Recolección de Evidencia Digital y Escenas del Crimen

Desde una perspectiva práctica, no todas las escenas involucrando evidencia digital se crean o tratan de manera similar. La evidencia digital es el punto principal en procedimientos civiles, criminales, civiles y administrativos. Existen diferencias en como la escena y la evidencia deben ser manejadas y documentadas para los procedimientos mencionados. Algunos casos como los homicidios, podrían requerir una esmerada documentación. Otros como una disputa civil, podrían necesitar una respuesta menos intensa. Si bien se reconocen estas sutiles diferencias, existen ciertos principios fundamentaless y protocolos los cuales permanecen consistentes.

Después de considerarse seguro, el trabajo en la escena de un crimen digital o cualquier otra escena, implica asegurar la evidencia. La escena y su evidencia deben ser protegidas de compromiso accidental o intencional. El asegurar una escena del crimen tradicional, implica limitar el acceso físico para aquellas personas quienes no tienen una razón legítima para estar allí. Vecinos curiosos, medios noticiosos, y personal policial, son típicos intrusos en una escena del crimen. Asegurar una escena tradicional se logra colocando una cinta de la escena del crimen, colocando guardias, o simplemente pidiendo a las personas alejarse de la misma.

En contraste, una escena con evidencia digital presenta una dimensión enteramente nueva de acceso. Muchas computadoras y dispositivos digitales están conectados hacia Internet, celulares, teléfonos inteligentes, u otro tipo de redes. Esta conexión permite acceso remoto y pone en riesgo a la evidencia digital. Las computadoras y dispositivos inalámbricos deben ser inaccesibles tan pronto como sea posible, para asegurarse ningún dato volátil se pierda. Para las computadoras podría ser una opción desconectar el suministro electrónico; pero esto eliminaría una gran cantidad de evidencia volátil; y para este escenario existen varias consideraciones. También es una opción desconectar el cable ethernet o desconectar el moden o router inalámbrico. Con los dispositivos inalámbricos como teléfonos inteligentes, se deben realizar procedimientos para aislarlo de las señales de red.

Medios Extraibles

Si es legalmente permisible (como con una orden), se requiere buscar en cualquier lugar el cual podría contener un medio de almacenamiento. Considerando las tarjetas de memoria actuales tienen el tamaño de una estampilla de correos, esta evidencia podría estar oculta en cualquier lugar como en libros, billeteras, etc.

Sin importar su pequeño tamaño, las tarjetas de memoria pueden contener una gran cantidad de potencial evidencia, como pornografía infantil o números de tarjeta de crédito robadas. Dado su bajo costo, en lugar de utilizar una unidad tradicional para el almacenamiento de datos, este se convierte en un mecanismo poco convencional para ser identificado. Sólo de debe imaginar la cantidad de evidencia la cual puede estar contenida en una tarjeta de memoria de 32GB, 64 GB o mas.

Lo medios de almacenamiento extraibles incluyen CDs, DVDs, Blue-Ray, unidad de discos externos, unidades en miniatura, y tarjetas de memoria.

No solamente es de interés los dispositivos y medios de almacenamiento en la escena; el área cercana y sus ítemes también merecen ser vistos. Por ejemplo, libros y manuales puede proporcionar al investigador pistas sobre el nivel de habilidad del objetivo, y cual tipo de tecnología podría enfrentar. Los envases descartados en la basura también podrían ser útiles. Cualquier profesional forense siempre expondrá lo definitivamente importante de evitar el cifrado.

Teléfonos Celulares

Actualmente casi todos tienen un teléfono celular o teléfono inteligente. Como tal, frecuentemente contiene evidencia muy valiosa. Cómo mínimo; mensajes de texto, registro de llamadas telefónicas, y contactos; todo lo cual es factible de recuperar. Estos ítemes pueden ser utilizados para demostrar intención, determinar la última persona en contacto con una victima, establecer coartadas, determinar ubicaciones aproximadas, y más. Para el caso de los teléfonos inteligentes se deben añadir las “apps”, las cuales almacenan una diversa y mayor cantidad de información.

Como con otros dispositivos electrónicos, la primera obligación es no hacer cambios en el dispositivos o medio de almacenamiento. Por lo tanto se debe evitar la interacción con el teléfono, a menos sea absolutamente necesario. Los teléfonos son particularmente vulnerables porque pueden ser “limpiados” por el proveedor del servicio, e incluso por el propietario. Esta funcionalidad tiene como propósito proteger los datos en caso se pierda el teléfono o este sea robado.

Esto puede ser logrado de las siguientes maneras:

  • Apagar el teléfono. La preocupación con esta perspectiva es la misma a una PC. El teléfono puede estar protegido por una contraseña. Una vez es apagado, el código puede ser necesitado para acceder al teléfono. Si es posible, puede ser mejor aislar el teléfono en una jaula de faraday, de tal manera pueda permanecer encendido. Luego puede ser transportado hacia un laboratorio forense, para ser examinado en un cuarto protegido.
  • Colocar el teléfono en contenedores especiales los cuales protejan el teléfono de señales inalámbricas. Una lata vacía de pintura y bolsas de faraday, son dos de las elecciones típicas. Ambos son efectivos para salvaguardar el teléfono de señales celulares.

El fallar al remover la conectividad de estos dispositivos no sólo pone en riesgo la destrucción de evidencia; esto también puede generar serias preocupaciones sobre su integridad. Un abogado competente podría argumentar exitosamente, la evidencia no es fiable y debería ser excluída.

Después de asegurar la evidencia, un sondeo de la escena proporcionará a los profesionales forenses un sentido preciso de aquello por venir. Algunas preguntas necesarias a ser respondidas son:

  • ¿Cuales tipos de evidencia están presentes?
  • ¿Con cuantos dispositivos se tratará?
  • ¿Alguno de los dispositivos está funcionando?
  • ¿Cuales herramientas serán necesarias?
  • ¿Se tiene la experiencia necesaria a mano?

Una vez estas preguntas sean respondidas, el trabajo real inicia.

Orden de Volatilidad

Es una buena idea priorizar la evidencia a ser recolectada. Generalmente se requiere iniciar primero con la evidencia más volátil. Esto es conocido como el orden de volatilidad. Esta lista descendente funciona desde la memoria más volátil (RAM), hasta la menos volátil (Datos archivados). El orden de volatilidad es:

1. CPU, cache, contenido del registro
2. Tabla de encaminamiento, cache ARP, tabla de procesos, estadísticas del kernel.
3. Memoria
4. Archivos temporales del sistema / espacio de intercambio
5. Datos sobre el disco duro
6. Datos registrados remotamente
7 Datos contenidos sobre medios de archivo.

Fuentes:

https://www.nist.gov/publications/protecting-digital-evidence-modification
http://www.rfc-base.org/rfc-3227.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1