MANEJO Y VALIDACION DE EVIDENCIA DIGITAL

E-Crime Institute Inc. - ISBN 9781548065140

MANEJO Y VALIDACION DE EVIDENCIA DIGITAL Rommel Salas, MBA Universidad del Turabo, Estudios Doctorales Puerto Rico 2016 Abstracto El manejo de evidencia digital dentro de un proceso investigativo es parte de los retos contemporáneos de la investigación criminal. El procesamiento de la escena debe fundamentarse en el correcto manejo de indicios de evidencia in situ, ya que este tipo de evidencia y su proceso de adquisición son distintos a otras disciplinas forenses. A pesar de que en la última década existe mayor atención a las pruebas forenses, hay pocos datos publicados que identifiquen los tipos y la manera de cómo se procesa la evidencia digital. Esta realidad nos lleva a la necesidad de establecer una metodología estandarizada en el proceso de adquisición, análisis, documentación, validación, almacenamiento y presentación de la evidencia digital. Esta investigación busca desarrollar un modelo en el manejo de evidencia digital que establezca base científica y académica, dentro del apego a las normas y protocolos establecidos y para disponer de material académico en español, pues ésta ha sido una de las limitaciones encontradas en este estudio. Por lo tanto, nuestra aportación busca desarrollar nueva literatura forense en español para los programas de Maestría y Bachillerato a nivel universitario en el Caribe y Latinoamérica. El impacto y rol de la evidencia forense dentro del debido proceso de ley, aporta en el esclarecimiento de casos en procesos investigativos, así al crear un enlace dentro de la escena del crimen entre el sospechoso y la víctima. La integridad y el correcto manejo de la evidencia forense es de suma importancia en la formulación de cargos y la base para el establecimiento de medidas punitivas de los acusados. El regirnos a los protocolos establecidos, y sujetarnos a las normas legales garantizarán que nuestro trabajo como investigadores esté encaminado por la legalidad y por prácticas con rigurosidad científica.

Palabras Claves:

evidencia digital, manejo de evidencia digital, validación de evidencia digital, escena del crimen

E-Crime Institute Inc. - ISBN 9781548065140

Introducción Antecedentes Dentro del proceso investigativo en delitos cibernéticos, todos los hallazgos encontrados vienen hacer parte fundamental de la investigación. La identificación, la adquisición, la seguridad y la transportación según (NIJ, 2008), son principios que deben sujetarse al apego y al respeto de las leyes establecidas en "The Electronic Communication Privacy Act of 1986", el "Privacy Protection Act of 1980” , así como lo establece la "Cuarta Enmienda", donde se promulga el respeto a los derechos constitucionales (Salas, 2012): "La cuarta enmienda limita la capacidad del agente del gobierno para buscar y obtener pruebas sin una orden judicial”; estableciendo así un principio de legitimidad en cuando al uso correcto en la extracción y manejo de evidencia digital sin afectar los derechos de los ciudadanos. De acuerdo a Casey (2003), la “escena en delitos cibernéticos” es el núcleo en la investigación criminal y la metodología forense y su base científica, es el principio o técnica que se puede aplicar para identificar, recuperar, reconstruir y analizar los hallazgos relacionados a la actividad delincuencial durante la investigación y examinación forense. Por esta razón, es importante entender que la diferencia entre investigación y examinación denota dos áreas que trabajan coordinadamente, la primera para establecer la metodología y el diseño del plan de investigación científica; y el segundo el análisis de indicios de evidencia; convergiendo en descubrir la verdad como mutuo objetivo. De este modo, se deben garantizar los derechos constitucionales de los ciudadanos de los Estados Unidos y todas las leyes aplicables en todas las etapas del proceso de investigación criminal a saber: cadena de custodia, reglas de evidencia, normas de derecho procesal, normas internacionales y todas las leyes locales aplicables pues estas buscan establecer una base de cumplimiento para el debido proceso de ley; las técnicas de búsqueda, adquisición, preservación y validación de hallazgos en la escena, son la base dentro del proceso científico en el manejo de evidencia digital. Para Gardner (2005), el procesamiento de la escena debe fundamentarse en el correcto manejo de la evidencia in situ, aunque en este punto es importante considerar que este tipo de evidencia y su proceso de adquisición son distintos que otras halladas en la escena pues la metodología en el cibercrimen es diferente a las utilizadas en otras áreas forenses. El completo proceso de documentación, como el levantamiento de evidencia por medio de mapas de redes

