Evidencia Digital

11/10/2022

​

CARLOS SALTOR carlos.saltor@gmail.com

BLOG DEL CURSO

BLOG: HTTPS://WWW.BLOGGER.COM/BLOG/POSTS/6283007836757730249

Concepto de Evidencia Digital (ED)

• Conjunto de datos e información relevante para una investigación, que se encuentra almacenada en o es transmitida por una computadora o dispositivo electrónico

Características de la Evidencia Digital

• Volatilidad:
• Fragil y fácil de alterar y dañar o destruir
• Comparable con el ADN o con las huellas digitales por ser una prueba latente
• En su estado natural (la ED) no nos deja entrever que información contiene en su interior y por eso es necesario su examen mediante instrumentos y procesos forenses específicos
• Requiere precauciones especiales al momento de su recolección, manipulación, documentación y examen.
• De lo contrario puede tornarse inválida o imprecisa a los fines judiciales, para esclarecer el hecho delictivo

Norma ISO/IEC 27037: 2012

• ISO: Organización Internacional de Estandarización
• Dirección WEB: https://www.iso.org/home.html
• Brinda lineamientos para la identificación, recolección, obtención y preservación de la evidencia digital de forma tal de poder ser utilizada como evidencia útil
• Determina tres principios que establecen las condiciones necesarias y suficientes para que los forenses recaben, aseguren y preserven elementos materiales probatorios sobre medios digitales:
• Relevancia, confiabilidad y suficiencia.

Principios fundamentales del tratamiento de la ED

• Relevancia
• Confiabilidad
• Suficiencia
• Estos 3 principios definen la formalidad de cualquier investigación basada en ED.
• Permiten ser revisadas y analizadas por terceros interesados, y además ser sometidas a contradicciones según el ordenamiento jurídico que las regule

​

​

Relevancia

• Condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos.
• Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio

Confiabilidad

• La confiabilidad busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una Evidencia Digital.
• Es decir que si un tercero sigue el mismo proceso de extracción u obtención de ED, obtendrá resultados similares, verificables y comprobables

​

Suficiencia

• Este principio se relaciona con la completitud de pruebas informáticas
• Significa que con las ED recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada.

Actuación en procedimientos con (ED): Reglas

• Primera Regla:
• ​
• Al llegar a la escena del delito, se debe evitar la contaminación del objeto, retirando del lugar a toda persona ajena al procedimiento que se está llevando a cabo.

​

Segunda Regla

• Ninguna acción de la policía, sus agentes o del ECIF debe alterar los datos contenidos en las computadoras o dispositivos de almacenamiento informáticos, que luego serán utilizados como ED

​

Tercera Regla

• Si las circunstancias del caso hacen necesario acceder a los datos o información contenida en las computadoras o dispositivos de almacenamiento informático, la persona que efectúe dicha tarea debe ser idónea, es decir contar con los conocimientos técnicos informáticos que la situación justifica.
• Y además debe tener la capacidad de poder explicar el motivo por el cual debió interactuar con la (ED). Por ejemplo: la urgencia del caso; y además los pasos que llevó a cabo.

Cuarta Regla

• Auditar y registrar fehacientemente todo el proceso relativo a la manipulación de la ED, precisando detalladamente las medidas y acciones realizadas, teniendo como eje central la preservación de la cadena de custodia

​

Recolección y preservación de la ED

• Escena del crimen:
• Analizar panoramas
• Analizar distintas respuestas posibles para cada situación particular, a los efectos de aumentar cualitativamente y cuantitativamente los datos e información a capturar
• Asegurar la integridad de la ED, a los efectos de conformar el futuro escenario probatorio

​

Estado de la Computadora o sistema

• ​
• Se debe confirmar el estado de la computadora o sistema informático
• Luego de asegurar el lugar, se debe documentar cualquier tipo de actividad que esté realizando la computadora, los componentes externos a ella o los dispositivos de almacenamiento informático

¿Cómo está la computadora?

• Confirmar el estado de la computadora:
• ¿Se encuentra prendida o apagada?
• En virtud del estado (prendida o apagada) el procedimiento será distinto
• Recordar que algunas veces la computadora parece apagada, pero en realidad se encuentra “suspendida” (sleepmode, modo ahorro de energia), esto se puede ver cuando el monitor aparece como apagado, pero los leds de la computadora están encendidos y activos; también pueden mirar si los ventiladores (coolers) están funcionando. En estos casos es el agente especializado quién debe despertar a la computadora.
• Mover el mouse: no hacer clic ni tocar el teclado

Documentar la escena del crimen

Antes de tener contacto con cualquiera de los elementos informáticos, se debe fotografiar, filmar y hacer un croquis de la escena del crimen, en su totalidad

• Se debe fotografiar la parte frontal de cada computadora, incluyendo la imagen en la que se muestre también el monitor
• También la parte trasera (posterior) del equipo, en la que se observan los cables y conexiones pertinentes.
• Individualizar cada aparato electrónico

​

​

Diversos escenarios

• A) Escenario Simple:
• Computadora apagada
• B) Escenario complejo:
• Computadora prendida

​

A) Escena Simple: compu apagada

• 1.- No encender el equipo (bajo ninguna circunstancia)
• 2.- Remover el cable de alimentación de la computadora, desde la parte posterior de la misma (no del toma corriente de pared)
• Si es una computadora portátil, además del cable, se debe remover la batería de la misma
• 3.- Desconectar el resto de los cables y dispositivos USB o de almacenamiento informático que estén conectados a la computadora

