EVIDENCIAS DIGITALES

1) Definicion.- La prueba o evidencia digital, tiene una gran importancia en el proceso

jurídico. Ya sea para un tema civil,laboral, penal, mercantil…A raíz de esta, podemos
empezar a realizar una hipótesis y al final, comprendemos lo que ha sucedido realmente.
Gracias a las pruebas, podemos evidenciar un hecho delictivo o no, que nos lleve hasta la
posesión de la verdad. Pero para ello, deberemos pasar un procedimiento para obtener
esa prueba. Todos los peritos judiciales informáticos deben conocer este proceso de
metodología. El cual es exigido por nuestras leyes para garantizar que sólo obtendremos
la verdad de lo sucedido. Para el derecho, la evidencia digital o electrónica es una certeza
perceptible.
Está evidencia debe ser manifiesta, evidente u obvia y clara, que nadie pueda refutarla. De
ahí, que a veces se oiga a muchos juristas, que ni los testimonios o declaraciones, dejan
tan claro un hecho como una prueba. La evidencia es imparcial, no va en contra de nadie
y solo evidencia un hecho claro de un suceso acontecido. Mostrando lo que pasó y como
ocurrió; e incluso, señalando al responsable o responsables.
2) ¿Cómo se autentica la evidencia?.- La evidencia física suele ser autenticado por el
testimonio jurado de una o más personas que puedan verificar que es lo que
pretende ser. Por ejemplo, el administrador de red que ha protegido en el
servidor de seguridad los registros inmediatamente después de un ataque y da
testimonio que los datos de registro presentados en la corte coinciden con los
datos que veía en los registros en esa fecha y hora. El oficial de policía que llego
a la escena puede testificar que él empaqueto el equipo que contiene los
archivos de registro y los entregó al laboratorio de pruebas. El Técnico de
análisis forense que tomó posesión de la computadora puede testificar que él lo
recibió de dicha persona y que utilizó métodos de análisis forense estándar para
hacer una copia a nivel de bits del disco que contiene los registros.

Este proceso de autenticación de la evidencia cada vez que cambia de manos

se llama la preservación de la cadena de custodia. Si las pruebas son dadas por
desaparecidas en cualquier momento durante el proceso, su autenticidad puede
ser contaminada porque hay una posibilidad de que alguien pudo haber hecho
cambios en él.

Por esta razón, es importante que todo el mundo que se ocupa de las pruebas
que tenga registros escritos de cuando lo entregó a otra persona, a quien le dio
la vuelta, y por qué. Estos registros constituyen el registro de las pruebas. La
evidencia debe ser guardada en una sala de pruebas de seguridad cuando se
almacenan.

Cuando se trata de la evidencia digital, tener presente: “. En primer lugar, no

hacer daño” Su primera tendencia al descubrir que la red se ha roto puede ser
abrir los archivos de registro, apagar el sistema, etc.. Sin embargo , si existe la
posibilidad de que el caso será procesado penalmente, usted debe solicitar a los
policiales y/o investigadores hacer lo menos posible más allá de desconectar el
sistema de la red y la protección de la escena (garantizando que ninguna otra
cosa cambia) hasta que llegue usted como Perito Informático.
 En concreto solicite:

a) No apagar el sistema. Los datos que en la memoria volátil (RAM) se

perderán.

b) No desconectar el sistema de la red. Si permanece conectado, un hacker

podría cubrir sus pistas mediante la supresión de los archivos de registro y
otros datos probatorios.

c) No utilizar el sistema para hacer cualquier cosa. No ejecutar ningún

programa. Sin darse cuenta podría sobrescribir los datos de pruebas. En
algunos casos, el hacker podría haber plantado un programa que va a borrar
los datos cuando se activa por algún evento (por ejemplo, abrir o cerrar un
programa).

d) No abrir los archivos para examinarlos. Esto modifica la fecha y hora.

La mejor manera de preservar la evidencia digital en su estado original

es conectar el ordenador a otro ordenador en el que se puede copiar la
información digital. Esto se puede hacer a través de una conexión de red
privada entre los dos equipos. Los datos pueden ser transferidos a través de
una conexión Ethernet entre los dos equipos (mediante la conexión de los
dos a un centro privado que no está conectado a cualquier otra red) o a través
de una conexión serie o USB.

El contenido de la original (de origen) de la memoria del ordenador debe ser

transferido al segundo (objetivo) primer equipo. Transferir el contenido de la
memoria en forma gradual para no sobrescribir lo que ya está en la memoria.
El contenido de los discos duros de las computadoras de la fuente debe ser
copiado en el equipo de destino como una imagen a nivel de bits. Esto
significa que la imagen es una copia exacta de toda la información sobre el
disco de origen. Es mejor usar software diseñado específicamente para fines
forenses. Programas utilizados por forenses expertos incluye EnCase
http://www.guidancesoftware.com/ , mediante Guidance Software (que
ofrece una interfaz gráfica) y las herramientas de línea de comandos
realizados por las Nuevas Tecnologías, Inc. (NTI). Algunos investigadores
también utilizan programas como Ghost de Symantec.

3) Procedimiento general de análisis forense de evidencias digitales.-

Este procedimiento debe ser respetado en todos sus extremos siempre que las
circunstancias lo permitan.

a) Obtener acceso a la evidencia. Si, por ejemplo, se trata de un disco duro

debe extraerse y aislarse del sistema donde esté albergado. Si no es
posible la extracción, se debe trabajar sobre el disco evitando, en la medida
 de lo posible, que el sistema donde esté alojado pueda alterar el contenido
del mismo.

b) Conectar la evidencia a un dispositivo de lectura bloqueando la

posibilidad de escritura sobre la evidencia. Lo ideal es
utilizar dispositivos físicos que eviten la escritura sobre la evidencia. En el
caso de utilizar sistemas basados en software, se evitará la modificación de
la evidencia mediante la configuración adecuada (read-only).

c) Hacer una imagen (o varias) de la evidencia a analizar para no trabajar

sobre el dispositivo original y preservar éste de modificaciones
accidentales.

d) Analizar la evidencia a partir de la imagen obtenida anteriormente.

e) Extraer de la evidencia la información relevante para el caso. Es

importante que la búsqueda de pruebas sea exhaustiva pero, a su vez, hay
que evitar presentar pruebas que no sean relevantes.

f) Documentar todo el proceso.

g) Mantener en todo momento control absoluto sobre la ubicación y

operaciones realizadas sobre la evidencia mediante una aplicación estricta
de la cadena de custodia.