E-Crime Institute Inc. - ISBN 9781548065140

sociales, almacenamiento físico y virtual, y un estricto proceso en la seguridad y validación de la evidencia, nos permite en el marco de examinación, cumplir con los estándares federales con las buenas prácticas para el manejo y examinación de evidencia digital. Planteamiento del Problema Según Petersen (2010), a pesar que en la última década existe mayor atención prestada a las pruebas forenses, hay pocos datos publicados que identifiquen los tipos de evidencia recogidos de manera sistemática. Esta realidad nos lleva a la necesidad de establecer una metodología estandarizada en el proceso completo de adquisición, análisis, documentación, validación, almacenamiento y presentación de la evidencia digital dentro del debido proceso de ley. Nuestro modelo permitirá garantizar la integridad de la investigación, el correcto manejo de la evidencia a ser analizada y presentada dentro del debido proceso de ley, cumpliendo con estándares federales y normativas estatales. Objetivo de la investigación Este trabajo tiene como objetivo establecer la operabilidad metodológica de los lineamientos y normas establecidas por el Gobierno Federal de los Estados Unidos de Norte América, en cuanto al uso correcto del proceso de investigación y examinación forense dentro de una escena en delitos cibernéticos, por lo cual esta investigación busca: a) Desarrollar un modelo en el manejo de evidencia digital que establezca base científica, en el cumplimiento de las normas y protocolos establecidos, definiendo de esta manera un nuevo proceso en el trabajo del investigador y examinador forense. b) Disponer de material académico en español, ya que, dentro de los tópicos de la investigación en delitos cibernéticos, su gran mayoría está diseñado en inglés, por lo tanto, nuestra aportación apunta a establecer nueva literatura forense en español para los programas de Maestría y Bachillerato a nivel universitario.

Justificación El desarrollo de un trabajo académico que establezca los parámetros científicos para el tratamiento metodológico de una investigación en delitos cibernéticos es de suma importancia en el debido proceso de ley. El Instituto Nacional de Justicia con sus siglas en inglés NIJ, llevó a cabo una investigación relacionada al rol e impacto de la evidencia forense dentro del debido proceso de ley, y estableció:

E-Crime Institute Inc. - ISBN 9781548065140

a) La importancia de la evidencia forense dentro de esclarecimiento de casos en procesos investigativos. b) El impacto de la evidencia forense como enlace en la escena del crimen entre el sospechoso y la víctima. c) La integridad y el correcto manejo de la evidencia forense y su importancia en la formulación de cargos y la base para el establecimiento de medidas punitivas a los acusados. Limitaciones La única limitación a la implementación de esta metodología son las variantes legales (como doctrinas, normas y estatutos) en cada jurisdicción, que pueden alterar el proceso más no el resultado. Marco Teórico La evidencia digital y la escena La documentación de la evidencia en la escena es vital en el proceso investigativo, se debe llevar un registro minucioso de todas las piezas de evidencia sean estas: documentos, dispositivos, programas, archivos digitales, o cualquier pieza relacionada con el caso. Esta evidencia para su respectivo análisis debe ser procesada usando el protocolo de cadena de custodia donde se registrará los movimientos y características de la misma, por ningún caso la evidencia se debe manipular fuera de la cadena de custodia, porque perdería su confiabilidad e integridad (Laboratory, 2010). Este patrón se establece entendiendo que la herramienta que se usó para cometer el delito es un dispositivo electrónico, la manera como se ejecute y planifique la investigación será primordial para el éxito de la labor. Debemos entender que el análisis de la escena está fundamentado en los objetivos propuestos y el tiempo con que se dispone, mientras más pase el tiempo, el riesgo de que se pierda o contamine la evidencia es más eminente (NIJ, 2007). Para realizar un trabajo ordenado y eficiente en una investigación profesional, se debe cumplir ciertos requisitos académicos fundamentados en preparación científica, por esta razón todas las herramientas deben estar aptas para realizar el trabajo, entendiendo que antes de llegar a la escena se establezca un plan coordinado y sistemático que incluya el protocolo que se va a

