ESTA NORMA FUE REVISADA Y CONFIRMADA POR ÚLTIMA VEZ EN 2018. POR LO TANTO, ESTA VERSIÓN SIGUE SIENDO ACTUAL.
ABSTRACTO
Iso/IEC 27037:2012 proporciona directrices para actividades específicas
en el manejo de pruebas digitales, que son la identificación, recopilación,
adquisición y preservación de posibles pruebas digitales que pueden ser de
valor probatorio.
Proporciona orientación a las personas con respecto a las situaciones
comunes encontradas a lo largo del proceso de manejo de pruebas digitales y
ayuda a las organizaciones en sus procedimientos disciplinarios y en facilitar
el intercambio de pruebas digitales potenciales entre jurisdicciones.
ISO/IEC 27037:2012 proporciona orientación para los siguientes
dispositivos y circunstancias:
Medios de almacenamiento digital utilizados en ordenadores estándar
como discos duros, disquetes, discos ópticos y magneto ópticos, dispositivos de
datos con funciones similares,
Teléfonos móviles, Asistentes Digitales Personales (PDA), Dispositivos
Electrónicos Personales (PEDs), tarjetas de memoria,
Sistemas móviles de navegación,
Imágenes fijas digitales y de vídeo (incluyendo CCTV),
Ordenador estándar con conexiones de red,
Redes basadas en TCP/IP y otros protocolos digitales, y
Dispositivos con funciones similares a las anteriores.
La lista anterior de dispositivos es una lista indicativa y no
exhaustiva.
INFORMACIÓN GENERAL
Estado: Publicado Fecha de publicación: 2012-10
Edición: 1Número de páginas: 38
Comité Técnico: ISO/IEC JTC 1/SC 27 Seguridad de la información,
ciberseguridad y protección de la privacidad Ics: 35.030 Seguridad de TI
ISO/IEC 27037:2012 Se revisa una norma cada 5 años
Etapa: 90.93 (Confirmado)
ISO/IEC 27037
DIRECTRICES PARA LA IDENTIFICACION, RECOPILACION, ADQUISICION Y
PRESERVACION DE LA EVIDENCIA DIGITAL
Los dispositivos digitales están
en todas partes en el mundo de hoy, lo que ayuda a las personas a comunicarse a
nivel local y global con facilidad. La mayoría de la gente piensa de inmediato
en los ordenadores, los teléfonos móviles e Internet como las únicas fuentes de
evidencia digital, pero cualquier pieza de tecnología que procese información
puede usarse de manera criminal.
Por ejemplo, los juegos
portátiles pueden llevar mensajes codificados entre delincuentes e incluso los
electrodomésticos más nuevos, como un refrigerador con un televisor
incorporado, podrían usarse para almacenar, ver y compartir imágenes ilegales.
Lo importante es saber que los respondedores deben ser capaces de reconocer y
aprovechar adecuadamente la evidencia digital potencial.
La evidencia digital puede ser el
mejor amigo o la peor pesadilla de un litigante, dependiendo del tipo de
evidencia, cómo se usa y en qué corte se presenta.
Por lo tanto, este artículo tiene
como objetivo proporcionar un resumen de la informática forense a partir de
definiciones generales sobre evidencia digital, sus posibles fuentes y
principios básicos con respecto a la evaluación de fases de «investigación de
la escena del crimen» y confiscación de datos para determinar las «huellas
digitales» del delito.
Para ello vamos a analizar la
norma ISO/IEC 27037 que establece las directrices para la identificación,
recopilación, adquisición y preservación de evidencia digital.
SUMARIO
¿Qué es la evidencia digital?
Principios
Internet
Computadoras
Dispositivos móviles
¿Por qué y cuándo se examina la evidencia digital?
Norma ISO/IEC 27037
Evidencia que se puede recopilar
digitalmente
Quién realiza el análisis
Cómo se recopilan los
dispositivos digitales
Aprovechar dispositivos móviles
Cómo incautar equipos y
computadoras independientes
Cómo y dónde se realiza el
análisis
Prevenir la contaminación
Aislar dispositivos inalámbricos
Instalar un software de bloqueo
de escritura
Seleccionar los métodos de
extracción
Enviar el dispositivo o los
medios originales para el examen de evidencia tradicional
Continuar con la investigación
¿Qué es la evidencia digital?
La evidencia digital se define
como información y datos de valor para una investigación que se almacena,
recibe o transmite por un dispositivo electrónico. Esta evidencia se puede
adquirir cuando los dispositivos electrónicos son incautados y asegurados para
su examen.
