Un perito judicial debe enfrentar todos sus casos «armado» con, al menos, un buen procedimiento y una serie de principios operativos en los que apoyarse tanto a la hora de actuar como, casi más importante, a la hora de ratificar sus actuaciones.
Una «evidencia digital» es un contenedor de información digital que puede ser utilizadas como pruebas en un procedimiento judicial. En la práctica, las evidencias digitales más comunes son: discos duros, unidades de memoria (tarjetas SD, «pinchos USB», etc.), dispositivos con memoria interna (teléfonos móviles, navegadores GPS, cámaras digitales, etc.).
Procedimiento general de análisis forense de evidencias digitales
Este procedimiento debe ser respetado en todos sus extremos siempre que las circunstancias lo permitan.
- Obtener acceso a la evidencia. Si, por ejemplo, se trata de un disco duro debe extraerse y aislarse del sistema donde esté albergado. Si no es posible la extracción, se debe trabajar sobre el disco evitando, en la medida de lo posible, que el sistema donde esté alojado pueda alterar el contenido del mismo.
- Conectar la evidencia a un dispositivo de lectura bloqueando la posibilidad de escritura sobre la evidencia. Lo ideal es utilizar dispositivos físicos que eviten la escritura sobre la evidencia. En el caso de utilizar sistemas basados en software, se evitará la modificación de la evidencia mediante la configuración adecuada (read-only).
- Hacer una imagen (o varias) de la evidencia a analizar para no trabajar sobre el dispositivo original y preservar éste de modificaciones accidentales.
- Analizar la evidencia a partir de la imagen obtenida anteriormente.
- Extraer de la evidencia la información relevante para el caso. Es importante que la búsqueda de pruebas sea exhaustiva pero, a su vez, hay que evitar presentar pruebas que no sean relevantes.
- Documentar todo el proceso.
- Mantener en todo momento control absoluto sobre la ubicación y operaciones realizadas sobre la evidencia mediante una aplicación estricta de la cadena de custodia.
Principios básicos operativos en el manejo de evidencias digitales
Las evidencias a analizar contienen pruebas que serán utilizados, en la mayoría de los casos, durante un procedimiento judicial. Su manejo por parte del perito debe ser cuidadoso y escrupuloso. A continuación se enumeran unos principios básicos para el manejo de estas evidencias.
- Documentar todas las acciones realizadas.
- Mantener la cadena de custodia de la evidencia.
- Garantizar la integridad de la evidencia:
- Montar todos los volúmenes a analizar como solo lectura.
- Obtener, registrar y verificar la firma digital (HASH) de todas las evidencias digitales con las que se trabaje.
- Evitar daños sobre la evidencia (caídas, calor extremo, campos magnéticos, etc.).
- Trabajar durante la fase de análisis sobre una imagen de la evidencia de forma exclusiva.