Saltar a contenido

3.1.2.-Procedimiento

3.1.2 Guía y Procedimiento para la Recopilación y Almacenamiento de Evidencias Digitales

El procedimiento de recopilación y almacenamiento de evidencias digitales es un proceso crítico en el ámbito de la seguridad informática y la investigación forense. El presente documento proporciona una guía general para llevar a cabo este procedimiento de manera efectiva y segura. Se ha intentado extraer los principios y prácticas comunes utilizados en la industria y en el ámbito legal.

Objetivo

El objetivo de este procedimiento es asegurar que la evidencia digital se recopile y almacene de manera segura, preservando su integridad, autenticidad y cadena de custodia, para su posterior análisis y posible presentación legal.

Fase 1: Preparación para la Recopilación

1. Conocimiento y Autorización:

  • Asegurarse de comprender el alcance de la investigación y los objetivos de la recopilación.
  • Verificar la autoridad legal para la recopilación (por ejemplo, orden judicial, consentimiento).
  • El personal encargado debe estar debidamente autorizado y, si es externo, contar con un contrato de servicio o autorización escrita.

2. Herramientas:

  • Preparar un kit de herramientas forenses que incluya hardware y software reconocidos. Esto puede incluir:

  • Dispositivos de bloqueo de escritura (write blockers).

  • Dispositivos para crear copias forenses/imágenes.
  • Medios de almacenamiento limpios y suficientes para las copias.
  • Herramientas para calcular hashes (MD5, SHA-1, SHA-256).
  • Etiquetas de evidencia.
  • Bolsas antiestáticas y materiales de embalaje adecuados.
  • Cámara fotográfica o de vídeo para documentar la escena.
  • Formularios de cadena de custodia.
  • Bloc de notas y bolígrafos para la documentación.

3. Personal:

  • Asignar personal capacitado en forense digital para realizar la recopilación. En algunos casos, puede ser necesario un equipo de al menos dos personas.
  • Considerar la necesidad de testigos independientes para dar fe del proceso.

4. Planificación Previa a la Escena:

La escena hace referencia al lugar donde se encuentra la evidencia digital. Antes de llegar a la escena, es importante:

  • Revisar los procedimientos predefinidos del laboratorio para la preparación antes de la escena. Dicho de otra forma, tener un plan de acción antes de llegar a la escena en la que se encuentre la evidencia.
  • Comprender las directrices policiales locales relacionadas con la búsqueda y el decomiso de evidencia.
  • Si se conoce la presencia de equipos informáticos especializados, considerar la necesidad de personal con formación especializada en la recopilación de evidencia de estos sistemas.

Fase 2: Recopilación de Evidencia en la Escena

1. Aseguramiento y Documentación de la Escena:

  • Aislar la escena y restringir el acceso a personal no autorizado.

  • Documentar detalladamente la escena antes de cualquier manipulación. Esto incluye:

  • Croquis de la escena.

  • Detalles de todas las personas presentes.

  • Fotografías y/o vídeos de la ubicación de los equipos, conexiones, periféricos y cualquier información visible en las pantallas.

  • Tomar notas en el momento de todas las observaciones y acciones realizadas, incluyendo fechas y horas.

2. Identificación y Manejo de Dispositivos:

  • Identificar todos los dispositivos electrónicos presentes que puedan contener evidencia.
  • Etiquetar cada dispositivo y su cableado de forma clara y segura, sin ocultar números de serie u otra información importante.
  • No encender dispositivos apagados ni apagar dispositivos encendidos hasta que se haya evaluado la situación.
  • Si un dispositivo encendido muestra información relevante, documentar visualmente lo que se ve en la pantalla.
  • Buscar notas, diarios o documentos cerca de los equipos que puedan contener contraseñas u otra información relevante.

