La evidencia digital es todo aquello que puede almacenar información de forma física o lógica y que luego pueda ser de utilidad para el esclarecimiento de un hecho.

Actualmente vivimos en un mundo casi totalmente  digital en donde la información, los smartphones, los servidores, los smartwatch, las tablets, y las computadoras pueden ser víctimas de los más diversos ataques cibernéticos apuntados en contra de organizaciones o personas. En todos los casos y sin excepción de la mano de la informática forense estos hechos pueden ser denunciados en la justicia donde se deberán presentar evidencias digitales que serán las que luego se estudiarán a fin de esclarecer los hechos.

Es importante entender que la evidencia digital es el conjunto de datos o información en formato digital (valga la redundancia), como por ejemplo directorios, su contenido el contenido técnico de estos, archivos contenidos en un equipo, capturas de tráfico, conexiones de red, imágenes de discos, memoria volátil del sistema analizado, navegación por internet, etc., que puedan ser utilizados para resolver un hecho ya sea de forma judicial o interna en una empresa o bien extrajudicial por medio de un acuerdo entre 2 partes.

La evidencia digital debe ser relevante, tener relación con el delito o con lo que se denuncia que será objeto de investigación, a su vez es de suma importancia que haya sido obtenida en un modo técnico. Debe estar correctamente identificada (respetando su cadena de custodia) y ser confiable es decir que, ante un análisis, se de cuenta que no ha sido modificada.

Existen metodologías para preservar la evidencia digital con el objetivo de no invalidarla en el proceso de recolección, veamos como evitar invalidarla o alterarla:

  1. NO CAMBIAR EL ESTADO DEL DISPOSITIVO QUE CONTIENE EVIDENCIA DIGITAL

    Si se encuentra prendido no se debe apagarlo, ya que se perderían todos los datos volátiles como procesos activos, y todo lo que esté cargando en la memoria RAM.
    En caso contrario, cuando el dispositivo se encuentre apagado no debe encenderse sin un bloqueador de escritura, debido que al cargarse nuevamente el sistema podría sobrescribir información útil e incluso podría tener algún código malicioso que destruya las evidencias de forma automática, borrando así las huellas existentes.

  2. RECOPILAR EVIDENCIAS DE ACUERDO AL ORDEN DE VOLATILIDAD (DE MAYOR A MENOR)

    Los datos volátiles (aquellos que perdemos cuando se apaga el equipo) tienen muchísima información, desde malware que reside únicamente en memoria RAM hasta las contraseñas de sitios web que están contenidas en su interior o conexiones en curso. Este tipo de información es muy valiosa y por eso debe ser tenida muy en cuenta, además  porque puede ser destruida con facilidad.
  3. NO CONFIAR EN INFORMACIÓN QUE DAN LOS PROGRAMAS DEL SISTEMA

    Comúnmente los sistemas comprometidos puedan haber sido manipulados por terceras personas o por algún código malicioso, con el fin de entorpecer la investigación de los analistas forenses ocultando o falseando evidencias. Este es uno de los principales motivos por los cuales se aconseja capturar la información mediante programas desde un medio protegido y con software forense adecuado. De este modo, se asegurara que las herramientas utilizadas no puedan haber sido comprometidas ni modifiquen la evidencia. Esto incluye todo tipo de archivos incluso correos electrónicos y contenido de WhatsApp

  4. NO EJECUTAR APLICACIONES QUE PUEDAN MODIFICAR LA FECHA Y HORA DE ARCHIVOS DEL SISTEMA

    Las líneas de tiempo son unas de las técnicas de análisis forense más potentes para entender el paso a paso de los incidentes. Realizando una línea temporal basada en los tiempos de modificación, creación y acceso de cada uno de los archivos, directorios, navegadores, etc. y relacionando distintos logs, puede identificarse el cómo de muchos hechos o incidentes. Por tal motivo, ejecutar aplicaciones que cambien los metadatos (datos internos de los datos) de los archivos sería un error que perjudicaría de manera catastrófica la investigación y alteraría la evidencia digital.


  5. SI NO ESTA SEGURO DE LO QUE ESTA HACIENDO – NO HAGA NINGUNA ACCIÓN EVITE LA CONTAMINACIÓN DE LA EVIDENCIA DIGITAL EN TODO MOMENTO

    En muchas ocasiones llega el momento de decidir que hacer con la evidencia digital, sabiendo que ha ocurrido una intrusión o un delito o bien que posee en su poder evidencia digital válida, si restablecer el sistema o comenzar un análisis forense, si extrae la misma para aportarla o que sea extraída en otro momento. Es importante tener en cuenta que si se reestablece el sistema o se procede a una mala extracción es muy probable que se destruyan todas las evidencias, dejando nuevamente una ventana abierta para duda de la autenticidad de dicha evidencia digital.

    Por otra parte, si se produjo una intrusión que genero un impacto en la empresa, como por ejemplo por una caída del servicio, es muy probable que se esté obligado a restablecer el sistema cuanto antes. Es por esta problemática que se recomienda tener un plan de contingencias, que ayudará a resolver este tipo de encrucijada.

    Para concluir, debemos agregar que en caso de sospechar de un incidente o poseer evidencia digital útil que pretenda ser utilizada para la resolución de un conflicto, se recomienda contactarse con un perito especializado en la materia, quien seguramente tendrá en cuenta todos estos consejos para le preservación de la evidencia digital.

Leave a Reply