Normas Y Principios Fundamentales Del Análisis Forense en La Comunidad Científica Internacional

Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.
com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS
NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

ANÁLISIS FORENSE EN LA COMUNIDAD
CIENTÍFICA INTERNACIONAL
1
Página

ANÁLISIS FORENSE EN LA COMUNIDAD CIENTÍFICA WWW.EICYC.COM
INTERNACIONAL
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
ANÁLISIS DE CASOS
ÍNDICE
Contenido
1. Introducción .............................................................................................................................................................................................. 4
2. ENFSI-BPM-FIT-01 Best practice manual for the forensic examination of digital

technology. ........................................................................................................................................................................................................... 4
3. RFC 3227 «Guidelines for Evidence Collection and Archiving» o Directrices para la
recopilación de evidencias y su almacenamiento. ...................................................................................................... 4
Principios durante la recolección de evidencias ....................................................................................... 5

4. Norma UNE/ISO 197001:2019. Criterios generales para la elaboración de informes
periciales. ............................................................................................................................................................................................................... 8
5. UNE 197010:2015 Criterios generales para la elaboración de informes y

dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC).
9
6. UNE-EN ISO/IEC 27037:2012 (Ratificada por AENOR en diciembre de 2016).

Tecnología de la información. Técnicas de seguridad. Directrices para la identificación,
recogida, adquisición y preservación de evidencias electrónicas. ............................................................. 9
7. UNE 71505:2013, Tecnologías de la Información (TI). Sistema de Gestión de

Evidencias Electrónicas (SGEE). ................................................................................................................................................... 11
8. UNE 71506:2013, Tecnologías de la Información (TI). Metodología para el análisis

forense de las evidencias electrónicas. ................................................................................................................................. 11
9. UNE-EN ISO/IEC 27042:2012 (Ratificada por AENOR en diciembre de 2016).

Tecnología de la información. Técnicas de seguridad. Directrices para el análisis y la
interpretación de las evidencias electrónicas. ............................................................................................................... 13
10. ISO/IEC 27004:2016. Tecnología de la información. Técnicas de seguridad. Gestión

de la seguridad de la información. Monitoreo, medición, análisis y evaluación. ...................... 13
2
Página
11. Principios multidisciplinares del análisis forense ............................................................................................. 13

INTERNACIONAL
ANÁLISIS DE CASOS
Principio de objetividad ........................................................................................................................................................... 14

Principio de autenticidad y conservación......................................................................................................... 14
Principio de legalidad .................................................................................................................................................................. 15
Principio de idoneidad ................................................................................................................................................................ 15
Principio de inalterabilidad.................................................................................................................................................. 15
Principio de repetibilidad de la prueba................................................................................................................ 16
Principio de identidad de copias................................................................................................................................... 16
3
Página

INTERNACIONAL
ANÁLISIS DE CASOS
1. Introducción
En este tema se procederá a la reseña de los principales estándares y normas ampliamente
reconocidas por la comunidad científica y las principales Organizaciones Internacionales de
Normalización, así como la conceptualización realizada por estos peritos sobre el objeto de
implementar el marco teórico solicitado haciendo especial énfasis en la Cadena de Custodia.
Distintas organizaciones internacionales (como por ejemplo ISO – International Standard

Organization) han ido exponiendo una serie de propuestas para responder a las necesidades de la
informática forense de contar con prácticas referentes de alcance internacional, que permitan
asegurar que las actividades se hacen de manera equivalente en las diferentes investigaciones
forenses informáticas.
2. ENFSI-BPM-FIT-01 Best practice manual for the forensic

examination of digital technology.
Este manual pertenece a una serie de 10 BPM emitidos por la Red Europea de Institutos de Ciencias
Forenses (ENFSI) y se realizó con el apoyo económico del Programa de Prevención y Lucha contra la
Delincuencia de la Comisión Europea y la Dirección General de Asuntos de Interior, y ha contribuido
para su realización, entre otros organismos, Europol y la UCIF. Este manual se centra, en primer
lugar, en el ámbito general de la tecnología de la información, en concreto de los ordenadores y
teléfonos que se estudian en el campo forense.
3. RFC 3227 «Guidelines for Evidence Collection and Archiving» o

