Continuando el artículo de las Fases de actuación profesional de un Perito Informático Fases fundamentales en la actuación profesional de un perito informático, seguimos con la Fase II EXTRACCION DE EVIDENCIAS
En la recopilación de evidencias, el objetivo es extraerla para su análisis, evitando la contaminación y/o destrucción de la misma durante el proceso judicial, debiendo realizar la extracción con garantías, obteniendo una copia exacta e irrefutable para que sea admitida como prueba en un juicio siendo:
- Auténtica: debe haber sido obtenida y registrada en el lugar de los hechos y debe garantizarse la integridad de los archivos.
- Confiable: esta evidencia digital debe proceder de fuentes fiables, verificando que el sistema que la produjo no ha sido vulnerado y funcionaba correctamente cuando se generó o guardó esa prueba.
- Integra: para que esa prueba sea suficiente debe estar completa.
- Cumplir las reglas del poder judicial: es necesario que esa evidencia sea acorde con las leyes y disposiciones vigentes en el ordenamiento jurídico, siendo aconsejable realizar copias usando nuevos sistemas de almacenamiento y permitir que otro perito informático pueda acceder a la misma
Las evidencias digitales deben protegerse, controlarse, etiquetarse y controlarse. La responsabilidad corresponde al perito que las tenga en su poder, haciendo constar una metodología rigurosa y estandarizada en su análisis de la evidencia digital y cautelas:
- Prevenir la contaminación: Antes de analizar la evidencia digital, debe realizarse una copia de trabajo del dispositivo de almacenamiento original. Al recopilar datos de un dispositivo sospechoso, la copia debe ser almacenada en otros medios para mantener el original, usando dispositivos de almacenamiento limpios para evitar la contaminación o la introducción de datos de otra fuente.
- Aislar dispositivos inalámbricos: los teléfonos móviles y otros dispositivos inalámbricos deben ser examinados inicialmente en una cámara de aislamiento, evitando la conexión a cualquier red manteniéndola aislada y mantiene la evidencia tan aislada como sea posible. Si una agencia no tiene una cámara de aislamiento, utilizando jaulas de Faraday
- Instalar software de bloqueo de escritura: para evitar cualquier camio en los datos en el dispositivo, instalando un bloqueo en la copia de trabajo para que esos datos se puedan ver, pero nada se pueda cambiar o agregar.
- Seleccionar herramientas de extracción: creada la copia de trabajo, hay que determinar las características del dispositivo, documentándolo gráficamente y seleccionado las herramientas adecuadas para analizar el contenido, incluso las ocultas o borradas de manera accidental ya que puede ser relevantes para la investigación las huellas digitales eliminadas
- Habilidad para trabajar en equipo: El perito informático debe ser capaz de trabajar en equipo con otros profesionales, como abogados, jueces y otros peritos
- Capacidad para analizar y resolver problemas: El perito informático debe ser capaz de analizar y resolver problemas de manera efectiva y eficiente, espeicalmente en situaciones de alta presión y complejidad.
El perito informático, debe ser capaz de comunicar de manera clara y concisa sus hallazgos y conclusiones, tanto por escrito como de forma oral, tanto a su equipo, como a la parte
En esta fase se debe de seguir con una metodología estableciendo un procedimiento que se ajuste a los estandartes y normas
El protocolo de actuación tiene como objetivo establecer un procedimiento estándar para la extracción e investigación de evidencias digitales en el marco de una pericial informática. Este procedimiento garantizará la integridad y autenticidad de las pruebas obtenidas, así como la salvaguarda de los derechos fundamentales de las partes implicadas. Aplicándose en cualquier caso en el que sea necesaria la extracción e investigación de evidencias digitales en el marco de una pericial informática, siendo de obligado cumplimiento para los Peritos de ANTPJI.
Protocolo de actuación de la ANTPJI, para la extracción e investigación de evidencias digitales garantizándose el cumplimiento de las normas de la cadena de custodia y las garantías procesales, así como la obtención de evidencias válidas y relevantes para la investigación.
- Identificación del dispositivo: Lo primero que se debe hacer es identificar el dispositivo digital objeto de investigación, ya sea un ordenador, un teléfono móvil, una Tablet, una unidad de almacenamiento, entre otros.
- Extracción de las evidencias digitales: se realizará la extracción de las evidencias digitales de acuerdo a las técnicas y herramientas más adecuadas al caso, evitando en todo momento la alteración o destrucción de los datos originales. En caso de ser necesario, se realizará una copia bit a bit de los datos para su posterior análisis.
- Aseguramiento del dispositivo: Es importante asegurar el dispositivo para evitar que se modifiquen o destruyan las evidencias digitales. Se debe realizar una copia exacta de todo el contenido del dispositivo original, siguiendo las normas de la cadena de custodia para garantizar su validez procesal.
- Análisis de la copia: Una vez que se ha asegurado el dispositivo, se procede al análisis de la copia realizada. En este paso se busca la información relevante para la investigación, como archivos, correos electrónicos, mensajes de texto, chats, entre otros.
- Documentación de las evidencias: Se deben documentar todas las evidencias encontradas, incluyendo su ubicación en la copia del dispositivo, la fecha y hora de su creación, modificación o eliminación, y cualquier otro dato relevante.
- Análisis de las evidencias: Se procede a analizar las evidencias para determinar su relevancia y relación con el caso en cuestión. Se pueden utilizar herramientas forenses especializadas para identificar patrones o tendencias en los datos encontrados.
- Elaboración del informe pericial: Con la información obtenida en el análisis de las evidencias, se elabora el informe pericial. Este debe ser claro, conciso y objetivo, y debe incluir todas las conclusiones y recomendaciones pertinentes para el caso.
- Presentación del informe pericial: El informe pericial se presenta ante el tribunal o la autoridad que lo El perito informático puede ser llamado a testificar en relación con su informe, y debe estar preparado para responder cualquier pregunta relacionada con el análisis y las conclusiones presentadas.