En estos últimos días he estado trabajando con el documento de las recomendaciones propuestas por la RFC 3227 “Directrices para la recopilación de evidencias y su almacenamiento”.
Realmente cuando te enfrentas a la realización de una actuación, se es consciente de la importancia de la misma y se desea que todo sea hecho correctamente, entonces, guías como la RFC 3227 ayudan y soportan en la correcta actuación.

Las directrices RFC 3227 establecen unos principios básicos a considerar en la recopilación y archivo (o almacenamiento) de las evidencias.

Directrices Básicas

Se ha de considerar que éstas son unas recomendaciones que se han de adaptar a las circunstancias. Los principios básicos son:

•  Visualizar y analizar interiorizando el escenario (en su conjunto) en el cual se ha producido el hecho y se desea captar las evidencias.
•  Considerar y determinar los tiempos para la generación de la línea temporal.
•  A la hora de recopilar las evidencias, minimizar los cambios que alteren el escenario y eliminar los agentes externos que pueden hacerlo.
• Si hay dudas entre recoger y analizar las evidencias, dar prioridad a la recolección.
• Por cada tipo dispositivo o sistema operativo puede existir diferentes métodos de recogida de datos.
• El orden de recogida de datos debe quedar establecido en función de la volatilidad de los mismos.
• La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.

Invalidez de las Evidencias
Estas son las acciones a evitar para no producir invalidez de las evidencias recopiladas:

•  Aquellas que vulneren la intimidad o revelen información personal.
•  Aquellas que vulneren o no se ajusten a las normativas legales o de seguridad de la empresa.
•  Aquellas que no puedan demostrarse que no han sido manipuladas.

Nota: En mi libro “Peritaje Informático y Tecnológico” podréis encontrar esta directriz desarrollada y comentada en castellano.