La evidencia digital:
Está latente (oculto), como
huellas digitales o evidencia de ADN
Cruza fronteras jurisdiccionales
de forma rápida y fácil
Puede ser alterada, dañada o
destruida con poco esfuerzo
Puede ser sensible al tiempo
Existen muchas fuentes de
evidencia digital, pero para los fines de esta publicación, el tema se divide
en tres categorías forenses principales de dispositivos donde se puede
encontrar evidencia: computadoras o dispositivos independientes basados en
Internet y dispositivos móviles.
Estas áreas tienden a tener
diferentes procesos de recopilación de evidencia, herramientas y
preocupaciones, y diferentes tipos de delitos tienden a prestarse a un
dispositivo u otro.
Principios
Se dice que la información que se
almacena electrónicamente es «digital» porque se ha desglosado en dígitos;
unidades binarias de unos y ceros, que se guardan y recuperan mediante un
conjunto de instrucciones llamadas software o código.
Se puede crear y guardar
cualquier tipo de información (fotografías, palabras, hojas de cálculo)
utilizando este tipo de instrucciones. Encontrar y explotar evidencia guardada
de esta manera es un área creciente de análisis forense y cambia constantemente
a medida que la tecnología evoluciona.
Internet
El lanzamiento de Internet o la
World Wide Web a mediados de la década de 1990 realmente marcó el comienzo de
la «era del acceso». Por primera vez, las personas fuera del mundo académico
podrían usarlo para conectarse con otros de una manera completamente nueva. Internet
abrió el acceso a un mundo de información y recursos, pero también proporcionó
una autopista para el tráfico de imágenes ilegales, información y espionaje.
Los delincuentes pueden usar este
acceso para piratear sistemas financieros y de comunicaciones, grandes
corporaciones y redes gubernamentales para robar dinero, identidades e
información, o para sabotear sistemas. Uno de los mayores desafíos en la
delincuencia en Internet es que los investigadores, el laboratorio y el
personal técnico comprendan cómo funciona el proceso y se mantengan
estrechamente comprometidos con los avances en software y tecnologías de
seguimiento.
Computadoras
A fines de la década de 1970, los
empleados de Flagler Dog Track en Florida usaron una computadora para crear e
imprimir boletos ganadores fraudulentos. Esto llevó a Florida a promulgar la
primera ley de delitos informáticos, que declaró un delito el uso no autorizado
de las instalaciones informáticas.
Los delitos informáticos siguen
siendo un problema creciente tanto en el sector público como en el privado. Una
sola computadora puede contener evidencia de actividad criminal llevada a cabo
en la web, o el uso criminal puede estar contenido en la misma computadora,
como pornografía, infracción de derechos de autor, extorsión, falsificación y
mucho más.
La evidencia digital se encuentra
en el disco duro de la computadora y el equipo periférico, incluidos los medios
extraíbles, como las unidades de memoria USB y los discos CD-ROM.
Dispositivos móviles
Aunque los dispositivos
portátiles de transmisión de voz que usan transmisión de radio se han utilizado
desde la década de 1940 (el Walkie-Talkie), la primera versión de lo que ahora
llamaríamos un teléfono móvil no se desarrolló hasta la década de 1980. El uso
de teléfonos móviles en todo el mundo se disparó en la década de 1990 y alcanzó
los 4.600 millones de suscripciones celulares a fines de 2009.
La tecnología inalámbrica y de
teléfonos móviles se ha expandido para incluir muchos tipos de dispositivos
móviles, como tabletas y videojuegos portátiles.
Una vez utilizados solo para
comunicaciones de voz, los teléfonos móviles de hoy también se utilizan para
tomar fotos y películas digitales, enviar mensajes instantáneos, navegar por la
web y realizar muchas de las mismas tareas que una computadora.
Los dispositivos móviles permiten
a los delincuentes participar en una variedad cada vez mayor de actividades y
los dispositivos realizan un seguimiento de cada movimiento y mensaje. Es esta
capacidad de seguimiento la que convierte los dispositivos móviles en evidencia
clave en muchos casos.
¿Por qué y cuándo se examina la evidencia digital?
La evidencia digital puede entrar
en juego en cualquier investigación criminal seria como asesinato, violación,
acoso, robo de automóviles, robo, abuso o explotación infantil, falsificación,
extorsión, juegos de azar, piratería, delitos contra la propiedad y terrorismo.
