Evidencia Digital

Sustentante:

Ewryck Socias
• La Evidencia Digital o la prueba electrónica es cualquier v
alor probatorio de la información almacenada o transmitid
a en formato digital de tal manera que una parte o toda p
uede ser utilizada en el juicio

• Que es la Evidencia Digital?

• En la práctica, las evidencias digitales más comunes son:
discos duros, unidades de memoria (tarjetas SD, “pinchos
USB”, etc.), dispositivos con memoria interna (teléfonos
móviles, navegadores GPS, cámaras digitales, etc.).
Procedimiento general de análisis forense de evi
dencias digitales
• 1.Obtener acceso a la evidencia. Si, por ejemplo, se trata
de un disco duro debe extraerse y aislarse del sistema do
nde esté albergado. Si no es posible la extracción, se deb
e trabajar sobre el disco evitando, en la medida de lo posi
ble, que el sistema donde esté alojado pueda alterar el co
ntenido del mismo.
• 2.Conectar la evidencia a un dispositivo de lectura bloque
ando la posibilidad de escritura sobre la evidencia. Lo ide
al es utilizar dispositivos físicos que eviten la escritura so
bre la evidencia. En el caso de utilizar sistemas basados
en software, se evitará la modificación de la evidencia me
diante la configuración adecuada (read-only).

• 3.Hacer una copia (o varias) bit a bit de la evidencia a

analizar para no trabajar sobre el dispositivo original y
preservar éste de modificaciones accidentales.
• 4 Analizar la evidencia a partir de la copia obtenida anteri
ormente.
• 5.Extraer de la evidencia la información relevante para el
caso. Es importante que la búsqueda de pruebas sea
exhaustiva pero, a su vez, hay que evitar presentar
pruebas que no sean relevantes.
• 6.Documentar todo el proceso.
• 7.Mantener en todo momento control absoluto sobre la
ubicación y operaciones realizadas sobre la evidencia
mediante una aplicación estricta de la cadena de
custodia.
Principios básicos operativos en el manejo de evi
dencias digitales
• Las evidencias a analizar contienen pruebas que serán ut
ilizados, en la mayoría de los casos, durante un procedim
iento judicial. Su manejo por parte del perito debe ser cui
dadoso y escrupuloso. A continuación se enumeran unos
principios básicos para el manejo de estas evidencias.

• Documentar todas las acciones realizadas.

• Mantener la cadena de custodia de la evidencia.
Garantizar la integridad de la evidencia:

• Montar todos los volúmenes a analizar como solo lectura.

• Obtener, registrar y verificar la firma digital (HASH) de tod
as las evidencias digitales con las que se trabaje.
• Evitar daños sobre la evidencia (caídas, calor extremo, ca
mpos magnéticos, etc.).
• Trabajar durante la fase de análisis sobre una copia de la
evidencia de forma exclusiva.