Directrices para la recopilación de evidencias y su
almacenamiento.
El IETF (Internet Engineering Task Force) es el consorcio de colaboración técnica más importante de
4
Página
Internet, que crea las RFC (Resquest for Comments). Uno de estos documentos de referencia es el
"RFC 3227".
INTERNACIONAL
ANÁLISIS DE CASOS
Es uno de los referentes en relación a la actuación y pautas a seguir a la hora de realizar un análisis
de pruebas digitales.
El INCIBE (Instituto Nacional de Ciberseguridad) define las RFC "Request For Comments" como
documentos que recogen propuestas de expertos en un campo concreto, con el fin de establecer,
por ejemplo, una serie de pautas para llevar a cabo un proceso, la creación de estándares o la
implementación de un protocolo. Así, el RFC 3227 es un documento que contiene directrices para la
recogida y el almacenamiento de pruebas, y es ampliamente utilizado como estándar para la
recogida de pruebas digitales.
Los puntos más importantes especificados en esta norma para este proceso son:
Principios durante la recolección de evidencias
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y eliminar los agentes
externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y

después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de
distinta manera.
1) Orden de volatilidad: El orden de volatilidad hace referencia al período de tiempo en el que está
accesible cierta información. Es por ello por lo que se debe recolectar en primer lugar aquella
información que vaya a estar disponible durante el menor período de tiempo, es decir, aquella cuya
volatilidad sea mayor.
5
2) Acciones que deben evitarse: Se deben evitar las siguientes acciones con el fin de no invalidar el
Página
proceso de recolección de información ya que debe preservarse su integridad:

INTERNACIONAL
ANÁLISIS DE CASOS
• No apagar el ordenador hasta que se haya recopilado toda la información.
• No confiar en la información proporcionada por los programas del sistema ya que pueden
haberse visto comprometidos. Se debe recopilar la información mediante programas desde un
medio protegido como se explicará más adelante.
• No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del
sistema.
3) Consideraciones sobre la privacidad: Se refiere a la autorización previa que se debe obtener para
poder llevar a cabo una recolección de evidencias.
4) Procedimiento de recolección: El procedimiento de recolección debe de ser lo más detallado

posible, procurando que no sea ambiguo y reduciendo al mínimo la toma de decisiones.
5) Transparencia: Los métodos utilizados para recolectar evidencias deben de ser transparentes y
reproducibles. Se debe estar preparado para reproducir con precisión los métodos usados y que
dichos métodos hayan sido testados por expertos independientes.
Pasos: sistemas involucrados en el incidente, establecer un orden de relevancia, orden de

volatilidad, obtención de información que cumpla con el orden establecido, documentación de cada
paso, almacenamiento, etc.
6) La Cadena de custodia
La cadena de custodia consiste en la documentación de la preservación, precintado y desprecintado de un

