¿Necesitas mas Informacion?

¿Qué es la cadena de custodia?Los Informáticos Forenses deben de seguir unos protocolos esenciales para que su trabajo sea válido ante un procedimiento judicial. ¿Qué es la cadena de custodia? ¿Qué pasa cuando se rompe? Sigue leyendo y conoce más.

¿Qué es la cadena de custodia?

La cadena de custodia es uno de los protocolos a seguir cuando los peritos informáticos forenses trabajan con una prueba. Durante el período de vida y validez de esta, cuando se consigue localizar o realizar. Hasta el punto en que deja de ser necesaria o se destruya.

Este protocolo es el encargado de controlar cómo y dónde se ha obtenido la prueba. También saber qué ha pasado o procedimientos que se han realizado con ella, cuándo se obtuvo, quién ha tenido acceso a esta. El lugar donde se encuentra en cada momento, quién la custodia. En el caso de que sea destruida, debemos constar la razón, cómo se hizo, cuándo, dónde y por quién.

Este es un procedimiento de control que debe de ser estrictamente riguroso. Es importante manejar la prueba y todo aquello a lo que afecte; nos referimos a todo aquel personal que tenga acceso a la misma. Los informes generados con dicha prueba deben estar de la misma forma controlados. Si seguimos de forma rigurosa estas normas ningún juez podrá dudar en ningún momento sobre la validez de la prueba, el informe redactado de esta o los posibles factores que acompañen a la prueba ante un procedimiento judicial.

Definición de cadena de custodia dentro de la informática

La cadena de custodia se suele definir con frecuencia como un procedimiento de control. Este se aplica al comienzo material que se relaciona con el delito. Incluyéndose aquí la localización hasta que se valora por los órganos administrativos de la justicia.

La definición anterior es válida si solo la consideramos como un concepto genérico. Si queremos saber lo que es la cadena de custodia dentro de la informática, lo primero que debemos entender es que necesita un conjunto de datos obtenidos de un análisis inicial. Dicho análisis incluirá el campo, la zona de los hechos y si se destruye necesariamente. Con esto último hacemos mención de las memorias volátiles.

Los peritos informáticos forenses, o la autoridad encargada de recopilar/recoger la primera pista, también la más valiosa, deben de realizar un informe que se base en la prueba documental de texto e imagen. Esta hay que tomarla al momento, sin ningún tipo de estudio o análisis hecho.

Son muchos los datos que se pueden perder al desenchufar el dispositivo. Por eso es importante que toda esta recopilación de información se haga a manos de un experto. Que no deje un solo rincón sin documentar.

Las etapas de la cadena de custodia

  • Localización, extracción y recopilación de la prueba.
  • Preservación y conservación de la prueba.
  • Trasporte de la prueba.
  • Cesión de la prueba a laboratorios para realizar el análisis o a las fiscalías encargadas de la custodia.
  • Custodia y preservación final hasta que se realice el debate.

Ejemplo práctico sobre cómo mantener la cadena de custodia

Ejemplo práctico sobre cómo mantener la cadena de custodiaPongámonos en la situación de un router ADSL. Este dispositivo cuenta con unos registros de conexiones guardado (LOG). En este podremos encontrar que ordenadores se han conectado, también los MAC e IPs. También se quedan registradas las fechas de conexión. Es entonces cuando la persona autorizada por el Juez entra en al lugar a indagar en busca de pruebas. Después, toma el control del dispositivo.

El perito informático, o el profesional encargado del dispositivo, nunca lo desconectara, ya que si lo hace datos esenciales quedaran eliminados.

Somos conscientes de que, en algún momento, el dispositivo debe ser desenchufado. La cadena de custodia del router, como dispositivo físico, no servirá. Los datos que recopilemos en el estudio como los que se pierden al desenchufarlo, son igual de importantes.

Hay situaciones en las que la cadena de custodia debe ampliar notoriamente la definición base que hemos dado antes. Es necesario que esta cubra y proteja los datos que obtenemos de los dispositivos con información volátil, esa información que solo se obtiene sobre el terreno.

Cuando nos vemos sumergidos en una investigación, los peritos informáticos nunca van solos. Contar con más de una persona en el lugar de los hechos nos da las garantidas de que todos los asistentes den fe de los datos salvaguardados. También sobre cómo fueron recuperados, y el lugar donde se han obtenido.

Las pruebas visuales son muy importantes. Tener imágenes sobre el proceso de captación de datos y de las pantallas del router, en el caso que hemos puesto de ejemplo, también los datos que sean característicos de este, como pueden ser el modelo, el número de serie, la forma física. Todo esto servirá para relacionarlo con su contenido.