E-Crime Institute Inc. - ISBN 9781548065140

establecer ‘ in situ ”, por esta razón es importante disponer de un plan por escrito y bien estructurado ( Bill Nelson,2015). La cadena de custodia y la evidencia digital De acuerdo a lo mencionado por “Ohio State Highway Patrol Crime Laboratory” (Acreditada por ASCLD1) en el documento “Criteria for evidence submission” (Laboratory, 2010); se demuestra una vez más la importancia de la cadena de custodia como: “El proceso de control de la evidencia desde el momento que es colectada hasta su presentación en la corte”. Además, se manifiesta la “importancia de minimizar el número de personas que manipulen dicha evidencia”. El objetivo de la cadena de custodia es evitar la sustitución, manipulación, alteración, destrucción, contaminación y falsificación de la evidencia, por esta razón este proceso garantizará el control y manejo correcto del mismo (Gardner R. , 2005). En el proceso de custodia, autenticación y seguridad de la evidencia digital el obedecer y entender las normativas y protocolos nos ayudarán eficientemente a cumplir los requisitos federales en torno al manejo y respaldo de información sensitiva y al mismo tiempo asegurar la calidad de nuestra evidencia en el respectivo proceso criminal y administrativo si fuese privada la investigación. Dentro de este proceso el NIJ2 en la guía “Digital Evidence in the Courtroom: For Law Enforcement and Prosecutors” (NIJ, 2007), manifiesta la importancia de elaborar un cuestionario antes de evaluar la evidencia como involucrada, el mismo establece la siguiente estructura: 1. Qué tipo de evidencia digital ha sido colectada: dentro del inventario de evidencia debemos describir tipo de archivo, extensión, nombre, tamaño, lugar de adquisición y proceso de adquisición. 2. Identificar a las personas íntimamente relacionadas con el uso de esa evidencia: desde el momento de la adquisición hasta el momento de la entrega, se usará la forma “Cadena de custodia”, que le permitirá dar el seguimiento detallado de las personas que estuvieron involucradas en el manejo de la evidencia con nombres, agencia, horas y lugares.

1 2

American Society of Crime Lab Directors National Institute of Justice

E-Crime Institute Inc. - ISBN 9781548065140

3. Identificar los métodos usados en la adquisición de la evidencia digital: el software que se usó, características, normativas, preparación académica o técnica del investigador que manipuló el software, hardware donde estuvo instalado el software forense, método de adquisición, almacenamiento, transmisión y encriptación. 4. Determinar si a esa evidencia que es parte de la cadena de custodia se accesó después: mediante la verificación del proceso de seguridad y autenticación de la evidencia usando la normativa SHA1-512 o MD5, para garantizar la fidelidad de la prueba. 5. Determinar cuándo fue colectada la evidencia y en dónde: verificación de coordenadas satelitales de la ubicación de la evidencia en el proceso de manipulación y descripción de la zona horaria tanto del dispositivo como de la forma para garantizar su fidelidad. Importancia del uso del cuestionario en la cadena de custodia El cuestionario nos sirve para garantizar la calidad, autenticidad y seguridad de la evidencia, este procedimiento de control nos permitirá disponer de una prueba fehaciente y de alta calidad. Como manifiesta (Vacca, 2005), la aplicación de las reglas de evidencia en la adquisición de evidencia digital se fundamentará en dos puntos importantes: a) Admisible: Un término usado para describir la evidencia que pueda ser considerada por un jurado o un juez en los casos civiles y penales. b) Auténtica: Para confirmar la identidad de una entidad cuando se presenta esa identidad, para verificar la identidad de un usuario, dispositivo de usuario, u otra entidad. Basándonos en estas dos reglas generales, el investigador debe considerar los siguientes puntos de seguridad dentro del manejo de la evidencia en la cadena de custodia: 1. Minimizar el uso desmedido de la evidencia para prevenir daños en la misma. 2. Uso de “Logs” en todo el proceso de la investigación. 3. No sobrepasar los conocimientos. 4. Entender las políticas de seguridad de información. 5. Prepararse correctamente para el proceso de testimonio en la corte. 6. Trabajar rápido.

E-Crime Institute Inc. - ISBN 9781548065140

7. No apagar el sistema antes de colectar la evidencia. 8. No correr ningún programa adicional que afecte el sistema. Cadena de custodia y la protección de la evidencia Dentro de la cadena de custodia encontramos la protección de la evidencia, para esto como parte de este trabajo académico, se sugiere el uso del estándar federal: DoD 5200.1-r “Information Security Program”, el cual estandariza todo el procedimiento del manejo de evidencia, con el fin de asegurar la integridad de la misma. La estructura del estándar DoD 5200.1-r está compuesto bajo el siguiente proceso sistemático: 1. Identificación del origen 2. Identificación del destino 3. Seguridad y Proceso de transmisión a) Método b) Materiales 4. Consideraciones pre-salida de evidencia a) Autorización para personal custodio b) Carta de autorización que incluya: Nombre completo, grado, nombre agencia o laboratorio. c) Tipo de identificación disponible: Incluya fotografía, y niveles de seguridad estandarizados y comprobados. d) Descripción de la Evidencia que se enviará 5. Punto de salida, ruta y punto de llegada a) Nombre y título del agente o responsable que firma la carta b) Numero de Control para su respectivo seguimiento (Se podría usar IRF, o Satélite) c) Inventario y descripción de la evidencia 6. Consideraciones con la envoltura o empaquetamiento a) Verificar antes de enviar b) Minimizar el riesgo de daño c) Usar doble envoltura, y material antiestático, resistente al agua, humedad y otros factores ambientales d) Marcar todo el paquete como Evidencia

