Lo Basico Del Registro De Cadena De Custodia - Parte 2

Después de identificar  los requisitos para embalar y rotular una evidencia de tipo digital, se debe minimizar las fallas ya sean humanas, de procedimiento o tecnológicas, para que una vez lleguen a juicio no se caiga la prueba, por lo anterior , lo más importante en un procedimiento de incautación de evidencia digital es que el  investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias, medios estén esterilizados, etc), los resultados obtenidos del análisis forenses, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontación sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicación adecuada de los procedimientos es posible que un tercero escriba sus resultados utilizando la misma evidencia.

De allí la importancia del mantenimiento de un adecuado registro de cadena de custodia de evidencias digitales desde un inicio (Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras), son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de la evidencia en custodia. Una vez el experto forense tiene en su poder los elementos material de prueba o evidencia física debe continuar con el registro de todos los procedimientos que se le realiza en laboratorio; Puesto que para poder realizar el análisis de información de cada evidencia el experto debe realizar como mínimo dos imágenes forenses (copia bit a bit) de cada dispositivo de almacenamiento digital, garantizando la autenticación de la evidencia original mediante la generación de valores HASH o SHA1, los cuales se obtienen a partir de los datos contenidos en los EMP y/o EF incautada; esté método también ayuda a mantener la integridad de la evidencia, en caso que terceras personas requieran obtener nuevas imágenes de éstos elementos pueden verificar la autenticidad con algunos de los métodos de integridad HASH o SHA1. Estos métodos sirven como valor probatorio de la adquisición de la imagen forense en juicio, ya que le da un valor fundamental en la continuidad y en el buen manejo de los EMP y/o EF desde el momento de su incautación hasta el experticio técnico y los mismos  deben ser conservados hasta la finalización del proceso judicial.

Punto importante del adecuado registro de la cadena de custodia radica en preservar la evidencia, ya que muchas veces ha sucedido que la evidencia digital ha sido con antelación “analizada” por personal no idóneo, utilizando herramientas no adecuadas y lo más relevante sin documentar y una vez se realiza análisis técnico se detecta que la información original ha sido alterada y la evidencia pierde su valor en juicio.

Es por eso que con el Software EnCase Forensics, ya sea en campo o en laboratorio se preserva su autenticidad e integridad de la evidencia digital original, puesto que es un software que entre muchas de sus funcionalidades al realizar imágenes forenses utiliza diferentes algoritmos para verificar autenticidad (HASH, SHA1, CRC), los cuales por procedimientos de mantener la integridad de la evidencia, en los laboratorios forenses deben asegurarse que se genere dichos valores, así mismo, un paso importante es el dispositivo de almacenamiento debe ser conectado a través de un bloqueador de escritura Tableau, los cuales permiten como su nombre lo dice, bloquear los dispositivo protegiéndolos ante cualquier posibilidad de acceso a la información, permitiendo a los expertos trabajar sobre los archivos de imagen  .Ex0 generados por el software EnCase Forensics.

Si una persona que realice el proceso de  incautar y/o  analizar técnicamente elementos material probatorio y/o evidencias físicas de tipo digital sigue los anteriores pasos básicos de mantener una debida cadena de custodia,  seguramente no tendrá ningún tropiezo desde el inicio de la incautación, durante el estudio forense y  hasta llegar a juicio.

RELACIONADOS

 Lo Basico Del Registro De Cadena De Custodia - Parte 1

Prueba Imparcial Confirma Que EnCase Forensic Es Más Rápido Que FTK

 Adquisición Remota Con Hardware de Tableau









No hay comentarios :

Publicar un comentario