Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Giova n n i Zu cca r di
Ju a n D a vid Gu t ié r r e z
N ovie m br e de 2 0 0 6
CON TEN I D O
I nt roducción
Evidencia Digit al
Clasificación de la evidencia digit al
Crit erios de adm isibilidad
Manipulación de la evidencia digit al
Gest ión de la evidencia digit al
Herram ient as
La inform át ica forense est á adquiriendo una gran im port ancia dent ro del
área de la inform ación elect rónica, est o debido al aum ent o del valor de la
inform ación y/ o al uso que se le da a ést a, al desarrollo de nuevos espacios
donde es usada ( por Ej . El I nt ernet ) , y al ext enso uso de com put adores por
part e de las com pañías de negocios t radicionales ( por Ej . bancos) . Es por
est o que cuando se realiza un crim en, m uchas veces la inform ación queda
alm acenada en form a digit al. Sin em bargo, exist e un gran problem a, debido
a que los com put adores guardan la inform ación de inform ación form a t al
que no puede ser recolect ada o usada com o prueba ut ilizando m edios
com unes, se deben ut ilizar m ecanism os diferent es a los t radicionales. Es de
aquí que surge el est udio de la com put ación forense com o una ciencia
relat ivam ent e nueva.
Resalt ando su caráct er cient ífico, t iene sus fundam ent os en las leyes de la
física, de la elect ricidad y el m agnet ism o. Es gracias a fenóm enos
elect rom agnét icos que la inform ación se puede alm acenar, leer e incluso
recuperar cuando se creía elim inada.
La inform át ica forense, aplicando procedim ient os est rict os y rigurosos
puede ayudar a resolver grandes crím enes apoyándose en el m ét odo
cient ífico, aplicado a la recolección, análisis y validación de t odo t ipo de
pruebas digit ales.
La inform át ica forense hace ent onces su aparición com o una disciplina
auxiliar de la j ust icia m oderna, para enfrent ar los desafíos y t écnicas de los
int rusos inform át icos, así com o garant e de la verdad alrededor de la
evidencia digit al que se pudiese aport ar en un proce[ Acis06] .
Desde 1984, el Laborat orio del FBI y ot ras agencias que persiguen el
cum plim ient o de la ley em pezaron a desarrollar program as para exam inar
evidencia com put acional.
Com put ación forense ( com put er forensics) que ent endem os por disciplina
de las ciencias forenses, que considerando las t areas propias asociadas con
la evidencia, procura descubrir e int erpret ar la inform ación en los m edios
inform át icos para est ablecer los hechos y form ular las hipót esis
relacionadas con el caso; o com o la disciplina cient ífica y especializada que
ent endiendo los elem ent os propios de las t ecnologías de los equipos de
com put ación ofrece un análisis de la inform ación resident e en dichos
equipos.
Est os obj et ivos son logrados de varias form as, ent re ellas, la principal es la
recolección de evidencia.
1. Prosecución Crim inal: Evidencia incrim inat oria puede ser usada
para procesar una variedad de crím enes, incluyendo hom icidios,
fraude financiero, t ráfico y vent a de drogas, evasión de im puest os o
pornografía infant il.
2. Lit igación Civil: Casos que t rat an con fraude, discrim inación,
acoso, divorcio, pueden ser ayudados por la inform át ica forense.
3. I nvest igación de Seguros: La evidencia encont rada en
com put adores, puede ayudar a las com pañías de seguros a
dism inuir los cost os de los reclam os por accident es y
com pensaciones.
4. Tem as corporat ivos: Puede ser recolect ada inform ación en casos
que t rat an sobre acoso sexual, robo, m al uso o apropiación de
inform ación confidencial o propiet aria, o aún de espionaj e indust rial.
5. Mant enim ient o de la ley: La inform át ica forense puede ser usada
en la búsqueda inicial de órdenes j udiciales, así com o en la
búsqueda de inform ación una vez se t iene la orden j udicial para
hacer la búsqueda exhaust iva.
Los principios cient íficos que hay det rás del procesam ient o de una evidencia
son reconocidos y usados en procedim ient os com o:
•
•
Recoger y exam inar huellas dact ilares y ADN.
•
Recuperar docum ent os de un disposit ivo dañado.
•
Hacer una copia exact a de una evidencia digit al.
Generar una huella digit al con un algorit m o hash MD5 o SHA1 de un
•
t ext o para asegurar que est e no se ha m odificado.