La información previa y posterior
al delito es más relevante, por ejemplo, si un criminal estaba utilizando un
programa en línea como Google Maps o street view para presentar una propiedad
antes de un delito; o publicar artículos robados para la venta en E-Bay; o
comunicarse a través de mensajes de texto con cómplices para planificar un
delito o amenazar a una persona.
Algunos delitos se pueden cometer
por completo a través de medios digitales, como piratería informática, fraude
económico o robo de identidad.
En cualquiera de estas
situaciones, se deja un rastro electrónico de información para que un equipo de
investigación inteligente reconozca, aproveche y explote. Al igual que con
cualquier recopilación de pruebas, seguir los procedimientos adecuados es
crucial y generará los datos más valiosos. No seguir los procedimientos
adecuados puede resultar en evidencia perdida o dañada, o hacerla inadmisible
en un tribunal.
Norma ISO/IEC 27037
Actualmente, la referencia para
el análisis digital forense es la norma de alcance global ISO/IEC 27037:2012.
Proporciona pautas para el manejo
de la evidencia digital; sistematizando la identificación, recolección,
adquisición y preservación de la misma; con procesos diseñados para respetar la
integridad de la evidencia y con una metodología aceptable para asegurar a su
admisibilidad en procesos legales.
De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres
principios fundamentales: |
||
Relevancia
|
Confiabilidad |
Suficiencia
|
Estos elementos definen la
calidad de cualquier investigación basada en evidencia digital.
Esta norma también proporciona
directrices generales para la obtención de pruebas no digitales que pueden ser
útiles en la etapa de análisis de la evidencia digital.
Los individuos involucrados en la identificación,
recolección, adquisición y preservación de potencial evidencia digital son
clasificados en dos grandes grupos de especialistas: |
|
Digital Evidence First Responder (DEFRs) o
especialista en evidencia digital de primera intervención |
Digital Evidence Specialist (DESs) o especialista
en evidencia digital |
Especialistas en respuestas a incidentes |
Directores de laboratorios forenses |
Cada uno de ellos con
atribuciones y conocimientos y habilidades perfectamente definidos. De esta
manera se asegura que las personas responsables de gestionar potencial
evidencia digital lo hagan con prácticas sistemáticas aceptadas en todo el
mundo.
La norma también está destinada a
aquellas personas que necesitan determinar la confiabilidad de la evidencia
digital que se les presenta. Es aplicable a las organizaciones que necesitan
formalmente establecer un marco de aceptabilidad.
La evidencia digital a la que
hace referencia puede obtenerse de diferentes tipos de dispositivos digitales,
redes, bases de datos, etc; pero siempre se refiere a datos que ya están en
formato digital y no abarca la conversión de datos analógicos a formato
digital.
La ISO/IEC 27037:2012 no aborda
los procedimientos legales, procedimientos disciplinarios y otras acciones
relacionadas con el inadecuado manejo de la evidencia digital; se entiende que
la aplicación de esta norma internacional exige además el cumplimiento de las
leyes, normas y reglamentos nacionales. No sustituye los requisitos legales
específicos de cualquier jurisdicción.
La norma obviamente presenta el
concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener
en cuenta: un identificador univoco de la evidencia; quién, cuándo y dónde
accede; cómo es el pasaje de la evidencia de un sitio a otro: etc.
Evidencia que se puede recopilar digitalmente
Los documentos de computadora,
correos electrónicos, mensajes de texto e instantáneos, transacciones, imágenes
e historiales de Internet son ejemplos de información que se puede recopilar de
dispositivos electrónicos y usar de manera muy efectiva como evidencia.
Por ejemplo, los dispositivos
móviles utilizan sistemas de respaldo basados en línea, también conocidos
como la «nube», que proporcionan a los investigadores forenses acceso a
mensajes de texto e imágenes tomadas desde un teléfono en particular.
Además, muchos dispositivos
móviles almacenan información sobre los lugares donde viajó el dispositivo y
cuándo estaba allí. Para obtener este conocimiento, los investigadores pueden
acceder a un promedio de las últimas 200 ubicaciones de celdas a las que accede
un dispositivo móvil.
Los sistemas de navegación por
satélite y las radios por satélite en los automóviles pueden proporcionar
información similar. Incluso las fotos publicadas en las redes sociales como
Facebook pueden contener información de ubicación. Las fotos tomadas con un
dispositivo con sistema de posicionamiento global (GPS) contienen datos de
archivo que muestran cuándo y exactamente dónde se tomó una foto.
