¿Necesitas hacer una Consulta?

¿Que es la cadena de custodia informática y para qué sirve?

Como experto en informático forense en Madrid les explicamos a nuestros clientes que es la cadena de custodia informática. Cómo su importancia en los tribunales nacionales e internacionales. Asegurando y garantizando los pilares del ordenamiento jurídico de cada país.

La cadena de custodia informática y su importancia en el sistema legal

La cadena no es más que un protocolo para asegurase y seguir las pautas de extracción y protección de las evidencias digitales. Este procedimiento de control dura desde que se realiza el examen del dispositivo. Pasando por la obtención de la prueba y terminando cuando se expone ante los tribunales. Controla todo el transcurso del peritaje; el perito judicial debe dejar constancia ante un notario que sólo él se encargará del trabajo. Del mismo modo que se debe plasmar dónde y cómo se ha obtenido dicha evidencia. Qué se ha hecho con ella, donde se encuentra y quien la tiene. Hasta en caso de destrucción de la misma, si es demandada por orden judicial.

Todo esto debe hacerse de una forma rigurosa, ya que tiene que llegar a manos del tribunal o juzgado. Tenemos que tener presente que las pruebas o evidencias son en lo que se basa un juzgador a la hora de hacer sentencia. Con esas pruebas determina quien tiene la razón, que ha sucedido y el daño que se haya podido causar.

Las pruebas en el proceso jurídico. Lo que representan

Marcan el motivo o la razón, aportando el convencimiento de la certeza de los hechos, conductas o comportamientos. Establecen la verdad o la realidad de una situación o circunstancia. No sólo debe convencer al magistrado, sino al jurado; en caso que sea por este procedimiento. También a la opinión pública y a las partes. La prueba se puede manifestar desde tres aspectos: medio de prueba, hechos probatorios y la demostración. Lo que hacen los expertos judiciales informáticos, se engloban dentro del primer aspecto. En los procesos judiciales se prueban sólo los hechos que son estudiados dentro de la causa.

En definitiva, las evidencias o pruebas sirven para deducir y probar lo que ha pasado. Pero para obtener estas pruebas, en los casos de la informática forense, se tiene un procedimiento legal más conciso. Donde se encuentra la cadena de custodia; variando en cada legislación los medios de prueba y sus protocolos.

La cadena de evidencias dentro del ámbito informático

Tal procedimiento de control que encadena desde su indicio material hasta la localización y exposición, es algo más en informática. Existen tres fases en este proceso; pero una es muy importante y debe quedar clara en un tribunal. Cuando extraemos la prueba del dispositivo debe ser la misma que se entregue y muestre en la sala judicial. La segunda es la demostración de la no manipulación ni alteración de dicha evidencia. Y por último, se debe probar y garantizar la integridad de la misma.

Pero en las investigaciones informáticas la obtención de las pruebas se puede complicar y mucho. Existen las llamadas memorias volátiles que son aquellas que cuando se desenchufa la fuente de alimentación se pierde su contenido. La memoria RAM es otro componente de un ordenador. En ella se carga todas los pasos que se ejecuta el cómputo y es una memoria volátil.

Recogida de pruebas en memorias volátiles: garantizando la cadena

Como hemos dicho anteriormente, la memoria RAM se puede perder sin más. De ahí la importancia a la hora de recopilar todo en el momento de hacer la pericial. Nos referimos cuando los peritos deben acudir a la fuente de investigación. Son los casos que piden, ya sea por orden judicial o por petición de un particular. Los expertos acuden al lugar y es donde se encuentran los ordenadores y algunos encendidos.custodia informática

En este proceso se debe efectuar una captura de la memoria RAM. Antes de desenchufarlo, ya que perderá toda la información y datos que pueden ser relevantes. La cadena de custodia pues, para los informáticos en estos casos, empieza en ese preciso instante. En este sentido, es necesario que en la cadena de custodia, esté presente un notario. En caso que la petición del peritaje sea por particular; si es por orden judicial, los mismos agentes que acompañen al perito, darán fe de la cadena.

Pasos que siguen los peritos cuando están ante una memoria volátil

En los servicios informáticos ante un peritaje de memoria volátil, los peritos deben seguir unos pasos precisos. Si el dispositivo está encendido nunca se debe apagar por lo que hemos comentado antes. Luego, debemos verificar el estado de la batería, en caso, que pueda haber un apagón eléctrico. Los peritos deben transcribir todo lo que exista en la pantalla, con fotos o anotando cualquier cosa en su informe. Está claro, que antes o después se tendrá que apagar el dispositivo para hacer un estudio en el laboratorio informático.

No obstante, antes de desconectarlo deberán los informáticos completar todos los procedimientos de recolección. A veces, se encuentran que el atacante ha preparado todo para destruir las evidencias en ese momento. Por motivos de seguridad es mejor no confiar en los programas que estén abiertos en el sistema operativo. Con un software forense, ejecutarán los programas de obtención de pruebas.

Análisis y recogida de la evidencia digital en el momento de la custodia

En el momento que se recoge la prueba en la cadena de custodia, el análisis forense debe ser riguroso. Sólo se dará como concluido cuando se descubra cómo se produjo el ataque o los hechos que involucran a ese dispositivo. Pudiéndose probar en qué circunstancias se produjo, cual era el objetivo y los daños. En todos estos procesos se usan y emplean herramientas forenses y las del propio operativo.

Luego entrará el volcado de datos a un disco o fuente externa para evitar dañar información a la hora del estudio. Se buscará en todo el sistema como ficheros, ficheros logs, archivos…

La evidencia digital no es igual que otro tipo de pruebas

Existen diferencias importantes entre una prueba normal y una evidencia digital. Estas peculiaridades hacen que nos las encontremos de diferentes maneras. Hemos señalado ya la prueba volátil, sin embargo existen otras. Como las almacenadas estáticamente o la de tránsito, que también puede ser volátiles. Tienen la característica de no ser constantes, porque estas últimas, la información se encuentra en movimiento por la red. En forma de paquete de datos y puede estar almacenada o no.

Entendiendo todo esto, en informática forense el concepto de custodia de pruebas va más allá de los términos lingüísticos. La cadena de custodia informática establece un mecanismo que asegura al juzgador que los elementos probatorios, no hayan sido manipulados ni alterados. La cadena de custodia también vigila la actuación del perito. Verificando como ha hecho su trabajo, como ha extraído las evidencias y cuál ha sido el resultado del informe técnico pericial.

¿Que es la cadena de custodia informática y para qué sirve?
vota este post

Sin Comentarios

Puedes publicar el comentario de la primera respuesta.

Deja un Comentario

Please enter your name. Please enter an valid email address. Por favor ingrese un mensaje.