3.1.2.-Procedimiento
3.1.2 Guía y Procedimiento para la Recopilación y Almacenamiento de Evidencias Digitales¶
El procedimiento de recopilación y almacenamiento de evidencias digitales es un proceso crítico en el ámbito de la seguridad informática y la investigación forense. El presente documento proporciona una guía general para llevar a cabo este procedimiento de manera efectiva y segura. Se ha intentado extraer los principios y prácticas comunes utilizados en la industria y en el ámbito legal.
Objetivo¶
El objetivo de este procedimiento es asegurar que la evidencia digital se recopile y almacene de manera segura, preservando su integridad, autenticidad y cadena de custodia, para su posterior análisis y posible presentación legal.
Fase 1: Preparación para la Recopilación¶
1. Conocimiento y Autorización:
- Asegurarse de comprender el alcance de la investigación y los objetivos de la recopilación.
- Verificar la autoridad legal para la recopilación (por ejemplo, orden judicial, consentimiento).
- El personal encargado debe estar debidamente autorizado y, si es externo, contar con un contrato de servicio o autorización escrita.
2. Herramientas:
-
Preparar un kit de herramientas forenses que incluya hardware y software reconocidos. Esto puede incluir:
-
Dispositivos de bloqueo de escritura (write blockers).
- Dispositivos para crear copias forenses/imágenes.
- Medios de almacenamiento limpios y suficientes para las copias.
- Herramientas para calcular hashes (MD5, SHA-1, SHA-256).
- Etiquetas de evidencia.
- Bolsas antiestáticas y materiales de embalaje adecuados.
- Cámara fotográfica o de vídeo para documentar la escena.
- Formularios de cadena de custodia.
- Bloc de notas y bolígrafos para la documentación.
3. Personal:
- Asignar personal capacitado en forense digital para realizar la recopilación. En algunos casos, puede ser necesario un equipo de al menos dos personas.
- Considerar la necesidad de testigos independientes para dar fe del proceso.
4. Planificación Previa a la Escena:
La escena hace referencia al lugar donde se encuentra la evidencia digital. Antes de llegar a la escena, es importante:
- Revisar los procedimientos predefinidos del laboratorio para la preparación antes de la escena. Dicho de otra forma, tener un plan de acción antes de llegar a la escena en la que se encuentre la evidencia.
- Comprender las directrices policiales locales relacionadas con la búsqueda y el decomiso de evidencia.
- Si se conoce la presencia de equipos informáticos especializados, considerar la necesidad de personal con formación especializada en la recopilación de evidencia de estos sistemas.
Fase 2: Recopilación de Evidencia en la Escena¶
1. Aseguramiento y Documentación de la Escena:
- Aislar la escena y restringir el acceso a personal no autorizado.
-
Documentar detalladamente la escena antes de cualquier manipulación. Esto incluye:
-
Croquis de la escena.
- Detalles de todas las personas presentes.
-
Fotografías y/o vídeos de la ubicación de los equipos, conexiones, periféricos y cualquier información visible en las pantallas.
-
Tomar notas en el momento de todas las observaciones y acciones realizadas, incluyendo fechas y horas.
2. Identificación y Manejo de Dispositivos:
- Identificar todos los dispositivos electrónicos presentes que puedan contener evidencia.
- Etiquetar cada dispositivo y su cableado de forma clara y segura, sin ocultar números de serie u otra información importante.
- No encender dispositivos apagados ni apagar dispositivos encendidos hasta que se haya evaluado la situación.
- Si un dispositivo encendido muestra información relevante, documentar visualmente lo que se ve en la pantalla.
- Buscar notas, diarios o documentos cerca de los equipos que puedan contener contraseñas u otra información relevante.
3. Preservación de la Evidencia durante la Recopilación:
- Manipular los dispositivos con precaución para evitar daños físicos, incluyendo dobleces o arañazos en los medios.
