Soporte Legal de la Evidencia Digital

en un Incidente Informático

95.1 – BG – MDN - R002 - 03

95.1 – BG – MDN - R002 - 03
 Ley 906 de 2004 – Ley 1453 de 2011
ARTÍCULO 53. RECUPERACIÓN DE PRODUCTO DE LA TRANSMISIÓN DE DATOS A
TRAVÉS DE LAS REDES DE COMUNICACIONES.

Artículo 236. …el indiciado o imputado está

transmitiendo o manipulando datos a través de
las redes de telecomunicaciones, ordenará a
policía judicial la retención, aprehensión o
recuperación de dicha información, equipos
terminales, dispositivos o servidores que pueda
haber utilizado cualquier medio de
almacenamiento físico o virtual, análogo o
digital, para que expertos
en informática forense, descubran, recojan, analicen y custodien la
información que recuperen..
Ley 906 de 2004
Art. 275. EMP Y E.F.
g. El mensaje de datos, como el intercambio
electrónico de datos, internet, correo
electrónico, telegrama, télex, telefax o similar,
regulados por la Ley 527 de 1999 o las normas
que la sustituyan, adicionen o reformen;
 Art. 236 de 906 de 2004*
Desactualizado? … Disquetes no se usen

Los equipos suelen llegar mucho tiempo después de incautados

Existen equipos que no han sido conectados a una red o internet

Sería exclusivo de archivos producto de la navegación en una red.

Qué pasaría con archivos de usuario.

* Sentencia C 334 de 2010 «…tal intervención de no efectuarse con la prontitud y

eficacia señalados …podría dar lugar a que los datos y evidencias físicas y elementos
materiales por recoger de tal navegación se perdieran para siempre e
irremediablemente»
Copia de elementos materiales de prueba-Análisis Forense - Realizar
Back up
Resultarían Órdenes validas, pero no son integrales. Corresponden a
procedimientos que adelantan los peritos en el laboratorio.

•IMAGING - DISCO ESPEJO - IMAGEN FORENSE

•PRESERVACIÓN-RECUPERACIÓN-BÚSQUEDAS-EXTRACCIÓN

El término «orden de análisis forense» no tendrían un punto de

control de legalidad. Forma.

Back up Verbo: Copia de Seguridad Hacer copia de seguridad

Sustantivo : Respaldo
No es un término forense
 Tomado de la Sentencia C 336 de 2007

 La Policía Judicial no es el Administrador de la Información

(ley 1266 de 2008)
Aproximación a la necesidad
 Orden de Inspección y registro a equipos

• Orden de registro a computadores y elementos digitales

• Cumpliría con un control judicial posterior (Art. 237 CPP)

• Se ajustaría a los parámetros forenses *

• Protección de la evidencia-Búsqueda de Información de acuerdos a

parámetros, criterios de búsqueda, proyección de informes de
investigador de laboratorio.
Control Posterior de Legalidad
En algunos casos se ha requerido la presencia del perito con el fin de
ilustrar al juez en la audiencia. Ayudas

Cuando no se surten las órdenes adecuadamente los jueces

manifiestan la imposibilidad de impartir la legalidad a los
procedimientos ante la inexistencia de los procedimientos en la
norma procesal. Back Up-imagen-

Es necesaria la claridad de conceptos como Integridad a través de

algoritmo HASH.

Cadena de custodia...en casos se revisan incluso números seriales de

dispositivos incautados.
Conceptos básicos para las Audiencias
Imagen forense: Copia no modificada de un
dispositivo electrónico de almacenamiento digital.
La creación de una imagen forense garantiza:
•La integridad de las pruebas.
•Protección contra cambios o daños no
deliberados a los datos originales.
Imagen física e imagen lógica

Procedimiento matemático que mediante

el empleo de un algoritmo permite
identificar un archivo con valor único, este
valor se calcula sobre el contenido del
archivo y no sobre el nombre del mismo.
Se realiza mediante el uso de una función
específica MD5, SHA1 entre otros.
 Evidencia Digital y la Investigación Penal
Policía Judicial
Hallazgo de (Informes: Ejecutivo- Órdenes a Policía
Evidencia Digital Investigador Campo, Judicial
y otros )

Control Posterior de
Almacén de (Capacidad del
evidencia digital Legalidad laboratorio)