Firm ar digit alm ent e un docum ent o para poder afirm ar que es
aut ént ico y preservar la cadena de evidencias.
Un forense aport a su ent renam ient o para ayudar a los invest igadores a
reconst ruir el crim en y encont rar pist as. Aplicando un m ét odo cient ífico
analiza las evidencias disponibles, crea hipót esis sobre lo ocurrido para
crear la evidencia y realiza pruebas, cont roles para confirm ar o cont radecir
esas hipót esis. Est o puede llevar a una gran cant idad de posibilidades sobre
lo que pudo ocurrir, est o es debido a que un forense no puede conocer el
pasado, no puede saber qué ocurrió ya que sólo dispone de una inform ación
lim it ada. Por est o, sólo puede present ar posibilidades basadas en la
inform ación lim it ada que posee.
Evidencia
Sospechoso Víct im a
Est e principio fundam ent al viene a decir que cualquiera o cualquier obj et o
que ent ra en la escena del crim en dej a un rast ro en la escena o en la
víct im a y vice- versa ( se lleva consigo) , en ot ras palabras: “ cada cont act o
dej a un rast ro” . En el m undo real significa que si piso la escena del crim en
con t oda seguridad dej aré algo m ío ahí, pelo, sudor, huellas, et c. Pero
t am bién m e llevaré algo conm igo cuando abandone la escena del crim en, ya
sea barro, olor, una fibra, et c. Con algunas de est as evidencias, los forenses
podrán dem ost rar que hay una posibilidad m uy alt a de que el crim inal
est uviera en la escena del crim en.
•
la arena o nieve ( un obj et o blando o cam biant e) .
Evide n cia cu r so o pa t r ón: producidas por cont act o, por ej em plo la
t rayect oria de una bala, un pat rón de rot ura de un crist al, pat rones
•
de posicionam ient o de m uebles, et c.
Evide n cia con dicion a l: causadas por una acción o un event o en la
escena del crim en, por ej em plo la localización de una evidencia en
relación con el cuerpo, una vent ana abiert a o cerrada, una radio
•
encendida o apagada, dirección del hum o, et c.
Evide n cia t r a n sfe r ida : generalm ent e producidas por cont act o ent re
personas, ent re obj et os o ent re personas y obj et os. Aquí descubrim os
el con ce pt o de r e la ción.
•
•
Transferencia por r a st r o: aquí ent ra la sangre, sem en, pelo, et c.
Transferencia por h u e lla : huellas de zapat o, dact ilares, et c.
El obj et ivo es est ablecer una relación ent re los diferent es com ponent es:
•
•
la escena del crim en
•
la víct im a
•
la evidencia física
el sospechoso
Para la correct a resolución del caso, t odos est os com ponent es deben est ar
relacionados. Est o se conoce com o el con ce pt o de r e la ción, que es lo que
nos falt aba para com plet ar el principio de int ercam bio de Locard.
Las evidencias pueden, a su vez, ser t ransferidas de dos form as dist int as:
Brevem ent e, la ciencia forense facilit a las herram ient as, t écnicas y m ét odos
sist em át icos ( pero cient íficos) que pueden ser usados para analizar una
evidencia digit al y usar dicha evidencia para reconst ruir qué ocurrió durant e
la realización del crim en con el últ im o propósit o de relacionar al aut or, a la
víct im a y la escena del crim en.
N e t w or k For e n sics
Es la capt ura, alm acenam ient o y análisis de los event os de una red, para
descubrir el origen de un at aque o un posible incident e.
“ Cualquier inform ación, que suj et a a una int ervención hum ana u ot ra
sem ej ant e, ha sido ext raída de un m edio inform át ico” [ HBI T03]
•
riesgo de dañarlos.
Act ualm ent e, con las herram ient as exist ent es, se m uy fácil com parar
la evidencia digit al con su original, y det erm inar si la evidencia digit al
ha sido alt erada.
•
form at eado, es posible recuperarlo.
Cuando los individuos involucrados en un crim en t rat an de dest ruir la
evidencia, exist en copias que perm anecen en ot ros sit ios.
Cano clasifica la evidencia digit al que cont iene t ext o en 3 cat egorías
[ EviDig05] :
Regist ros generados por com put ador: Est os regist ros son aquellos, que
com o dice su nom bre, son generados com o efect o de la program ación de un
com put ador. Los regist ros generados por com put ador son inalt erables por
una persona. Est os regist ros son llam ados regist ros de event os de
seguridad ( logs) y sirven com o prueba t ras dem ost rar el correct o y
adecuado funcionam ient o del sist em a o com put ador que generó el regist ro.