determinado vestigio desde la misma recogida en la escena del delito, o de donde sea que se haya obtenido,
así como de cada vez que éste cambia de manos hasta que es presentado en el proceso. Cada uno de los
sujetos y lugares por los que el vestigio transcurra deberá quedar debidamente documentado y cada uno de
esos sujetos será responsable de su tratamiento (Una errónea operación puede llegar a contaminar la
muestra y convertirse ésta en inservible, por lo que el tratamiento de la prueba es igual de relevante que la
conservación). Con estas exigencias se pretende satisfacer la garantía de la "mismidad" de la prueba.
Tal hi como afirma la SSTS de 10 de marzo de 2011 “El objetivo de la cadena de custodia es que el objeto
sobre el que se practicó la pericia o que se exhibe en dicho acto es el mismo que el que se recogió como
vestigio durante la investigación”. Debe quedar garantizada la exacta identidad de lo incautado y de lo
analizado. Tiene, por tanto, un valor instrumental para garantizar que lo analizado fue lo mismo que lo
recogido. Resulta de vital importancia que el Tribunal sentenciador tenga la certeza de que el bien u objeto
6
sobre el que se practicó la pericia o que se exhibe en dicho acto, es el mismo que el que se recogió como
Página
vestigio durante la investigación. Es necesario tener la seguridad de que lo que se traslada, mide, pesa y
INTERNACIONAL
ANÁLISIS DE CASOS
analiza sea lo mismo en todo momento, desde el instante en que se recoge hasta el que llega a disposición
judicial, se estudia o se destruye.
El quebranto de la cadena de custodia convierte a la prueba en irregular o nula al poder vulnerar un proceso
con todas las garantías, aunque, tal hi como señala la Sala 2ª del TS, una mera irregularidad en la cadena de
custodia no implica necesariamente que la prueba practicada sea nula, si el bien objeto de análisis o
exhibición es el mismo o no se demuestre que el bien es distinto.
En la mayoría de ocasiones, corresponde a la policía judicial, habitualmente la policía científica, ser los
garantes de la cadena de custodia, ya que son ellos mismos quienes recogen las muestras, bienes o vestigios
materiales de la perpetración de un hecho delictivo en el lugar del crimen o en cualquier lugar donde fueran
hallados, pese a tratarse, esta última, de una función del Juez de Instrucción. Entiendo que el atestado
policial adquiere especial trascendencia, y deberá indicar quién realizó dichos hallazgos, describirlos
minuciosamente; tomando fotografías y filmándolo; y mencionar cómo, cuándo y dónde han sido
trasladados y custodiados; poniéndolos a disposición del Juez de Guardia si no existiera un proceso penal
incoado o al Juez de Instrucción competente si ya existiera una investigación judicial en curso.
En función del tipo de vestigio recogido las cautelas y requisitos en la recogida y durante la cadena de
custodia variarán, sin que exista una normativa específica. Todo ello conduce a que, en principio, son las
autoridades policiales y judiciales las que garantizan la preservación de la prueba, y quien afirme la ruptura
de la cadena debe probarla y acreditarla. La posibilidad de manipulación para entender que la cadena de
custodia se ha roto no parece aceptable, ya que debe exigirse la prueba de su manipulación efectiva.
A continuación detallaremos los puntos que consideramos necesarios para garantizar la plena identidad e
integridad de una prueba, pudiendo ésta aportarse al proceso judicial al haberse mantenido la cadena de
custodia. De esta forma, se respeta el derecho a un proceso justo con todas las garantías:
A. El acta de recogida del material intervenido deberá contener una descripción detallada de éste, de las
medidas adoptadas para su preservación y transporte, filmándose o fotografiándose dicho acto en su
totalidad. El momento de la recogida es determinante, por lo que entiendo que debe estar sometido a
supervisión del Ministerio Fiscal.
B. La custodia deberá ser siempre en un lugar apto para el vestigio recogido, regulándose las condiciones de
mantenimiento con remisión a normativa específica en el supuesto que las características del objeto lo
requieran.
7
Página

INTERNACIONAL
ANÁLISIS DE CASOS
C. Deberá existir una suerte de “hoja de ruta” del vestigio, o historial en el que conste detalladamente el
personal que se ha hecho cargo y las razones de los cambios, así como de todos los datos de transporte,
personal que lo ha realizado, fecha y horas de entrega, condiciones nuevas de preservación, si es que las hay,
métodos de guarda y custodia utilizados, procesos a que ha sido sometida, todo ello en orden cronológico, así
como el nombre de las personas que los realizaron y su firma.
D. Control del Ministerio Fiscal y, en su caso, judicial, de la recogida y custodia. De este modo, las pruebas
podrán aportarse al proceso penal con todas las garantías, pudiendo comprobarse si en el recorrido que
siguen los elementos probatorios, desde su localización primera hasta su incorporación al plenario, se han
cumplido las exigencias normativas necesarias para garantizar su plena identidad e integridad. En definitiva,
si se ha mantenido o no la cadena de custodia. No obstante, si la cadena de custodia resulta lesionada, puede
generar una prueba que quebrante el derecho a un proceso justo con todas las garantías, constituyendo un
caso de prueba prohibida . (POZO PÉREZ, 2013).
7) Dónde y cómo almacenarlo: Se debe almacenar la información en dispositivos cuya seguridad

