ISO/IEC 27037 Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital

Los dispositivos digitales están en todas partes en el mundo de hoy, lo que ayuda a las personas a comunicarse a nivel local y global con facilidad. La mayoría de la gente piensa de inmediato en los ordenadores, los teléfonos móviles e Internet como las únicas fuentes de evidencia digital, pero cualquier pieza de tecnología que procese información puede usarse de manera criminal.

Por ejemplo, los juegos portátiles pueden llevar mensajes codificados entre delincuentes e incluso los electrodomésticos más nuevos, como un refrigerador con un televisor incorporado, podrían usarse para almacenar, ver y compartir imágenes ilegales. Lo importante es saber que los respondedores deben ser capaces de reconocer y aprovechar adecuadamente la evidencia digital potencial.

La evidencia digital puede ser el mejor amigo o la peor pesadilla de un litigante, dependiendo del tipo de evidencia, cómo se usa y en en qué corte se presenta.

Por lo tanto, este artículo tiene como objetivo proporcionar un resumen de la informática forense a partir de definiciones generales sobre evidencia digital, sus posibles fuentes y principios básicos con respecto a la
evaluación de fases de «investigación de la escena del crimen» y confiscación de datos para determinar las «huellas digitales» del delito.

Para ello vamos a analizar la norma ISO/IEC 27037 que establece las directrices para la identificación, recopilación, adquisición y preservación de evidencia digital.

¿Qué es la evidencia digital?

La evidencia digital se define como información y datos de valor para una investigación que se almacena, recibe o transmite por un dispositivo electrónico. Esta evidencia se puede adquirir cuando los dispositivos electrónicos son incautados y asegurados para su examen.

La evidencia digital:

  • Está latente (oculto), como huellas digitales o evidencia de ADN
  • Cruza fronteras jurisdiccionales de forma rápida y fácil
  • Puede ser alterada, dañada o destruida con poco esfuerzo
  • Puede ser sensible al tiempo

Existen muchas fuentes de evidencia digital, pero para los fines de esta publicación, el tema se divide en tres categorías forenses principales de dispositivos donde se puede encontrar evidencia: computadoras o dispositivos independientes basados ​​en Internet y dispositivos móviles.

Estas áreas tienden a tener diferentes procesos de recopilación de evidencia, herramientas y preocupaciones, y diferentes tipos de delitos tienden a prestarse a un dispositivo u otro.

Principios

Se dice que la información que se almacena electrónicamente es «digital» porque se ha desglosado en dígitos; unidades binarias de unos y ceros, que se guardan y recuperan mediante un conjunto de instrucciones llamadas software o código.

Se puede crear y guardar cualquier tipo de información (fotografías, palabras, hojas de cálculo) utilizando este tipo de instrucciones. Encontrar y explotar evidencia guardada de esta manera es un área creciente de análisis forense y cambia constantemente a medida que la tecnología evoluciona.

Internet

El lanzamiento de Internet o la World Wide Web a mediados de la década de 1990 realmente marcó el comienzo de la «era del acceso». Por primera vez, las personas fuera del mundo académico podrían usarlo para conectarse con otros de una manera completamente nueva. Internet abrió el acceso a un mundo de información y recursos, pero también proporcionó una autopista para el tráfico de imágenes ilegales, información y espionaje.

Los delincuentes pueden usar este acceso para piratear sistemas financieros y de comunicaciones, grandes corporaciones y redes gubernamentales para robar dinero, identidades e información, o para sabotear sistemas. Uno de los mayores desafíos en la delincuencia en Internet es que los investigadores, el laboratorio y el personal técnico comprendan cómo funciona el proceso y se mantengan estrechamente comprometidos con los avances en software y tecnologías de seguimiento.

Computadoras

A fines de la década de 1970, los empleados de Flagler Dog Track en Florida usaron una computadora para crear e imprimir boletos ganadores fraudulentos. Esto llevó a Florida a promulgar la primera ley de delitos informáticos, que declaró un delito el uso no autorizado de las instalaciones informáticas.

Los delitos informáticos siguen siendo un problema creciente tanto en el sector público como en el privado. Una sola computadora puede contener evidencia de actividad criminal llevada a cabo en la web, o el uso criminal puede estar contenido en la misma computadora, como pornografía, infracción de derechos de autor, extorsión, falsificación y mucho más.

La evidencia digital se encuentra en el disco duro de la computadora y el equipo periférico, incluidos los medios extraíbles, como las unidades de memoria USB y los discos CD-ROM.

Dispositivos móviles

Aunque los dispositivos portátiles de transmisión de voz que usan transmisión de radio se han utilizado desde la década de 1940 (el Walkie-Talkie), la primera versión de lo que ahora llamaríamos un teléfono móvil no se desarrolló hasta la década de 1980. El uso de teléfonos móviles en todo el mundo se disparó en la década de 1990 y alcanzó los 4.600 millones de suscripciones celulares a fines de 2009.