Regist ros no generados sino sim plem ent e alm acenados por o en
com put adores: Est os regist ros son aquellos generados por una persona, y
que son alm acenados en el com put ador, por ej em plo, un docum ent o
realizado con un procesador de palabras. En est os regist ros es im port ant e
lograr dem ost rar la ident idad del generador, y probar hechos o afirm aciones
cont enidas en la evidencia m ism a. Para lo ant erior se debe dem ost rar
sucesos que m uest ren que las afirm aciones hum anas cont enidas en la
evidencia son reales.
Regist ros híbridos que incluyen t ant o regist ros generados por com put ador
com o alm acenados en los m ism os: Los regist ros híbridos son aquellos que
com binan afirm aciones hum anas y logs. Para que est os regist ros sirvan
com o prueba deben cum plir los dos requisit os ant eriores.
Cr it e r ios de a dm isibilida d
En legislaciones m odernas exist en cuat ro crit erios que se deben t ener en
cuent a para analizar al m om ent o de decidir sobre la adm isibilidad de la
evidencia: la aut ent icidad, la confiabilidad, la com plet it ud o suficiencia, y el
apego y respet o por las leyes y reglas del poder j udicial [ Adm Evi03] .
Aut ent icidad: Una evidencia digit al será aut ent ica siem pre y cuando se
• El prim ero, dem ost rar que dicha evidencia ha sido generada y
cum plan dos elem ent os:
Para asegurar el cum plim ient o de la aut ent icidad se requiere que una
arquit ect ura exhiba m ecanism os que cert ifiquen la int egridad de los
archivos y el cont rol de cam bios de los m ism os.
Suficiencia o com plet it ud de las pruebas: Para que una prueba est é
considerada dent ro del crit erio de la suficiencia debe est ar com plet a. Para
asegurar est o es necesario “ cont ar con m ecanism os que proporcionen
int egridad, sincronización y cent ralización” [ Adm Evi03] para lograr t ener
una vist a com plet a de la sit uación. Para lograr lo ant erior es necesario
hacer una verdadera correlación de event os, la cual puede ser m anual o
sist em at izada.
Apogeo y respet o por las leyes y reglas del poder j udicial: Est e crit erio se
refiere a que la evidencia digit al debe cum plir con los códigos de
procedim ient os y disposiciones legales del ordenam ient o del país. Es decir,
debe respet ar y cum plir las norm as legales vigent es en el sist em a j urídico.
• Mant ener y cont rolar la int egridad del m edio original. Est o significa,
que a la hora de recolect ar la evidencia digit al, las acciones realizadas
no deben cam biar nunca est a evidencia.
• Las copias de los dat os obt enidas, deben est ar correct am ent e
m arcadas, cont roladas y preservadas. Y al igual que los result ados de
la invest igación, deben est ar disponibles para su revisión.
Exist en gran cant idad de guías y buenas práct icas que nos m uest ran com o
llevar acabo la gest ión de la evidencia digit al
Las guías que se ut ilizan t ienen com o obj et ivo ident ificar evidencia digit al
con el fin de que pueda ser usada dent ro de una invest igación. Est as guías
se basan en el m ét odo cient ífico para concluir o deducir algo acerca de la
inform ación. Present an una serie de et apas para recuperar la m ayor
cant idad de fuent es digit ales con el fin de asist ir en la reconst rucción
post erior de event os. Exist en diferent es t ipos de plant eam ient os, est os
varían dependiendo del crit erio de la inst it ución y/ o personas que definen la
guía, com o se define a cont inuación.
Gu ía s M e j or e s Pr á ct ica s
RFC 3 2 2 7
El “ RFC 3227: Guía Para Recolect ar y Archivar Evidencia” ( Guidelines for
Evidence Collect ion and Archiving) [ GuEvCo02] , escrit o en febrero de 2002
por Dom inique Brezinski y Tom Killalea, ingenieros del Net work Working
Group. Es un docum ent o que provee una guía de alt o nivel para recolect ar y
archivar dat os relacionados con int rusiones. Muest ra las m ej ores práct icas
para det erm inar la volat ilidad de los dat os, decidir que recolect ar,
desarrollar la recolección y det erm inar com o alm acenar y docum ent ar los
dat os. Tam bién explica algunos concept os relacionados a la part e legal. Su
est ruct ura es:
a) Principios durant e la recolección de evidencia: orden de volat ilidad de los
dat os, cosas para evit ar, consideraciones de privacidad y legales.
b) El proceso de recolección: t ransparencia y pasos de recolección.
c) El proceso de archivo: la cadena de cust odia y donde y com o archivar.
