Evidencia Digital

“Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”.

Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar muestras del daño. Sin embargo, este problema es mitigado con algunas características que posee la evidencia digital.

• Puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original.
• Con las herramientas existentes, es muy fácil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada.
• La evidencia de Digital es muy difícil de eliminar, así el registro haya sido borrado del disco duro del computador, y éste haya sido formateado, es posible recuperarlo.
• Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios.

Clasificación de la evidencia digital

Registros generados por computador: son inalterables por una persona. Estos son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema que genero el registro.

Registros no generados sino simplemente almacenados por o en computadores: Son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento generado en un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma.

Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.

 Manipulación de la evidencia digital

1. Hacer uso de medios forenses estériles (para copias de información)
2. Se debe mantener y controlar la integridad del medio original, esto significa que las acciones realizadas no deben cambiar nunca esta evidencia.
3. Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.
4. Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y deben estar disponibles para su revisión. Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de ella, mientras esté en su poder.

Manual de Manejo de Evidencias Digitales y Entornos Informáticos (Ecuador) from CXO Community