E-Crime Institute Inc. - ISBN 9781548065140

e) Agregar recibo con: Nombre Examinador, numero de ID, dirección y contenido recibido. 7. Consideración a la seguridad de envió a) Información de Hardware o Software o Hash de los archivos, o imágenes b) POC con el nombre y teléfono c) Incluya las claves en un sobre separado y sellado d) No dejar la Evidencia en lugares no autorizados e) Reportar cualquier incidente sospechoso y no abrir los materiales en ruta. 8. Consideraciones en el arribo de la evidencia: a) Recibo de entrega, si se moviliza a otro lugar firma de reenvió.

Framework Manejo y Validación de Evidencia Digital Escena del Crimen

Evidencia Digital

Identificación

Adquisición

Análisis

Preservación

Validación Evidencia Digital

Validación 1 Adquisición

Validación 2 Análisis

Integridad Evidencia Digital

Validación 3 Preservación

E-Crime Institute Inc. - ISBN 9781548065140

Fuentes de evidencia digital Dentro de la escena del crimen podemos establecer las “fuentes de evidencia” o también llamadas en inglés como "Source of Evidence" (NIJ, 2008), a un sinnúmero de componentes cibernéticos, los cuales pueden comprender, pero no se limitan a: •

Dispositivos de almacenamiento: Discos duros, flash drive, tarjetas móviles de almacenamiento o cualquier otro dispositivo que guarde información.

•

Dispositivos electrónicos de procesamiento de información: Juegos electrónicos, tabletas, cámaras digitales, teléfonos celulares, GPS y demás dispositivos que procesen información.

•

Comunicación de datos: Dispositivos de redes, servidores, base de datos, correo electrónico local, nubes con (sistemas de almacenamiento, sistemas virtualizados, servicios web y más) y demás servicios de transferencia y almacenamiento de información.

•

Internet: Páginas web, redes sociales, y demás sitios privados o públicos que presenten información vinculada en una investigación.

Identificación de la evidencia digital El término "equipo" como lo menciona (NIJ, 2007), se entiende como un sistema electrónico, magnético, electro óptico, o de procesamiento de datos que cumpla con las funciones de transferencia, procesamiento y almacenamiento de datos, con el fin de facilitar la comunicación directa o indirecta entre humanos. Estos dispositivos electrónicos adquieren, crean, analizan, almacenan y comparten data o información procesada, la misma que es de extrema relevancia en un proceso investigativo, ya que contempla el contacto entre la víctima y el sospechoso. A esto se atribuye la teoría del Dr. Locar (Lin-Wood Public Schools, 2015) sobre el contacto y transferencia. Adquisición de evidencia digital La evidencia electrónica es frágil, se puede alterar o destruir, por el mal manejo o la mala práctica en la identificación, recolección y extracción; por esta razón, para desarrollar un correcto procedimiento de identificación, etiquetación, validación y preservación de la evidencia es importante disponer de las siguientes herramientas (NIJ, 2008):

E-Crime Institute Inc. - ISBN 9781548065140

•

Computadora Portátil o Tablet con la respectiva plataforma forense

•

Software Forense de validación y seguridad de evidencia

•

Guantes

•

Cámara Fotográfica Digital con GPS

•

Registro inventario de evidencia

•

Etiquetas para evidencia

•

Fundas antiestáticas para hardware

•

Fundas de Papel con burbujas para evidencia

•

Tape para cercar o clausurar la ubicación de la escena del crimen

•

Tape para sellar evidencia y otros que eviten la destrucción o contaminación de los indicios/evidencias Hoy en día estas herramientas son complementadas con plataformas basadas en la nube,

las cuales permiten una sincronización entre la recolección In Situ y el laboratorio de análisis forense, permitiendo transferencias seguras de información para cumplir así con el requisito de integridad y validación. Análisis y preservación de evidencia digital El método de adquisición de evidencia digital, es un factor de suma importancia dentro del proceso investigativo, la legitimidad, el debido proceso de ley y el cumplimiento de las leyes que rigen su proceso van de la mano con el uso de la respectiva tecnología, hardware o software que el investigador use para cumplir con la labor de examinar la evidencia. Existen herramientas de adquisición y análisis comerciales y código abierto, entre las más significativas tenemos a EnCase3, FTK4 (Holder & Robinson, 2008), son herramientas comerciales; en el caso de código abierto existen herramientas como la suite DEFT5, CAINE6 y Autopsy®7; dentro del análisis de imágenes existen algunos formatos como: Raw, E01, SMART, EnCase, dd, AD1, AFF y muchos más. Las imágenes se utilizan para transferir el contenido "Raw Data" de un dispositivo de almacenamiento, a un lugar seguro con el fin de tener intacta la información origen.