Gu ía de la I OCE
La I OCE [ I OCE06] , publico “ Guía para las m ej ores pract icas en el exam en
forense de t ecnología digit al”
( Guidelines for t he best pract ices in t he forensic exam inat ion of digit al
t echnology) [ I OCE02] . El docum ent o provee una serie de est ándares,
principios de calidad y aproxim aciones para la det ección prevención,
recuperación, exam inación y uso de la evidencia digit al para fines forenses.
Cubre los sist em as, procedim ient os, personal, equipo y requerim ient os de
com odidad que se necesit an para t odo el proceso forense de evidencia
digit al, desde exam inar la escena del crim en hast a la present ación en la
cort e. Su est ruct ura es:
a) Disposit ivos elect rónicos ( t ipos de disposit ivos se pueden encont rar y
cual puede ser la posible evidencia) .
b) Herram ient as para invest igar y equipo.
c) Asegurar y evaluar la escena.
d) Docum ent ar la escena.
e) Recolección de evidencia.
f) Em paque, t ransport e y alm acenam ient o de la evidencia.
g) Exam en forense y clasificación de delit os.
h) Anexos ( glosario, list as de recursos legales, list as de recursos t écnicos y
list as de recursos de ent renam ient o) .
a) Desarrollar polít icas y procedim ient os con el fin de darle un buen t rat o a
la evidencia.
b) Det erm inar el curso de la evidencia a part ir del alcance del caso.
c) Adquirir la evidencia.
d) Exam inar la evidencia.
e) Docum ent ación y report es.
f) Anexos ( casos de est udio, glosario, form at os, list as de recursos t écnicos y
list as de recursos
de ent renam ient o) .
a) Diseño de la evidencia.
b) Producción de la evidencia.
c) Recolección de la evidencia.
d) Análisis de la evidencia.
e) Report e y present ación.
f) Det erm inación de la relevancia de la evidencia.
H e r r a m ie n t a s
[ ReEx00] Michael G. Noblet t . ( 2000) Recovering and Exam ining Com put er
Forensic Evidence. Disponible en:
ht t p: / / w w w.fbi.gov/ hq/ lab/ fsc/ backissu/ oct 2000/ com put er.ht m
[ I nfFor01] Óscar López, Haver Am aya, Ricardo León. ( 2001) I nform át ica
forense: generalidades, aspect os t écnicos y herram ient as
[ ForI RT01] Ant onio Javier García Mart ínez. ( 2001) LA FORMACI ÓN DE UN
I RT ( I ncident Response Team ) FORENSE
[ BueAdm 06] Cano Mart ines Jeim y José. ( 2006) Buenas práct icas en la
adm inist ración de la evidencia digit al Disponible:
ht t p: / / gect i.uniandes.edu.co/ docs/ buenas% 20pract ica% 20evidencia% 20dig
it al% 20j cano.pdf [ May 2006]
[ DaVa01] Brian Deering. Dat a Validat ion Using The Md5 Hash
ht t p: / / w w w.forensics- int l.com / art 12.ht m l
ht t p: / / unpan1.un.org/ int radoc/ groups/ public/ docum ent s/ APCI TY/ UNPAN016
411.pdf
[ Casey04] CASEY, Eoghan. “ Digit al Evidence and Com put er Crim e: Forensic
Science, Com put ers, and t he I nt ernet ” . 2004
[ EviDig05] Cano Mart ines Jeim y José, Mosquera González José Alej andro,
Cert ain Jaram illo Andrés Felipe. Evidencia Digit al: cont ext o, sit uación e
im plicaciones nacionales. Abril de 2005.
ht t p: / / derecho.uniandes.edu.co/ derecho1/ export / derecho/ descargas/ t ext o/
NasTecnologias6.pdf
[ GoPra99] . ASSOCI ATI ON OF CHI EF POLI CE OFFI CERS Good pract ice guide
for com put er based evidence, 1999. Disponible: ht t p: / / www.digit al-
det ect ive.co.uk/ docum ent s/ acpo.pdf
[ Acis06] Cano Mart ines Jeim y José. I nt roducción a la inform át ica forense.
Revist a ACI S Junio de 2006 Disponible en:
ht t p: / / w w w.acis.org.co/ fileadm in/ Revist a_96/ dos.pdf