ISO/EIC 27032:2012 – Contenido Parte II

Publicado el 09/10/2024 por Rafael_L_R

(Continuación de la descripción de los contenidos de la norma ISO/EIC 27023:2012)

>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte I

>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte III

Cap. 12 – Equipos, medios y dispositivos periféricos.

Cap. 12.1 Identificación

En el contexto de esta norma, los ordenadores se consideran independientes de los dispositivos periféricos electrónicos que reciben, procesan, almacenan datos y que producen resultados.

Estos ordenadores no están conectados a una red, pero pueden conectarse dispositivos periféricos tales como impresoras, escáneres, cámaras web, reproductores de MP3, sistemas GPS, dispositivos de radiofrecuencia RFID.

Los soportes de almacenamiento se utilizan para almacenar datos de los dispositivos electrónicos y varían en la capacidad de memoria.

Por lo general, los escenarios de la actuación suelen contener (estar presentes) diversos tipos de medios de almacenamiento.

Los medios externos de almacenamiento son discos duros portátiles, memorias flash, CD, DVD, Blue-Ray de discos, disquetes, cintas magnéticas y la tarjetas de memoria.

Cap. 12.1.1 Búsqueda en la ubicación física y en la documentación

a) El primer paso del proceso de identificación es mover a la gente (personas presentes) lejos de los ordenadores y los dispositivos periféricos para asegurar la escena de la actuación. Como premisa, el DEFR debe garantizar que ninguna persona no autorizada tenga acceso a cualquiera de los dispositivos presentes en el escenario.

b) Antes de llevar a cabo cualquier adquisición o la recopilación, el lugar de la actuación se debe registrar de modo gráfico y visual, ya sea por fotografías, esquemas o filmación y debe reflejar la escena tal como se encontraba al inicio.

La elección del método de grabación (fotografía, grabación, etc.) debe estar de acorde con las circunstancias de costes y de tiempo. El DEFR debe documentar todos los elementos de la escena que pudieran contener evidencias potenciales, tales como notas garabateadas, las notas adhesivas, libros de anotaciones, etc.

c) El DEFR debe registrar el tipo y marca de los sistemas utilizados e identificar todos los ordenadores y los dispositivos periféricos que puedan necesitar ser adquiridos o recogidos durante esta etapa inicial.

d) El estado de los equipos y dispositivos periféricos debe permanecer invariable. Si los equipos o periféricos dispositivos están apagados, no encenderlos; si están encendidos, no se deben apagar porque de lo contrario se pueden estropear o perder los datos digitales.

e) Si los equipos están encendidos, se ha de fotografiar la pantalla o hacer un escrito (descriptivo) con lo que está en la pantalla. Es importante tener en cuenta que en el caso de una investigación criminal o potencial, se recomienda seguir estrictamente la aplicación de la leyes oficiales (legislaciones, normativas y procedimientos) que pudieran afectar a la captura y recopilación de todas las (clases de) evidencias digitales posibles.

 f) Tomar nota de todo aquello que en estos ordenadores y dispositivos periféricos también pudiera ser una fuente de evidencia física, como por ejemplo las huellas dactilares, el ADN y las partículas. El DEFR debe tener especial cuidado de no estropear, borrar o contaminar estas posibles evidencias no digitales y coordinarse con los recolectores de pruebas que sean pertinentes para garantizar dichas pruebas antes de proceder con los siguientes pasos.

g) En los dispositivos que tienen baterías y que pueden funcionar sin conexión, se ha de asegurar que la información no se pierde. Los DEFR’s necesitan identificar los posibles medios de carga (cargadores, cunas) y el cable durante esta fase y recopilarlo junto con el dispositivo que posee la evidencia digital.

Cap. 12.2 Recogida y/o adquisición

El DEFR debe decidir entre recoger (confiscar) los ordenadores y los dispositivos periféricos o adquirir las evidencias digitales directamente de los mismos. La elección tiene que estar en equilibrio con las circunstancias de coste, tiempo y recursos disponibles.

Pueden darse tres escenarios en la recogida y/o adquisición:

(a) cuando los equipos están encendidos.

(b) cuando los equipos están apagados. 

(c) cuando estos ordenadores están encendidos pero no pueden ser apagados (como por ejemplo, los sistemas informáticos críticos).

En los tres escenarios, el DEFR necesita realizar una copia de la imagen precisa de los medios de almacenamiento de los ordenadores que este sospecha que contienen la evidencia digital.

Para cada una de estas situaciones la norma establece unas secuencias de pasos a seguir para preservar la evidencia contenida en los dispositivos.

