La cadena de custodia aplicada a la informática – Parte 2

En el artículo anterior hablábamos de la cadena de custodia, aplicada a la

informática. En este nuevo artículo pretendemos explicar de forma breve las fases
que intervienen en el estudio y manipulación del material informático objeto de
custodia.
Según bastantes manuales y artículos estudiados, relativos a la cadena de custodia
en general, podemos resumir que la prueba pasa por diferentes fases o procesos
procedimentales que, en la mayoría de los casos se reduce a cuatro estadios. A
saber:

1. Extracción de la prueba
2. Preservación y embalaje de la prueba
3. Transporte o traslado seguro de la prueba
4. Traspaso seguro de la prueba, al laboratorio u organismo competente que la
reclame.

Por lo general, estas fases valdrían para ser usadas

en cualquier tipo de prueba. Sin embargo, esta
clasificación no deja de ser algo ambigua. En
informática contamos con algunas ventajas, como la
capacidad de clonado de dispositivos, entre otras,
que dan mayor autonomía a la hora de trabajar con
el material custodiado, en contra de otras pruebas
de origen orgánico, que precisan unos protocolos de
conservación muy específicos. Pensando en la
custodia de la prueba informática nosotros proponemos un protocolo basado
igualmente en cuatro puntos, –más que nada para respetar la uniformidad de
criterios-, y que hemos denominado IPAP. Esto es:

1. Identificar
2. Preservar
3. Analizar
4. Presentar
Identificar: Cuando se accede a la prueba es preciso identificar claramente
(acompañándolo a ser posible con documentación gráfica) el objeto con el que
vamos a trabajar. Información importante, como los números de serie, Part
Number, código de fabricante, marca, modelo, características, etc., del dispositivo
son esenciales en la identificación. Todos estos datos son precisos para identificar
la prueba. De esta forma dejaremos claro en todo momento que el dispositivo que
se obtuvo en su momento el día de la incautación de la prueba, es el mismo con el
que estamos trabajando o, en su defecto, con una copia del mismo, de igual forma
perfectamente identificada. Esto recuerda al famoso acrónimo “wysiwyg” (What
you see is what you get) que se utilizaba en los albores de la programación
gráfica. Aunque quizá esto sólo lo recuerden los programadores más viejos.

Preservar: la conservación de la prueba original es una de las grandes ventas con

que cuenta la informática forense. Como ya hemos dicho en otras ocasiones, en
muchos casos será posible hacer clonaciones (duplicados exactos) del contenido
existente en un dispositivo de almacenamiento de información.
Esto nos permitirá trabajar sin miedo –pero siempre respetando un estricto
proceso de actuación pericial-, con las unidades clonadas, como si de las originales
se tratara. En este caso –y antes de proceder al análisis de la información
existente en el dispositivo clonado-, será preciso volver al paso uno, e identificar
convenientemente el nuevo dispositivo.

¿Y por qué es preciso empezar de cero con la copia obtenida? Muy sencillo: Si la
prueba pericial se obtiene de la copia –como clonación exacta que es del original-,
será preciso también referenciarla correctamente para, una vez generado el
documento pericial, salvaguardar el dispositivo sobre el que se ha trabajado, y así
evitar posibles impugnaciones en una
hipotética Litis.

Pongamos un ejemplo para entenderlo

mejor: si hemos conseguido un disco duro
marca X, con número de serie 1234JK, y la
praxis se hace sobre un disco idéntico, pero
con Número de serie 4834SD, sobre el que se hace la duplicación del contenido
existente en el origen; si posteriormente este disco resultante se deja guardado
en cualquier cajón, fácilmente podrían intentar desechar la prueba aduciendo que,
al haber desatendido la custodia del dispositivo sobre el que se ha trabajado,
podría haberse modificado información, antes o después de hacer la praxis. Y no
les faltaría razón. En cualquier caso, el objeto de este trabajo extra de
identificación del nuevo dispositivo clonado servirá, como mínimo, para saber de
dónde procede (de un disco origen marca X, con número de serie 1234JK),
además de para eliminar posibles dudas sobre la pulcritud y profesionalidad del
trabajo realizado por el perito.

Analizar: Es un término fácil de entender. Todo informe elaborado por un perito

deberá estar basado en el análisis de la prueba, nunca en conjeturas. En nuestra
opinión, el perito debe generar un informe preciso y veraz, apoyado por la
obtención de una prueba contundente y demostrable, sea cual sea el objeto que se
le ha encomendado analizar. Las conjeturas pueden ser una parte más del análisis,
pero nunca serán –en nuestra opinión-, base de fundamento para elaborar el
dictamen. Una conjetura, si acaso, servirá únicamente como apoyo que ayude a
encontrar el hilo de la prueba demostrable.

Presentar: Casi tan importante como el resultado obtenido en el análisis es la

presentación de éste, en el informe pericial. El documento elaborado basado en la
prueba debe ser uniforme, bien estructurado y, además, debe ser conciso y claro
en su desarrollo. Para la uniformidad y la estructura ya existen recomendaciones y
normativas reconocidas internacionalmente. En cuanto al desarrollo del informe,
cierto es que, en muchos casos, no nos quedará más remedio que utilizar una
redacción técnica, pero debemos tener siempre presente que el juzgador –o quien
deba evaluar la pericial-, puede no tener (ni tiene porqué) los conocimientos
tecnológicos informáticos necesarios que se precisan para entender el informe
emitido. Por tanto, en el caso de tener que desarrollar el trabajo usando términos
o procedimientos técnicos, será muy recomendable explicar, después y en un
lenguaje más sencillo, el significado de estos términos o procedimientos
específicos de la informática forense que son, casi siempre, de alto nivel
tecnológico.

En nuestra opinión, una pericial estructurada, técnicamente documentada y bien

explicada, pero sin abundar en las frases vacías de contenido es la clave para no
perder el interés del juzgador, con respecto a
nuestro trabajo.

No olvidemos que, en muchos casos, a los

juzgadores les toca leerse auténticos “best
sellers” de información, entre la que recibe
de las partes, más la de la policía científica –
en caso de que ésta haya sido requerida- y, a
mayores, la nuestra.

Por tanto, intentemos ser siempre concisos y claros en la exposición,

argumentando y resumiendo nuestras conclusiones en un apartado específico. Un
informe de cien folios no tiene porqué ser mejor que uno de cincuenta, siempre y
cuando este último esté bien definido, estructurado y argumentado.

Como bien dice mi buen amigo D. Rafael López Rivera (peritoit.com), “…No obtiene
justicia quien posee la verdad, sino aquel que mejor la evidencia y demuestra…”
José Aurelio García, Auditor y Perito Informático