Iforense

La Evidencia Digital

La Evidencia Digital o la prueba electrónica es cualquier valor probatorio de la información almacenada o transmitida en formato digital de tal manera que una parte o toda puede ser utilizada en el juicio . 

Antes de aceptar la evidencia digital un tribunal determinará si la prueba es pertinente, auténtica, si es un rumor y si es aceptable una copia o el original es requerido.

Cuando hablamos de Relevancia en términos legales, es la tendencia de un determinado artículo de la evidencia para probar o refutar uno de los elementos legales del caso, o para tener valor probatorio para hacer uno de los elementos del caso más probable o no.  Probatorio es un término usado en la ley para significar “que tiende a demostrar.” Pruebas: “busca la verdad”. 

Por lo general en la legislación, la evidencia que carece de valor probatorio (no tiende a probar la proposición para que se le ofrecía) es inadmisible y las reglas de evidencia permiten que sea excluida de un procedimiento o afectadas por el expediente u objetada por oposición un abogado. Una prueba digital puede ser aceptada si el valor de la misma puede ser sopesado frente a su naturaleza perjudicial.

El siglo XXI está lleno de innovaciones tecnológicas, a primera vista nuestra sociedad puede parecer bastante avanzada. Sin embargo, las apariencias engañan. En realidad, sólo estamos a la vanguardia de lo que está en el almacén para el futuro próximo. Con el paso de cada día, nuestras vidas son cada vez más digitalizadas, una sociedad totalmente sin papel está en el horizonte. A medida que en el mundo digital se anuncia que será importante para un individuo proteger su identidad y la privacidad, de aquellos que acechan en la distancia.

Un juicio penal es un procedimiento contradictorio en el que tanto la fiscalía como la defensa prueban sus casos mediante la presentación de pruebas. La evidencia puede ser un testimonio de una persona que tiene conocimiento personal de hechos relacionados con el delito, o puede ser una evidencia física, que es un elemento tangible, como un arma homicida, un registro de servidor de seguridad o un disco duro que contiene datos.

El problema con los datos digitales es que es algo menos tangible que la mayoría de las pruebas físicas. Pertenece a la categoría de pruebas frágiles, junto con cosas tales como huellas en la nieve, porque son fácilmente destruidos o modificados. De hecho, el acto mismo de la recogida o el examen se puede cambiar. El problema con esto es que para que la evidencia sea admisible, la parte que la introducción debe demostrar que no ha sido alterado o modificado desde que fue recogida en la escena del crimen.



Tenga en cuenta:

Incluso el concepto de la escena del crimen puede ser complicado en los casos de delitos informáticos, desde un ordenador el delincuente no necesita estar presente para cometer el delito por ejemplo. De hecho, en la mayoría de hackers sus ataques son perpetrados de forma remota, a menudo de lugares fuera del estado o país donde se produce el daño, con lo que surgen las preguntas con respecto a qué órgano jurisdiccional penal es competente.

La evidencia está sujeta a normas estrictas en cuanto a su admisibilidad. Con el fin de que el tribunal que permita que se presenten, se inscriban en el registro del tribunal y sean consideradas para la sentencia, las pruebas deben ser:

• Relevante: debe pertenecer al caso real.

• Material: la evidencia debe demostrar o refutar los hechos que afectan a la cuestión ante el tribunal (que suele ser: “hizo el acusado cometer el delito que se le acusó a”).

• Competente: la evidencia debe ser demostrada, ser realmente lo que pretende ser. 

¿Cómo se autentica la evidencia?

La evidencia física suele ser autenticado por el testimonio jurado de una o más personas que puedan verificar que es lo que pretende ser. Por ejemplo, el administrador de red que ha protegido en el servidor de seguridad los registros inmediatamente después de un ataque y da testimonio que los datos de registro presentados en la corte coinciden con los datos que veía en los registros en esa fecha y hora. El oficial de policía que llego a la escena puede testificar que él empaqueto el equipo que contiene los archivos de registro y los entregó al laboratorio de pruebas. El Técnico de análisis forense que tomó posesión de la computadora puede testificar que él lo recibió de dicha persona y que utilizó métodos de análisis forense estándar para hacer una copia a nivel de bits del disco que contiene los registros.

Este proceso de autenticación de la evidencia cada vez que cambia de manos se llama la preservación de la cadena de custodia. Si las pruebas son dadas por desaparecidas en cualquier momento durante el proceso, su autenticidad puede ser contaminada porque hay una posibilidad de que alguien pudo haber hecho cambios en él.

Por esta razón, es importante que todo el mundo que se ocupa de las pruebas que tenga registros escritos de cuando lo entregó a otra persona, a quien le dio la vuelta, y por qué. Estos registros constituyen el registro de las pruebas. La evidencia debe ser guardada en una sala de pruebas de seguridad cuando se almacenan.

Cuando se trata de la evidencia digital, tener presente: “. En primer lugar, no hacer daño” Su primera tendencia al descubrir que la red se ha roto puede ser abrir los archivos de registro, apagar el sistema, etc.. Sin embargo , si existe la posibilidad de que el caso será procesado penalmente, usted debe solicitar a los policiales y/o investigadores hacer lo menos posible más allá de desconectar el sistema de la red y la protección de la escena (garantizando que ninguna otra cosa cambia) hasta que llegue usted como Perito Informático.

En concreto solicite:

1. No apagar el sistema. Los datos que en la memoria volátil (RAM) se perderán.

2. No desconectar el sistema de la red. Si permanece conectado, un hacker podría cubrir sus pistas mediante la supresión de los archivos de registro y otros datos probatorios.

3. No utilizar el sistema para hacer cualquier cosa. No ejecutar ningún programa. Sin darse cuenta podría sobrescribir los datos de pruebas. En algunos casos, el hacker podría haber plantado un programa que va a borrar los datos cuando se activa por algún evento (por ejemplo, abrir o cerrar un programa).

4. No abrir los archivos para examinarlos. Esto modifica la fecha y hora.

La mejor manera de preservar la evidencia digital en su estado original es conectar el ordenador a otro ordenador en el que se puede copiar la información digital. Esto se puede hacer a través de una conexión de red privada entre los dos equipos. Los datos pueden ser transferidos a través de una conexión Ethernet entre los dos equipos (mediante la conexión de los dos a un centro privado que no está conectado a cualquier otra red) o a través de una conexión serie o USB.

El contenido de la original (de origen) de la memoria del ordenador debe ser transferido al segundo (objetivo) primer equipo. Transferir el contenido de la memoria en forma gradual para no sobrescribir lo que ya está en la memoria. El contenido de los discos duros de las computadoras de la fuente debe ser copiado en el equipo de destino como una imagen a nivel de bits. Esto significa que la imagen es una copia exacta de toda la información sobre el disco de origen. Es mejor usar software diseñado específicamente para fines forenses. Programas utilizados por forenses expertos incluye EnCase http://www.guidancesoftware.com/ , mediante Guidance Software (que ofrece una interfaz gráfica) y las herramientas de línea de comandos realizados por las Nuevas Tecnologías, Inc. (NTI). Algunos investigadores también utilizan programas como Ghost de Symantec http://es.kioskea.net/faq/180-crear-una-imagen-del-sistema-ghost.