Recopilación de pruebas digitales: una guía paso a paso con lo que se debe

Escribe el Ing. Pablo Rodríguez Romeo, Perito Informático Forense, especialista en Seguridad - Socio del Estudio CySI de Informática Forense

No viciar de nulidad la prueba digital es fundamental para que tenga validez en un proceso judicial. Una de las labores más transcendentes que tienen los expertos forenses justamente reside aquí. Y para que esto se realice con éxito es necesario llevar a cabo un “paso a paso” riguroso y exhaustivo, por personal especializado para que la prueba luego tenga validez en un proceso judicial.

Aunque también, este procedimiento es fundamental realizar en procesos extrajudiciales, de índole privada, cuando se requiere la intervención de un profesional informático forense para el rastreo de dispositivos o de la informacion que ellos contienen.

Ya nadie duda que con el uso cada vez mayor de la tecnología en la vida diaria, la evidencia digital se ha convertido en un componente esencial de muchas investigaciones. Desde teléfonos inteligentes y computadoras portátiles hasta aparatos domésticos, los dispositivos digitales y los datos almacenados en ellos pueden proporcionar información valiosa que puede ayudar a resolver delitos o reconstruir la actividad del dispositivo.

Sin embargo, recopilar la evidencia digital en la escena del crimen requiere un conjunto específico de habilidades y técnicas para garantizar que su recopilación, preservación y conservación mantengan la integridad para un correcto análisis posterior. Este proceso requiere de habilidades diversas, unas en el momento de recolección de los dispositivos (en la escena) y otras en el momento del peritaje específicamente, donde interviene el profesional informático forense. Para lo cual se deberá cumplir con una correcta identificación y preservación de la evidencia.

¿Cuáles son los pasos involucrados en la recopilación de evidencia digital?


Paso 1: Asegurar la escena. El primer paso para recolectar la evidencia digital es asegurar la escena del crimen. Esto significa que nadie puede entrar o salir del área hasta que se haya recopilado la evidencia digital. Además, se deben tomar medidas para asegurar que los dispositivos digitales no sufran ninguna adulteración, fundamental para garantizar la correcta preservación e iniciar la cadena de custodia (trazabilidad de la evidencia).

Paso 2: Identificar los dispositivos. Una vez que la escena está segura, el siguiente paso es identificar todos los dispositivos digitales que pueden contener evidencia relevante. Esto incluye teléfonos inteligentes, computadoras portátiles, tabletas, cámaras y otros dispositivos digitales que pueden contener datos relacionados con el delito o el hecho que se desee analizar.

Paso 3: Documentar los dispositivos. Una vez identificados todos los dispositivos digitales, el siguiente paso es documentarlos. Esto incluye tomar notas detalladas sobre la marca y modelo de cada uno, su condición física y cualquier otra información relevante que pueda ser útil en la investigación.

Paso 4: Recopilar los dispositivos. Una vez que se han documentado los dispositivos, el siguiente paso es recolectarlos. Esto implica preservarlos; franjarlos; si no son equipos y son archivos los que se secuestran, hay que calcular el hash de cada uno de ellos; luego retirar con cuidado cada dispositivo de la escena y colocarlo en un contenedor seguro para su transporte; asegurar el inicio de la cadena de custodia y el correcto resguardo o franjado de los elementos.

Paso 5: obtención de la evidencia. Una vez que se han recolectado los dispositivos, el siguiente paso es la obtención de la evidencia. Esto implica hacer una copia (forense) de los datos almacenados en los dispositivos y almacenarlos en un lugar seguro. Esto asegurará que los datos originales no se alteren o dañen de ninguna manera. Es importante recordar que la prueba digital es sumamente frágil, con lo cual es fácilmente adulterable y eliminable.

Paso 6: Analizar la evidencia. Una vez preservada la evidencia, el siguiente paso es analizarla. Esto implica revisar los datos almacenados en los dispositivos y buscar cualquier información relevante que pueda ayudar a resolver el crimen. En este camino, los profesionales informáticos forenses se valen de técnicas y softwares que permiten analizar gran cantidad de informacion en tiempo récord.

Es una realidad que la tecnología cambia continuamente. Esto requiere de profesionales forenses altamente capacitados y actualizados para poder dar respuesta a los requerimientos que se presentan a diario. Una tarea compleja, pero mandatoria que no se aprende de libros únicamente, sino que se investiga en el campo.

En conclusión, recopilar la evidencia digital de la escena requiere un conjunto específico de habilidades y técnicas para garantizar su validez. Por eso, es fundamental seguir un protocolo. Seguir los pasos que requiere una correcta recopilación, conservación y análisis permitirá brindar información valiosa que ayude a resolver delitos.

(*) Pablo Rodríguez Romeo: Perito Informático Forense, especialista en Seguridad. Socio del Estudio CySI de Informática Forense