Análisis Forense. Cadena de Custodia de la evidencia digital

img1El concepto Cadena de Custodia (también referenciado en la literatura como CdC) no es algo que solamente se utilice en el entorno del Análisis Forense informático, sino que es un concepto ligado al ámbito legal y judicial, y es algo que incumbe a la recopilación de evidencias de cualquier tipo.

Para entender su importancia pongamos como ejemplo un caso que, desgraciadamente, está a la orden del día: un caso de corrupción.

Cuando la policía y los investigadores entran en la casa del sospechoso, resulta que encuentran un montón de documentación en papel referente a contratos inflados económicamente para estafar a la Administración Pública, por tanto, el sospechoso tiene muchas papeletas de ser culpable. Ahora imaginemos que el encargado de custodiar esas evidencias es amigo íntimo del sospechoso y que no se lleva ningún control de trazabilidad sobre las mismas. Cuando esas pruebas llegan al juez, todos esos contratos que antes eran la prueba de un delito ahora son completamente normales y responden a la más absoluta legalidad, por lo que el juez no tiene más remedio que desestimar la acusación. Para evitar que estas situaciones se produzcan en la realidad existe el concepto de Cadena de Custodia.

La CdC establece un mecanismo o procedimiento, que asegura a quienes deben juzgar que los elementos probatorios (indicios, evidencias o pruebas) no han sufrido alteración o contaminación alguna desde su recolección, examen y custodia, hasta el momento en el cual se presentan como prueba ante el Tribunal. Este procedimiento debe controlar dónde y cómo se ha obtenido la prueba, qué se ha hecho con ella (y cuándo), quién ha tenido acceso a la misma, dónde se encuentra ésta en todo momento y quién la tiene y, en caso de su destrucción (por la causa que sea), cómo se ha destruido, cuándo, quién, dónde y porqué se ha destruido. Este procedimiento de control debe ser absolutamente riguroso, de manera que no pueda dudarse ni por un instante de la validez de la prueba.

Sin embargo, la evidencia digital tiene ciertas peculiaridades con respecto a otro tipo de evidencias, y es que la información que se puede presentar como medio de prueba la podemos encontrar en diferentes estados:

  • Almacenada estáticamente. Información que se encuentra almacenada de manera persistente en un dispositivo a la espera de ser recuperada o utilizada.
  • Almacenada dinámicamente o en procesamiento. Información que se encuentra almacenada de manera temporal en un dispositivo volátil y que se perderá en el momento que el dispositivo deje de recibir corriente eléctrica.
  • En tránsito o desplazamiento. Información que se encuentra en movimiento por la red en forma de paquete de información que puede ser capturado y/o almacenado.

Especialmente de estos dos últimos estados hablaba cuando me refería a las peculiaridades de la evidencia digital. La mayoría de las veces que se habla de CdC se habla de la preservación de la prueba material incautada y relacionada con un delito, pero en informática, ese control de la prueba material carece de sentido cuando hablamos de memorias volátiles, por ejemplo. Pongámonos en el caso de una memoria RAM. La información que contiene puede ser valiosísima a la hora de resolver una investigación (procesos en ejecución, credenciales de usuario, etc.), sin embargo, esta información se perderá en el momento en que la memoria deje de percibir corriente eléctrica, y antes o después el equipo donde esté alojada esa memoria RAM deberá ser apagado. Entonces, ¿qué sentido tiene la cadena de custodia simplemente sobre la memoria RAM como dispositivo físico? Ya respondo yo, ninguno.

Con este pequeño ejemplo se pone de manifiesto que cuando hablamos de CdC no podemos referirnos solamente a las pruebas materiales relacionadas con el delito, sino que hay que hablar también de aquellos datos obtenidos de dispositivos volátiles, y que se generan “sobre el terreno”. Por ejemplo, para preservar la información contenida en un dispositivo volátil de manera que después pueda ser analizada por un experto, habrá que copiar dicha información a un dispositivo no volátil. Ese dispositivo es una prueba generada “in situ” y deberá ser tratada como tal aplicándole el procedimiento de CdC y garantizando su validez legal en un proceso judicial.

Como vemos, la información volátil supone una gran peculiaridad, pero también la información no volátil, por las características propias de las evidencias digitales, supone una disrupción respecto a la definición tradicional de CdC. Por ello, la CdC no debe limitarse únicamente a aquellos dispositivos incautados, sino que debe aplicarse además a todos aquellos dispositivos que, por la razón que fuere, hayan sido duplicados o clonados, con el fin de que estas copias tengan la misma validez legal que la evidencia original. De esta manera, el dispositivo original estará protegido de terceros, en un lugar seguro, y libre de posibles manipulaciones o destrucciones.

De todo lo anterior se desprende una ventaja a la hora de trabajar con evidencias digitales, y es que estas evidencias nos permiten trabajar con copias idénticas de la prueba original, alejando el temor de que una prueba pueda ser contaminada. Y en el caso de que así sea, y una de estas copias idénticas se vea contaminada (por motivos del análisis de la misma en la mayoría de los casos), podrá volver a clonarse el original permitiendo comenzar de cero si fuera necesario. Esto supone una gran ventaja en este aspecto respecto a otros campos (pensemos en el ámbito de la medicina forense).

En resumidas cuentas, de todo esto podemos obtener como conclusión que la definición tradicional de CdC que gira en torno a las pruebas materiales incautadas queda muy “coja” en el entorno de la informática y la evidencia digital. En este sentido, podemos decir que la CdC (en el ámbito de la informática) es el protocolo de actuación relativo a la seguridad y manipulación que ha de seguirse durante el período de vida de una prueba, desde que ésta se consigue o se genera, hasta que se destruye o deja de ser necesaria.

Por último, quisiera hacer mención a la norma ISO/IEC 27037:2012 “Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence”, que ofrece una guía de cómo llevar a cabo la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, y en su capítulo 7 trata la cuestión de la CdC en este ámbito. Esta norma viene a sustituir a las antiguas directrices RFC 3227, norma más dirigida a dispositivos actuales y más acorde con el estado de la técnica actual.

Referencias

  1. López Rivera, Rafael. Peritaje Informático y Tecnológico. Barcelona : s.n., 2012.
  2. http://www.informaticoforense.eu/la-cadena-de-custodia-aplicada-a-la-informatica-i/
  3. http://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-para-la-recopilacion-de-evidencias/

Imagen: http://www.crimendigital.com/