Al obtener una citación para una
cuenta de dispositivo móvil en particular, los investigadores pueden recopilar
una gran cantidad de historial relacionado con un dispositivo y la persona que
lo utiliza.
Quién realiza el análisis
La evidencia digital debe ser
examinada solo por aquellos capacitados específicamente para ese propósito.
Con la gran variedad de
dispositivos electrónicos que se usan hoy en día y la velocidad con la que
cambian, mantenerse al día puede ser muy difícil para la policía local. Muchas
agencias no tienen un experto en evidencia digital disponible y, si lo tienen,
el oficial podría ser un especialista en teléfonos móviles pero no en redes
sociales o fraude bancario.
Un detective puede iniciar sesión
en e-Bay y buscar propiedad robada, pero es posible que no pueda capturar los
historiales de mensajes de texto del teléfono móvil y podría destruir la
evidencia con solo intentarlo. Muchos se interesan en el área y aprenden lo que
pueden, pero no existe un camino único hacia la experiencia en evidencia
digital: las calificaciones y certificaciones no están estandarizadas.
Los examinadores de medios
digitales certificados son investigadores que tienen la educación, la
capacitación y la experiencia para explotar adecuadamente esta evidencia
sensible.
Dicho esto, no existe un
organismo certificador único, y los programas de certificación pueden contener
diferentes cursos de estudio. En términos generales, estos profesionales han
demostrado competencias básicas en procedimientos de pre examen y cuestiones
legales, evaluación y análisis de medios, recuperación de datos, análisis
específico de datos recuperados, documentación e informes, y presentación de
hallazgos.
Si bien la certificación de los
examinadores no es necesaria en la mayoría de las agencias, se está
convirtiendo en un activo muy valorado y aumentará el número de examinadores
certificados.
La mayoría de los países tienen
al menos un laboratorio o sección para análisis forense digital y una variedad
de grupos de trabajo que incluyen crímenes en Internet contra niños, terrorismo
y crímenes de drogas y propiedad. Estas fuerzas comprenden oficiales con
capacitación especializada, que incluye búsqueda, captura y explotación de
evidencia digital en lo que respecta a su área de especialización.
Cómo se recopilan los dispositivos digitales
En la escena: como sabe
cualquiera que haya dejado caer un teléfono móvil en un río o que su
computadora se haya dañado en una tormenta eléctrica, la información almacenada
digitalmente es muy sensible y se pierde fácilmente.
Una vez que se ha asegurado la
escena y se ha confirmado la autoridad legal para confiscar la evidencia, se
pueden recolectar dispositivos. Las contraseñas, códigos o PIN deben
recopilarse de las personas involucradas, si es posible, y los cargadores, cables,
periféricos y manuales asociados deben recopilarse.
Las unidades de memoria USB,
teléfonos móviles, discos duros y similares se examinan utilizando diferentes
herramientas y técnicas, y esto se realiza con mayor frecuencia en un
laboratorio especializado.
Los socorristas deben tener
especial cuidado con los dispositivos digitales además de los procedimientos
normales de recolección de evidencia para evitar la exposición a cosas como
temperaturas extremas, electricidad estática y humedad.
Aprovechar dispositivos móviles
Los dispositivos deben apagarse
inmediatamente y las baterías deben retirarse, si es posible. Apagar el
teléfono conserva la información de ubicación de la torre móvil y los registros
de llamadas, y evita que se use el teléfono, lo que podría cambiar los datos en
el teléfono.
Además, si el dispositivo
permanece encendido, los comandos de destrucción remota podrían usarse sin el
conocimiento del investigador. Algunos teléfonos tienen un temporizador
automático para encender el teléfono para actualizaciones, lo que podría
comprometer los datos, por lo que la extracción de la batería es óptima.
Si el dispositivo no se puede
apagar, debe aislarse de su torre móvil colocándolo en una bolsa Faraday u otro
material de bloqueo, configurado en modo avión, o el Wi-Fi, Bluetooth u otro
sistema de comunicaciones debe estar desactivado.
Los dispositivos digitales deben
colocarse en envases antiestáticos como bolsas de papel o sobres y cajas de
cartón. Se debe evitar el plástico, ya que puede transportar electricidad
estática o permitir una acumulación de condensación o humedad.
En situaciones de emergencia o
que amenazan la vida, la información del teléfono se puede quitar y guardar en
la escena, pero se debe tener mucho cuidado en la documentación de la acción y
la preservación de los datos.
