Manual Unico de Procedimientos en Materia de Cadena de Custodia (Informática Forense) Venezuela
INTRODUCCIÓN
La Informática Forense surge como una disciplina auxiliar de la justicia moderna, para contrarrestar los desafíos y técnicas de los delincuentes informáticos; asimismo, garante de la verdad circundante de la evidencia de carácter digital, que es mucho más susceptible de sufrir alteración y/o modificaciones, precisamente por la connotación que de acuerdo a la practicidad y cotidianidad se le asigna, pero que eventualmente se pudiese aportar como prueba en un proceso judicial.
Sobre la base de lo anterior, se denomina análisis forense al proceso de analizar una copia completa de un sistema que ha sufrido una intrusión o un ataque.
1. Esta significación también abarcaría las siguientes tareas específicas:
1.1 Colectar todo el material de índole probatorio en medios electrónicos, electro – magnéticos, ópticos y magneto – ópticos y en cualquier otro tipo de dispositivo de almacenamiento y/o comunicación, enfocados al principio de la inmediatez de la prueba. Igualmente adquirir toda la data o información relacionada con cada uno de los archivos que se analicen, es decir, estar al tanto de todas las consultas, modificaciones, sustracciones o adiciones que puedan relacionarse con, por ejemplo, un registro contable, desde el momento de su creación hasta la fecha en que es objeto de peritaje.
1.2 Recuperación de la data y/o información borrada, alterada, destruida u oculta en cualquier dispositivo de almacenamiento en el área de las tecnologías de información.
1.3 Decodificar las claves de acceso de los archivos residentes en computadores personales, dispositivos de almacenamiento masivo de información, u otros dispositivos de almacenamiento, a través de herramientas y técnicas de cripto análisis.
1.4 Detección de intrusos en Redes.
1.5 Garantizar la autenticidad, confiabilidad, suficiencia y no repudio de las evidencias digitales colectadas.
La criminalística nos brinda un espacio de análisis y estudios, enfocado hacia una reflexión profunda sobre los hechos y las evidencias que se identifican en el sitio del suceso donde se consumaron eventos catalogados como ilícitos. A partir de este instante, se debe implantar un nuevo conjunto de herramientas, técnicas, métodos, estrategias y acciones para descubrir en los medios informáticos, la evidencia que sustente, verifique, identifique e individualice las afirmaciones sobre hechos delictivos y medios empleados para la comisión de los mismos.
Es aquí donde entra en juego una de las áreas más innovadoras de la criminalística, como lo es la Informática Forense, que si bien en un principio se pretendió ver desde un punto de vista aislado, más relacionado con la seguridad informática y la computación, realmente constituye una de las ramas que más hace uso de las técnicas y procedimientos criminalísticos, precisamente en atención al carácter volátil que presentan las evidencias digitales.
Luego de la observación general que se practica en el sitio del suceso, mediante la cual se hace un reconocimiento sobre los elementos que pueden llegar a constituir evidencias, se deberá seguir el siguiente procedimiento en atención a los parámetros establecidos de protección, fijación, colección, embalaje, identificación, traslado y preservación de evidencias de interés criminalístico.
1. Procedimientos Asociados al Proceso de Protección.
1.1 Protección de Evidencias Físicas.
1.1.1 De acuerdo a este parámetro, se deberá proteger en forma general contra golpes o manipulaciones exageradas o incorrectas y principalmente de factores ambientales extremos y de campos magnéticos (generados por cualquier equipo electrónico, cornetas o parlantes, entre otros).
1.1.2 También se debe tomar en cuenta dentro de los parámetros de protección, lo siguiente:
1.1.2.1 No se deberán iniciar los sistemas de los equipos de computación, ni conectar o manipular los dispositivos de almacenamiento que pudieran ubicarse adyacentes, ya que esto supone una alteración y/o modificación de la información o data que podría constituirse como evidencia de interés criminalístico.
1.1.2.2 No deberán apagarse los sistemas que se encuentren ya iniciados, ya que eventualmente pudieran requerir ser analizados a través de procedimientos forenses especiales (volcado de memoria, levantamiento de información en vivo, entre otros) por parte del experto.
2. Procedimientos Asociados al Proceso de Fijación.
2.1 Fijación de Evidencias Físicas.
2.1.1 Se deberá identificar y reseñar el lugar donde se halla la o las evidencias, se fijará fotográficamente con exactitud, tomando en cuenta los parámetros de la fotografía criminal (general, particular, identificativa y en detalle).
2.1.2 En los que casos en que se requiera dejar constancia de detalles u observaciones más puntuales, se deberá utilizar testigo flecha (indicador) y/o testigo métrico (de ser necesario).
3. Procedimientos Asociados al Proceso de Colección.
3.1 Colección de Evidencias Físicas.
Para la colección de evidencias de interés criminalístico de carácter físico (equipos de computación, dispositivos de almacenamiento, equipos o dispositivos de comunicación, entre otros), que no se encuentren iniciados (que estén apagados), en el campo de la informática y la computación forense, se deberá cumplir el siguiente procedimiento:
3.1.1 Desconectarlos cuidadosamente, en caso de que estén unidos en red o a otros dispositivos, a fuente de poder o tengan periféricos conectados.
3.1.2 En el caso específico de los dispositivos de almacenamiento electrónicos y electro-magnéticos y sólo cuando han de ser colectados por parte de expertos o peritos en el área de informática forense, se deberá ejecutar una función HASH sobre estos dispositivos, para generar así una firma digital que permitirá ulteriormente la identificación plena y el no repudio de la evidencia.
Para esta función, el experto elegirá el algoritmo que considere pertinente e idóneo (MD5, SHA-1, entre otros), tomando como norte la seguridad y practicidad del procedimiento.
3.1.3 Se procederá al llenado de la correspondiente planilla de cadena de custodia de las evidencias físicas.
4. Procedimientos Asociados al Proceso de Embalaje.
4.1 Embalaje de Evidencias Físicas.
Se embalará (empaquetará) con bolsas de plástico protectoras (de ser posible de burbujas de aire), anime y/o cartón, con la finalidad de evitar las vibraciones de los componentes electrónicos y electro-magnéticos internos, situación ésta que puede afectar la funcionalidad de los mismos y consecuencialmente la integridad del sistema de tecnología de información.
5. Procedimientos Asociados al Proceso de Rotulado y Etiquetado.
5.1 Rotulado y Etiquetado de Evidencias Físicas.
5.1.1 Se deberá utilizar etiquetas identificadoras, las cuales contendrán información referente a:
5.1.1.1 Identificación del Órgano de Investigación y Despacho que instruye.
5.1.1.2 Número de registro de cadena de custodia.
5.1.1.3 Número de Expediente.
5.1.1.4 Tipo de delito.
5.1.1.5 Tipo de evidencia.
5.1.1.6 Descripción de la evidencia.
5.1.1.7 Cantidad.
5.1.1.8 Procedencia.
5.1.1.9 Observaciones del caso.
5.1.1.10 Número o letra correspondiente al orden de colección.
5.1.1.11 Funcionario que colecta.
5.1.1.12 Número de Inspección técnica.
5.1.1.13 Cualquier otra información necesaria.
5.2 En caso de Dispositivos de almacenamiento que hayan sido colectados por funcionarios del Laboratorio de Informática Forense y a los que se les haya generado firma digital, se deberá plasmar esta información en la etiqueta identificadora.
6. Procedimientos Asociados al Proceso de Traslado.
6.1 Traslado de Evidencias Físicas.
Se deberá trasladar la o las evidencias por parte del funcionario colector al Despacho correspondiente, tomando las previsiones de seguridad mencionadas en el capítulo de Protección de Evidencias, a saber, contra golpes o manipulaciones exageradas o incorrectas y principalmente de factores ambientales extremos y de campos magnéticos (generados por cualquier equipo electrónico, cornetas o parlantes, entre otros).
7. Procedimientos Asociados al Proceso de Preservación.
7.1 Preservación de Evidencias Físicas.
7.1.1 Se deberá preservar la o las evidencias en condiciones que garanticen la seguridad e integridad de las mismas, tomando en consideración la protección contra factores ambientales extremos, campos magnéticos, caídas, golpes, entre otros, mencionadas en el capítulo de Protección de Evidencias.
7.1.2 Esta preservación abarcará igualmente los momentos de traslado, entrega y recepción de las evidencias, tanto en el Despacho de adscripción del funcionario colector, como los momentos de traslado, entrega y recepción ante el Laboratorio donde se realizará la peritación, considerando las áreas de resguardo de evidencias que para tal efecto deberá existir en cada dependencia, lo cual garantizará la integridad de éstas durante todo el proceso, desde antes que el experto realice su análisis y en los casos que aplique, hasta después que se realiza el mismo.