Caso práctico de captura de evidencias digitales


Hoy les aporto un caso práctico de captura de evidencias digitales en el ámbito del peritaje informático relativo a la captura de evidencias digitales y preservación de la cadena de custodia. Dicho caso fue publicado en “ElDerecho.com”

Peritaje informático Caso práctico de captura de evidencias digitales

Caso práctico de captura de evidencias digitales

Los tres ayuntamientos de los pequeños municipios que forman la Mancomunidad X se han visto implicados en un presunto caso de corrupción por desvío indebido de fondos FEDER a favor de la Mancomunidad de Servicios (gestión de basuras). El actual Presidente de la Mancomunidad, el recientemente elegido nuevo Alcalde del principal de esos tres municipios implicados, da orden de desconectar los dos ordenadores que se utilizan habitualmente para gestionar todos los asuntos de la Mancomunidad, y de llevarlos metidos en unas cajas al almacén del Ayuntamiento para preservarlos de cualquier manipulación.

Al día siguiente aconsejado por un vecino que sabe de informática, vuelve a traer los ordenadores y a enchufarlos, si bien ordena conectar a los mismos una memoria externa SSD para así sacar una copia del disco duro de ambos ordenadores. Tras ello deja los ordenadores enchufados en su sitio original para que los funcionarios puedan seguir trabajando mientras la memoria externa con todos los datos de sendas copias almacenados en ella, la hace llevar al cuartel de la Guardia Civil del pueblo de al lado para su custodia.

¿Actuó el Alcalde conforme a Derecho?

¿Se garantizó en su actuación el principio de custodia de la prueba?

¿Dónde falló y qué debería haber hecho?

Consideraciones

Para cualquier peritaje informático hay que tener muy en cuenta dos aspectos fundamentales de la captura forense de evidencias digitales: la cadena de custodia y las firmas hash:

La cadena de custodia

La cadena de custodia de la prueba se define como el procedimiento controlado que se aplica a las evidencias digitales relacionadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático colegiado encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad.

Las firmas hash

La firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, determinando que los elementos digitales no se han modificado durante el proceso forense.

Errores cometidos

A continuación citaré los errores cometidos por el nuevo alcalde en este caso práctico de captura de evidencias digitales, y en qué consisten:

Precinto de los equipos

Para mantener la cadena de custodia no vale simplemente con apagar los equipos e introducirlos en un cuarto. Los equipos informáticos deben ser precintados, a ser posible ante al menos dos testigos. Dicho precinto debe impedir la apertura de la carcasa así como que pueda conectarse ningún tipo de cableado.

Custodia de los equipos

Una vez precintados los equipos debieron de ser retirados y debidamente custodiados en algún lugar dónde pueda certificarse que no se ha accedido a los mismos. Lo más habitual es depositar los equipos precintados en sede notarial.

Desprecintado y conexión de los ordenadores

Jamás deben desprecintarse y conectarse de nuevo los ordenadores, dado que con ello se rompe totalmente la cadena de custodia. Lo adecuado es que proceda al desprecintado un perito informático colegiado, anotando fecha y hora de la operación ante, al menos, dos testigos, de forma que la responsabilidad de la cadena de custodia pase al perito.

No se realiza copia forense de los ordenadores

Para mantener la cadena de custodia, las copias del contenido de los ordenadores deben ser copias exactas. Para ello debió acudir un perito informático colegiado y realizar un clonado forense de los discos. Dicho clonado consiste en copiar bit a bit todo el contenido de los discos duros: datos, tablas de particiones y contenido sin utilizar. Al final del clonado forense se obtiene una firma hash que certifica el contenido transferido.

La firma hash se obtiene para que, en caso de que un perito informático de la parte contraria tenga que realizar una copia forense del contenido original, pueda certificarse que dicho contenido no ha sido modificado posteriormente, dado que deberá obtener la misma firma hash tras el proceso de clonado.

No se preservan los soportes originales

En este caso, otro error garrafal fue no preservar los soportes originales. Dichos soportes son la base de la cadena de custodia y, si se perdieran o alteraran, anularía todas las evidencias digitales contenidas en los mismos ya que no podrían analizarse a posteriori por la parte contraria o por orden del propio juzgado.

Recomendación

Antes de realizar ninguna operación con un equipo informático, contacte siempre con un perito informático colegiado que le guíe a través de todo el proceso, ya que muy fácilmente puede invalidar las pruebas de cara a un proceso judicial.

Cuanto antes intervenga el perito, mayor será la solidez de la cadena de custodia de los elementos informáticos durante la labor de peritaje informático.

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

catorce − 1 =