La tecnología inalámbrica y de teléfonos móviles se ha expandido para incluir muchos tipos de dispositivos móviles, como tabletas y videojuegos portátiles.

Una vez utilizados solo para comunicaciones de voz, los teléfonos móviles de hoy también se utilizan para tomar fotos y películas digitales, enviar mensajes instantáneos, navegar por la web y realizar muchas de las mismas tareas que una computadora.

Los dispositivos móviles permiten a los delincuentes participar en una variedad cada vez mayor de actividades y los dispositivos realizan un seguimiento de cada movimiento y mensaje. Es esta capacidad de seguimiento la que convierte los dispositivos móviles en evidencia clave en muchos casos.

¿Por qué y cuándo se examina la evidencia digital?

La evidencia digital puede entrar en juego en cualquier investigación criminal seria como asesinato, violación, acoso, robo de automóviles, robo, abuso o explotación infantil, falsificación, extorsión, juegos de azar, piratería, delitos contra la propiedad y terrorismo.

La información previa y posterior al delito es más relevante, por ejemplo, si un criminal estaba utilizando un programa en línea como Google Maps o street view para presentar una propiedad antes de un delito; o publicar artículos robados para la venta en E-Bay; o comunicarse a través de mensajes de texto con cómplices para planificar un delito o amenazar a una persona.

Algunos delitos se pueden cometer por completo a través de medios digitales, como piratería informática, fraude económico o robo de identidad.

En cualquiera de estas situaciones, se deja un rastro electrónico de información para que un equipo de investigación inteligente reconozca, aproveche y explote. Al igual que con cualquier recopilación de pruebas, seguir los procedimientos adecuados es crucial y generará los datos más valiosos. No seguir los procedimientos adecuados puede resultar en evidencia perdida o dañada, o hacerla inadmisible en un tribunal.

Norma ISO/IEC 27037

Actualmente, la referencia para el análisis digital forense es la norma de alcance global ISO/IEC 27037:2012.

Proporciona pautas para el manejo de la evidencia digital; sistematizando la identificación, recolección, adquisición y preservación de la misma; con procesos diseñados para respetar la integridad de la evidencia y con una metodología aceptable para asegurar a su admisibilidad en procesos legales.

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales:

  • relevancia,
  • confiabilidad y
  • suficiencia

Estos elementos definen la calidad de cualquier investigación basada en evidencia digital.

Esta norma también proporciona directrices generales para la obtención de pruebas no digitales que pueden ser útiles en la etapa de análisis de la evidencia digital.

Los individuos involucrados en la identificación, recolección, adquisición y preservación de potencial evidencia digital son clasificados en dos grandes grupos de especialistas:

  • Digital Evidence First Responder (DEFRs) o especialista en evidencia digital de primera intervención,
  • Digital Evidence Specialist (DESs) o especialista en evidencia digital,
  • especialistas en respuestas a incidentes y
  • directores de laboratorios forenses.

Cada uno de ellos con atribuciones y conocimientos y habilidades perfectamente definidos. De esta manera se asegura que las personas responsables de gestionar potencial evidencia digital lo hagan con prácticas sistemáticas aceptadas en todo el mundo.

La norma también está destinada a aquellas personas que necesitan determinar la confiabilidad de la evidencia digital que se les presenta. Es aplicable a las organizaciones que necesitan formalmente establecer un marco de aceptabilidad.

La evidencia digital a la que hace referencia puede obtenerse de diferentes tipos de dispositivos digitales, redes, bases de datos, etc; pero siempre se refiere a datos que ya están en formato digital y no abarca la conversión de datos analógicos a formato digital.

La ISO/IEC 27037:2012 no aborda los procedimientos legales, procedimientos disciplinarios y otras acciones relacionadas con el inadecuado manejo de la evidencia digital; se entiende que la aplicación de esta norma internacional exige además el cumplimiento de las leyes, normas y reglamentos nacionales. No sustituye los requisitos legales específicos de cualquier jurisdicción.

La norma obviamente presenta el concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener en cuenta: un identificador univoco de la evidencia; quién, cuándo y dónde accede; cómo es el pasaje de la evidencia de un sitio a otro: etc.

Evidencia que se puede recopilar digitalmente

Los documentos de computadora, correos electrónicos, mensajes de texto e instantáneos, transacciones, imágenes e historiales de Internet son ejemplos de información que se puede recopilar de dispositivos electrónicos y usar de manera muy efectiva como evidencia.

Por ejemplo, los dispositivos móviles utilizan sistemas de respaldo basados ​​en línea, también conocidos como la «nube», que proporcionan a los investigadores forenses acceso a mensajes de texto e imágenes tomadas desde un teléfono en particular.

