La Evidencia Digital o la prueba electr贸nica

La Evidencia Digital o la prueba electr贸nica

La Evidencia Digital o la prueba electr贸nica聽es cualquier valor probatorio de la informaci贸n almacenada o transmitida en formato digital de tal manera que una parte o toda puede ser utilizada en el juicio .聽

Antes de aceptar la evidencia digital un tribunal determinar谩 si la prueba es pertinente, aut茅ntica, si es un rumor y si es aceptable una copia o el original es requerido.

Cuando hablamos de Relevancia en t茅rminos legales, es la tendencia de un determinado art铆culo de la evidencia para probar o refutar uno de los elementos legales del caso, o para tener valor probatorio para hacer uno de los elementos del caso m谩s probable o no. 聽Probatorio es un t茅rmino usado en la ley para significar 鈥渜ue tiende a demostrar.鈥 Pruebas: 鈥渂usca la verdad鈥.聽

Por lo general en la legislaci贸n, la evidencia que carece de valor probatorio (no tiende a probar la proposici贸n para que se le ofrec铆a) es inadmisible y las reglas de evidencia permiten que sea excluida de un procedimiento o afectadas por el expediente u objetada por oposici贸n un abogado. Una prueba digital puede ser aceptada si el valor de la misma puede ser sopesado frente a su naturaleza perjudicial.

El siglo XXI est谩 lleno de innovaciones tecnol贸gicas, a primera vista nuestra sociedad puede parecer bastante avanzada. Sin embargo, las apariencias enga帽an. En realidad, s贸lo estamos a la vanguardia de lo que est谩 en el almac茅n para el futuro pr贸ximo. Con el paso de cada d铆a, nuestras vidas son cada vez m谩s digitalizadas, una sociedad totalmente sin papel est谩 en el horizonte. A medida que en el mundo digital se anuncia que ser谩 importante para un individuo proteger su identidad y la privacidad, de aquellos que acechan en la distancia.

Un juicio penal es un procedimiento contradictorio en el que tanto la fiscal铆a como la defensa prueban sus casos mediante la presentaci贸n de pruebas. La evidencia puede ser un testimonio de una persona que tiene conocimiento personal de hechos relacionados con el delito, o puede ser una evidencia f铆sica, que es un elemento tangible, como un arma homicida, un registro de servidor de seguridad o un disco duro que contiene datos.

El problema con los datos digitales es que es algo menos tangible que la mayor铆a de las pruebas f铆sicas. Pertenece a la categor铆a de pruebas fr谩giles, junto con cosas tales como huellas en la nieve, porque son f谩cilmente destruidos o modificados. De hecho, el acto mismo de la recogida o el examen se puede cambiar. El problema con esto es que para que la evidencia sea admisible, la parte que la introducci贸n debe demostrar que no ha sido alterado o modificado desde que fue recogida en la escena del crimen.

Tenga en cuenta:

Incluso el concepto de la escena del crimen puede ser complicado en los casos de delitos inform谩ticos, desde un ordenador el delincuente no necesita estar presente para cometer el delito por ejemplo. De hecho, en la mayor铆a de hackers sus ataques son perpetrados de forma remota, a menudo de lugares fuera del estado o pa铆s donde se produce el da帽o, con lo que surgen las preguntas con respecto a qu茅 贸rgano jurisdiccional penal es competente.

La evidencia est谩 sujeta a normas estrictas en cuanto a su admisibilidad. Con el fin de que el tribunal que permita que se presenten, se inscriban en el registro del tribunal y sean consideradas para la sentencia, las pruebas deben ser:

鈥 Relevante: debe pertenecer al caso real.

鈥 Material: la evidencia debe demostrar o refutar los hechos que afectan a la cuesti贸n ante el tribunal (que suele ser: 鈥渉izo el acusado cometer el delito que se le acus贸 a鈥).

鈥 Competente: la evidencia debe ser demostrada, ser realmente lo que pretende ser.聽

驴C贸mo se autentica la evidencia?