Al enviar dispositivos digitales
al laboratorio, el investigador debe indicar el tipo de información que se
busca, por ejemplo, números de teléfono e historiales de llamadas desde un
móvil, correos electrónicos, documentos y mensajes desde una computadora o
imágenes en una tableta.
Cómo incautar equipos y computadoras independientes
Para evitar la alteración de la
evidencia digital durante la recolección, los socorristas primero deben
documentar cualquier actividad en la computadora, los componentes o los
dispositivos al tomar una fotografía y registrar cualquier información en la
pantalla.
Si la computadora está encendida,
se recomienda llamar a un experto forense en computadoras, ya que las
conexiones a actividades delictivas pueden perderse al apagar la computadora.
Si una computadora está encendida pero está ejecutando software destructivo, la
alimentación de la computadora debe desconectarse inmediatamente para preservar
lo que queda en la máquina.
Las computadoras que están
apagadas se pueden recopilar como evidencia según los procedimientos habituales
de evidencia digital de la agencia.
Cómo y dónde se realiza el análisis
Explotación de datos en el
laboratorio: una vez que la evidencia digital ha sido enviada al laboratorio,
un analista calificado tomará los siguientes pasos para recuperar y analizar
datos:
Prevenir la contaminación
Es fácil entender la
contaminación cruzada en un laboratorio de ADN o en la escena del crimen, pero
la evidencia digital tiene problemas similares que el oficial de recolección
debe evitar.
Antes de analizar la evidencia
digital, se crea una imagen o copia de trabajo del dispositivo de
almacenamiento original. Al recopilar datos de un dispositivo sospechoso, la
copia debe almacenarse en otro medio de comunicación para mantener el estado
original.
Los analistas deben usar medios
de almacenamiento «limpios» para evitar la contaminación o la introducción de
datos de otra fuente. Por ejemplo, si el analista pusiera una copia del
dispositivo sospechoso en un CD que ya contenía información, esa información
podría analizarse como si hubiera estado en el dispositivo sospechoso.
Aunque los medios de
almacenamiento digital, como las unidades de memoria USB y las tarjetas de
datos, son reutilizables, simplemente borrar los datos y reemplazarlos con
nueva evidencia no es suficiente. La unidad de almacenamiento de destino debe
ser nueva o, si se reutiliza, debe «limpiarse» antes de su uso. Esto elimina
todo el contenido, conocido y desconocido, de los medios.
Aislar dispositivos inalámbricos
Los teléfonos móviles y otros
dispositivos inalámbricos deben examinarse inicialmente en una cámara de
aislamiento, si está disponible. Esto evita la conexión a cualquier red y
mantiene la evidencia tan prístina como sea posible.
La bolsa de Faraday se puede
abrir dentro de la cámara y se puede explotar el dispositivo, incluida la información
del teléfono, las tarjetas SIM, etc. El dispositivo se puede conectar al
software de análisis desde el interior de la cámara.
Si una agencia no tiene una
cámara de aislamiento, los investigadores generalmente colocarán el dispositivo
en una bolsa Faraday y cambiarán el teléfono al modo avión para evitar la
recepción.
Instalar un software de bloqueo de escritura
Para evitar cualquier cambio en
los datos del dispositivo o medio, el analista instalará un bloque en la copia
de trabajo para que los datos se puedan ver pero nada se pueda cambiar o
agregar.
Seleccionar los métodos de extracción
Una vez que se crea la copia de
trabajo, el analista determinará la marca y el modelo del dispositivo y
seleccionará el software de extracción diseñado para «analizar los datos» más
completamente o ver su contenido.
Enviar el dispositivo o los
medios originales para el examen de evidencia tradicional
Cuando se eliminan los datos, el
dispositivo se vuelve a enviar como evidencia. Puede haber ADN, huellas, huellas
digitales u otra evidencia que se pueda obtener de él y el analista digital
ahora puede trabajar sin él.
Continuar con la investigación
En este punto, el analista
utilizará el software seleccionado para ver los datos. El analista podrá ver
todos los archivos en el disco, puede ver si las áreas están ocultas e incluso
puede restaurar la organización de los archivos permitiendo ver las áreas
ocultas.
Los archivos eliminados también
son visibles, siempre que no hayan sido sobrescritos por nuevos datos.
Los archivos en una computadora u
otro dispositivo no son la única evidencia que se puede recopilar. El analista
puede tener que trabajar más allá del hardware para encontrar evidencia que
resida en Internet, incluyendo salas de chat, mensajería instantánea, sitios
web y otras redes de participantes o información.