haya sido demostrada y que permitan detectar intentos de acceso no autorizados.
8) Herramientas necesarias: Existen una serie de pautas que deben de ser seguidas a la hora de
seleccionar las herramientas con las que se va a llevar a cabo el proceso de recolección:
Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse visto
comprometidas, principalmente en los casos de malware. Se debe procurar utilizar herramientas
que preserven la evidencia tanto física como digital y no la modifiquen.
La ISO (Organización Internacional de Normalización) es la principal creadora de Normas y

Estándares a nivel Global. UNE además es el único Organismo de Normalización en España,
designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea.
4. Norma UNE/ISO 197001:2019. Criterios generales para la

elaboración de informes periciales.
Establece la estructura y los requisitos mínimos de contenido de un dictamen o informe pericial con
8
el fin de garantizar la calidad y comprensión de las conclusiones desarrolladas por el perito. Esto se
Página
debe a la gran variedad de peritos de diferentes ramas profesionales que son los responsables de

INTERNACIONAL
ANÁLISIS DE CASOS
elaborar informes periciales con múltiples finalidades: incendios, falsificaciones, defectos de

construcción, tasación, impacto ambiental, informática forense, etc. Esta variedad motiva la
necesidad de homogeneizar documentos para que sean inteligibles y faciliten la valoración tanto
por el juez como por las partes implicadas en las actuaciones judiciales.
Se verá de forma detallada en la unidad respectiva.
5. UNE 197010:2015 Criterios generales para la elaboración de

informes y dictámenes periciales sobre Tecnologías de la
Información y las Comunicaciones (TIC).
Tiene el objetivo de establecer la estructura de un informe pericial en el ámbito de las Tecnologías
de la Información y las Comunicaciones (TIC). Es decir, establece los requisitos formales que deben
tener los informes y dictámenes periciales en el ámbito de las TIC, sin determinar los métodos y
procesos específicos para la elaboración de estos. Mediante esta normativa, se regularizan, dentro
de los informes periciales y sus procesos de elaboración dos aspectos: los criterios generales para la
elaboración de informes y dictámenes periciales y los servicios y procesos forenses y periciales.
6. UNE-EN ISO/IEC 27037:2012 (Ratificada por AENOR en

diciembre de 2016). Tecnología de la información. Técnicas de
seguridad. Directrices para la identificación, recogida,
adquisición y preservación de evidencias electrónicas.
Esta Norma Internacional proporciona pautas para actividades específicas en el manejo de
evidencia digital, que son la identificación, recopilación, adquisición y preservación de evidencia
digital que pueda tener un valor probatorio. Esta Norma Internacional proporciona orientación a las
personas con respecto a situaciones comunes encontradas a lo largo del proceso de manejo de
evidencia digital.
Este estándar constituye una guía para la identificación, recolección, adquisición y preservación de
9
las evidencias digitales, que pretende actualizar las directrices de la RFC3227 teniendo en cuenta el
Página
avance de las tecnologías actualmente.

INTERNACIONAL
ANÁLISIS DE CASOS
Esta norma recoge aspectos del procedimiento en fases previas al análisis de las evidencias
recogidas, y se centra en sistemas informáticos y entornos del tipo:
a) Equipos y medios de almacenamiento digital y dispositivos periféricos.
b) Sistemas de alta disponibilidad.
c) Ordenadores y dispositivos conectados en red.
d) Dispositivos móviles.
e) Cámaras de vídeo y digitales (sistemas de circuito cerrado de televisión digital).
f) Sistemas de navegación móvil.
Define dos roles especialistas:
• DEFR (Digital Evidence First Responders): expertos en primera intervención de

