Conócenos

La captura forense de datos y principio de custodia de la prueba digital

Por Pedro de la Torre Rodríguez

Perito informático colegiado.

  • Imprimir

Pedro de la Torre Rodríguez Pedro de la Torre Rodríguez

El Caso de Estudio:

Los tres ayuntamientos de los pequeños municipios que forman la Mancomunidad X se han visto implicados en un presunto caso de corrupción por desvío indebido de fondos FEDER a favor de la Mancomunidad de Servicios (gestión de basuras). El actual Presidente de la Mancomunidad, el recientemente elegido nuevo Alcalde del principal de esos tres municipios implicados, da orden de desconectar los dos ordenadores que se utilizan habitualmente para gestionar todos los asuntos de la Mancomunidad, y de llevarlos metidos en unas cajas al almacén del Ayuntamiento para preservarlos de cualquier manipulación.

Al día siguiente aconsejado por un vecino que sabe de informática, vuelve a traer los ordenadores y a enchufarlos, si bien ordena conectar a los mismos una memoria externa SSD para así sacar una copia del disco duro de ambos ordenadores. Tras ello deja los ordenadores enchufados en su sitio original para que los funcionarios puedan seguir trabajando mientras la memoria externa con todos los datos de sendas copias almacenados en ella, la hace llevar al cuartel de la Guardia Civil del pueblo de al lado para su custodia.

¿Actuó el Alcalde conforme a Derecho?

¿Se garantizó en su actuación el principio de custodia de la prueba?

¿Dónde falló y qué debería haber hecho?

Consideraciones

Antes de nada hay que tener muy en cuenta dos aspectos fundamentales de la captura forense de evidencias digitales: la cadena de custodia y las firmas hash:

La cadena de custodia

La cadena de custodia de la prueba se define como el procedimiento controlado que se aplica a las evidencias digitales relacionadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático colegiado encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad.

Las firmas hash

La firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, determinando que los elementos digitales no se han modificado durante el proceso forense.

Errores cometidos

A continuación citaré los errores cometidos por el nuevo alcalde y en qué consisten:

1. – Precinto de los equipos

Para mantener la cadena de custodia no vale simplemente con apagar los equipos e introducirlos en un cuarto. Los equipos informáticos deben ser precintados, a ser posible ante al menos dos testigos. Dicho precinto debe impedir la apertura de la carcasa así como que pueda conectarse ningún tipo de cableado.

2. – Custodia de los equipos

Una vez precintados los equipos debieron de ser retirados y debidamente custodiados en algún lugar dónde pueda certificarse que no se ha accedido a los mismos. Lo más habitual es depositar los equipos precintados en sede notarial.

3. – Desprecintado y conexión de los ordenadores

Jamás deben desprecintarse y conectarse de nuevo los ordenadores, dado que con ello se rompe totalmente la cadena de custodia. Lo adecuado es que proceda al desprecintado un perito informático colegiado, anotando fecha y hora de la operación ante, al menos, dos testigos, de forma que la responsabilidad de la cadena de custodia pase al perito.

4. – No se realiza copia forense de los ordenadores

Para mantener la cadena de custodia, las copias del contenido de los ordenadores deben ser copias exactas. Para ello debió acudir un perito informático colegiado y realizar un clonado forense de los discos. Dicho clonado consiste en copiar bit a bit todo el contenido de los discos duros: datos, tablas de particiones y contenido sin utilizar. Al final del clonado forense se obtiene una firma hash que certifica el contenido transferido.

La firma hash se obtiene para que, en caso de que un perito informático de la parte contraria tenga que realizar una copia forense del contenido original, pueda certificarse que dicho contenido no ha sido modificado posteriormente, dado que deberá obtener la misma firma hash tras el proceso de clonado.

5. – No se preservan los soportes originales

En este caso, otro error garrafal fue no preservar los soportes originales. Dichos soportes son la base de la cadena de custodia y, si se perdieran o alteraran, anularía todas las evidencias digitales contenidas en los mismos ya que no podrían analizarse a posteriori por la parte contraria o por orden del propio juzgado.

Recomendación

Antes de realizar ninguna operación con un equipo informático, contacte siempre con un perito informático colegiado que le guíe a través de todo el proceso, ya que muy fácilmente puede invalidar las pruebas de cara a un proceso judicial.

Cuanto antes intervenga el perito, mayor será la solidez de la cadena de custodia de los elementos informáticos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

ENTREVISTAS

GESTIÓN DE DESPACHOS

REDES SOCIALES & ABOGADOS

  • Medición de resultados: Google Analytics y los factores a tener en cuenta

    Analizar resultados de nuestro bufete de abogados virtual es una tarea que hemos de realizar con una periodicidad fija para saber cuál es el siguiente paso. Internet nos ofrece diversas herramientas que nos facilitarán estas tareas, entre las que destaca Google Analytics, y que nos ayudaran a medir nuestro trabajo y nuestros resultados.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

The Economic and Social Impact of Software and Services on Competitiveness and Innovation (Comisión Europea)

El informe resume la importancia del sector europeo de software y de servicios basados en software.

¿Ha llegado el fin de la comisión inmobiliaria?

La tecnología está ayudando al usuario a librarse de esta carga y de la rigidez del horario de oficina de las inmobiliarias.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 9 a 20 horas ininterrumpidamente. Tel 902 44 33 55 Fax. 915 78 16 17