Redes y seguridad informática

Informática forense

Métodos para preservar la evidencia

Jeancarlos Pérez Chávez

Segundo nivel

1
 1. OBJETIVO

Analizar el concepto de evidencia digital para conocer los métodos de preservación de la

evidencia y tener un concepto basto sobre este tema.

2. INTRODUCCIÓN

La informática forence es un tema que todos deberíamos comprender y estudiar en alguna

etapa de nuestras vidas ya que los delitos informáticos van en aumento mientras pasan los

años. Para los expertos que se dedican a esta labor es de fundamental importancia conocer los

conceptos sobre cómo tratar y manejar la evidencia digital. En este trabajo se abordará temas

como evidencia digital, como preservar la evidencia y cuáles son los métodos más frecuentes.

3. DESARROLLO

EVIDENCIA DIGITAL

La evidencia digital en los últimos años se ha convertido en la zona de auge ilimitada si de

pruebas para procesos se trata, ya que estas pruebas en un proceso judicial son de vital

importancia pues a través de la indagación o investigación es posible confirmar si una prueba es

verdadera o falsa y llegar a confirmar su validez dentro de un juicio.

2
 Según (Acurio Del Pino1 & Paul ), La evidencia digital es una herramienta de especial interés,

al servicio de la investigación de delitos tecnológicos; Debe ser manipulado por profesionales que

mantengan todas las precauciones necesarias para evitar contaminarlo y/o alterarlo, de manera

que no sea rechazado ante procedimientos judiciales. Por lo que la prueba digital no se limita sólo

a lo que está en las computadoras, también puede extenderse a dispositivos electrónicos como

MP3, memoria flash, Ipod, celular, entre otros equipos de telecomunicaciones y otros

multimedia.

La Preservación Digital

La preservación es una parte del análisis forense digital que se enfoca en proteger objetos de

valor de evidencia para que permanezcan completos, legibles y verificables. Aquí se utilizan

técnicas criptográficas como el cifrado de integridad (hash, checksum) y la documentación más

completa.

La fase de conservación ocurre durante la investigación forense, es una fase que interactúa con

las otras fases. La preservación digital (PD) se define como los procesos y acciones que ayudan a

asegurar el acceso continuo e indefinido a la información y los registros que existen en formato

digital.

Actualmente se define como la capacidad de asegurar la conservación de la información

digital con calidades accesibles y suficiente autenticidad, que pueda entenderse en el futuro con el

uso de una plataforma tecnológica diferente a la utilizada en el momento de su creación. La

3
preservación digital tiene como objetivo compensar la debilidad de los medios físicos, la

obsolescencia de la tecnología y la vulnerabilidad de los medios digitales para garantizar la

autenticidad, integridad, confianza, así como el acceso continuo a la información, la única forma

de asegurar y promover colectivamente y proteger las instituciones. Memoria. Los Principios de

Preservación Digital definen la preservación como acciones destinadas a mantener la

accesibilidad duradera de los objetos digitales. (Molina Granja, Santillán Lima, Washington ,

Yañez, & Yungán , 2019)

Aspectos relativos a la Evidencia

Se entiende como evidencia a una cosa o cualquier objeto que nos da la posibilidad de probar

u objetar sobre un hecho de un problema en algún caso judicial. La evidencia digital se define

como información que tiene un valor probatorio que es guardado y transmitido de forma digital.

(Molina Granja, Santillán Lima, Washington , Yañez, & Yungán , 2019)

MÉTODOS PARA PRESERVAR LA EVIDENCIA

Los métodos más eficaces al momento de garantizar la integridad y admisibilidad legal de las

evidencias digitales son:

1. Drive Imaging

2. Valores hash

3. Cadena de custodia

4
Drive Imaging

Antes de que los investigadores puedan comenzar a analizar la evidencia de una fuente,

primero deben visualizarla. La creación de imágenes de disco es un proceso legal en el que un

analista crea una copia bit a bit de un disco. Esta imagen forense de todos los medios digitales

ayuda a preservar la evidencia para la investigación. Al analizar imágenes, los investigadores

deben tener en cuenta que incluso las unidades borradas pueden retener datos importantes que se

pueden recuperar para su identificación y catalogación. En el mejor de los casos, pueden

recuperar todos los archivos eliminados utilizando técnicas forenses.