La evidencia f铆sica suele ser autenticado por el testimonio jurado de una o m谩s personas que puedan verificar que es lo que pretende ser. Por ejemplo, el administrador de red que ha protegido en el servidor de seguridad los registros inmediatamente despu茅s de un ataque y da testimonio que los datos de registro presentados en la corte coinciden con los datos que ve铆a en los registros en esa fecha y hora. El oficial de polic铆a que llego a la escena puede testificar que 茅l empaqueto el equipo que contiene los archivos de registro y los entreg贸 al laboratorio de pruebas. El T茅cnico de an谩lisis forense que tom贸 posesi贸n de la computadora puede testificar que 茅l lo recibi贸 de dicha persona y que utiliz贸 m茅todos de an谩lisis forense est谩ndar para hacer una copia a nivel de bits del disco que contiene los registros.

Este proceso de autenticaci贸n de la evidencia cada vez que cambia de manos se llama la preservaci贸n de la cadena de custodia. Si las pruebas son dadas por desaparecidas en cualquier momento durante el proceso, su autenticidad puede ser contaminada porque hay una posibilidad de que alguien pudo haber hecho cambios en 茅l.

Por esta raz贸n, es importante que todo el mundo que se ocupa de las pruebas que tenga registros escritos de cuando lo entreg贸 a otra persona, a quien le dio la vuelta, y por qu茅. Estos registros constituyen el registro de las pruebas. La evidencia debe ser guardada en una sala de pruebas de seguridad cuando se almacenan.

Cuando se trata de la evidencia digital, tener presente: 鈥. En primer lugar, no hacer da帽o鈥 Su primera tendencia al descubrir que la red se ha roto puede ser abrir los archivos de registro, apagar el sistema, etc.. Sin embargo , si existe la posibilidad de que el caso ser谩 procesado penalmente, usted debe solicitar a los policiales y/o investigadores hacer lo menos posible m谩s all谩 de desconectar el sistema de la red y la protecci贸n de la escena (garantizando que ninguna otra cosa cambia) hasta que llegue usted como Perito Inform谩tico.

En concreto solicite:

1. No apagar el sistema. Los datos que en la memoria vol谩til (RAM) se perder谩n.

2. No desconectar el sistema de la red. Si permanece conectado, un hacker podr铆a cubrir sus pistas mediante la supresi贸n de los archivos de registro y otros datos probatorios.

3. No utilizar el sistema para hacer cualquier cosa. No ejecutar ning煤n programa. Sin darse cuenta podr铆a sobrescribir los datos de pruebas. En algunos casos, el hacker podr铆a haber plantado un programa que va a borrar los datos cuando se activa por alg煤n evento (por ejemplo, abrir o cerrar un programa).

4. No abrir los archivos para examinarlos. Esto modifica la fecha y hora.

La mejor manera de preservar la evidencia digital en su estado original es conectar el ordenador a otro ordenador聽en el que se puede copiar la informaci贸n digital. Esto se puede hacer a trav茅s de una conexi贸n de red privada entre los dos equipos. Los datos pueden ser transferidos a trav茅s de una conexi贸n Ethernet entre los dos equipos (mediante la conexi贸n de los dos a un centro privado que no est谩 conectado a cualquier otra red) o a trav茅s de una conexi贸n serie o USB.

El contenido de la original (de origen) de la memoria del ordenador debe ser transferido al segundo (objetivo) primer equipo. Transferir el contenido de la memoria en forma gradual para no sobrescribir lo que ya est谩 en la memoria. El contenido de los discos duros de las computadoras de la fuente debe ser copiado en el equipo de destino como una imagen a nivel de bits. Esto significa que la imagen es una copia exacta de toda la informaci贸n sobre el disco de origen. Es mejor usar software dise帽ado espec铆ficamente para fines forenses. Programas utilizados por forenses expertos incluye EnCase http://www.guidancesoftware.com/ , mediante Guidance Software (que ofrece una interfaz gr谩fica) y las herramientas de l铆nea de comandos realizados por las Nuevas Tecnolog铆as, Inc. (NTI). Algunos investigadores tambi茅n utilizan programas como Ghost de Symantec http://es.kioskea.net/faq/180-crear-una-imagen-del-sistema-ghost.

Mauricio Currea Diaz聽

IT Manager Unicolombia & CEO Inform谩tica Forense Colombia

Fuente:聽聽https://www.informaticaforense.com.co/la-evidencia-digital/聽

si copias la informaci贸n, cita la fuente: www.unicolombia.edu.co