La informática forense, desde el punto de vista de disciplina, tiene como fin aplicar los estándares y procedimientos de la disciplina forense general aplicada a la investigación de crímenes, enfocándolos hacia el análisis de datos y evidencia digital.
La evidencia digital la podríamos definir como cualquier registro generado o almacenado en un sistema digital que pueda ser utilizado como prueba en un proceso legal.
La base principal de la informática forense es el estudio de todo tipo de evidencia digital involucrada en un incidente, con el fin de conseguir convertir esta evidencia en un instrumentó de valor legal en procesos judiciales.
La evidencia digital posee las siguientes características, por lo que su estudio se convierte en muchas ocasiones en un auténtico reto:
- Es volátil
- Es anónima
- Es duplicable
- Es alterable y modificable
- Es eliminable
Ciclo de vida de la evidencia digital
De acuerdo con lo previsto en el Handbook Guide for Management of IT Evidence, desarrollado en Australia, se establece un ciclo de administración de evidencia digital que consta de los siguientes pasos:
- Diseño de la evidencia.
- Producción de la evidencia.
- Recolección de la evidencia.
- Análisis de la evidencia.
- Reporte y presentación.
- Determinación de la relevancia de la evidencia.
Diseño de la evidencia
En esta fase estándar se establece el cumplimiento de los siguientes objetivos, con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de la información:
- Establecimiento de la relevancia de los registros electrónicos, identificación, y comprobación que están disponibles y utilizables.
- Comprobación que los registros electrónicos tienen un autor claramente identificado.
- Comprobación que los registros electrónicos cuentan con fecha y hora de creación o alteración.
- Comprobación que los registros electrónicos cuentan con elementos que permiten validar su autenticidad.
- Verificar la confiabilidad de la producción o generación de los registro electrónicos por parte del sistema de información.
Producción de evidencia
En esta fase, de acuerdo con el estándar, se requiere el cumplimiento de los siguientes objetivos:
- Que el sistema o la tecnología de información produzca los registros electrónicos.
- Identificación del autor y de los registros electrónicos almacenados.
- Identificación de la fecha y hora de creación.
- Verificación de que la aplicación se encuentra operando de manera correcta en el momento de la generación de los registros, bien sea en su creación o modificación.
- Verificación de la completitud de los registros generados.
Recolección de la evidencia
En esta fase se trata de localizar toda la evidencia digital, asegurando que ninguno de los registros electrónicos originales sean alterados. Para ello el estándar establece algunos elementos a considerar como:
- Establecimiento de buenas prácticas y estándares para la recolección de evidencia digital.
- Preparación de evidencias para ser utilizadas en la actualidad y en el tiempo de futuro.
- Mantenimiento y verificación de la cadena de custodia.
- Verificación del cumplimiento de las regulaciones y normativas alrededor de la recolección de la evidencia digital.
- Desarrollo de criterios para establecer la relevancia o no de la evidencia recolectada.
Análisis de la evidencia
Una vez finalizados los pasos previos estando en disposición de la búsqueda de los datos requeridos y su debida cadena de custodia, es el momento de comenzar con el análisis de los registros electrónicos, para establecer los hechos ocurridos en el contexto de la situación bajo el análisis o establecer si hacen falta evidencias para completar o aclarar los hechos.
Reporte y presentación
Tras el análisis de la evidencia digital, el profesional a cargo de la investigación debe realizar un reporte preciso y completo presentando los resultados del análisis y los hallazgos encontrados. La documentación debe ser completa, precisa, compresiva y auditable. El estándar aconseja:
- Documentar los procedimientos afectados por el profesional a cargo.
- Mantener una bitácora de uso y aplicación de los procedimientos técnicos utilizados.
- Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia.
Determinar la relevancia de la evidencia
En esta fase el estándar establece una valoración de las evidencias, identificando aquellas evidencias que demuestren de forma clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo.
Finalmente se trata de realizar una valoración de las pruebas aportadas y se establezcan aquellas con mayor relevancia.
Para ello el estándar sugiere dos criterios a tener en cuenta:
- Valor probatorio, que establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación; confiabilidad del sistema.
- Reglas de la evidencia, que establece que se han seguido los procedimientos, reglas establecidas para la adecuada recolección y manejo de la evidencia.
Admisibilidad de la evidencia digital
Dada la fragilidad y la volatilidad de la evidencia digital es especialmente importante marcar énfasis, dentro del proceso del análisis de la evidencia digital, en el uso de una estrategia de formación que ofrezca admisibilidad de la misma.
En general las instituciones de justicia basan esta admisibilidad apoyándose en los cuatro conceptos que vemos a continuación:
- Autenticidad: Busca confirmar que las evidencias aportadas correspondientes a la realidad de la escena del crimen y que los medios originales no han sido alterados.
- Confiabilidad: Demuestra si los elementos probatorios aportados vienen de fuentes creíbles y verificables.
- Completitud o suficiencia: Este aspecto se refiere a que la evidencia presentada debe ser suficiente como para poder adelantar el caso.
- Conformidad con las leyes y reglas de la administración de justicia: Hace referencia a los procedimientos internacionalmente aceptados para recolección, aseguramiento, análisis y reporte de la evidencia digital.