La Cadena De Custodia En Informática – II
En el artículo anterior (La cadena de Custodia aplicada a la informática – I) hablábamos de la cadena de custodia, aplicada a la informática. En este nuevo artículo pretendemos explicar de forma breve las fases que intervienen en el estudio y manipulación del material informático objeto de custodia.
Según bastantes manuales y artículos estudiados, relativos a la cadena de custodia en general, podemos resumir que la prueba pasa por diferentes fases o procesos procedimentales que, en la mayoría de los casos se reduce a cuatro estadios. A saber:
- Extracción de la prueba
- Preservación y embalaje de la prueba
- Transporte o traslado seguro de la prueba
- Traspaso seguro de la prueba, al laboratorio u organismo competente que la reclame.
Por lo general, estas fases valdrían para ser usadas en cualquier tipo de prueba. Sin embargo, esta clasificación no deja de ser algo ambigua. En informática contamos con algunas ventajas, como la capacidad de clonado de dispositivos, entre otras, que dan mayor autonomía a la hora de trabajar con el material custodiado, en contra de otras pruebas de origen orgánico, que precisan unos protocolos de conservación muy específicos. Pensando en la custodia de la prueba informática nosotros proponemos un protocolo basado igualmente en cuatro puntos, – más que nada para respetar la uniformidad de criterios-, y que hemos denominado IPAP. Esto es:
- Identificar
- Preservar
- Analizar
- Presentar
Identificar: Cuando se accede a la prueba es preciso identificar claramente (acompañándolo a ser posible con documentación gráfica) el objeto con el que vamos a trabajar. Información importante, como los números de serie, Part Number, código de fabricante, marca, modelo, características, etc., del dispositivo son esenciales en la identificación. Todos estos datos son precisos para identificar la prueba. De esta forma dejaremos claro en todo momento que el dispositivo que se obtuvo en su momento el día de la incautación de la prueba, es el mismo con el que estamos trabajando o, en su defecto, con una copia del mismo, de igual forma perfectamente identificada. Esto recuerda al famoso acrónimo “wysiwyg” (What you see is what you get) que se utilizaba en los albores de la programación gráfica. Aunque quizá esto sólo lo recuerden los programadores más viejos.
Preservar: la conservación de la prueba original es una de las grandes ventas con que cuenta la informática forense. Como ya hemos dicho en otras ocasiones, en muchos casos será posible hacer clonaciones (duplicados exactos) del contenido existente en un dispositivo de almacenamiento de información.
Esto nos permitirá trabajar sin miedo –pero siempre respetando un estricto proceso de actuación pericial-, con las unidades clonadas, como si de las originales se tratara. En este caso –y antes de proceder al análisis de la información existente en el dispositivo clonado-, será preciso volver al paso uno, e identificar convenientemente el nuevo dispositivo.
¿Y por qué es preciso empezar de cero con la copia obtenida?. Muy sencillo: Si la prueba pericial se obtiene de la copia –como clonación exacta que es del original-, será preciso también referenciarla correctamente para, una vez generado el documento pericial, salvaguardar el dispositivo sobre el que se ha trabajado, y así evitar posibles impugnaciones en una hipotética Litis.
Pongamos un ejemplo para entenderlo mejor: si hemos conseguido un disco duro marca X, con número de serie 1234JK, y la praxis se hace sobre un disco idéntico, pero con Número de serie 4834SD, sobre el que se hace la duplicación del contenido existente en el origen; si posteriormente este disco resultante se deja guardado en cualquier cajón, fácilmente podrían intentar desechar la prueba aduciendo que, al haber desatendido la custodia del dispositivo sobre el que se ha trabajado, podría haberse modificado información, antes o después de hacer la praxis. Y no les faltaría razón. En cualquier caso, el objeto de este trabajo extra de identificación del nuevo dispositivo clonado servirá, como mínimo, para saber de dónde procede (de un disco origen marca X, con número de serie 1234JK), además de para eliminar posibles dudas sobre la pulcritud y profesionalidad del trabajo realizado por el perito.
Analizar: Es un término fácil de entender. Todo informe elaborado por un perito deberá estar basado en el análisis de la prueba, nunca en conjeturas. En nuestra opinión, el perito debe generar un informe preciso y veraz, apoyado por la obtención de una prueba contundente y demostrable, sea cual sea el objeto que se le ha encomendado analizar. Las conjeturas pueden ser una parte más del análisis, pero nunca serán –en nuestra opinión-, base de fundamento para elaborar el dictamen. Una conjetura, si acaso, servirá únicamente como apoyo que ayude a encontrar el hilo de la prueba demostrable.
Presentar: Casi tan importante como el resultado obtenido en el análisis es la presentación de éste, en el informe pericial. El documento elaborado basado en la prueba debe ser uniforme, bien estructurado y, además, debe ser conciso y claro en su desarrollo. Para la uniformidad y la estructura ya existen recomendaciones y normativas reconocidas internacionalmente. En cuanto al desarrollo del informe, cierto es que, en muchos casos, no nos quedará más remedio que utilizar una redacción técnica, pero debemos tener siempre presente que el juzgador –o quien deba evaluar la pericial-, puede no tener (ni tiene porqué) los conocimientos tecnológicos informáticos necesarios que se precisan para entender el informe emitido. Por tanto, en el caso de tener que desarrollar el trabajo usando términos o procedimientos técnicos, será muy recomendable explicar, después y en un lenguaje más sencillo, el significado de estos términos o procedimientos específicos de la informática forense que son, casi siempre, de alto nivel tecnológico.
En nuestra opinión, una pericial estructurada, técnicamente documentada y bien explicada, pero sin abundar en las frases vacías de contenido es la clave para no perder el interés del juzgador, con respecto a nuestro trabajo.
No olvidemos que, en muchos casos, a los juzgadores les toca leerse auténticos “best sellers” de información, entre la que recibe de las partes, más la de la policía científica –en caso de que ésta haya sido requerida- y, a mayores, la nuestra.
Por tanto, intentemos ser siempre concisos y claros en la exposición, argumentando y resumiendo nuestras conclusiones en un apartado específico. Un informe de cien folios no tiene porqué ser mejor que uno de cincuenta, siempre y cuando este último esté bien definido, estructurado y argumentado.
Como bien dice mi buen amigo D. Rafael López Rivera (peritoit.com), “…No obtiene justicia quien posee la verdad, sino aquel que mejor la evidencia y demuestra…”
José Aurelio García
Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense
Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE
Informático Forense – El Blog de Auditores y Peritos Informáticos
No hay comentarios