1 / 30

EVIDENCIA DIGITAL

EVIDENCIA DIGITAL. María del Pilar Jácome Agosto 2012. ¿Qué es Computer Forensic o informática forence ?.

merv
Download Presentation

EVIDENCIA DIGITAL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. EVIDENCIA DIGITAL María del Pilar Jácome Agosto 2012

  2. ¿Qué es ComputerForensic o informática forence? • “ComputerForensic”: Es el proceso de identificación, preservación, análisis y presentación de evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o administrativo.” Recuperar y analizar la información demostrando que no hay manipulación (uso de algoritmos de Hash –MD5, SHA-1).

  3. Características de la evidencia digital • Intangible • Pueden duplicarse de forma exacta y examinar la copia como si fuera el original • Posibilidad de determinar si ha sido alterada • Requieren procedimientos forenses especializados para ser examinadas con garantías • Es más volátil que la información en papel • Puede ser fácilmente alterada o destruida • Debe ser tratada apropiadamente

  4. ¿Porqué la distinción entre evidencia digital y evidencia tradicional? • Documento electrónico: Tiene la misma validez del documento tradicional. • Creación de documentos electrónicos • Por personas • Por computadores • Por personas y computadores • Almacenamiento de documentos electrónicos

  5. Almacenamiento de la Evidencia Digital • Tipos de Documentos Almacenados • Correos Electrónicos • Archivos Financieros • Documentos de Office • Historial de Internet • Registros de Chats • Libretas de direcciones (Outlook) • Calendarios (Outlook) Repositorio de evidencia Digital • Computadoras Personales • Servidores –e-mail, file, proxy • Sistemas de control o acceso –firewalls, router • Asistentes Personales Digitales (PDA) –Blackberry, Palm • Teléfonos Móviles, Reproductores de música • Cámaras Digitales • Cintas de Backup • Discos Duros • Medios removibles –Memorias USB, CD’s, DVD’s

  6. Admisibilidad de la evidencia digital • Además de los principios básicos de admisión de evidencia, debe cumplir con: • Autenticidad • Confiabilidad • Suficiencia • Apego y respeto por leyes y poder judicial

  7. Autenticidad • Hace referencia a cómo fue generada y almacenada la evidencia que pretende hacerse valer dentro de un proceso. • La evidencia es auténtica cuando se demuestra que el mensaje de datos proviene de quien dice provenir y el mismo se ha mantenido incólume durante el tiempo en que ha permanecido almacenado.

  8. Autenticidad • Presunción de autenticidad: Los documentos privados han de reputarse auténticos mientras no sean tachados de falsos por las partes involucradas, por consiguiente, si bien existen mecanismos de seguridad de los mensajes de datos, verbigracia la firma electrónica (digital o biométrica), no será necesaria su prueba mientras la autenticidad no sea materia de controversia.

  9. Autenticidad • Debe determinarse el grado de seguridad que ofrezca el generador y almacenador del mensaje de datos, quien deberá: • Certificar que el mismo mantiene las características iniciales, esto es comprobando la identidad del certificado digital utilizado para generar la firma digital, y, • Estableciendo que el HASH (resumen corto del contenido del mensaje de datos) corresponda al mensaje de datos luego de ser desencriptado.

  10. Confiabilidad • Se refiere a que los generadores del mensaje son factibles y plausibles. • Esta características esta íntimamente ligada con el sistema o programa creador o almacenador del mensaje de datos, que deberá presentar garantías y estar presto a que se generen auditorias sobre los mismos.

  11. Suficiencia Capacidad de convencimiento que tiene la evidencia digital frente a unos hechos específicos. Así, no sólo será entonces necesaria la exhibición del mensaje de datos sino que, es aconsejable que, al momento de allegar las pruebas dentro del proceso se explique la tecnología utilizada, los procesos implementados de creación y almacenamiento de datos, la exhibición de los certificados digitales de existir, etc. Con el fin de respaldar de manera – suficiente – los documentos electrónicos incorporados al proceso.

  12. Suficiencia • Así mismo, la autenticidad y confiabilidad deben reflejar la suficiencia de la prueba electrónica para ser considera como elemento de juicio dentro del proceso.

  13. Apego y respeto por las normas • Es preciso resaltar este elemento que establece que es necesario que la evidencia digital tenga el mismo tratamiento procedimental correspondiente a la normatividad contenida en Códigos de Procedimiento sin desconocer además que dicha clase de evidencia, por encontrarse en el especial medio contenida, debe tener ciertos cuidados de recolección, aseguramiento, análisis y reporte para garantizar su autenticidad, confiabilidad y suficiencia.

  14. Apego y respeto por las normas: La administración de evidencia digital

  15. Diseño de la evidencia • Determinar importancia de registros electrónicos. • Que los registros electrónicos han sido identificados, están disponibles y utilizables. • Identificación clara del autor de los registros electrónicos.

  16. Diseño de la evidencia • Hay fecha y hora de creación o modificación de los registros electrónicos. • Es posible validar la autenticidad de los registros electrónicos. • Hay confiabilidad en la producción y almacenamiento de los registros electrónicos dentro del sistema de información.

  17. Producción de la evidencia • Que el sistema o tecnología de información produzca los registros electrónicos. • Identificación del autor de los registros electrónicos almacenados • Identificación de la fecha y hora de creación • Verificación de que la aplicación está operando correctamente en el momento de la generación de los registros, bien sea en su creación o modificación. • Verificación de la completitud de los registros generados.