​

A) Escenario Simple II: compu apagada

• 4.- Asegurarse de que las lectoras (de CD, DVD o similares) estén cerradas. Detallar si tenían algún soporte en el interior (en caso de que estén abiertas)
• 5.- Encintar todas las entradas de puertos, cables de alimentación (y otros), lectoras (de CD, DVD, etc.) para asegurar que la mismas no sean usadas y alteren la información contenida en la computadora.
• 6.- Registrar la marca, modelo, número de serie y cualquier otro tipo de identificación de la computadora y sus periféricos

B) Escenario complejo: compu prendida

• 1.- Eliminación de la alimentación de energía de la computadora (de la forma descripta anteriormente para los equipos apagados)
• 2.- ¿Cuándo debe realizarse inmediatamente?
• Cuando se detecta en el monitor de la computadora que los datos están siendo borrados o sobreescritos
• Si hay sospechas de un proceso de destrucción de los dispositivos de almacenamiento de información (tanto internos como externos)
• Al desconectar la energía eléctrica desde el cable de alimentación, el sistema operativo de la compu guarda información de utilidad para el proceso
• Por ejemplo el último usuario que se logueó, hora en que lo hizo, últimos comandos ejecutados, documentos usados.

​

B) Escenario Complejo (II)

• Al desconectar la fuente de energía de la computadora, nos aseguramos que ningún otro dispositivo con alimentación de energía propia pueda seguir escribiendo o eliminando información en la computadora
• 3.- Se recomienda apagar inmediatamente la compu y manipular información volatil?
• a) cuando a simple vista se observa en pantalla información que puede ser de valor probatorio para la investigación
• b) cuando se encuentran activos programas de mensajería instantánea, por ejemplo registros financieros de procesamiento de datos, datos encriptados, imágenes de pornografía infantil, u otra actividad ilegal
• Se recomienda dejar constancia de esta decisión y
• Utilizar un dispositivo de captura volátil de datos que tenga bloqueada la escritura, a fin de no modificar o alterar la información (por ejemplo un USB flash Drive, o un USB hard drive)

Embalaje, traslado y resguardo de la evidencia digital. Al momento de empacar la ED

• 1.- Asegurar que toda la ED recolectada se encuentre debidamente documentada, etiquetada, marcada, fotografiada, filmada, esquematizada (croquis) e inventariada. Individualizar los cables conectores
• Considerar que la ED, puede también contener evidencia latente rastreable
• Embalar toda la evidencia digital con cuidado y en paquetes, envoltorios o bolsas antiestáticas. A falta de ellas en bolsas de papel madera o cartón. Nunca bolsas plásticas, ya que pueden generar energía estática o permitir que la humedad (condensación) destruya la ED

Jaulas de aislación Faraday

• En caso de que resulte sumamente necesario que el aparato continúe encendido hasta que se efectúe la pericia, se recomienda cubrir los teléfonos celulares inteligentes en material que bloquee la señal de transferencia de datos.
• Para ello pueden utilizarse las denominadas jaulas de aislación Faraday, que permiten mantener encendido el aparato electrónico al mismo tiempo que bloquean cualquier transmisión de datos (ingreso/egreso) con el exterior

Campos magnéticos

• Mantener la ED fuera del alcance de campos magnéticos, vibraciones fuertes, humedad, polvo, temperaturas extremas, o cualquier otro tipo de elemento que pueda ocasionarle daño o destruirla.

Imagen o copia forense y uso del hash

La imagen o copia forense replica en forma completa (por sector bit a bit) la estructura y contenido de un dispositivo de almacenamiento (por ejemplo los discos duros)

Directa: Puede obtenerse en forma directa: Se extrae el disco rígido, físicamente desde el ordenador y se realiza la copia

Indirecta: Conecta un dispositivo externo al ordenador a fin de evitar la extracción del disco rígido y se hace la copia de idéntica manera

Código hash: Sistema matemático de identificación de la ED

Artículo 199 del CPPT - Acceso Remoto

Art. 199.- Información digital. Incautación de datos. Cuando se hallaren dispositivos de almacenamiento de datos informáticos que por las circunstancias del caso hicieren Análisis Documental PODER JUDICIAL DE TUCUMAN presumir que contienen información útil a la investigación, se procederá a su secuestro, y de no ser posible, se obtendrá una copia, o podrá ordenarse la conservación de los datos contenidos en los mismos, por un plazo que no podrá superar los noventa (90) días.

Art. 199 CPPT(continuación)

Quien deba cumplir esta orden deberá adoptar las medidas necesarias para mantenerla en secreto. También podrá disponerse, el registro del dispositivo por medios técnicos y en forma remota. A cualquier persona física o jurídica que preste un servicio a distancia por vía electrónica, podrá requerírsele la entrega de la información que esté bajo su poder o control referida a los usuarios o abonados, o los datos de los mismos. La información que no resulte útil a la investigación, no podrá ser utilizada y deberá ser devuelta, previo ser puesta a disposición de la defensa que podrá pedir su preservación. Regirán las limitaciones aplicables a los documentos.

​

Para otra reunión

• Computadoras en red y conexiones inalámbricas (Wi Fi; Bluetooth)
• Analizar otros dispositivos electrónicos a tener en cuenta
• Manipulación idónea de hardware
• Imagen o copia forense y uso de códigos hash
• Tipos de delitos y ED recolectada en función de la investigación
• Evidencia Digital en Internet
• Evidencia Digital en memoria principal o memoria volátil
• Evidencia Digital en dispositivos móviles

​

Gracias !!!!!!!!