Cadena de Custodia Informático Forense

8/19/2019 Cadena de Custodia Informático Forense

http://slidepdf.com/reader/full/cadena-de-custodia-informatico-forense 1/4

Cadena de custodia informático-forense

Y. Ingrid Enríquez Rocha

Ateneo Universitario

2 de fe!rero 2"#$



Cadena de custodia informático-forense

%a cadena de custodia es una serie de &asos ''evados a ca!o &or un &erito( un

agente de' )* o un +uez so!re a'g,n instrumento de' de'ito( o!+eto o &roducto de '

o cua'quier evidencia re'acionada( 'os cua'es son asegurados( tras'adados(

ana'izados a'macenados con 'a fina'idad de que sean a'terados( destruidos o se

&ierdan así !rindar 'a seguridad so&orte de &rue!a ante un +uez.

*ara esto se han esta!'ecido &rocedimientos &ara &oder ofrecer'e veracidad a 'as

&rue!as en materia de informática así garantizar que no han sido su&'antadas(

modificadas( a'teradas o adu'teradas 'as &rue!as( 'o cua' ''ega a ser mu com,n

en evidencias digita'es. En resumidas &a'a!ras 'a cadena de custodia nos de!e

asegurar que 'a evidencia que se reco'ecto es 'a misma que se 'e &resenta a' +uez.

%os requisitos fundamenta'es que de!en &resentar dichas &rue!as son( un registro

deta''ado que nos &ermita identificar 'a evidencia( sus &oseedores( 'ugar( hora(fecha( nom!res que de&endencia es 'a que está invo'ucrada( en caso de carecer

de a'gunos de estos datos( 'a &rue!a queda sin va'or &ro!atorio. /in em!argo es

re'evante reca'car 'as características que de!e &resentar una &rue!a informático-

forense( comenzamos con que dichas &rue!as son indicios digita'izados(

codificados resguardados en un contenedor en es&ecia'( &rue!a 'a cua' está

com&uesta &or dos &artes que son 'a informaci0n que es e' conocimiento

a'macenado e' o!+eto e' cua' es un con+unto físico e' cua' contiene 'a

informaci0n. Esta informaci0n &odemos encontrar'a de tres formas diferentes1

a'macenada o sea que está en un reservatorio es&erando ser accedida( en

des&'azamiento 'a cua' se encuentra via+ando en un o!+eto físico como un ca!'e(

'aser( etc. &or u'timo en &rocesamiento que es donde 'a informaci0n se

encuentra en un equi&o aun en funcionamiento que dicha informaci0n está

siendo &rocesada( modificada( actua'izada resguardada &or 'o que convierte esta

forma en 'a mas com&i'ada a que aquí se toma 'a decisi0n de a&agar o no e'

equi&o en e' que se encuentra en caso de tomar 'a decisi0n incorrecta se corre

e' riesgo de &erder 'a informaci0n. Es una decisi0n incierta. /i se decide mantener

e' equi&o encendido( se corre e' riesgo de ha!er sido detectado durante su

a&ro3imaci0n a' mismo( que en rea'idad 'a actividad de' mismo est consistiendo

en !orrar de manera segura cua'quier informaci0n a'macenada 4usando tcnicases&ecíficas de e'iminaci0n de 'a informaci0n que 'a hacen irrecu&era!'e a 'os

mtodos informático-forenses5( con 'o que cuanto más tiem&o &ermanezca e'

equi&o funcionando maor será e' da6o &roducido. /i( &or e' contrario( se decide

a&agar e' equi&o( es &osi!'e que e' mismo tenga un mecanismo de seguridad ante

estos eventos que dis&are 'as mismas acciones de !orrado deta''adas( so!re 'os

equi&os remotos( e'iminando en'aces reservorios dentro de 'a misma red o en



redes e3ternas 4es mu com,n que( con fines de'ictivos o no( 'a informaci0n sea

a'macenada en un reservorio remoto( 'o que aumenta 'a seguridad confia!i'idad

de 'a misma( a que está e3enta de 'os riesgos edi'icios( físicos '0gicos( de' 'oca'

donde se uti'iza5. %a me+or manera de so'ucionar este &ro!'ema es 'a 'a!or de

inte'igencia &revia 4ataques &asivos( consistentes en interce&ci0n( escucha o

aná'isis de tráfico( &or medios remotos5. Esta tarea resue've e' &ro!'ema( &ero

demanda recursos tcnicos ( so!re todo( humanos sumamente escasos. *or otra

&arte( de!e ser autorizada +udicia'mente 'a &ráctica nos indica que 'a maoría de

'os 7uzgados( &or mu diversas causas( son sumamente reacios a autorizar estar

intervenciones 4'o mismo ocurre con 'as c'ásicas siem&re restringidas medidas

&revias o &re'iminares( aunque constituan &rue!a antici&ada re,nan 'as

condiciones requeridas &ara 'a misma1 &e'igro en 'a demora( credi!i'idad de'

derecho invocado8 9fumus !onis iuris.