3

EnCase Forensic Software Forensic Toolkit of AccessData 5 Digital Evidence & Forensic Toolkit 6 Computer Aided Investigative Environment 7 Autopsy® Digital Forensic Platform 4

E-Crime Institute Inc. - ISBN 9781548065140

Una "imagen forense", la define (Gross, 2014) como “un archivo informático que contiene el contenido y la estructura de un dispositivo de almacenamiento de datos, como un disco duro, unidad de CD, teléfono, tableta, RAM, USB y demás dispositivo electrónico que almacene y procese información”. La “imagen forense”, se compone de los contenidos reales del dispositivo de almacenamiento de datos, así como la información necesaria para replicar su estructura (Gross, 2014). Esto difiere de una copia de seguridad normal en que la integridad de la estructura de almacenamiento no es exacta, ni permanece intacta, siendo este un componente fundamental de la integridad en la investigación forense. Si la estructura del archivo y su contenido no se pueden verificar por ser exactamente la misma que la unidad de destino original, la integridad de la evidencia está en peligro y podría ser inadmisible en un tribunal de justicia (Holder & Robinson, 2008). La creación de la "imagen forense" de un dispositivo de almacenamiento es el primer paso dentro del proceso de preservación de la evidencia (Casey, 2003), el método de preservación garantiza que el análisis o exanimación forense de evidencia digital no se realizara en el dispositivo de almacenamiento de datos original "Target", pero sí en la copia de trabajo, "evidencia de trabajo" tomada, la cual es exacta a la original. Los Algoritmos y la validación de la evidencia digital La preservación es uno de los componentes más importantes en el manejo de la evidencia digital la cual tiene como objetivo "Proteger la evidencia de contaminación externa" manteniendo intacto su estado (Salas, 2014), por esta razón vamos a explicar las dos aéreas que integran el método de preservación: a) Seguridad de la evidencia: Se establece realizando el procedimiento de "imagen forense" de la evidencia, con el propósito de mantener intacta la evidencia. Es importante recalcar que adicional a la "imagen forense" se le debe en el mismo tiempo crear la evidencia de control, y la evidencia de trabajo. b) Validación de la evidencia: Para validar la evidencia garantizando así su integridad, el método aceptable es el uso del algoritmo SHA1 y MD5 o el usado en la respectiva jurisdicción.

E-Crime Institute Inc. - ISBN 9781548065140

Herramientas de validación de evidencia digital Dentro de la investigación de delitos cibernéticos, el estándar en el proceso de autenticación e integridad de información está basado en la fusión Hash8, estas proveen un mensaje de integridad, en función a cualquier tipo de modificación del archivo, en el caso de actividades ilegales donde se modifica la integridad y contenido de un archivo, sea cual fuese su extensión y función. Este método criptográfico compara la integridad y similitud de los archivos que han sido procesados con este método. Ahora vamos a dar un breve vistazo a estas herramientas: MD5: Creado por el Profesor Ron Rivest en 1992, con un resumen de 128 Bits. Este estándar tiene como función la comprobación de la integridad de información. SHA-1,2,3: Este estándar fue creado por el NIST en 1994 con un resumen de 160 Bits. Ejemplos: MD5: “prueba” [c893bad68927b457dbed39460e6afd62] MD5: “Prueba” [5bc8c567a89112d5f408a8af4f17970d] En este clásico ejemplo vemos como la secuencia del resultado de este algoritmo cambia al incluir en la palabra prueba la letra mayúscula, de esta manera podemos garantizar la integridad de la información con la que vamos a trabajar en nuestra investigación. Dentro del método de validación se ha establecido el siguiente estándar internacional NIST FIPS PUB 180-4 el cual tienen como función comprobar la Integridad de la evidencia digital (Information & Standards, 2015), ya que cuando la clave de cifrado es la misma que la de descifrado (cifrado y de descifrado coinciden) se garantiza la integridad de la evidencia. La integridad en la evidencia El principio de validación y seguridad de evidencia cuenta con tres componentes establecidos por el estándar NIST SP-800-53r4 (NIST, 2013) los cuales son: 1. Privacidad: Se refiere a que la evidencia solo puede ser leída o usada por personas autorizadas dentro del proceso investigativo.

