Este documento describe los conceptos clave de la informática forense, incluyendo la cadena de custodia, el proceso de preservación de evidencia digital, y los pasos metodológicos para realizar un análisis forense de computadoras u otros dispositivos electrónicos de manera legalmente válida.

1. PRESERVACION PRUEBA DIGITAL
CADENA DE CUSTODIA
ASOC. ABOGADOS LA PLATA
La Plata - 12 Diciembre 2012

2. Definiciones
 Informática Forense.
 Es la aplicación legal de métodos, protocolos y técnicas
para obtener, analizar y preservar evidencia digital relevante
a una situación en investigación. (Kovacich 2000, pag.243).
 Según el FBI, la informática (o computación) forense es la
ciencia de adquirir, preservar, obtener y presentar datos que
han sido procesados electrónicamente y guardados en un
medio computacional.

3. Informática forense
 Se ocupa de:
– Procesos automatizados
– Factores humanos
– Metodologías y estándares
 Procura:
– Identificar a los autores
– Descubrir los procesos que llevaron al suceso analizado
– Entender los procesos sistémicos u operativos que crearon el
problema.

4. Informática forense
 La “Informática forense”, y en particular, la “computación
forense” apuntan en dos direcciones:
– Hacia “adentro”:
 Clarificar y documentar procesos erróneos
 Determinar responsabilidades internas
– Hacia “afuera”
 Constituir prueba de validez legal para perseguir a
los autores de los incidentes

5. Computación forense
 Es “un proceso para responder interrogantes sobre
estados y eventos digitales” (Carter)
 Admite una definición un poco más compleja:
– “... es el uso de técnicas especializadas para el recupero, la
autenticación y el análisis de datos electrónicos cuando un caso
involucra cuestiones relativas a la reconstrucción del uso de una
computadora, el examen de datos residuales, la autenticación de
los datos mediante análisis técnico, o la explicación de
características técnicas de los datos y del uso de computadoras.

6. Computación forense
 Técnicas especializadas de recupero, autenticación y
análisis de datos
 Para reconstrucción del uso de un sistema informático
 Examinando datos residuales
 Autenticando los datos mediante análisis técnico
 Explicando características técnicas de datos y uso.
 “La práctica forense informática requiere capacidades
especializadas que van más allá de las técnicas usuales de
recolección y preservación de datos disponibles para los
usuarios comunes o el personal de soporte de los
sistemas”

7. Computación forense
 La práctica forense informática debe realizarse de modo que
adhiera a las normas legales sobre prueba admisibles ante
un tribunal. En consecuencia, la práctica es por naturaleza
técnico-legal, en lugar de puramente técnica o puramente
legal.
 Consideraciones fundamentales:
– Entender a los sospechosos
– Entender la prueba
– Asegurar el entorno

8. Informática forense
 La interpretación de la evidencia lograda (*)
– Es necesario la aplicación de herramientas + un
experto que las domine y explique al Juez el
resultado obtenido
– Analizar bien la herramienta a aplicar
(confiabilidad)
– Interactuar con expertos entrenados en el uso
de las herramientas (con experiencia +
conocimiento + dominio = credibilidad)
(*) Fred Cohen – Intituto de Investigaciones Forenses de California

9. Informática forense
 Objetivos
 Evitar la contaminación de la prueba (invalidación)
 Definir – Respetar un protocolo pericial asociado a
la pericia informática
 Establecer claramente los límites del proceso de
forensia a realizar (precisión en los puntos de
pericia)
 Obtener y adjuntar los reportes automáticos que
generan las herramientas seleccionadas.

10. Informática forense
 Metodología – Protocolo – Pasos a considerar
ETAPA I
1. Preparación del incidente (análisis de la
estretegia de información a obtener)
2. Detección del incidente
3. Preservación de la “escena del crimen”
4. Identificación del responsable (huellas
dactilares?)

11. Informática forense
 Metodología – Protocolo – Pasos a considerar
ETAPA I
5. Intervención adecuada de los elementos (bolsas
antiestáticas, papel de protección para golpes, identificación
clara de los elementos, franjado completo de los equipos, uso
de bandas antiestáticas)
6. Generación de la “cadena de custodia”
7. Almacenamiento de los elementos

12. Informática forense
 Metodología – Protocolo – Pasos a considerar
ETAPA I (Cadena de Custodia - Concepto)
La cadena de custodia de la prueba se define
como el procedimiento controlado que se aplica a los
indicios materiales relacionados con el delito, desde su
localización hasta su valoración por los encargados de
administrar justicia y que tiene como fin no viciar el manejo
de que ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones.

13. Informática forense
 Metodología – Protocolo – Pasos a considerar
ETAPA II
1. Copia de forensia
2. Análisis de la evidencia (búsqueda – investigación)
3. Recuperación de le evidencia
4. Reporte – Informe Pericial

14. Informática forense
 Metodología – Protocolo – Pasos a considerar
COPIA DE FORENSIA

15. Informática forense
 Metodología – Protocolo – Pasos a considerar
ETAPA III
1. Preservación final de la prueba
2. Decisión (Análisis del Juez en relación al crimen)
3. Devolución de la fuente de evidencia

16. Informática forense
 Objetivos de la metodología:
Obtener información de los elementos a peritar sobre
la base de una estrategia definida en relación con
el delito que se investiga:
– Información “legible”
– Información que pueda obtenerse de archivos
borrados
– Datos en particiones ocultas
– Datos en áreas de disco liberadas (slack space)