evidencias electrónicas.
• DES (Digital Evidence Specialists): expertos en gestión de evidencias electrónicas.
Los principios en los que se basa la norma son:
Métodos de aplicación: La evidencia digital debe ser recogida del modo menos intrusivo posible
tratando de evitar así la corrupción de la misma, y adquiriendo copias de respaldo.
Proceso auditable: Los procedimientos seguidos y la documentación generada deben incluir un

seguimiento del proceso llevado a cabo, las evidencias y los resultados del análisis.
Proceso reproducible: Los métodos y procedimientos aplicados deben ser reproducibles,

verificables y argumentables.
Proceso defendible: Las herramientas utilizadas deben haber sido validadas y contrastadas para el
uso específico de cada caso. Para cada tratamiento, la norma identifica tres procesos genéricos
respecto al tratamiento de las evidencias:
• Identificación.
10
• Adquisición.
Página
• Conservación.

INTERNACIONAL
ANÁLISIS DE CASOS
7. UNE 71505:2013, Tecnologías de la Información (TI). Sistema de

Gestión de Evidencias Electrónicas (SGEE).
Dentro de la norma UNE 17505 se marcan los siguientes objetivos:
• Definir y describir los conceptos de seguridad de la información relacionados con las

• Identificar las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el

Sistema de Gestión de la Seguridad de la Información (SGSI).
• Especificar los controles de seguridad aplicables a la gestión de evidencias electrónicas.
• Describir los formatos de intercambio de las evidencias electrónicas y los mecanismos

técnicos aplicables para el mantenimiento de su confiabilidad.
La confiabilidad de las evidencias electrónicas se fundamenta en el cumplimiento de lo siguiente:
• Autenticación e integridad.
• Disponibilidad y completitud.
• Cumplimiento y gestión.
Además, establece una serie de requisitos que se han de cumplir durante todo el ciclo de vida en la
gestión de una evidencia, y define un sistema de gestión de evidencias dividido en lo que sigue:
• Vocabulario y principios generales.
• Buenas prácticas en la gestión de las evidencias electrónicas.
• Formatos y mecanismos técnicos.
8. UNE 71506:2013, Tecnologías de la Información (TI).

Metodología para el análisis forense de las evidencias
electrónicas.
11
La norma UNE 71506 define el proceso de análisis forense dentro del ciclo de gestión de evidencias
Página
electrónicas (tal como se especifica en la UNE 71505).

INTERNACIONAL
ANÁLISIS DE CASOS
Establece, por tanto, una metodología para la preservación, adquisición, documentación, análisis y
presentación de las evidencias electrónicas.
Esta norma incluye una serie de anexos entre los que se encuentra un modelo de informe pericial,
basado en la norma UNE 197001, que incluye los siguientes apartados:
1. Asunto.
2. Evidencias/muestras recibidas.
3. Resolución o estudios efectuados sobre las evidencias/muestras.
4. Situación final de las evidencias/muestras.
5. Conclusiones.
6. Anexos del informe.
Además, orienta sobre la actividad de recogida de evidencias en dispositivos tales como:
• Medios de almacenamiento digitales utilizados en ordenadores tales como discos duros,

discos flexibles, discos y magneto ópticos o dispositivos de datos con funciones similares.
• Teléfonos móviles, asistentes digitales personales (PDA), dispositivos electrónicos personales

(PED) y tarjetas de memoria.
• Sistemas de navegación móvil (GPS).
• Cámaras digitales y de vídeo (incluyendo CCTV, cámaras de seguridad).
• Ordenadores de uso generalizado conectados a redes.
• Redes basadas en protocolos TCP / IP y otros.
• Dispositivos con funciones similares a las anteriores.
Esto quiere decir que tratar con elementos que pudieran aportar evidencias digitales, susceptibles
de ser consideradas como posibles pruebas, tales como las contenidas en discos duros, cámaras
digitales, terminales móviles, tablets y de vídeo (incluyendo CCTV, grabaciones de cámaras de
seguridad), deben seguir un protocolo determinado.
12
Página