Uno de 'os as&ectos im&ortantes en 'a &reservaci0n de &rue!as informáticas es e'

tema de su origina'idad que es donde interviene 'a cadena de custodia( a que

informáticamente ha!'ando no &odemos identificar cuando un archivo es una co&ia

a e3ce&ci0n de que estemos &resentes a' momento de rea'izar esta acci0n 'o cua'

marca 'a diferencia en re'aci0n a una &rue!a no digita' o sea en &a&e'. /in

em!argo 'a cadena de custodia nos &uede !rindar 'a seguridad de que 'as &rue!as

reca!adas son 'as origina'es además o!tenemos 'a venta+a de que un &erito

informático &uede o!tener una co&ia de dichos archivos tra!a+ar en e''os sin

afectar e' origina'( a diferencia de un documento en &a&e' a que 'os &eritos so'o

&ueden tra!a+ar so!re e' origina'( de!i'itando 'a &rue!a con 'a sa'ida de' tri!una' a

que se &resta &ara a'teraciones( destrucci0n etc.:tra de 'as venta+as de una &rue!a digita' so!re una física es que esta ,'tima de!e

ser reco'ectada tras'adada( en cam!io una digita' so'o es necesario co&iar'a de

dis&ositivo a dis&ositivo &ara des&us ser tras'adada( siem&re cuando 'a co&ia

sea certificada. Un e+em&'o de esto se &uede &resentar en cua'quier em&resa de

gran magnitud &ara 'a cua' 'a informaci0n que tiene en sus dis&ositivos es de vita'

im&ortancia &ara su funcionamiento 'o que im&ide e' secuestro de 'os

mencionados dis&ositivos( es aquí donde se recurre a una co&ia certificada de 'a

informaci0n. *ero a &esar de 'as venta+as que &ueden tener estas &rue!as

digita'es de!e cum&'ir con ciertas características como 'a traza!i'idad que &ude ser

humana o sea 'a res&onsa!i'idad que tienen 'os &eritos a' mani&u'ar 'as &rue!as(física haciendo menci0n a 'os dis&ositivos que &udiesen estar invo'ucrados

'0gica 'a cua' se refiere a 'a correcta descri&ci0n de 'a informaci0n o!tenida( otro

&unto fundamenta' es 'a confia!i'idad( que nos !rinde autenticidad seguridad de

e''a. /in em!argo 'a autenticad de esta informaci0n cae en e' tema de 'a

&rivacidad a que aunque 'a &rue!a digita' cum&'a con todas 'as características a

mencionadas( no se sa!e si esta informaci0n fue o!tenida de una manera 'ega'



como &or e+em&'o a travs de un a''anamiento de morada( etc. En caso de no ser

así( 'a &rue!a de!i0 ha!er sido reca!ada de 'a siguiente manera &or e' &erito1 e'

&rimero &aso es 'a co'ocaci0n de guantes &ara &osteriormente tomar fotos de'

'ugar de intervenci0n desde 'a &eriferia hacia e' área de!itada( e' tercer &aso es e'

más im&ortante a que aquí se toman fotografías de 'os dis&ositivos informáticos(

'as fotos de!erán ser a 'as &anta''as de 'os equi&os de manera fronta'( 'atera'

&osterior( así como a 'os n,meros de series a sus etiquetas de garantía( tam!in

se de!erán de fotografiar 'os &erifricos como tec'ados( monitor( im&resoras(

mouse( cámaras( ce'u'ares( i&od etc.( en caso de ha!er a'g,n materia' im&reso

tam!in se tomara foto de e''o así como de' ca!'eados de dis&ositivos

ina'ám!ricos a'am!ritos como m0dems. Una vez asegurados fotográficamente

estos e'ementos se &rocederá a inventariar registrando su ti&o( marca( numero de

serie( registro de garantía( en qu estado se encuentra e' equi&o a'gunas

&articu'aridades en caso de &resentarse. ;am!in será necesario rea'izar un

croquis de' 'ugar de intervenci0n &ara u!icar 'os equi&os( así como e' mo!i'iario ca!'eados. E' &erito informático forense de!erá reco'ectar 'a evidencia

&rocediendo de manera acorde a' origen de' requerimiento de 'a &ericia

informático-forense( a sa!er1 #. *or orden +udicia'( cuo te3to indica1 a. /ecuestrar

'a evidencia &ara su &osterior aná'isis en e' 'a!oratorio( e' &erito informático-

forense &rocederá a1 i. Certificar matemáticamente 'a evidencia. e. Identificar

registrar 'a evidencia. iii. E'a!orar un acta ante testigos. iv. Iniciar 'a cadena de

custodia. v. ;rans&ortar 'a evidencia a' 'a!oratorio. !. Efectuar 'a co&ia de 'a

evidencia &ara su &osterior aná'isis en e' 'a!oratorio( e' &erito informático forense

&rocederá a1 i. Certificar matemáticamente 'a evidencia. ii. <u&'icar 'a evidencia. iii.

Identificar registrar 'a evidencia 'a co&ia. iv. E'a!orar un acta ante testigos. v.;rans&ortar 'a co&ia o du&'icaci0n de 'a evidencia a' 'a!oratorio.

Conc'usi0n

E' avance de 'a tecno'ogía nos ha ''evado a crear nuevas tcnicas de

investigaci0n( nos ha !rindado otro ti&o de &rue!as( &ero como sue'e suceder 'a

sociedad muchas veces se &redis&one a 'o que no conoce( a 'o nuevo de!ido a

esto muchas veces una &rue!a( un indicio digita' &uede ''egar a crear controversia(

a generarnos duda hasta cierto rechazo( sin em!argo ho en día &odemos tener

'a seguridad de e''a gracias a 'a cadena de custodia( que nos !rinda 'a certeza de

que no &or ser una &rue!a informática carece de va'idez o de va'or en cua'quier caso( &ara e''os 'os &eritos tienen 'a gran tarea de ''evar a ca!o una serie de &asos

de gran im&ortancia( a que donde no se cum&'an 'o que &udo ''egar a ser una

&rue!a crucia'( quedara fuera muchas veces queda en +uego 'a 'i!ertad de una

&ersona.

Documents

Cadena de Custodia Informático Forense