La cadena de custodia en un procedimiento judicial

Dentro del ámbito de la informática, la cadena de custodia, no solo se aplica a los dispositivos que hayan sido incautados. También en todos aquellos datos que se generan sobre el terreno. Solo si respetamos todo esto haremos que tengan una validez legal completa. Es de suma importancia sobre todo en el caso de las pruebas extinguidas, como podría ser la pérdida del contenido de una RAM, o como apoyo de una prueba física.

El Juez es tanto el primer eslabón como el último dentro de la cadena de custodia. Es el encargado de incautar los elementos de custodia. También es al que le regresan con todos los datos estudiados y organizados. Este debe  permitir que el grupo de profesionales encargado de la incautación y tomar el primer contacto con las pruebas. Estos pueden realizar un primer análisis de campo en los dispositivos que tengan la posibilidad de perder información valiosa una vez se desconecten de la corriente.

La cadena de custodia ha de aplicarse en todos los dispositivos que, por la razón que sea, se hayan visto afectados por una clonación o una duplicación. Todo esto cuando dichos procesos se pretendan usar como prueba. Para estas debe crearse una cadena independiente donde conste su procedencia. Es así como el dispositivo origen estará preservado para terceros en un lugar seguro. Nos aseguramos de que se mantenga libre de manipulaciones o posibles destrucciones.

Clonados generados de la prueba original

Clonados generados de la prueba orinal en la cadena de custodiaLa posibilidad de trabajar con copias idénticas al original, nos da la opción de perder el temor a que las originales puedan ser contaminadas. En el caso de que se contaminen, por la razón que sea, se podrán volver a clonar del original, siempre por personal especializado. Esto ofrece la opción de empezar el trabajo de cero.

En otros campos afectados por la presencia de la cadena de custodia, el principio de preservación de las pruebas originales es muy importante. Sin embargo, en el ámbito informático, es necesario contar con una serie de matices.

En la cadena de custodia hay partes de la prueba, o pruebas completas, que pueden ser resultado de las clonaciones del original. En el ámbito de la informática se pueden realizar tantas clonaciones como precise la investigación.

Para que los clonados sean válidos es fundamental que apliquemos la cadena de custodia a los elementos resultantes, como si se tratara del original.

Como hemos dicho antes, hay datos que se pierden al desconectar el dispositivo. Por esta razón, el documento clonado tras el trabajo realizado al momento, tras la desconexión, será la única prueba de que los datos existieron.

Por estos motivos, el documento final deberá ser sometido a la cadena de custodia. Así garantizamos que los datos que se hayan obtenido en ese momento, no se hayan podido modificar.

Con esta información, podemos decir que la cadena de custodia, dentro de una actuación informática, es relativa a la seguridad y la manipulación. Esta surge durante la vida de la prueba, comenzando cuando se genera, hasta que se destruye.

Las evidencias digitales, protegidas por la cadena de custodia, como pruebas

Las evidencias digitales no son igual que el resto de las pruebas. Existen diferencias muy notorias en un procedimiento judicial con este tipo de evidencias.

Las peculiaridades que tiene una evidencia digital hacen que no siempre las encontremos presentadas de la misma forma. El mundo informático no deja de crecer, a la vez que lo hacen los casos y las maneras de localizar pruebas.

Hemos hablado sobre los casos de las pruebas volátiles, sin embargo, también es frecuente que tratemos con otro tipo. Estas evidencias son las almacenadas estáticamente o las pruebas de transito, que a su vez también pueden ser volátiles.

Estas pruebas tienen la característica principal de que no son constantes. Las de tránsito se encuentran en constante movimiento en la red. Tienen forma de paquete de datos y tiene la posibilidad de ser o no almacenada.

Toda esta información se incluye dentro de la informática forense, en el concepto de custodia de pruebas. Mucha de la información está lejos de los términos lingüísticos comunes.

Gracias a la cadena de custodia informática, se establecen mecanismo que aseguran al juez que los elementos son probatorios y no ha sido manipulados.

En este post sobre “¿Qué es la cadena de custodia?” hemos dado la información fundamental. Los peritos informáticos forenses, gracias a este procedimiento, mantienen su actuación fiable. Verificando en cada momento su trabajo, el método de extracción de las invidencias y los resultados. Si tiene alguna duda o desea solicitar nuestros servicios, póngase en contacto con nosotros.

Sin Comentarios

Puedes publicar el comentario de la primera respuesta.

Deja un Comentario

Please enter your name. Please enter an valid email address. Por favor ingrese un mensaje.