INTERNACIONAL
ANÁLISIS DE CASOS
9. UNE-EN ISO/IEC 27042:2012 (Ratificada por AENOR en

diciembre de 2016). Tecnología de la información. Técnicas de
seguridad. Directrices para el análisis y la interpretación de las
Esta Norma Internacional proporciona pautas para el análisis y la interpretación de la evidencia
digital, de forma que aborde cuestiones de continuidad, validez, reproducibilidad y repetibilidad de
la prueba.
10. ISO/IEC 27004:2016. Tecnología de la información. Técnicas de

seguridad. Gestión de la seguridad de la información.
Monitoreo, medición, análisis y evaluación.
Este documento proporciona pautas destinadas a ayudar a las organizaciones a evaluar el
desempeño de la seguridad de la información y la efectividad de un sistema de gestión de
seguridad de la información (SGSI).
11. Principios multidisciplinares del análisis forense

La informática forense aplica técnicas científicas y analíticas dirigidas a identificar, preservar,
analizar y presentar evidencia con objeto de un proceso legal.
Esto se realiza mediante un informe técnico pericia. La primera problemática que vamos a
encontrar en ello es en cómo implementar evidencias no tangibles en un soporte documental físico.
La segunda problemática es que además debemos realizarlo bajo unos principios multidisciplinares
del ámbito jurídico ambiguos, pero a la vez inflexibles.
Los principios de obligado cumplimiento para un profesional son:

13
• Objetividad
Página
• Autenticidad y conservación
INTERNACIONAL
ANÁLISIS DE CASOS
• Legalidad
• Idoneidad
• Inalterabilidad
• Documentación
• Repetibilidad de la prueba
Adicionalmente, debemos de conocer otros principios relacionados más a la práctica pericial,

algunos no siempre aplicables:
• Protección y preservación
• Identidad de copias
• Tecnológico interdisciplinario
• Oportunidad
• Compatibilización
Principio de objetividad
El forense informático debe ser objetivo y además si su informe tiene como destino el ámbito
judicial, adicionalmente tiene la obligación de ser imparcial, con independencia absoluta del
requirente y si incluso es el mismo que abona sus honorarios con más motivo.
El no cumplimento de ese principio puede ocasionar nulidad de procedimientos judiciales y la

responsabilidad directa del perito/forense tanto penal y/o civil.
Principio de autenticidad y conservación
Durante todo el proceso, se debe garantizar que la evidencia física y la digital se proteja y conserve.
Se debe velar por conservar la autenticidad e integridad de los medios de prueba. Para ello,
usaremos instrumentos y software de uso explícitamente forense. En esta unidad, más adelante,
14
profundizaremos sobre ello.

Página

INTERNACIONAL
ANÁLISIS DE CASOS
Principio de legalidad
Del carácter multidisciplinar de esta disciplina, se obliga a que el perito/forense conozca la

legislación vigente de sus actividades periciales y cumplir con los requisitos reflejados en ella.
Debe ser preciso en sus matices, opiniones y resultados siempre de manera técnica pero
comprensible. No hacer bajo ningún concepto juicios de valor ni establecer hipótesis y mucho
menos dictaminar culpabilidades o responsabilidades.
Adicionalmente tiene que trabajar siempre con evidencia obtenida de manera legal y autorizada.
Es importante que el acceso a la información sea explícitamente autorizado e incorporada dicha

