Conócenos

La captura forense de datos y principio de custodia de la prueba digital

Por Pedro de la Torre Rodríguez

Perito informático colegiado.

  • Imprimir

Pedro de la Torre Rodríguez Pedro de la Torre Rodríguez

El Caso de Estudio:

Los tres ayuntamientos de los pequeños municipios que forman la Mancomunidad X se han visto implicados en un presunto caso de corrupción por desvío indebido de fondos FEDER a favor de la Mancomunidad de Servicios (gestión de basuras). El actual Presidente de la Mancomunidad, el recientemente elegido nuevo Alcalde del principal de esos tres municipios implicados, da orden de desconectar los dos ordenadores que se utilizan habitualmente para gestionar todos los asuntos de la Mancomunidad, y de llevarlos metidos en unas cajas al almacén del Ayuntamiento para preservarlos de cualquier manipulación.

Al día siguiente aconsejado por un vecino que sabe de informática, vuelve a traer los ordenadores y a enchufarlos, si bien ordena conectar a los mismos una memoria externa SSD para así sacar una copia del disco duro de ambos ordenadores. Tras ello deja los ordenadores enchufados en su sitio original para que los funcionarios puedan seguir trabajando mientras la memoria externa con todos los datos de sendas copias almacenados en ella, la hace llevar al cuartel de la Guardia Civil del pueblo de al lado para su custodia.

¿Actuó el Alcalde conforme a Derecho?

¿Se garantizó en su actuación el principio de custodia de la prueba?

¿Dónde falló y qué debería haber hecho?

Consideraciones

Antes de nada hay que tener muy en cuenta dos aspectos fundamentales de la captura forense de evidencias digitales: la cadena de custodia y las firmas hash:

La cadena de custodia

La cadena de custodia de la prueba se define como el procedimiento controlado que se aplica a las evidencias digitales relacionadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático colegiado encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad.

Las firmas hash

La firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, determinando que los elementos digitales no se han modificado durante el proceso forense.

Errores cometidos

A continuación citaré los errores cometidos por el nuevo alcalde y en qué consisten:

1. – Precinto de los equipos

Para mantener la cadena de custodia no vale simplemente con apagar los equipos e introducirlos en un cuarto. Los equipos informáticos deben ser precintados, a ser posible ante al menos dos testigos. Dicho precinto debe impedir la apertura de la carcasa así como que pueda conectarse ningún tipo de cableado.

2. – Custodia de los equipos

Una vez precintados los equipos debieron de ser retirados y debidamente custodiados en algún lugar dónde pueda certificarse que no se ha accedido a los mismos. Lo más habitual es depositar los equipos precintados en sede notarial.

3. – Desprecintado y conexión de los ordenadores

Jamás deben desprecintarse y conectarse de nuevo los ordenadores, dado que con ello se rompe totalmente la cadena de custodia. Lo adecuado es que proceda al desprecintado un perito informático colegiado, anotando fecha y hora de la operación ante, al menos, dos testigos, de forma que la responsabilidad de la cadena de custodia pase al perito.

4. – No se realiza copia forense de los ordenadores

Para mantener la cadena de custodia, las copias del contenido de los ordenadores deben ser copias exactas. Para ello debió acudir un perito informático colegiado y realizar un clonado forense de los discos. Dicho clonado consiste en copiar bit a bit todo el contenido de los discos duros: datos, tablas de particiones y contenido sin utilizar. Al final del clonado forense se obtiene una firma hash que certifica el contenido transferido.

La firma hash se obtiene para que, en caso de que un perito informático de la parte contraria tenga que realizar una copia forense del contenido original, pueda certificarse que dicho contenido no ha sido modificado posteriormente, dado que deberá obtener la misma firma hash tras el proceso de clonado.

5. – No se preservan los soportes originales

En este caso, otro error garrafal fue no preservar los soportes originales. Dichos soportes son la base de la cadena de custodia y, si se perdieran o alteraran, anularía todas las evidencias digitales contenidas en los mismos ya que no podrían analizarse a posteriori por la parte contraria o por orden del propio juzgado.

Recomendación

Antes de realizar ninguna operación con un equipo informático, contacte siempre con un perito informático colegiado que le guíe a través de todo el proceso, ya que muy fácilmente puede invalidar las pruebas de cara a un proceso judicial.

Cuanto antes intervenga el perito, mayor será la solidez de la cadena de custodia de los elementos informáticos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Procedimientos de seguridad. Control de acceso

    Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales.

  • Procedimientos de seguridad

    Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales.

  • Medidas de seguridad para ficheros no automatizados

    Antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1
feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17