerto de red;
NOTA: la calidad de las imágenes de vídeo exportado puede no ser tan bueno como el
material del archivo original.
memoria USB, una copia maestra permanente debe hacerse a partir de estos
tan pronto como sea posible¡
NOTA: Algunos sistemas tienen un disco duro extraible en un caddy, pero este disco duro puede requerir
hardware del sistema para 'SU reproducción.
APÉNDICE A
{Informativo}
Optimizadón del
Requisitos de la Formular y ejecutar el procese de
Seguridad general de proceso de reccleccléru
herramienta y la
la reccplleclén de recclecciéru reunir documentar la
epllcaclón del
datos; principios y e~ pruebas; generar evidencia de que no so¡¡
embalaje de la puede adquirir, debido
diseño de las documentos de
evidencia digital, la
Recolección de herramientas básicas; evidencia; cadena de a diversas
protección frente a las
2 evidencia digital amenazas determinar el mejor custodia de las limitaciones: recopilar
método de recolección pruebes¡ control de contraseñes, claves,
_1 ambientales, Las
áreas cubiertas para preservar la calidad del proceso de dongles. y otra
máxima información reccpílectén de información necesarios
incluyen la garantía
relevante al incidente, pruebas; entrevista para llevar a cabo el
de la infcrmeclón.
al sospechoso. análisis en el
laboratorio,
3 Adquisicion de la Aplicar los requisitos Comprender la Conocer l. forma de Capacidad para lleva.'
evidencia digital de adquisición de la información disponible determinar los e cabo l. adquisición
evidencia digital en sus dispositivos requisitos de de medios de
potencial en forma digitales, bases de almacenamiento; almacenamiento
lógica. garantizando datos. el slsterna ejecutar el digital. incluyendo
repetlbllldad, genel'a documentos. procedimiento de RAID. base de datos.
auditable reproducible generados por los adquisición de aplicaciones y
y defendible. las usuertcs de datos y imágenes (por dispositivos
áreas cubiertas son la datos volátiles; Unix y ejemplo. la mini.aturizados:
adquisición realizada Windo\'Is estructures edquistclén de medios entender las
en un sistema de archivos del de almacenamiento dependencias y el
encendido. la sistema y digital. parciales y impacto en diversos
adquisicion reelizade electrcdcméstíecs: totales); adquisición métodos de
en un sistema de conciencie del impacto reeltaeda en un edquisicién.
lapagado y análisis "en ló's datos volátiles. sistema potenda. la
forense de redes. adquisidón realizada
en un sistema
apagado; gene.'ación
de valor hash.
I \
, I
I
I
I
NMX-I-27037-NYCE-2015
SO/52
4 Preservación de Aplicar y evaluar los Entender los Saber cómo generar Aplicar medidas para
evidencia digital requisitos para la requisitos y documentos de asequrar la evidencia
preservación de la procedimientos para auditada pruebas; digital. en forma de
evidencia digital el mantenimiento de definir los perémetros grandes dispositivos a
potencial, ccrnprender la cadena de custodia para los documentos; dispositivos portátiles
los factores y en contra de los información de rniniaturiaedos r
perérnetrcs que requisitos legales; seguridad del procedimiento para
influyen en su impacto ambiental, aseguramiento. las documentar los
.:xactitud. Las áreas como la humedad, la amenazas, la detalles de la
cubiertas son la temperatura y el vulnerabilidad y los evidencia,
metodología. el C'tloque hada los controles de la
mantenimiento de la dispositivos digitales; evidencia digital.
cadena do: custodia, entender las opciones
manejo de de embalaje.
computadora y transporte y los
dispositivos de requisitos de
manejo de medios de almacenamiento.
almacenamiento
digital.
1 se
APÉNDICE B
(Informativo)
Se recom ienda que el OEFR sea responsable de los datos adquiridos y los dispositivos
digitales en todo momento mientras e-stán bajo su custodia. A fin de mantener este
control, el DEFR necesita ser debidamente autorizado, capacitado y calificado. Sin
embargo, dado que la ley local e·s un factor determinante en la capacidad de una DEFR
de adherirse a los tres requisitos previstos, la competencia de un OEfR puede variar de
una jurisdicción a otra. Como resultado, es posible que los requisitos de la
documentación para la transferencia de la evidencia digital jurisdiccional no sean
iguales en las diferentes jurisdicciones.
Una orden judicial que especifica qué documentación necesita ser transferida y
el motivo de la transferencia.
NMX-1-27037-NYCE-2015
52/52
APÉNDICE C
(Infcrrnativc)
En tanto no se elaboren las Normas M~xicanas, Se debe usar de manera supletoria las
siguientes normas: