Fases fundamentales en la actuación profesional de un perito informático. Parte II

Continuando el artículo de las Fases de actuación profesional de un Perito Informático Fases fundamentales en la actuación profesional de un perito informático, seguimos con la Fase II EXTRACCION DE EVIDENCIAS

En la recopilación de evidencias, el objetivo es extraerla para su análisis, evitando la contaminación y/o destrucción de la misma durante el proceso judicial, debiendo realizar la extracción con garantías, obteniendo una copia exacta e irrefutable para que sea admitida como prueba en un juicio siendo:

1. Auténtica: debe haber sido obtenida y registrada en el lugar de los hechos y debe garantizarse la integridad de los archivos.
2. Confiable: esta evidencia digital debe proceder de fuentes fiables, verificando que el sistema que la produjo no ha sido vulnerado y funcionaba correctamente cuando se generó o guardó esa prueba.
3. Integra: para que esa prueba sea suficiente debe estar completa.
4. Cumplir las reglas del poder judicial: es necesario que esa evidencia sea acorde con las leyes y disposiciones vigentes en el ordenamiento jurídico, siendo aconsejable realizar copias usando nuevos  sistemas  de  almacenamiento  y  permitir  que  otro  perito informático pueda acceder a la misma

Las evidencias digitales deben protegerse, controlarse, etiquetarse y controlarse. La responsabilidad corresponde al perito que las tenga en su poder, haciendo constar una metodología rigurosa y estandarizada en su análisis de la evidencia digital y cautelas:

1. Prevenir la contaminación: Antes de analizar la evidencia digital, debe realizarse una copia de trabajo del dispositivo de almacenamiento original. Al recopilar datos de un dispositivo sospechoso, la copia debe ser almacenada en otros medios para mantener el original, usando dispositivos    de    almacenamiento    limpios    para    evitar    la contaminación o la introducción de datos de otra fuente.
2. Aislar dispositivos inalámbricos: los teléfonos móviles y otros dispositivos inalámbricos deben ser examinados  inicialmente  en  una  cámara  de  aislamiento, evitando   la conexión a cualquier red manteniéndola aislada   y mantiene la evidencia tan aislada como sea posible. Si una agencia no tiene una cámara de aislamiento, utilizando jaulas de Faraday
3. Instalar software de bloqueo de escritura: para evitar cualquier camio en los datos en el dispositivo, instalando un bloqueo en la copia de trabajo para que esos datos se puedan ver, pero nada se pueda cambiar o agregar.
4. Seleccionar herramientas de   extracción:   creada   la   copia   de   trabajo, hay   que determinar las características del dispositivo, documentándolo gráficamente y seleccionado las herramientas adecuadas para analizar el contenido, incluso las ocultas o borradas de manera accidental ya que puede ser relevantes para la investigación las huellas digitales eliminadas
5. Habilidad para trabajar en equipo: El perito informático debe ser capaz de trabajar en equipo con otros profesionales, como abogados, jueces y otros peritos
6. Capacidad para analizar y resolver problemas: El perito informático debe ser capaz de analizar y resolver  problemas  de  manera  efectiva  y  eficiente, espeicalmente en situaciones de alta presión y complejidad.

El perito informático, debe ser capaz de comunicar de manera clara y concisa sus hallazgos y conclusiones, tanto por escrito como de forma oral, tanto a su equipo, como a la parte

En esta fase se debe de seguir con una metodología estableciendo un procedimiento que se ajuste a los estandartes y normas

El protocolo de actuación tiene como objetivo establecer un procedimiento estándar para la extracción e investigación de evidencias digitales en el marco de una pericial informática. Este procedimiento garantizará la integridad y autenticidad de las pruebas obtenidas, así como la salvaguarda de los derechos fundamentales de las partes implicadas. Aplicándose en cualquier caso en el que sea necesaria la extracción e investigación de evidencias digitales en el marco de una pericial informática, siendo de obligado cumplimiento para los Peritos de ANTPJI.

Protocolo de actuación de la ANTPJI, para la extracción e investigación de evidencias digitales garantizándose el cumplimiento de las normas de la cadena de custodia y las garantías procesales, así como la obtención de evidencias válidas y relevantes para la investigación.

1. Identificación del dispositivo: Lo primero que se debe hacer es identificar el dispositivo digital objeto de investigación, ya sea un ordenador, un teléfono móvil, una Tablet, una unidad de almacenamiento, entre otros.
2. Extracción de las  evidencias  digitales:  se  realizará  la  extracción  de  las  evidencias digitales de acuerdo a las técnicas y herramientas más adecuadas al caso, evitando en todo momento  la  alteración  o  destrucción  de  los datos originales.  En  caso  de  ser necesario, se realizará una copia bit a bit de los datos para su posterior análisis.
3. Aseguramiento del dispositivo: Es importante asegurar el dispositivo para evitar que se modifiquen o destruyan las evidencias digitales. Se debe realizar una copia exacta de todo el contenido  del  dispositivo  original,  siguiendo  las  normas  de  la  cadena  de custodia para garantizar su validez procesal.
4. Análisis de la copia: Una vez que se ha asegurado el dispositivo, se procede al análisis de la copia realizada. En este paso se busca la información relevante para la investigación, como archivos, correos electrónicos, mensajes de texto, chats, entre otros.
5. Documentación de las evidencias: Se deben documentar todas las evidencias encontradas, incluyendo su ubicación en la copia del dispositivo, la fecha y hora de su creación, modificación o eliminación, y cualquier otro dato relevante.
6. Análisis de las evidencias:  Se  procede a analizar  las evidencias para determinar  su relevancia y relación con el caso en cuestión. Se pueden utilizar herramientas forenses especializadas para identificar patrones o tendencias en los datos encontrados.
7. Elaboración del informe pericial: Con la información obtenida en el análisis de las evidencias, se elabora el informe pericial. Este debe ser claro, conciso y objetivo, y debe incluir todas las conclusiones y recomendaciones pertinentes para el caso.
8. Presentación del informe pericial: El informe pericial se presenta ante el tribunal o la autoridad que lo    El  perito  informático  puede  ser  llamado  a  testificar  en relación con su informe, y debe estar preparado para responder cualquier pregunta relacionada con el análisis y las conclusiones presentadas.