La Evidencia Digital o la prueba electrónica es cualquier valor probatorio de la información almacenada o transmitida en formato digital de tal manera que una parte o toda puede ser utilizada en el juicio . 

Antes de aceptar la evidencia digital un tribunal determinara si la prueba es pertinente, auténtica, si es un rumor y si es aceptable una copia o el original es requerido.

Cuando hablamos de Relevancia en términos legales, es la tendencia de un determinado artículo de la evidencia para probar o refutar uno de los elementos legales del caso, o para tener valor probatorio para hacer uno de los elementos del caso ma s probable o no.  Probatorio es un término usado en la ley para significar “que tiende a demostrar.” Pruebas: “busca la verdad”. 

Por lo general en la legislación, la evidencia que carece de valor probatorio (no tiende a probar la proposición para que se le ofrecía) es inadmisible y las reglas de evidencia permiten que sea excluida de un procedimiento o afectadas por el expediente u objetada por oposición un abogado. Una prueba digital puede ser aceptada si el valor de la misma puede ser sopesado frente a su naturaleza perjudicial.

El siglo XXI esta lleno de innovaciones tecnológicas, a primera vista nuestra sociedad puede parecer bastante avanzada. Sin embargo, las apariencias engañan. En realidad, sólo estamos a la vanguardia de lo que esta en el almacén para el futuro próximo. Con el paso de cada día, nuestras vidas son cada vez ma s digitalizadas, una sociedad totalmente sin papel esta en el horizonte. A medida que en el mundo digital se anuncia que sera importante para un individuo proteger su identidad y la privacidad, de aquellos que acechan en la distancia.

Un juicio penal es un procedimiento contradictorio en el que tanto la fiscalía como la defensa prueban sus casos mediante la presentación de pruebas. La evidencia puede ser un testimonio de una persona que tiene conocimiento personal de hechos relacionados con el delito, o puede ser una evidencia física, que es un elemento tangible, como un arma homicida, un registro de servidor de seguridad o un disco duro que contiene datos.

El problema con los datos digitales es que es algo menos tangible que la mayoría de las pruebas físicas. Pertenece a la categoría de pruebas fra giles, junto con cosas tales como huellas en la nieve, porque son fa cilmente destruidos o modificados. De hecho, el acto mismo de la recogida o el examen se puede cambiar. El problema con esto es que para que la evidencia sea admisible, la parte que la introducción debe demostrar que no ha sido alterado o modificado desde que fue recogida en la escena del crimen.

Tenga en cuenta:

Incluso el concepto de la escena del crimen puede ser complicado en los casos de delitos informa ticos, desde un ordenador el delincuente no necesita estar presente para cometer el delito por ejemplo. De hecho, en la mayoría de hackers sus ataques son perpetrados de forma remota, a menudo de lugares fuera del estado o país donde se produce el daño, con lo que surgen las preguntas con respecto a qué órgano jurisdiccional penal es competente.

La evidencia esta sujeta a normas estrictas en cuanto a su admisibilidad. Con el fin de que el tribunal que permita que se presenten, se inscriban en el registro del tribunal y sean consideradas para la sentencia, las pruebas deben ser:

• Relevante: debe pertenecer al caso real.

• Material: la evidencia debe demostrar o refutar los hechos que afectan a la cuestión ante el tribunal (que suele ser: “hizo el acusado cometer el delito que se le acusó a”).

• Competente: la evidencia debe ser demostrada, ser realmente lo que pretende ser. 

¿Cómo se autentica la evidencia?

La evidencia física suele ser autenticado por el testimonio jurado de una o ma s personas que puedan verificar que es lo que pretende ser. Por ejemplo, el administrador de red que ha protegido en el servidor de seguridad los registros inmediatamente después de un ataque y da testimonio que los datos de registro presentados en la corte coinciden con los datos que veía en los registros en esa fecha y hora. El oficial de policía que llego a la escena puede testificar que él empaqueto el equipo que contiene los archivos de registro y los entregó al laboratorio de pruebas. El Técnico de ana lisis forense que tomó posesión de la computadora puede testificar que él lo recibió de dicha persona y que utilizó métodos de ana lisis forense esta ndar para hacer una copia a nivel de bits del disco que contiene los registros.

Este proceso de autenticación de la evidencia cada vez que cambia de manos se llama la preservación de la cadena de custodia. Si las pruebas son dadas por desaparecidas en cualquier momento durante el proceso, su autenticidad puede ser contaminada porque hay una posibilidad de que alguien pudo haber hecho cambios en él.

Por esta razón, es importante que todo el mundo que se ocupa de las pruebas que tenga registros escritos de cuando lo entregó a otra persona, a quien le dio la vuelta, y por qué. Estos registros constituyen el registro de las pruebas. La evidencia debe ser guardada en una sala de pruebas de seguridad cuando se almacenan.

Cuando se trata de la evidencia digital, tener presente: “. En primer lugar, no hacer daño” Su primera tendencia al descubrir que la red se ha roto puede ser abrir los archivos de registro, apagar el sistema, etc.. Sin embargo , si existe la posibilidad de que el caso sera procesado penalmente, usted debe solicitar a los policiales y/o investigadores hacer lo menos posible ma s alla de desconectar el sistema de la red y la protección de la escena (garantizando que ninguna otra cosa cambia) hasta que llegue usted como Perito Informa tico.

En concreto solicite:

1. No apagar el sistema. Los datos que en la memoria vola til (RAM) se perdera n.

2. No desconectar el sistema de la red. Si permanece conectado, un hacker podría cubrir sus pistas mediante la supresión de los archivos de registro y otros datos probatorios.

3. No utilizar el sistema para hacer cualquier cosa. No ejecutar ningún programa. Sin darse cuenta podría sobrescribir los datos de pruebas. En algunos casos, el hacker podría haber plantado un programa que va a borrar los datos cuando se activa por algún evento (por ejemplo, abrir o cerrar un programa).

4. No abrir los archivos para examinarlos. Esto modifica la fecha y hora.

La mejor manera de preservar la evidencia digital en su estado original es conectar el ordenador a otro ordenador en el que se puede copiar la información digital. Esto se puede hacer a través de una conexión de red privada entre los dos equipos. Los datos pueden ser transferidos a través de una conexión Ethernet entre los dos equipos (mediante la conexión de los dos a un centro privado que no esta conectado a cualquier otra red) o a través de una conexión serie o USB.

El contenido de la original (de origen) de la memoria del ordenador debe ser transferido al segundo (objetivo) primer equipo. Transferir el contenido de la memoria en forma gradual para no sobrescribir lo que ya esta en la memoria. El contenido de los discos duros de las computadoras de la fuente debe ser copiado en el equipo de destino como una imagen a nivel de bits. Esto significa que la imagen es una copia exacta de toda la información sobre el disco de origen. Es mejor usar software diseñado específicamente para fines forenses. Programas utilizados por forenses expertos incluye EnCase http://www.guidancesoftware.com/ , mediante Guidance Software (que ofrece una interfaz gra fica) y las herramientas de línea de comandos realizados por las Nuevas Tecnologías, Inc. (NTI). Algunos investigadores también utilizan programas como Ghost de Symantec http://es.kioskea.net/faq/180-crear-una-imagen-del-sistema-ghost.

desde www.unicolombia.edu.co

Para aprender y fortalecer mucho más los conocimientos en evidencia digital conozca y tome el DIPLOMADO EN EVIDENCIA DIGITAL con Unicolombia visite ahora mismo https://ciber.unicolombia.edu.co

INFORMÁTICA FORENSE COLOMBIA
error: Content is protected !!