8

Son funciones criptográficas que cifran una entrada comprimiendo para una salida de menor longitud

E-Crime Institute Inc. - ISBN 9781548065140

2. Integridad: Se refiere a que la evidencia no pueda ser alterada en el transcurso del manejo o transporte de la misma dentro del proceso investigativo. 3. Autenticidad: Se refiere a que se pueda confirmar que la evidencia recibida es la misma que fue procesada en el lugar de la escena o en la fuente de información. Validación de Evidencia Digital Considerando lo volátil y frágil de la información digital envuelta en una investigación, usar el método más apropiado en el procedimiento investigativo será de suma importancia, los resultados van a depender del método que usemos, para asegurarnos que este material cumpla las normativas federales. El método que veremos a continuación lo establece el Departamento de Justica de los Estados Unidos en (Justice D. , 2004):

POLÍTICAS DE PROCEDIMIENTO PASO 1

Evaluación de dispositivos y/o servicios

PASO 2

Adquisición de la evidencia

PASO 3

Examinación de la evidencia

PASO 4

Segunda validación de evidencia

PASO 5

Reporte de hallazgos encontrados

Políticas de procedimiento En este punto es importante considerar el alcance de la investigación y la acción a tomar, para esto debemos considerar lo siguiente: a) Identificar la autorización legal: Contrato de servicios si fuera el caso o dependiendo de la investigación vía orden judicial en el caso de Gobierno, o por contrato de servicios si es privado.

E-Crime Institute Inc. - ISBN 9781548065140

b) La solicitud de servicios: Para la examinación forense que debe incluir en el contrato. c) Completar la documentación del consentimiento de búsqueda: Contrato de servicios si fuera el caso privado u orden judicial en casos públicos. d) Cumplimiento de protocolos técnicos y científicos: Que permitan garantizar la preservación del lugar de los hechos, así como los vestigios, indicios y evidencias ligados al caso, bajo los criterios de proteger, observar, fijar, recolectar, trasladar o enviar de forma adecuada y segura a los laboratorios o centros de examinación de evidencia digital autorizados públicos o privados. e) La cadena de custodia: La cual es de trascendental importancia en cualquiera de los dos casos público o privado para garantizar la autenticidad en el manejo de los hallazgos en la escena. Evaluación de dispositivos y servicios En el proceso investigativo el agente o investigador se encontrará en la escena con algunos factores que son necesarios sistematizarlos por medio de protocolos. A continuación, se explica algunos de ellos envueltos en investigación de delitos cibernéticos. Si el dispositivo está apagado El procedimiento es el siguiente: 1. Documente y fotografíe dispositivos y cables conectados al equipo. 2. Etiquete todos los cables y dispositivos que almacenan evidencia digital 3. Verifique si existe unidades de almacenamiento dentro de los dispositivos como CD, DVD, USB y más, los cuales deben ser sellados con TAPE de evidencia. 4. Grabar modelo, marca, número de serie, y marcas distintivas del equipo. 5. Sella con tape los puertos USB y conector de Energía. 6. Empaquetar los dispositivos de acuerdo a los protocolos de fabricantes de hardware para la prevención de daños en la transportación. Cuando el dispositivo esté prendido El procedimiento es el siguiente: 1. Identificar la información que muestre la pantalla.

E-Crime Institute Inc. - ISBN 9781548065140

2. Requerir asistencia a personal con experiencia en captura y preservación de información volátil. 3. Verificar si existe indicios que muestren alguna actividad sospechosa del sistema estableciéndose que el equipo fue borrado o formateado. 4. Desconectar el equipo si el mismo está borrándose o formateando el sistema de almacenamiento. 5. El proceso de desconexión (desconectar) de batería o cable de la fuente de poder nos permite: Preservar la información del último acceso, último usuario, los documentos abiertos recientemente, los últimos comandos usados y otra información importante. 6. No se recomienda desconectar la batería o el cable de poder cuando: a) La información que aparece en la pantalla es de trascendental importancia para el proceso investigativo. b) Cuando en la pantalla se presentan: Redes sociales, salas de chats, comunicación interactiva, almacenamiento de datos remotos, documentos encriptados, documentos abiertos, ya que primero se debe documentar correctamente de acuerdo al protocolo vigente. Empaquetamiento del dispositivo electrónico y/o la evidencia digital El proceso de empaquetamiento debe considerar los siguientes lineamientos técnicos: 1. Toda evidencia digital debe empaquetarse en fundas y recipientes antiestáticos. 2. No se debe usar fundas plásticas ya que producen estática, permite humedad y condensación. 3. Los empaques de evidencia digital deben prevenir: rayones, golpes, movimientos bruscos. 4. Los dispositivos electrónicos móviles deben mantenerse como se encontraron, apagados o prendidos. Traslado del dispositivo electrónico y/o evidencia digital Dentro del proceso de traslado de evidencia digital es importante considerar lo siguiente: 1. Mantener la evidencia digital lejos de campos magnéticos, como los producidos por emisoras de radio, los imanes de los altavoces y magnéticos de luces de emergencia.