Además, muchos dispositivos móviles almacenan información sobre los lugares donde viajó el dispositivo y cuándo estaba allí. Para obtener este conocimiento, los investigadores pueden acceder a un promedio de las últimas 200 ubicaciones de celdas a las que accede un dispositivo móvil.

Los sistemas de navegación por satélite y las radios por satélite en los automóviles pueden proporcionar información similar. Incluso las fotos publicadas en las redes sociales como Facebook pueden contener información de ubicación. Las fotos tomadas con un dispositivo con sistema de posicionamiento global (GPS) contienen datos de archivo que muestran cuándo y exactamente dónde se tomó una foto.

Al obtener una citación para una cuenta de dispositivo móvil en particular, los investigadores pueden recopilar una gran cantidad de historial relacionado con un dispositivo y la persona que lo utiliza.

Quién realiza el análisis

La evidencia digital debe ser examinada solo por aquellos capacitados específicamente para ese propósito.

Con la gran variedad de dispositivos electrónicos que se usan hoy en día y la velocidad con la que cambian, mantenerse al día puede ser muy difícil para la policía local. Muchas agencias no tienen un experto en evidencia digital disponible y, si lo tienen, el oficial podría ser un especialista en teléfonos mçoviles pero no en redes sociales o fraude bancario.

Un detective puede iniciar sesión en e-Bay y buscar propiedad robada, pero es posible que no pueda capturar los historiales de mensajes de texto del teléfono móvil y podría destruir la evidencia con solo intentarlo. Muchos se interesan en el área y aprenden lo que pueden, pero no existe un camino único hacia la experiencia en evidencia digital: las calificaciones y certificaciones no están estandarizadas.

Los examinadores de medios digitales certificados son investigadores que tienen la educación, la capacitación y la experiencia para explotar adecuadamente esta evidencia sensible.

Dicho esto, no existe un organismo certificador único, y los programas de certificación pueden contener diferentes cursos de estudio. En términos generales, estos profesionales han demostrado competencias básicas en procedimientos de preexamen y cuestiones legales, evaluación y análisis de medios, recuperación de datos, análisis específico de datos recuperados, documentación e informes, y presentación de hallazgos.

Si bien la certificación de los examinadores no es necesaria en la mayoría de las agencias, se está convirtiendo en un activo muy valorado y aumentará el número de examinadores certificados.

La mayoría de los países tienen al menos un laboratorio o sección para análisis forense digital y una variedad de grupos de trabajo que incluyen crímenes en Internet contra niños, terrorismo y crímenes de drogas y propiedad. Estas fuerzas comprenden oficiales con capacitación especializada, que incluye búsqueda, captura y explotación de evidencia digital en lo que respecta a su área de especialización.

Cómo se recopilan los dispositivos digitales

En la escena: como sabe cualquiera que haya dejado caer un teléfono móvil en un río o que su computadora se haya dañado en una tormenta eléctrica, la información almacenada digitalmente es muy sensible y se pierde fácilmente.

Una vez que se ha asegurado la escena y se ha confirmado la autoridad legal para confiscar la evidencia, se pueden recolectar dispositivos. Las contraseñas, códigos o PIN deben recopilarse de las personas involucradas, si es posible, y los cargadores, cables, periféricos y manuales asociados deben recopilarse.

Las unidades de memoria USB, teléfonos móviles, discos duros y similares se examinan utilizando diferentes herramientas y técnicas, y esto se realiza con mayor frecuencia en un laboratorio especializado.

Los socorristas deben tener especial cuidado con los dispositivos digitales además de los procedimientos normales de recolección de evidencia para evitar la exposición a cosas como temperaturas extremas, electricidad estática y humedad.

Aprovechar dispositivos móviles

Los dispositivos deben apagarse inmediatamente y las baterías deben retirarse, si es posible. Apagar el teléfono conserva la información de ubicación de la torre móvil y los registros de llamadas, y evita que se use el teléfono, lo que podría cambiar los datos en el teléfono.

Además, si el dispositivo permanece encendido, los comandos de destrucción remota podrían usarse sin el conocimiento del investigador. Algunos teléfonos tienen un temporizador automático para encender el teléfono para actualizaciones, lo que podría comprometer los datos, por lo que la extracción de la batería es óptima.

Si el dispositivo no se puede apagar, debe aislarse de su torre móvil colocándolo en una bolsa Faraday u otro material de bloqueo, configurado en modo avión, o el Wi-Fi, Bluetooth u otro sistema de comunicaciones debe estar desactivado.

Los dispositivos digitales deben colocarse en envases antiestáticos como bolsas de papel o sobres y cajas de cartón. Se debe evitar el plástico, ya que puede transportar electricidad estática o permitir una acumulación de condensación o humedad.

En situaciones de emergencia o que amenazan la vida, la información del teléfono se puede quitar y guardar en la escena, pero se debe tener mucho cuidado en la documentación de la acción y la preservación de los datos.

Al enviar dispositivos digitales al laboratorio, el investigador debe indicar el tipo de información que se busca, por ejemplo, números de teléfono e historiales de llamadas desde un móvil, correos electrónicos, documentos y mensajes desde una computadora o imágenes en una tableta.

Cómo incautar equipos y computadoras independientes

Para evitar la alteración de la evidencia digital durante la recolección, los socorristas primero deben documentar cualquier actividad en la computadora, los componentes o los dispositivos al tomar una fotografía y registrar cualquier información en la pantalla.

Si la computadora está encendida, se recomienda llamar a un experto forense en computadoras, ya que las conexiones a actividades delictivas pueden perderse al apagar la computadora. Si una computadora está encendida pero está ejecutando software destructivo, la alimentación de la computadora debe desconectarse inmediatamente para preservar lo que queda en la máquina.

Las computadoras que están apagadas se pueden recopilar como evidencia según los procedimientos habituales de evidencia digital de la agencia.

Cómo y dónde se realiza el análisis

Explotación de datos en el laboratorio: una vez que la evidencia digital ha sido enviada al laboratorio, un analista calificado tomará los siguientes pasos para recuperar y analizar datos:

 Prevenir la contaminación

Es fácil entender la contaminación cruzada en un laboratorio de ADN o en la escena del crimen, pero la evidencia digital tiene problemas similares que el oficial de recolección debe evitar.

Antes de analizar la evidencia digital, se crea una imagen o copia de trabajo del dispositivo de almacenamiento original. Al recopilar datos de un dispositivo sospechoso, la copia debe almacenarse en otro medio de comunicación para mantener el estado original.

Los analistas deben usar medios de almacenamiento «limpios» para evitar la contaminación o la introducción de datos de otra fuente. Por ejemplo, si el analista pusiera una copia del dispositivo sospechoso en un CD que ya contenía información, esa información podría analizarse como si hubiera estado en el dispositivo sospechoso.

Aunque los medios de almacenamiento digital, como las unidades de memoria USB y las tarjetas de datos, son reutilizables, simplemente borrar los datos y reemplazarlos con nueva evidencia no es suficiente. La unidad de almacenamiento de destino debe ser nueva o, si se reutiliza, debe «limpiarse» antes de su uso. Esto elimina todo el contenido, conocido y desconocido, de los medios.

Aislar dispositivos inalámbricos

Los teléfonos móviles y otros dispositivos inalámbricos deben examinarse inicialmente en una cámara de aislamiento, si está disponible. Esto evita la conexión a cualquier red y mantiene la evidencia tan prístina como sea posible.

La bolsa de Faraday se puede abrir dentro de la cámara y se puede explotar el dispositivo, incluida la información del teléfono, las tarjetas SIM, etc. El dispositivo se puede conectar al software de análisis desde el interior de la cámara.

Si una agencia no tiene una cámara de aislamiento, los investigadores generalmente colocarán el dispositivo en una bolsa Faraday y cambiarán el teléfono al modo avión para evitar la recepción.

Instalar un software de bloqueo de escritura

Para evitar cualquier cambio en los datos del dispositivo o medio, el analista instalará un bloque en la copia de trabajo para que los datos se puedan ver pero nada se pueda cambiar o agregar.

Seleccionar los métodos de extracción

Una vez que se crea la copia de trabajo, el analista determinará la marca y el modelo del dispositivo y seleccionará el software de extracción diseñado para «analizar los datos» más completamente o ver su contenido.

Enviar el dispositivo o los medios originales para el examen de evidencia tradicional

Cuando se eliminan los datos, el dispositivo se vuelve a enviar como evidencia. Puede haber ADN, huellas, huellas digitales u otra evidencia que se pueda obtener de él y el analista digital ahora puede trabajar sin él.

Continuar con la investigación

En este punto, el analista utilizará el software seleccionado para ver los datos. El analista podrá ver todos los archivos en el disco, puede ver si las áreas están ocultas e incluso puede restaurar la organización de los archivos permitiendo ver las áreas ocultas.

Los archivos eliminados también son visibles, siempre que no hayan sido sobrescritos por nuevos datos.

Los archivos en una computadora u otro dispositivo no son la única evidencia que se puede recopilar. El analista puede tener que trabajar más allá del hardware para encontrar evidencia que resida en Internet, incluyendo salas de chat, mensajería instantánea, sitios web y otras redes de participantes o información.

Al usar el sistema de direcciones de Internet, información de encabezado de correo electrónico, marcas de tiempo en la mensajería y otros datos cifrados, el analista puede juntar cadenas de interacciones que proporcionan una imagen de la actividad.