Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Medellín 2011
Definición
Metodologías
Los controles de gestión: deben dibujar las metodologías para las fases de control,
operacionales y técnicas. Los estados para el control operacional para la búsqueda y obtención
de evidencia incluyen la formulación de un plan, la aproximación y aseguramiento de la escena
del crimen, documentación del diagrama de la escena del crimen, la búsqueda de evidencia, la
reconstrucción de evidencia y el procesamiento de la misma.
Estándares y criterios:
1. Todas las agencias que adquieren evidencia y/o examinan evidencia digital deben
mantener un apropiado documento SOP. Todos los elementos de una agencia de policía
y procedimientos concernientes a evidencia digital deben, de ahora en adelante, ser
claramente asentados en este documento, el cual debe ser asunto de la autoridad de
manejo de la agencia.
2. El manejo de la agencia debe revisar anualmente el SOP para asegurar su continuidad,
su idoneidad y efectividad.
3. Los procedimientos utilizados deben ser generalmente aceptados en el campo o
soportados por datos recolectados de forma científica.
4. La agencia debe mantener copias escritas de procedimientos técnicos apropiados.
5. La agencia debe emplear hardware y software que es apropiado y efectivo para
procedimientos de recolección o examen.
6. Toda actividad relacionada con la captura, almacenaje, examen o transferencia de
evidencia digital debe ser registrado por escrito y estar disponible para su revisión y
testimonio.
7. Cualquier acción que tenga el potencial de alterar, dañar o destruir cualquier aspecto de
la evidencia original debe ser realizado por personas calificadas en un sentido
forensemente hablando.
Controles Operacionales
La forencia computacional empieza en la escena del crimen, por lo cual, hay normas que
regulan la búsqueda y adquisición de evidencia, estas son:
La escena debe ser asegura removiendo los individuos de la escena y manteniéndolos alejados
de los sistemas y cualquier dispositivo electrónico con el fin de evitar la destrucción de la
evidencia a través de un periférico. Todas las radio policiales y teléfonos móviles deben
mantenerse alejados para evitar que interfieran con las maquinas. Posteriormente la escena debe
ser documentada fotográficamente, en video y/o en un dibujo para documentar la localización
de los equipos en el lugar y su relación con los equipos conectados a este (p.e. impresoras,
faxes, scanners, monitores, cámaras).
Mejores prácticas
Consideraciones
Debe ser posible extraer información de la evidencia sin alterar su estado original desde el
momento en que es recolectada hasta que es presentada en una corte. Una vez que la evidencia
es llevada a los laboratorios forenses debe ser inventariada, empezando el log de la evidencia,
autentificación matemática de los datos, generando backups previos a los exámenes
preliminares, y por último, proceder con los análisis forenses. Luego de que la evidencia es
examinada, se debe realizar un backup de los archivos descubiertos, continuar con el log,
autenticarlos matemáticamente y proceder a examinar la información descubierta.
La seguridad física y lógica de los datos debe ser mantenida, por lo cual ser realizan los
siguientes pasos:
Hash de adquisición. Realizado cuando se está creando una imagen de los datos.
Hash de verificación. Realizado después de la adquisición pero antes del análisis.
Análisis de los datos.
Hash de verificación. Asegura que la imagen no ha sido alterada.
Cada vez que los datos son analizados nuevamente, se requiere la repetición del paso anterior
con el fin de verificar que los datos originales no han sido alterados. Esto mantiene la
confiabilidad en los datos y permite investigaciones subsecuentes.
Cuando un computador contiene aseveraciones de una persona, y estas son ofrecidas como
verdad de lo que se asevera, la información puede contener rumores (hearsay).
Cuando un computador contiene únicamente datos generados por él mismo (no ha sido tocada
por humanos), los datos no pueden contener rumores (hearsay).
Para que la evidencia se útil, se requiere que las reglas de evidencia cumplan cinco (5)
propiedades:
1. Debe ser admisible. La evidencia debe poder ser usada en una corte, implicando que
esta debió ser obtenida legalmente.
2. Debe ser relevante. La evidencia debe relacionarse con el incidente.
3. Debe ser completa. Todos los aspectos de la evidencia deben ser presentados. (p.e. si
puede probar que el sospechoso esta loggeado en el momento del incidente, también
debes mostrar otros usuarios que estuvieron loggeados).
4. Debe ser confiable. La recolección de evidencia y los procedimientos de análisis no
deben levantar ninguna duda de su autenticidad y veracidad (cadena de custodia, logs,
procedimientos apropiados, etc. son necesarios).
5. Debe ser creíble. La evidencia debe ser claramente entendible para un jurado (evitar
términos técnicos y ser capaz de mostrar la relación de la versión formateada de los
binarios en una manera entendible por humanos).