autorización al informe directamente o por anexos.
Principio de idoneidad
La evidencia debe ser auténtica, tener relevancia para el caso y reunir un número suficiente de
muestras. Si no se reúnen estos requisitos convendría no aceptar el encargo o solicitar que se
subsanen, por lo que antes de iniciar un procedimiento de análisis o cualquier otro debe
comprobarse que se reúnen los requisitos que conforman este principio.
El objeto pericial es el encargo concreto y detallado que nos hace la parte solicitante sobre el
alcance de nuestra investigación o pericial.
De forma básica este principio establece que la evidencia aportada por el juzgado o las partes es útil
e idónea para el objeto pericial solicitado.
Muchas veces, nos encontramos en el entorno judicial peticiones de informes con objetos periciales
poco detallados o genéricos y evidencia y/o parte documental escasa.
Principio de inalterabilidad
Se debe realizar todo el proceso asegurando que la evidencia no ha sido manipulada durante la
pericia. La evidencia se preserva mediante la debida cadena de custodia, si esta se realiza
correctamente nos indicara en que punto de la misma ha sido manipulada y se podrá identificar al
15
responsable.
Página

INTERNACIONAL
ANÁLISIS DE CASOS
La forma más fácil de detectar una manipulación en la evidencia digital es el cálculo del HASH en la
recogida y su cálculo en la entrega. Si ambos valores HASH difieren la gestión sobre la evidencia
digital ha sido errónea, mal trabajada, y además invalida el proceso. Por ello trabajaremos la
inspección y análisis sobre clones íntegros de la evidencia nunca sobre su original.
Principio de repetibilidad de la prueba
En cualquier informe pericial de carácter tecnológico, se debe de aportar al mismo toda la

información, evidencia digital, identificación de software empleado, etc. para que cualquiera de las
partes intervinientes, puedan realizar, a efectos de comprobación y reproducción de la prueba,
todo el proceso y obviamente llegar a los mismos resultados.
Obviamente, si la parte contraria aporta un informe que no garantiza la posibilidad de repetir el

ensayo o análisis objeto de estudio, estamos en el mismo derecho de poder solicitar la impugnación
de esta.
Principio de identidad de copias
Existen infinidad de procesos de almacenamiento de información como imágenes, backups, etc.

Pero de forma inequívoca, debemos trabajar siempre sobre copias bit a bit integras. Clones
idénticos, a ser posible generados con hardware totalmente autónomo de clonación. En los que no
exista nivel de compresión alguno y realicen un clonado idéntico y siempre verificable mediante
algoritmos HASH.
Existen en el mercado un gran número de clonadoras de uso forense siendo las recomendadas para
este procedimiento. Evítese, en la medida de lo posible, usar software de clonado en el que jamás
se conseguirá que el algoritmo HASH coincida.
16
Página

INTERNACIONAL
ANÁLISIS DE CASOS
12. Bibliografía
BREZINSKI, D.; KILLALEA, T. RFC3227: Guidelines for Evidence Collection and Archiving. 2002.
CODE, REF. GUIDELINES FOR BEST PRACTICE IN THE FORENSIC EXAMINATION OF DIGITAL
TECHNOLOGY.
https://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf
DEL POZO PÉREZ, Marta. La cadena de custodia: tratamiento jurisprudencial. Revista General de
Derecho Procesal, 2013, 30, p. 1.
Migueles, M., Trigo, S., Onaine, A. E., Lamperti, S., Cestona, A., Alvarez Cestona, M. B., ... &
Ambrustolo, M. (2020). Calidad pericial: el estudio y estandarización de los procesos en un
laboratorio de informática forense. SID, Simposio Argentino de informática y Derecho.
Roatta, S., Casco, M. E., & Fogliato, G. (2015). El tratamiento de la evidencia digital y las normas
ISO/IEC 27037: 2012. In XXI Congreso Argentino de Ciencias de la Computación (Junín, 2015).
Azas Manzano, M. F. (2015). DISEÑO DE UN MODELO PARA LA CADENA DE CUSTODIA Y
HERRAMIENTAS PARA EL ANÁLISIS FORENSE DE EQUIPOS TECNOLÓGICOS EN PROCESOS JUDICIALES
EN EL ECUADOR (Doctoral dissertation, Universidad Internacional SEK).
Dominguez, F. L. (2013). Introducción a la informática forense. Grupo Editorial RA-MA.
17
Página

INTERNACIONAL

Normas Y Principios Fundamentales Del Análisis Forense en La Comunidad Científica Internacional

