Manual de procesos para la adquisición de evidencias.

INTRODUCCIÓN

Para el estudio de este tema, se ha tomado como marco de referencia la norma ISO / IEC 27037:2012 ratificado por AENOR en diciembre de 2016. En donde se describirán de forma general las cuatro fases principales que integran un AFD (Análisis Forense Digital). Estas comprenden el ciclo de vida de la evidencia, comenzando con la fase exploratoria que nos permite la identificación de los tipos y orden de volatilidad de las evidencias, seguido de la fase confirmatoria en la cual se verifican los equipos afectados directamente y los equipos relacionados con el incidente, además de la recolección de evidencias y acotamiento de la escena del crimen, en la fase comprobatoria se genera un solo archivo conteniendo toda la información de la evidencia original, volátiles en caliente y de no volátiles en frio y en caliente y finalmente la etapa de preservación en donde se protege la información contra escritura almacenando esta de forma segura en inalterable para su integridad e identidad. Todos los eventos encontrados con el uso, manejo, y traslado durante el ciclo de vida de la evidencia deberán documentarse. Para garantizar la CdC (Cadena de custodia).

Para esta actividad se ha desarrollado un manual con los procedimientos y actividades necesarias para la adquisición de evidencias en la Fase Exploratoria (obtención de los datos), el cual será establecido como una guía que proporcione las directrices para la actividad de identificación y recolección de los datos en un incidente de seguridad informática, que a través del establecimiento de una política interna norme el actuar de los analistas forenses en cada uno de los pasos que integran esta fase los cuales se enlistan a continuación:

• Identificación de la evidencia.
• Escena del crimen.
• Adquisición de la evidencia digital (sistema encendido / sistema apagado).
• Valores de corroboración de evidencias.
• Preservación de la evidencia.
•  Cadena de custodia CdC.

OBJETIVO

Este documento es un manual guía de actuación para los analistas forenses durante la aplicación de la metodología de AFD para recuperar los registros y mensajes de datos existentes en un dispositivo informático durante los procesos de investigación exploratorios, confirmatorios, comprobatorios y resolutivos cuando en una escena del delito se encuentren equipos informáticos o electrónicos relacionados con el mismo o bien con una infracción de acción pública.

Objetivos particulares:

• Estandarizar los procedimientos de actuación en el ciclo de vida de la evidencia los cuales deberán ser gobernados por los principios fundamentales de relevancia, confiabilidad y suficiencia para facilitar la reconstrucción de eventos delictivos en términos científicos, técnicos y probatorios que sean legalmente aceptables en una diligencia.

• Establecer uniformidad con la swite de análisis forense aplicada para cada incidente de seguridad y que estas sean legalmente aceptadas como EnCase, Advanced Forensics Format o con formato RAW (*. *).

• Para la adquisición de evidencias, se deberá generar un solo archivo que integre los datos xontneidos en la evidencia digital original, para que su manipulación permita ser utilizada por varios analistas a la vez y esta pueda ser copiada, enviada o bien poder marcar archivos de interés dentro de la evidencia cuando se trate de discos duros, memorias USB o Pen drive.

• Aplicación del proceso de AFD en casos preventivos para evitar accesos no autorizados o afectaciones que alteren el curso normal de las operaciones, manteniendo con ello la continuidad del negocio.

• Aplicación del formato de CdC durante los hallazgos, manipulación, almacenamiento y envío de evidencias digitales para garantizar correctamente su estado seguro e inalterable.

Alcance

Comprende un ciclo de investigación aplicado para actividades específicas en el manejo de prueba digital, mediante principios, disciplinas y técnicas aplicadas en el ciclo de vida de la evidencia y que en su momento puedan ser válidas legalmente en un proceso judicial. Así como facilitar el intercambio de evidencia digital potencial entre las jurisdicciones. Este manual alineado al estándar internacional ISO / IEC 27037 brinda sugerencia para los siguientes dispositivos mencionados de forma indicativa y no exhaustiva utilizados en diversas circunstancias:

1. Sistemas de almacenamiento digital usados en equipos de cómputo estándar como discos duros, Sistemas ópticos y magnetoópticos.
2. Teléfonos móviles
3. Cámaras digitales y de video vigilancia
4. Computadoras estándar con conexión de red.
5. Redes basadas en TCP / IP y
6. Equipos parecidos a los anteriores en cuanto a su función.

Tipificación de los principales delitos informáticos.

• Incidentes contra el derecho a la intimidad.
• Incidentes a la Propiedad Intelectual (Protección de los derechos de autor).
• Fraudes informáticos.
• ciberterrorismo.
• Amenazas.
• Calumnias e injurias.
• Pornografía infantil.
• Incidentes de Denegación de Servicios (DoS)
• Incidentes de código malicioso
• Incidentes por uso inapropiado de recursos informáticos

Declaración de Política

El equipo de análisis forense asignados al proceso de investigación de un AFD, deberán actuar en apego a la norma los lineamientos aquí descritos y llevando a cabo las actividades de identificación, adquisición y preservación de evidencias digitales conforme a la metodología descrita en este manual en cualquier incidente de seguridad, asegurando en todo momento una correcta cadena de custodia en su actuación.

Roles y responsabilidades para recuperar la información

DEFR: Digital Evidence Forensic Responder Persona autorizada, entrenada y calificada para actuar en el lugar del delito con conocimientos y experiencia de recolección y adquisición de evidencia digital

DES: Digital Evidence Specialist DEFR más Capacidades de Análisis

Ambos deben documentar todas sus actividades, que deberán regirse por los siguientes principios:

·         Disminuir en lo posible, la manipulación de las pruebas digitales originales

·         Documentar en todo momento de la actividad, las acciones que conlleven un cambio irreversible

·         Apego estricto a las leyes y reglamentación local e internacional.

·         En sus funciones, ir más allá del marco de su actuación, no extralimitarse

DESARROLLO DEL ANALISI FORENSE DIGITAL

En la figura No 1 se muestran las fases que integran el AFD, que para este caso es la etapa exploratoria la cual se desarrollara con mayor detalle en este manual.

[pic 1]

Figura No 1. Fases que integran un Análisis Forense Digital

Procedimiento para la Fase exploratoria.

En esta fase los analistas forenses son responsables de la identificación del incidente de Seguridad Informática y de la búsqueda y obtención de los datos que servirán como evidencias, estas deberán ser tratadas con minuciosidad, asegurando en todo momento su integridad y preservación evitando con ello que estas puedan contaminarse, también deberán obtenerse tomando como criterio en cuestión de orden de volatilidad, ya sea que se encuentren en un formato físico o lógico relacionados con el caso, donde deberán recabar cualquier información probatoria verificable almacenada o transmitida en formato digital que pueda utilizarse posteriormente para el análisis informático forense como prueba de un delito. Así también, deberá duplicarse el conjunto de datos en formato binario que incluye archivos, contenido o referencia a (metadatos) localizados en el hardware o software del sistema violado, esta es información es única, debido a que está fabricada de campos magnéticos y pulsos eléctricos que son recogidos y examinados con herramientas y métodos especiales.

También deberán considerar durante este proceso que, para que sea válida legalmente un tribunal determinará si la prueba es legítima, antes de aceptar la evidencia digital, si esta es auténtica, si se trata de rumores y si la copia es aceptable o se requiere el cotejo con la original teniendo esta como principales características ser: (modificable, anónima, alterable, volátil, duplicable y eliminable). Generalmente, esta etapa se complementa con el uso de fotografías de los equipos y sus componente electrónicos, con la idea de plasmar su estado.

...