3. Preservación de la Evidencia durante la Recopilación:

  • Manipular los dispositivos con precaución para evitar daños físicos, incluyendo dobleces o arañazos en los medios.
  • Proteger la evidencia de campos magnéticos, descargas electrostáticas, y condiciones ambientales extremas (temperatura, humedad).
  • Si se desconecta un dispositivo de la fuente de alimentación, ser consciente de la posible pérdida de datos volátiles y de la limitada vida de las baterías. Priorizar el análisis de dispositivos con riesgo de pérdida de energía.
  • Para dispositivos conectados a redes, considerar el aislamiento de la red para evitar alteraciones remotas.

4. Adquisición de Evidencia en la Escena (si es necesario):

  • Si se realiza la adquisición en la escena, utilizar dispositivos de bloqueo de escritura. Es decir, no permitir que se escriba en los dispositivos durante la adquisición.
  • Crear una copia forense (clon o imagen) del medio de almacenamiento utilizando herramientas forenses validadas.
  • Calcular el hash del original antes de la copia y el hash de la copia después de la creación para verificar la integridad. Documentar los valores hash y el algoritmo utilizado.

5. Embalaje y Transporte:

  • Una vez documentada y (si es necesario) copiada la evidencia, embalarla de forma segura para su transporte al laboratorio.
  • Utilizar bolsas antiestáticas para componentes electrónicos y medios magnéticos. Evitar bolsas de plástico estándar.
  • Evitar doblar, golpear o exponer la evidencia a condiciones dañinas durante el transporte.
  • Mantener la evidencia alejada de fuentes magnéticas.
  • Documentar el embalaje de cada elemento de evidencia.

Fase 3: Almacenamiento Seguro de la Evidencia

1. Recepción y Registro en el Laboratorio:

  • Al recibir la evidencia en el laboratorio, verificar la integridad del embalaje y documentar su estado.
  • Registrar formalmente la recepción de cada elemento de evidencia, asignándole un identificador único y actualizando la cadena de custodia.
  • Realizar una evaluación inicial del estado de los soportes, incluyendo el riesgo de pérdida de datos.

2. Almacenamiento Físico:

  • Almacenar la evidencia en un lugar seguro con acceso restringido y controlado. Mantener un registro de quién tiene acceso y cuándo.
  • Proteger la evidencia de factores ambientales que puedan dañarla (temperatura, humedad, luz, campos magnéticos).
  • Utilizar armarios o cajas fuertes seguras para el almacenamiento.
  • Mantener un inventario actualizado de toda la evidencia almacenada.

3. Almacenamiento Digital (Copias Forenses):

  • Las copias forenses deben almacenarse en medios seguros y fiables. Considerar el uso de discos cifrados y control de acceso por contraseñas para la evidencia sensible.
  • Realizar copias de seguridad de las copias forenses y almacenarlas en ubicaciones separadas para evitar la pérdida de datos.
  • Implementar controles de acceso para asegurar que solo el personal autorizado pueda acceder a las copias digitales de la evidencia.
  • Mantener un registro de acceso (logs) a las copias digitales de la evidencia.
  • Considerar la obsolescencia de los medios de almacenamiento a largo plazo y planificar migraciones de datos si es necesario.

4. Mantenimiento de la Cadena de Custodia:

  • Documentar cada movimiento o manipulación de la evidencia, incluyendo la fecha, hora, persona responsable y motivo.
  • Utilizar formularios de cadena de custodia para registrar cada transferencia de posesión.
  • Asegurar que cada persona que manipula la evidencia firme y feche el formulario de cadena de custodia.

Fase 4: Disposición Final de la Evidenci

  1. Una vez finalizado el análisis y cualquier proceso legal, la evidencia debe ser devuelta a su propietario legítimo o eliminada de forma segura según los procedimientos y regulaciones aplicables.
  2. Documentar la disposición final de la evidencia, incluyendo la fecha, método y persona responsable.

Como se puede observar, este procedimiento proporciona un marco general. Por tanto, sería necesario adaptarlo a las políticas específicas de cada organización y a los requisitos legales de la jurisdicción correspondiente. La formación continua del personal es fundamental para asegurar la correcta aplicación de estos principios.