Antes de una pieza de evidencia sea presentada ante un juzgado, primero debe cumplir una serie de requerimientos legales estrictos. Uno de ellos es una cadena de custodia bien documentada. Una computadora tomada como evidencia realiza muchas paradas en su camino hacia un juicio. Esta es capturada, registrada en un laboratorio, almacenada, retirada para su análisis, verificada de retorno para su almacenamiento, y así sucesivamente. Cada una de estas paradas deben ser anotada, rastreando cada vez el ítem de evidencia cambia de manos o ubicaciones. Sin esta contabilidad detallada, la evidencia podría ser considerada como no fiable e inadmisible. Este es el camino detallado conformando una cadena de custodia.

Marcar la Evidencia

El primer enlace en la cadena de custodia correspondiente a cualquier caso, es la persona quien recolectó la evidencia. En caso civiles puede ser algo diferente al equipo de TI, u otros podrían tener la distinción de ser el primer enlace. La evidencia es marcada cuando es recolectada. Típicamente los ítemes de evidencia son marcados con iniciales, fechas, y posiblemente números del caso. Los marcadores permanentes son lo mejor para segurar las marcas no puedan ser borradas o eliminadas del todo. Aparte de documentar la cadena de custodia, estas marcas ayudan a autenticar el ítem en caso este sea presentado en un juzgado. La persona quien recolectó el ítem puede ser consultado para identificarla desde el estrado de los testigos. Se necesita probar el ítem presentado es el mismo recolectado. Estas marcas hacen la identificación sea casi segura.

Los ítemes lo suficientemente pequeños, normalmente se sellan en un bolsa con una cinta a prueba de manipulaciones. El sello se firma y se fecha. Estas bolsas usualmente son hechas de papel, plástico, o material anti estático. Las bolsas de material anti estático son utilizados para componentes electrónicos, porque el material ayuda a proteger componentes electrónicos sensibles encontrados como discos duros, evitando sean dañados por electricidad estática.

Fuentes:

https://www.sans.org/reading-room/whitepapers/incident/computer-forensic...
https://www.nist.gov/document/sample-chain-custody-formdocx
https://www.shopevident.com/category/evidence-bags