Cap. 12.2.4 Medios de Almacenamiento

 a) Existen varios tipos de medios de almacenamiento que pueden ser encontrados en una escena durante una actuación.

Por lo general, los medios de almacenamiento son el tipo menos volátil de datos y pueden ser los de menor prioridad durante la recogida y/o adquisición.

Esto no quiere decir que no sean importantes porque en la mayoría de los casos, los medios de almacenamiento externos contienen algunas de las evidencias que los investigadores están buscando.

b) Controlar y registrar la marca, modelo y número de serie (si existe) de cada uno de los medios de almacenamiento que se encuentren.

c) El DEFR debe decidir si recoger los medios de almacenamiento para su análisis posterior o llevar a cabo las actuaciones en el lugar de la adquisición, esto dependerá de la naturaleza del caso, del dispositivo y de los recursos disponibles.

d) Si el DEFR decide recoger los medios de almacenamiento estos deben ser envueltos o colocados en un embalaje adecuado para la naturaleza de los medios incautados, tales como un envoltorio de plástico para evitar la contaminación de los medios de almacenamiento durante su manipulación antes de transportarlo a otro lugar.

El embalaje debe ser resistente al choque para evitar daños físicos a los componentes de los medios de almacenamiento.

e) Etiquetar todos los medios de almacenamiento y todas las partes asociadas a ellos. Las etiquetas de las pruebas no deben ser colocados directamente en las partes mecánicas de los dispositivos electrónicos, ni debe cubrir o esconder información importante tales como el número de modelo, el número de serie o cualquier número identificativo.

Todo dispositivo se debe sellar con precintos, ser etiquetado y firmarse en la etiqueta.

 f) El DEFR debe etiquetar las pruebas con tinta en lugar de lápiz. El polvo del grafito del lápiz puede interferir con la lectura del disco o cinta.

h) Los medios de almacenamiento recogidos se preservarán en un ambiente de clima seguro y controlado, o en una ubicación que no esté sujeta a temperaturas extremas o a humedad.

Cap. 12.3 Preservación

Todos los dispositivos recogidos y/o datos digitales adquiridos deben ser protegidos su pérdida potencial por daño o deterioro. La actividad más importante en el proceso de conservación es la de mantener la integridad de los datos digitales y su Cadena de Custodia.

Se aplican las siguientes pautas para preservar la recogida y/o datos digitales adquiridos:

a) Sellar (garantizar) los datos adquiridos digitales mediante el uso de algoritmos Hash, firmas digitales o características biométricas. Es necesaria esta acción para confirmar que el contenido de la imagen copiada no ha sido alterado o manipulado desde que se creó la imagen. Crear el hash de los datos originales mediante el uso de cualquier función especificada en la norma ISO/IEC 10118 y registrar el valor hash para demostrar que los datos obtenidos son la copia exacta de los datos originales.

b) El dispositivo recogido debe ser envuelto o ser colocado en envases adecuados para la naturaleza del dispositivo, tal como un envoltorio plástico, para evitar la contaminación del dispositivo digital antes de transporte a otro lugar.

  • Los discos duros deben ser garantizados (preservados) mediante bolsas antiestáticas.
  • Las unidades principales del sistema y/o los portátiles deben ser garantizados en un contenedor apropiado para evitar daños o el deterioro de la evidencia digital.

c) Marcar todas las pruebas posibles, todos los dispositivos digitales recogidos y todos los elementos de hardware asociados a los dispositivos. La etiquetas no deben ser colocadas directamente en las partes mecánicas de la electrónica de los dispositivos, ni debe cubrir o esconder información importante como el número de serie, número del modelo, etc.

Todo dispositivo debe ser precintado con medios a prueba de manipulaciones y el DEFR debe firmar en la etiqueta.

d) El DEFR debe etiquetar los objetos recogidos con tinta (indeleble) en lugar de lápiz.

e) Asegurar que toda la evidencia digital se envasa (empaqueta) en una manera que le impide ser doblada, rayada o deformada (dañada) de alguna otra forma.

f) El dispositivo digital debe ser almacenado en un ambiente (de clima) seguro y controlado o en una ubicación que no esté sometida a temperaturas o humedad extremas. No debe ser expuesto a campos magnéticos, polvo, vibraciones, humedad o cualquier otro elemento del medio ambiente que pueda dañarlo.

About Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Buenas Prácticas, Divulgación, Estándares y normas, Opinión, Peritaje Informático o Tecnológico, Todos y etiquetada , , , , . Guarda el enlace permanente.