DIPLOMADO CIBERSEGURIDAD

COMPUTO FORENCE
ANA GABRIELA AIZPRÚA (8-950-1532)

Título: El principio de intercambio de Locard

Abstract:

El principio de Locard es un concepto fundamental de la ciencia forense en forma general donde

por definición establece que, en cualquier interacción entre dos objetos, se produce un
intercambio de materiales que puede servir como evidencia ya que no importa el lugar siempre los
delincuentes dejan evidencia de su presencia y también siempre se llevará algo cuando abandone
la escena que dará el rastro para vincularlo, es decir que “toda acción o delito deja un rastro por lo
cual se pueden obtener evidencias”. Es útil a la hora de la identificación y análisis de la evidencia y
posterior a la resolución se casos.

En el principio de Locard se manejan tres términos que son Escena del crimen, sospechoso y
victima que el contacto de estas a su vez crea las evidencias. Estos conceptos básicos también
tienen validez en el ámbito de la informática o computo forense donde la escena sería el equipo
físico o sistema (computadora, disco duro, USB, etc.), el sospechoso sería quien cometió el delito o
dueño del equipo y la victima la entidad que ha sido vulnerada. También podemos implementar los
conceptos de principio en los cuatro puntos principales de la metodología para el análisis forense
informático tiene como base en el P.I.L: Comenzando con la fase de “Buscar”, donde buscamos
evidencia digital de valor en los artefactos o sistemas (archivos, metadatos, equipos, USB, etc);
pero también debemos tener en cuenta (como dice el principio) cualquier contacto deja una
marca; se debe tener cuidado que las acciones de búsqueda no alteren accidentalmente la
evidencia. Es importante conocer el artefacto ya que se debe examinar sin alterar su contenido
ejemplo no es lo mismo tomar evidencias de un equipo de escritorio que de una laptop y en caso
de alterar el contenido se puede romper la cadena de custodia desde el inicio. En la segunda fase
de “Analizar” donde se analizan el detalle de la evidencia digital recolectada (Datos eliminados,
malware, eventos), aplicando el concepto los investigadores pueden identificar actividades
sospechosas que hayan dejado rastros. En la fase de “preservar” donde se toman medidas para
garantizar la integridad de la evidencia y que haya seguido la correcta cadena de custodia,
aplicando el principio es muy relevante ya que debemos garantizar que no se contamine o altere la
evidencia. Y por último en la fase de “Presentar” donde después de analizar se presentan todos los
hallazgos de las evidencias es muy importante ya se los investigadores siempre deben
proporcionar prueba de que se siguieron las prácticas correctas y se cuidó la cadena de custodia. Y
con lo antes mencionado podemos resumir que es el P.I.L esta estrechamente relacionado con
todo el análisis forense digital ya que ayuda como guía en la búsqueda, recordar la integridad de la
evidencia e identificar a momento del análisis el intercambio o trazabilidad para posteriormente
presentar los resultados.

Palabras claves: Ciencia forense, evidencia, informático, prueba digital, artefactos, cadena de
custodia.

Siglas: P.I.L = Principio de Intercambio de Locard

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ – ANA GABRIELA AIZPRÚA