E-Crime Institute Inc. - ISBN 9781548065140

Otros peligros potenciales son los asientos calentadores y cualquier dispositivo o material que puede producir electricidad estática. 2. No mantener la evidencia en el vehículo por prolongados transcursos de tiempo. 3. Prevenir la caída y vibración de los equipos especialmente dispositivos de almacenamiento externos o internos. 4. Usar la técnica de validación y seguridad de evidencia digital. Almacenamiento de dispositivo electrónico y/o evidencia digital Dentro de los procedimientos de almacenamiento de evidencia digital es importante: 1. Estar seguro de que la evidencia digital fue inventariada correctamente. 2. Asegurarse de que la evidencia digital es guardada en un lugar seguro, que incluya un sistema de climatización, ya que la evidencia digital no está sujeta a extremas temperaturas y humedad. 3. Establecer el principio de validación y seguridad de evidencia digital (Ver: Herramientas de validación de evidencia digital). Normas legales para el manejo de evidencia digital Dentro del proceso de investigación criminal un factor determinante es el conocimiento de las leyes, reglas y normas tanto civiles, criminales como constitucionales en el respectivo proceso y jurisdicción, por esta razón vamos analizar la aplicabilidad legal en dos áreas: 1. Área de procedimiento investigativo: Dentro de los procesos investigativos, existen normas legales que debemos entenderlas ampliamente, estas normas ya las hemos explicado anteriormente y las cuales están organizadas de la siguiente manera: a) Solicitud para la orden de allanamiento (Investigación pública). b) Contrato de servicios profesionales (Investigación privada). c) Derechos Miranda y Derechos Constitucionales relacionados a la víctima y victimario (Investigación pública). d) Políticas de seguridad de información de la organización (Investigación privada). e) Derechos en relación a la expectativa de la intimidad y privacidad de información (Investigación pública y privada).

E-Crime Institute Inc. - ISBN 9781548065140

2. Área de procedimiento evidenciario: Dentro del manejo de evidencia digital existen leyes, normas y protocolos, que se deben entender y usar dentro del proceso de manejo de la evidencia digital. a) Derechos constitucionales relacionados a la ilegalidad e irrazonabilidad que afecten la expectativa de intimidad y leyes relacionadas a la privacidad (Tanto público como privado). b) Cadena de custodia, protocolos y normativas referentes a la administración de evidencia. (Tanto público como privado). c) Presentación del reporte forense. Resultados En el caso de la jurisdicción de Puerto Rico como ejemplo, en la Regla 901 (a) se establece que : “El requisito de autenticación o identificación como una condición previa a la admisibilidad… la cual se satisface con la presentación de evidencia suficiente para sostener una determinación de que la materia en cuestión es lo que la persona propone y sostiene” (Judicial, 2009). Es claro entender que esta condición para la admisibilidad estará sujeta a ciertos requisitos que partirán de la manera como se manejó la escena y respectivamente la evidencia, esto conlleva establecer correctamente el estándar, el protocolo y las normativas legales para el trabajo con la evidencia digital envuelta en el caso. El regirnos a los protocolos establecidos, y sujetarnos a las normas legales garantizarán que nuestro trabajo como investigadores esté encaminado por la legalidad (Justice, 2004) pues cuando expresamos principios de legalidad y normas protocolarias el interés no es ambiguo, sino que conlleva desarrollar métodos sistemáticos que cumplan en cada etapa de nuestra investigación con la ley. El proceso de autenticación y validación debe partir de algunos aspectos importantes como son: a) La arquitectura del dispositivo electrónico. b) El sistema operativo o software de administración de contenidos. c) Si está relacionado al internet o proceso de transferencia de datos. d) Proveedor de Servicio de Internet o tipo de plataforma de comunicación. e) Tipología de conectividad y protocolos de comunicación.

E-Crime Institute Inc. - ISBN 9781548065140

Ya con estos requerimientos podemos establecer los procedimientos de validación de evidencia (Judicial, 2009); la regla 901 (b) la cual nos muestra ejemplos en algunos escenarios como: 901 (b) (13) Récord Electrónico, donde expresa “La integridad del sistema se demuestra a través de evidencia que sustente la determinación que en todo momento... “El sistema de computadoras o dispositivo similar estaba operando correctamente o en el caso contrario... “El hecho de que su no operación correcta no afectó la integridad del récord electrónico” 901 (b) (14) Correo Electrónico, un correo electrónico podrá autenticarse mediante evidencia de la integridad del sistema en el cual o por el cual fue creado, enviado o recibido”.

