MANIPULACIÓN DE LA EVIDENCIA DIGITAL Para realizar la manipulación de la evidencia digital, se requiere lo siguiente: • •
•
•
•
•
Hacer uso de medios forenses estériles (para copias de información) Mantener y controlar la integridad del medio original, es decir, que las acciones de manipulación de la información no debe alterarla !a persona que necesite tener acceso a la evidencia digital forense deber ser un profesional forense !as copias de los datos obtenidas, deben estar correctamente correctamente marcadas, cont co ntrrolad oladas as y pres preser erva vada das s " al igua iguall que que los los resul esulta tado doss de la investigación, deben estar disponibles para su revisión #iempre que la evidencia digital este en poder de alg$n individuo, éste ser% responsable de todas la acciones tomadas con respecto a ella, mientras esté en su poder !as agencias responsables de llevar el proceso de recolección y an%lisis de la evidencia digital, ser%n quienes deben garantizar el cumplimiento de los principios anteriores
GESTIÓN DE LA EVIDENCIA DIGITAL
!as gu&as y buenas pr%cticas son de gran ayuda para llevar una buena gestión de la evidencia digital !as gu&as nos permiten identi'car la evidencia digital que ser% utilizada en la investigación basadas en el método cient&'co para conclu concluir ir o deduci deducirr algo algo resp respect ecto o a la infor informa mació ción, n, que consis consiste te en varias varias facetas que permiten la reconstrucción de los eventos *+# - M-./0-# P012342+# !as siguientes son las siete gu&as e5istentes a nivel mundial como me6ores pr%cticas en computación forense: •
072 899
u&a Para 0ecolectar y +rc;ivar -videncia< (uidelines for -vidence 2ollection and +rc;iving) Provee una gu&a de alto nivel para recolectar y arc;ivar datos relacionados con intrusiones Muestra las me6ores pr%cticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y documentar los datos 3ambién e5plica algunos conceptos relacionados relacionados a la parte legal #u estructura es: a) Principios durante la recolección de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales b) -l proceso de recolección: transparencia y pasos de recolección c) -l proceso de arc;ivo: la cadena de custodia y donde y como arc;ivar •
u&a de la 4/2-
!a 4/2- =4/2->?@, publico Au&a para las me6ores pr%cticas en el e5amen forense de tecnolog&a digital< (uidelines for t;e best practices in t;e forensic
e5amination of digital tec;nology) =4/2->9@ -l documento provee una serie de est%ndares, principios de calidad y apro5imaciones para la detección prevención, recuperación, e5aminación y uso de la evidencia digital para 'nes forenses 2ubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde e5aminar la escena del crimen ;asta la presentación en la corte #u estructura es: a) arant&a de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentación, ;erramientas y validación de las mismas y espacio de traba6o) b) eterminación de los requisitos de e5amen del caso c) Principios generales que se aplican a la recuperación de la evidencia digital (recomendaciones generales, documentación y responsabilidad) d) Pr%cticas aplicables al e5amen de la evidencia de digital e) !ocalización y recuperación de la evidencia de digital en la escena: precauciones, b$squeda en la escena, recolección de la evidencia y empaquetado, etiquetando y documentación f) Priorización de la evidencia g) -5aminar la evidencia: protocolos de an%lisis y e5pedientes de caso ;) -valuación e interpretación de la evidencia i) Presentación de resultados (informe escrito) 6) 0evisión del arc;ivo del caso: 0evisión técnica y revisión administrativa B) Presentación oral de la evidencia l) Procedimientos de seguridad y que6as •
4nvestigación en la -scena del 2rimen -lectrónico (u&a o. C)
-l epartamento de .usticia de los -stados nidos de +mérica (o. --), publico A4nvestigación -n !a -scena el 2rimen -lectrónico< (-lectronic 2rime #cene 4nvestigation: + uide for 7irst 0esponders) =-l2r>C@ -sta gu&a se enfoca m%s que todo en identi'cación y recolección de evidencia #u estructura es: a) ispositivos electrónicos (tipos de dispositivos se pueden encontrar y cu%l puede ser la posible evidencia) b) Herramientas para investigar y equipo c) +segurar y evaluar la escena d) ocumentar la escena e) 0ecolección de evidencia f) -mpaque, transporte y almacenamiento de la evidencia g) -5amen forense y clasi'cación de delitos ;) +ne5os (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de entrenamiento) -5amen 7orense de -videncia igital (u&a o. 9) /tra gu&a del o. --, es A-5amen 7orense de -videncia igital< (7orensic -5amination of igital -vidence: + uide for !aD -nforcement) =7o-5>E@ -sta gu&a est% pensada para ser usada en el momento de e5aminar la evidencia digital #u estructura es: •
a) esarrollar pol&ticas y procedimientos con el 'n de darle un buen trato a la evidencia b) eterminar el curso de la evidencia a partir del alcance del caso c) +dquirir la evidencia d) -5aminar la evidencia e) ocumentación y reportes f) +ne5os (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de entrenamiento) 2omputación 7orense F Parte 9: Me6ores Pr%cticas (u&a Hong Gong) -l 4#7#, 4nformation #ecurity and 7orensic #ociety (#ociedad de #eguridad 4nform%tica y 7orense) creada en Hong Gong, publico A2omputación 7orense F Parte 9: Me6ores Practicas< (2omputer 7orensics Part 9: Iest Practices) =2o7or>E@ -sta gu&a cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense de evidencia digital, desde el e5amen de la escena del crimen ;asta la presentación de los reportes en la corte #u estructura es: •
a) 4ntroducción a la computación forense b) 2alidad en la computación forense c) -videncia digital d) 0ecolección de -videncia e) 2onsideraciones legales (orientado a la legislación de Hong Gong) f) +ne5os u&a e Iuenas Pr%cticas Para -videncia Iasada -n 2omputadores (u&a 0eino nido) !a +2P/, +ssociation of 2;ief Police /Jcers (+sociación de .efes de Polic&a), del 0eino nido mediante su departamento de crimen por computador, publico Au&a de Iuenas Pr%cticas para -videncia basada en 2omputadores< (ood Practice uide 7or 2omputer Iased -vidence) =oPraKK@ !a polic&a creó este documento con el 'n de ser usado por sus miembros como una gu&a de buenas pr%cticas para ocuparse de computadores y de otros dispositivos electrónicos que puedan ser evidencia #u estructura es: •
a) !os principios de la evidencia basada en computadores b) /'ciales atendiendo a la escena c) /'ciales investigadores d) Personal para la recuperación de evidencia basada en computadores e) 3estigos de consulta e5ternos f) +ne5os (legislación relevante, glosario y formatos) u&a Para -l Mane6o e -videncia -n 43 (u&a +ustralia) #tandards +ustralia (-st%ndares de +ustralia) publico Au&a Para -l Mane6o e -videncia -n 43< (HICC:9>>8 HandbooB uidelines for t;e management of 43 evidence) =HI43>8@ -sta gu&a no est% disponible para su libre distribución, por esto para su investigación se consultaron los art&culos AIuenas Pr%cticas -n !a +dministración e !a -videncia igital< =Iue+dm>?@ y ALeD uidelines to 2ombat -2rime< =Leu>8@ -s una gu&a creada con el 'n de asistir a las organizaciones para combatir el crimen electrónico -stablece •
puntos de referencia para la preservación y recolección de la evidencia digital etalla el ciclo de administración de evidencia de la siguiente forma: a) iseo de la evidencia b) Producción de la evidencia c) 0ecolección de la evidencia d) +n%lisis de la evidencia e) 0eporte y presentación f) eterminación de la relevancia de la evidencia