Como regla general, los investigadores deben trabajar exclusivamente con imágenes

duplicadas y nunca realizar análisis forenses en los medios originales. De hecho, una vez que un

sistema se ha visto comprometido, es importante hacer lo menos posible, e idealmente, no hacer

nada contra el sistema en sí, sino aislarlo para evitar conexiones internas o externas al sistema y

capturar el contenido de la memoria en vivo (RAM). Es importante limitar las acciones en la

computadora original, especialmente si la evidencia va a ir a juicio, ya que los investigadores

forenses deben poder demostrar que no han alterado la evidencia en absoluto al enviar hashes

criptográficos, marcas de tiempo digitales, procedimientos legales. seguimiento, etc Una pieza de

hardware que ayuda en la protección legal de las imágenes forenses es un "bloqueador de

escritura", que los investigadores deben usar para generar imágenes para el análisis siempre que

esté disponible. (Hamilton, 2020)

5
Valores hash

Cuando un investigador crea una imagen de una máquina para su análisis, el proceso genera

valores hash criptográficos (MD5, SHA-1). El propósito de un valor hash es verificar la

autenticidad e integridad de la imagen como un duplicado exacto del medio original.

Los valores hash son fundamentales, especialmente cuando se admiten pruebas en el tribunal,

porque alterar incluso el bit de datos más pequeño generará un valor hash completamente nuevo.

Cuando crea un archivo nuevo o edita un archivo existente en su computadora, genera un nuevo

valor hash para ese archivo. Este valor hash y otros metadatos de archivos no son visibles en una

ventana normal del explorador de archivos, pero los analistas pueden acceder a ellos mediante un

software especial. Si los valores hash no coinciden con los valores esperados, puede plantear

preocupaciones en la corte de que la evidencia ha sido alterada. (Hamilton, 2020)

Cadena de custodia

Cuando los investigadores recogen la evidencia de su cliente y lo transfieren si es necesario,

deben documentar todas las evidencias y el comprobante de entrega en formularios de cadena de

custodia (CoC) y capturar firmas y fecha en el momento de la transferencia.

Es importante recordar la documentación de la cadena de custodia. Este artefacto prueba que

la imagen ha sido propiedad desde que se creó. Cualquier fallo en la cadena de custodia del

producto invalida la legitimidad de la imagen y, por tanto, del análisis.

6
 Cualquier laguna en el registro de propiedad, incluso que la evidencia pueda estar en un lugar

inseguro, es problemática. Los investigadores aún pueden analizar los datos, pero es probable que

los resultados no sean apropiados en la corte ante un abogado razonablemente experto en

tecnología. Los formularios utilizados por los investigadores para documentar clara y fácilmente

cualquier cambio en los registros de propiedad se encuentran fácilmente en línea; utilizamos la

plantilla CoC del NIST para mantener nuestra evaluación de la cadena de custodia.

(Hamilton, 2020)

CONCLUSIÓN

Conocer lo que es el manejo y preservación de evidencia digital nos o ayuda al investigador a

tener una idea más clara al momento de manipular las evidencias para que al momento del juicio

las evidencias estén admisibles.

BIBLIOGRAFÍA

Acurio Del Pino1, S., & Paul , R. (s.f.). Academia Accelerating the world's research. Obtenido de

https://d1wqtxts1xzle7.cloudfront.net/32899183/Acurio-with-cover-page-

v2.pdf?Expires=1652653146&Signature=U-

Ws6luVmoR~qlbeCc1Y33Vll9vknxA426ZInzASGdRPyVjNuoJSD7vVgi~XQjrdS6daIC

dW8Zq2m~dlbPOBBo0~Bq4TjO32WmEDx5Mq5l9Tf7xDaZptEJEGyyiTJ0fT93x3ZeIr

BwnItYR2mV24u

7
Arévalo, P. A. (2018). Dialnet. Obtenido de EL TRATAMIENTO DE LA EVIDENCIA

DIGITAL, UNA GUÍA PARA SU ADQUISICIÓN: https://dspace.ucuenca.edu.ec

Hamilton, M. K. (14 de octubre de 2020). digitoforense. Obtenido de

https://www.digitoforense.cl/noticias/forense-digital/3-metodos-para-preservar-la-

evidencia-digital-para-la-informatica-forense/

MACUCHAPI PARISACA, M. (2014). UNIVERSIDAD MAYOR DE SAN ANDRES. Obtenido

de

https://repositorio.umsa.bo/bitstream/handle/123456789/8318/T.2866.pdf?sequence=1&is

Allowed=y

Molina Granja, F., Santillán Lima, J., Washington , L.-E., Yañez, R., & Yungán , J. (2019).

Preservación digital y la admisibilidad de las evidencias. Ciencia digital, 118-130.

Obtenido de https://cienciadigital.org/revistacienciadigital2/

RINCÓN SILVA, D. (2016). Universidad de La Salle. Obtenido de

https://ciencia.lasalle.edu.co/cgi/viewcontent.cgi?article=1104&context=sistemas_inform

acion_documentacion