Conclusiones e Implicaciones Aunque la investigación interna en una organización privada, sea distinta a la externa cuando hablamos de investigación pública, es indispensable entender que existen ciertas fases y protocolos en la investigación de delitos cibernéticos que se deben seguir en las dos áreas de la investigación, las cuales deben estar sujetas a los estándares y procesos de ley como lo menciona (NIJ, 2008). A continuación, describiremos las fases que involucran la investigación: a)

Manejo de la escena

b)

Manejo de la evidencia

c)

Notas del investigador

d)

Análisis de la evidencia

e)

Establecimiento de la hipótesis

f)

Reconstrucción de la escena o eventos

g)

Reporte final No obstante, la aplicación de ciertas doctrinas como la "Expectativa de la intimidad",

pueden ser un eventual problema jurídico cuando dentro de la organización no se establecieron normas que dictaminen responsabilidades y derechos de los empleados como las que están descritas en las "Políticas de Seguridad de Información”, las cuales buscan minimizar los niveles

E-Crime Institute Inc. - ISBN 9781548065140

de riesgo e impacto dentro de la organización, así como la falta de aplicación de protocolos y normativas en el sector público. El NIST ( 2004), define tres objetivos de seguridad: Confidencialidad que de acuerdo a [44 U.S.C.; Sec. 3542] se define como: "Preservar restricciones autorizadas sobre el acceso y la divulgación de la información, incluidos los medios para la protección de la intimidad personal y propiedad de la información..."; Integridad basado en [44 U.S.C.; Sec. 3542] lo define de la siguiente manera : "Protección contra la modificación incorrecta de información o destrucción, e incluye asegurar que la información sea autentica..."; Disponibilidad de acuerdo a [44 U.S.C.; Sec. 3542], "Garantiza el acceso oportuno y confiable y uso de la información...". El investigador debe tener la preparación académica para realizar la examinación científica de la evidencia, cumpliendo con estándares estatales y federales (Justice, 2004). Al tener el investigador esta limitación se debe contratar personal preparado para la examinación de evidencia, y usar esos reportes forenses como parte de la investigación. El omitir este estándar causará efectos legales y de procesamiento en el respectivo proceso investigativo, cumplir con este protocolo permite manejar una investigación bajo "best practice" y acorde a la ley.

E-Crime Institute Inc. - ISBN 9781548065140

Referencias Bill Nelson. (2015). Guide to Computer Forensics and Investigations. New York: Cengage Learning. Casey, E. (2003). Digital Evidence and Computer Crime. Chicago: Academic Press. Gardner. (2005). Practical Crime Scene Processing and Investigation. Chicago: CRC Press. Gardner, R. (2005). Practical Crime Scene Processing and Investigation. Chicago: CRC Press. Gross, C. (2014). Arquiring and Imagen with FTK Imager. Center for Information Assurance University of New Mexico, 1-10. Holder, E. H., & Robinson, L. O. (2008). Special RepoRt Test Results for Digital Data Acquisition Tool : NIJ. Information, F., & Standards, P. (2015). FIPS PUB 180-4 Secure Hash Standard ( SHS ). NIST, (August). Judicial, R. (2009). Reglas de Evidencia 2009. San Juan: Rama Judicial. Justice, D. (2004). Forensic Examination of Digital Evidence: A Guide for Law Enforcement. National Institute of Justice, 91. Laboratory, O. S. (2010). Criteria For Evidence Submission. General Submission Guidelines (Crime Laboratory), 1-9. Lin-Wood Public Schools. (2015). A Field Guide For CSI : LIN-WOOD. A Forensic Laboratory Experience, 1–150. Retrieved from http://www.linwood.org/cms/lib06/NH01000685/Centricity/Domain/47/Crime Scence/CSI LAB BOOK 2010.pdf NIJ. (2007). Digital Evidence in the Courtroom: For Law Enforcement and Prosecutors. National Institute of justice, 1-70. NIJ. (2008). Electronic Crime Scene Investigation. National Institute of Justice, 1-74. NIST. (2004). Standards for Security Categorization of Federal Information and Information Systems. 1-13.

E-Crime Institute Inc. - ISBN 9781548065140

Peterson, S. B. (2010). The Role and Impact of Forensic Evidence in the Criminal Justice Process. Los Angeles, California: NATIONAL INSTITUTE OF JUSTICE. Salas, C. R. (2012). Violation of Rigth to Privacy. UTICA Graduate Studies Cybersecurity, 1-6. Salas, C. R. (2014). Metodología en la Investigación de Delitos Cibernéticos. Hatillo: En Revisión. Vacca, J. (2005). Computer Forensics: Computer Crime Scene Investigation. Washington: Charles River Media.