Preservación de la evidencia digital

Soporte Legal de la Evidencia Digital
en un Incidente Informático
95.1 – BG – MDN - R002 - 03
95.1 – BG – MDN - R002 - 03
Ley 906 de 2004 – Ley 1453 de 2011
ARTÍCULO 53. RECUPERACIÓN DE PRODUCTO DE LA TRANSMISIÓN DE DATOS A
TRAVÉS DE LAS REDES DE COMUNICACIONES.
Artículo 236. …el indiciado o imputado está
transmitiendo o manipulando datos a través de
las redes de telecomunicaciones, ordenará a
policía judicial la retención, aprehensión o
recuperación de dicha información, equipos
terminales, dispositivos o servidores que pueda
haber
utilizado
cualquier
medio
de
almacenamiento físico o virtual, análogo o
digital, para que expertos
en informática forense, descubran, recojan, analicen y custodien la
información que recuperen..
Ley 906 de 2004
Art. 275. EMP Y E.F.
g. El mensaje de datos, como el intercambio
electrónico de datos, internet, correo
electrónico, telegrama, télex, telefax o similar,
regulados por la Ley 527 de 1999 o las normas
que la sustituyan, adicionen o reformen;
Art. 236 de 906 de 2004*
Desactualizado? … Disquetes no se usen
Los equipos suelen llegar mucho tiempo después de incautados
Existen equipos que no han sido conectados a una red o internet
Sería exclusivo de archivos producto de la navegación en una red.
Qué pasaría con archivos de usuario.
* Sentencia C 334 de 2010 «…tal intervención de no efectuarse con la prontitud y
eficacia señalados …podría dar lugar a que los datos y evidencias físicas y elementos
materiales por recoger de tal navegación se perdieran para siempre e
irremediablemente»
Copia de elementos materiales de prueba-Análisis Forense - Realizar
Back up
Resultarían Órdenes validas, pero no son integrales. Corresponden a
procedimientos que adelantan los peritos en el laboratorio.
•IMAGING - DISCO ESPEJO - IMAGEN FORENSE
•PRESERVACIÓN-RECUPERACIÓN-BÚSQUEDAS-EXTRACCIÓN
El término «orden de análisis forense» no tendrían un punto de
control de legalidad. Forma.
Back up Verbo: Copia de Seguridad Hacer copia de seguridad
Sustantivo : Respaldo
No es un término forense
Tomado de la Sentencia C 336 de 2007
 La Policía Judicial no es el Administrador de la Información
(ley 1266 de 2008)
Aproximación a la necesidad
 Orden de Inspección y registro a equipos
• Orden de registro a computadores y elementos digitales
• Cumpliría con un control judicial posterior (Art. 237 CPP)
• Se ajustaría a los parámetros forenses *
• Protección de la evidencia-Búsqueda de Información de acuerdos a
parámetros, criterios de búsqueda, proyección de informes de
investigador de laboratorio.
Control Posterior de Legalidad
En algunos casos se ha requerido la presencia del perito con el fin de
ilustrar al juez en la audiencia. Ayudas
Cuando no se
manifiestan la
procedimientos
norma procesal.
surten las órdenes adecuadamente los jueces
imposibilidad de impartir la legalidad a los
ante la inexistencia de los procedimientos en la
Back Up-imagen-
Es necesaria la claridad de conceptos como Integridad a través de
algoritmo HASH.
Cadena de custodia...en casos se revisan incluso números seriales de
dispositivos incautados.
Conceptos básicos para las Audiencias
Imagen forense: Copia no modificada de un
dispositivo electrónico de almacenamiento digital.
La creación de una imagen forense garantiza:
•La integridad de las pruebas.
•Protección contra cambios o daños no
deliberados a los datos originales.
Imagen física e imagen lógica
Procedimiento matemático que mediante
el empleo de un algoritmo permite
identificar un archivo con valor único, este
valor se calcula sobre el contenido del
archivo y no sobre el nombre del mismo.
Se realiza mediante el uso de una función
específica MD5, SHA1 entre otros.
Evidencia Digital y la Investigación Penal
Hallazgo de
Evidencia Digital
Almacén de
evidencia digital
Policía Judicial
(Informes: EjecutivoInvestigador Campo,
y otros )
Control Posterior de
Legalidad
Órdenes a Policía
Judicial
(Capacidad del
laboratorio)