  18. Recolección de la evidencia • Establecimiento de buenas prácticas y estándares para el recaudo de evidencia digital • Preparación de las evidencias para ser utilizadas ahora y a futuro. • Mantenenimiento y verificación de una cadena de custodia. • Respeto y validación de las regulaciones y normativas alrededor del recaudo de la evidencia digital. • Desarrollo de criterios para establecer la pertinencia o no de la evidencia recaudada.

  19. Análisis de la evidencia • Es necesario establecer, de manera posterior al recaudo de la evidencia que se establezcan los hechos a demostrar con el fin de establecer que la evidencia es suficiente o hacen falta documentos que permitan el convencimiento del juez.

  20. Reporte y presentación • Documentación de los procedimientos efectuados por el perito o experto a cargo. • Conservación de una bitácora de uso y aplicación de los procedimientos técnicos utilizados. • Cumplimiento exhaustivo de los procesos previstos en relación con la cadena de custodia.

  21. Reporte y presentación CNUDMI: Este tipo de evidencia debe presentarse bajo el marco de pruebas documentales, circunstancia que representaría una flexibilización de las reglas procesales. Sin embargo, dado el tecnicismo y especialidad requerido para esta clase de evidencia, es necesaria la práctica de pruebas adicionales, como por ejemplo, un peritazgo o una inspección judicial. • El mecanismo idóneo para allegar mensajes de datos, será en el mismo medio en que se encuentren, ya que al ser materializados, mediante impresos por ejemplo, pierden la fuerza probatoria de los mismos, evento similar a si se saca del entorno. • En muchos paises, por no decir todos, la oportunidad procesal para presentar evidencia es con la presentación de la demanda , con la contestación o, cuando el juez la decrete de oficio para formar su convencimiento.

  22. Reporte y presentación • Actualmente en muchos países no existe una normativización profusa en el tema y no se tiene una reglamentación específica de la forma de valoración de la prueba electrónica, por lo que podría darse de dos formas: • Por medio de un peritaje decretado por el juez; y, • Como simples indicios (Hechos de los cuales se infieren otros desconocidos), en caso de no cumplir con los requisitos mínimos que otorguen seguridad jurídica y certeza al juez.

  23. Determinación de la relevancia de la evidencia • Valor probatorio: lo tiene todo documento electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema. • Reglas de la evidencia: se debe poder establecer que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia.

  24. Marco regulatorio internacional Interanational Organization on Computer Evidence (IOCE) Comunidad Europea: Convención contra el Cybercrimen Regulación en Estados Unidos: “Forensic Examination of Digital Evidence: a Guide for Law Enforcement” “Electronic Crime Scene Investigation: a Guide for First Responders” “Computer forensic”: es el proceso de identificación, preservación, análisis y presentación de evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o administrativo”. Recuperar y analizar la información demostrando que no hay manipulación (uso de algoritmos de Hash – MD5, SHA-1). • Las acciones tomadas para recoger la evidencia digital no deben nunca afectar la integridad de la misma. • Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin. • Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión.

  25. Protocolos internacionales Documentar detalladamente todos los procedimientos realizados sobre las evidencias. Analizar las evidencias siguiendo una metodología forense especializada y empleando las herramientas adecuadas para cada caso. Presentación de los resultados en un informe con los detalles de la información analizada y de las conclusiones obtenidas del análisis. ESCENA Asegurar escena Identificar Evidencia Capturar evidencias Adecuado tratamiento y documentación de las evidencias de forma que se garantice la “cadena de custodia”. Uso de herramientas de análisis forense y de indexación de información para analizar grandes volúmenes de datos. Redacción de informes que ilustran los hechos de forma clara y concisa. Experiencia en ratificación de informes periciales. Consiste en proteger la escena para evitar la modificación o destrucción de las evidencias digitales. Identificar, de entre los sistemas de información de la compañía, los que puedan contener información relevante. Realizar las copias exactas de las evidencias identificadas minimizando el impacto en la evidencia original. Preservar evidencias Analizar evidencias Presentar resultados Definición de los protocolos de actuación que deben seguirse en caso de tener que abordar una investigación de fraude. Experiencia en investigaciones y sistemas informáticos para identificar las fuentes de información adecuadas. Empleo de las herramientas más rápidas y fiables del mercado que garantizan la no intrusión y la mínima alteración de la evidencia original. LABORATORIO FORENSE

  26. CONCLUSIONES • Debe perderse el miedo entre abogados y jueces al uso de evidencia digital para demostrar diferentes hechos.

  27. CONCLUSIONES • Debe partirse de la base de que todos los “documentos” aportados a un proceso se presumen válidos, hasta tanto no hayan sido tachados por falsos por la contraparte, por lo que deberá, inicialmente, al momento de recaudo de la evidencia, determinarse si es o no necesario allegar certificaciones de firmas digitales, peritazgos o informes técnicos.

  28. CONCLUSIONES • El uso de evidencia digital debe respetar ciertas prácticas que permiten su correcto uso.

  29. CONCLUSIONES • Es necesario que dentro de los diferentes actores, empresas, consumidor, abogados, entidades públicas, se creen políticas de almacenamiento de los datos contenidos en mensajes de datos, con el fin de clasificar que información requiere mayor o más ligera aplicación de controles.

  30. CONCLUSIONES • Deben realizarse capacitaciones para que, además de perderse el miedo, se instruya a los directamente interesados (abogados y jueces) los mecanismos idóneos para la presentación de pruebas dentro de procesos, siempre teniendo en cuenta el valor probatorio de las diferentes formas de presentación.

More Related