Introducción
La norma ISO/IEC 27037 es amplia y extensa, por lo que no se va ha realizar la traducción ni la transcripción de su contenido integro y literal, en este sentido, se va a tratar aquellos apartados más relevantes sobre las actuaciones en función de la tipología de los dispositivos (y no todos ellos) y se van a reflejar en el presente capítulo. Para obtener una información más detallada sería conveniente remitirse al original de la norma en ISO/IEC 27037 en inglés.
>> Ver descripción de la norma ISO/EIC 27032:2012
>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte II
La norma posee la siguiente estructura de contenido:
• Capítulo 1 – Describe el alcance, la audiencia y el objetivo de la norma.
• Capítulo 2 – Contiene la lista de referencias normativas.
• Capítulo 3 – Contiene la terminología y las definiciones.
• Capítulo 4 – Contiene los acrónimos y los términos abreviados.
• Capítulo 5 – Describe la gestión de las evidencias digitales.
• Capítulo 6 – Describe los principios básicos para la identificación, recolección y/o la adquisición y conservación de la evidencia digital.
• Capítulo 7 – Describe la Cadena de Custodia.
• Capítulo 8 – Describe la evidencia digital de “Primera Respuesta”.
• Capítulo 9 – Describe la reunión informativa que se realiza antes de que el proceso de identificación se inicie.
• Capítulo 10 – Describe las acciones iniciales de una evidencia digital de “Primera Respuesta”.
• Capítulo 11 – Describe el orden de prioridad de recogida y/o adquisición, por orden de la volatilidad.
• Capítulo 12 – Describe el proceso de los medios y equipos de almacenamiento y los dispositivos periféricos.
• Capítulo 13 – Describe el proceso de los ordenadores en red y dispositivos de red.
• Capítulo 14 – Describe el proceso de los dispositivos de telefonía móvil.
• Capítulo 15 – Describe el proceso de un sistema de circuito cerrado de televisión digital.
• Capítulo 16 – Describe el proceso de empaquetado y transporte de las evidencias digitales.
En los siguientes apartados se identificará el capítulo y el apartado coincidente con la norma para facilitar el seguimiento y localización por parte del lector sobre el texto original de la norma ISO/IEC 27037.
Cap. 7 – La Cadena de Custodia
La Cadena de Custodia consiste en un registro de quién es el responsable de manejar el dispositivo digital recogido(s) y/o los datos digitales adquiridos.
El propósito de mantener una Cadena de Custodia es el de permitir la identificación de quien/quienes tuvieron acceso a los dispositivos digitales o datos en cualquier punto dado en el tiempo. La validez probatoria de las pruebas digitales se reducirá sustancialmente o puede desaparecer si la Cadena de Custodia no ha sido adecuadamente establecida o se ha desacreditado.
La Cadena de Custodia debe ser mantenida durante todo el proceso, y esta es necesaria que se establezca desde un inicio, es decir, desde el momento en que el dispositivo digital y/o los datos digitales se han obtenido y no debe ser rota a lo largo del tiempo. Debe contener información como el nombre del DEFR[1], fecha, hora, el identificador único de los elementos y las sucesivas custodias posteriores de la misma y las diferentes ubicaciones de traspaso o de entrega.
Cap. 10 – Acciones Iniciales
Cap. 10.3 Documentación
La documentación es fundamental para la gestión de los datos digitales que pueden contener una potencial evidencia digital.
Durante la catalogación en el lugar de la posible evidencia digital se deben observar los siguientes puntos:
a) Cada paso debe ser documentado. Esta acción es para asegurar que no hay detalles que hayan quedado fuera durante la identificación, recolección y/o procesos de adquisición.
b) Si los dispositivos digitales están conectados y son sensibles a la hora y fecha. Compare el valor de tiempo reflejado en el dispositivo con el reloj atómico y documente las fechas/horas (la del dispositivo y la de la referencia) y la diferencia (si existiese).
c) Cualquier movimiento o traslado de los dispositivos digitales deben quedar documentado. Se ha de mantener la Cadena de la Custodia en todo momento.
d) Documentar todos los identificadores únicos tales como números de serie y marcas únicas de los dispositivos digitales y las partes asociadas.
Cap. 11 – Prioridad de recolección, Orden de Volatilidad
Antes de dar comienzo (en la escena) a la recolección y/o la adquisición de dispositivos digitales que pueden contener una potencial evidencia digital, es importante identificarlos correctamente.
Los dispositivos que pueden contener evidencia digital pueden ser los siguientes, aunque esta lista no es limitativa:
a) Los sistemas informáticos.
b) Los medios de almacenamiento externos.
c) Las tarjetas inteligentes, módems USB, escáneres biométricos.
d) Contestadores automáticos.
e) Las cámaras digitales.
f) Los dispositivos de mano (PDA’s, organizadores).
g) Red de Área Local (LAN) o tarjeta de Network Interface Card (NIC).
h) Routers, hubs, switches.
i) Los buscapersonas.
j) Impresoras.
k) Escáneres.
l) Teléfonos.
Los datos digitales se pueden dividir en dos categorías, datos volátiles y los datos residentes (permanentes).
Los datos volátiles pueden ser fácilmente destruidos o perdidos para siempre si no se conserva la diligencia debida para proteger los datos, ejemplo de ello sería la pérdida de la información por la eliminación de la fuente de alimentación (desconexión o paro) del dispositivo.
Los datos residentes se mantienen en los medios de almacenamiento incluso si la fuente de alimentación es retirada.
Algunos datos digitales pueden ser fácilmente manipulados y/o estar en mal estado y por lo tanto tiene una vida útil muy corta.
Es prioritario que por orden de la volatilidad se defina el orden de la actuación antes de la recolección y/o adquisición. Se ha de intentar recoger y/o adquirir la mayor parte de la información volátil, tomando en primer lugar los datos digitales, como la memoria caché, memoria RAM, espacio de intercambio, procesos en ejecución y etc.
El DEFR debe poseer un buen conocimiento de priorización de acuerdo a la volatilidad.
[1] Digital Evidencia First Responder – Persona quien captura la evidencia o actúa como primer contacto.
Perito Informático y Tecnológico - PeritoIT 