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Normas Y Principios Fundamentales Del Análisis Forense en La Comunidad Científica Internacional

Cargado por

Copyright:

Formatos disponibles

Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

2. ENFSI-BPM-FIT-01 Best practice manual for the forensic examination of digital

Principios durante la recolección de evidencias ....................................................................................... 5

5. UNE 197010:2015 Criterios generales para la elaboración de informes y

6. UNE-EN ISO/IEC 27037:2012 (Ratificada por AENOR en diciembre de 2016).

7. UNE 71505:2013, Tecnologías de la Información (TI). Sistema de Gestión de

8. UNE 71506:2013, Tecnologías de la Información (TI). Metodología para el análisis

9. UNE-EN ISO/IEC 27042:2012 (Ratificada por AENOR en diciembre de 2016).

10. ISO/IEC 27004:2016. Tecnología de la información. Técnicas de seguridad. Gestión

11. Principios multidisciplinares del análisis forense ............................................................................................. 13

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

Principio de objetividad ........................................................................................................................................................... 14

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

Distintas organizaciones internacionales (como por ejemplo ISO – International Standard

2. ENFSI-BPM-FIT-01 Best practice manual for the forensic

3. RFC 3227 «Guidelines for Evidence Collection and Archiving» o

Principios durante la recolección de evidencias

• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y

• Recoger la información según el orden de volatilidad (de mayor a menor).

proceso de recolección de información ya que debe preservarse su integridad:

• No apagar el ordenador hasta que se haya recopilado toda la información.

4) Procedimiento de recolección: El procedimiento de recolección debe de ser lo más detallado

Pasos: sistemas involucrados en el incidente, establecer un orden de relevancia, orden de

La cadena de custodia consiste en la documentación de la preservación, precintado y desprecintado de un

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

7) Dónde y cómo almacenarlo: Se debe almacenar la información en dispositivos cuya seguridad

La ISO (Organización Internacional de Normalización) es la principal creadora de Normas y

4. Norma UNE/ISO 197001:2019. Criterios generales para la

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

elaborar informes periciales con múltiples finalidades: incendios, falsificaciones, defectos de

Se verá de forma detallada en la unidad respectiva.

5. UNE 197010:2015 Criterios generales para la elaboración de

6. UNE-EN ISO/IEC 27037:2012 (Ratificada por AENOR en

avance de las tecnologías actualmente.

a) Equipos y medios de almacenamiento digital y dispositivos periféricos.

b) Sistemas de alta disponibilidad.

c) Ordenadores y dispositivos conectados en red.

e) Cámaras de vídeo y digitales (sistemas de circuito cerrado de televisión digital).

f) Sistemas de navegación móvil.

Define dos roles especialistas:

• DEFR (Digital Evidence First Responders): expertos en primera intervención de

• DES (Digital Evidence Specialists): expertos en gestión de evidencias electrónicas.

Los principios en los que se basa la norma son:

Proceso auditable: Los procedimientos seguidos y la documentación generada deben incluir un

Proceso reproducible: Los métodos y procedimientos aplicados deben ser reproducibles,

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

7. UNE 71505:2013, Tecnologías de la Información (TI). Sistema de

• Definir y describir los conceptos de seguridad de la información relacionados con las

• Identificar las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el

• Especificar los controles de seguridad aplicables a la gestión de evidencias electrónicas.

• Describir los formatos de intercambio de las evidencias electrónicas y los mecanismos

La confiabilidad de las evidencias electrónicas se fundamenta en el cumplimiento de lo siguiente:

• Vocabulario y principios generales.

• Buenas prácticas en la gestión de las evidencias electrónicas.

• Formatos y mecanismos técnicos.

8. UNE 71506:2013, Tecnologías de la Información (TI).

electrónicas (tal como se especifica en la UNE 71505).

NORMAS Y PRINCIPIOS FUNDAMENTALES DEL

3. Resolución o estudios efectuados sobre las evidencias/muestras.

4. Situación final de las evidencias/muestras.

6. Anexos del informe.