- Proteger la evidencia de campos magnéticos, descargas electrostáticas, y condiciones ambientales extremas (temperatura, humedad).
- Si se desconecta un dispositivo de la fuente de alimentación, ser consciente de la posible pérdida de datos volátiles y de la limitada vida de las baterías. Priorizar el análisis de dispositivos con riesgo de pérdida de energía.
- Para dispositivos conectados a redes, considerar el aislamiento de la red para evitar alteraciones remotas.
4. Adquisición de Evidencia en la Escena (si es necesario):
- Si se realiza la adquisición en la escena, utilizar dispositivos de bloqueo de escritura. Es decir, no permitir que se escriba en los dispositivos durante la adquisición.
- Crear una copia forense (clon o imagen) del medio de almacenamiento utilizando herramientas forenses validadas.
- Calcular el hash del original antes de la copia y el hash de la copia después de la creación para verificar la integridad. Documentar los valores hash y el algoritmo utilizado.
5. Embalaje y Transporte:
- Una vez documentada y (si es necesario) copiada la evidencia, embalarla de forma segura para su transporte al laboratorio.
- Utilizar bolsas antiestáticas para componentes electrónicos y medios magnéticos. Evitar bolsas de plástico estándar.
- Evitar doblar, golpear o exponer la evidencia a condiciones dañinas durante el transporte.
- Mantener la evidencia alejada de fuentes magnéticas.
- Documentar el embalaje de cada elemento de evidencia.
Fase 3: Almacenamiento Seguro de la Evidencia¶
1. Recepción y Registro en el Laboratorio:
- Al recibir la evidencia en el laboratorio, verificar la integridad del embalaje y documentar su estado.
- Registrar formalmente la recepción de cada elemento de evidencia, asignándole un identificador único y actualizando la cadena de custodia.
- Realizar una evaluación inicial del estado de los soportes, incluyendo el riesgo de pérdida de datos.
2. Almacenamiento Físico:
- Almacenar la evidencia en un lugar seguro con acceso restringido y controlado. Mantener un registro de quién tiene acceso y cuándo.
- Proteger la evidencia de factores ambientales que puedan dañarla (temperatura, humedad, luz, campos magnéticos).
- Utilizar armarios o cajas fuertes seguras para el almacenamiento.
- Mantener un inventario actualizado de toda la evidencia almacenada.
3. Almacenamiento Digital (Copias Forenses):
- Las copias forenses deben almacenarse en medios seguros y fiables. Considerar el uso de discos cifrados y control de acceso por contraseñas para la evidencia sensible.
- Realizar copias de seguridad de las copias forenses y almacenarlas en ubicaciones separadas para evitar la pérdida de datos.
- Implementar controles de acceso para asegurar que solo el personal autorizado pueda acceder a las copias digitales de la evidencia.
- Mantener un registro de acceso (logs) a las copias digitales de la evidencia.
- Considerar la obsolescencia de los medios de almacenamiento a largo plazo y planificar migraciones de datos si es necesario.
4. Mantenimiento de la Cadena de Custodia:
- Documentar cada movimiento o manipulación de la evidencia, incluyendo la fecha, hora, persona responsable y motivo.
- Utilizar formularios de cadena de custodia para registrar cada transferencia de posesión.
- Asegurar que cada persona que manipula la evidencia firme y feche el formulario de cadena de custodia.
Fase 4: Disposición Final de la Evidenci¶
- Una vez finalizado el análisis y cualquier proceso legal, la evidencia debe ser devuelta a su propietario legítimo o eliminada de forma segura según los procedimientos y regulaciones aplicables.
- Documentar la disposición final de la evidencia, incluyendo la fecha, método y persona responsable.
Como se puede observar, este procedimiento proporciona un marco general. Por tanto, sería necesario adaptarlo a las políticas específicas de cada organización y a los requisitos legales de la jurisdicción correspondiente. La formación continua del personal es fundamental para asegurar la correcta aplicación de estos principios.