De allí la importancia del mantenimiento de un adecuado registro de cadena de custodia de evidencias digitales desde un inicio (Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras), son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de la evidencia en custodia. Una vez el experto forense tiene en su poder los elementos material de prueba o evidencia física debe continuar con el registro de todos los procedimientos que se le realiza en laboratorio; Puesto que para poder realizar el análisis de información de cada evidencia el experto debe realizar como mínimo dos imágenes forenses (copia bit a bit) de cada dispositivo de almacenamiento digital, garantizando la autenticación de la evidencia original mediante la generación de valores HASH o SHA1, los cuales se obtienen a partir de los datos contenidos en los EMP y/o EF incautada; esté método también ayuda a mantener la integridad de la evidencia, en caso que terceras personas requieran obtener nuevas imágenes de éstos elementos pueden verificar la autenticidad con algunos de los métodos de integridad HASH o SHA1. Estos métodos sirven como valor probatorio de la adquisición de la imagen forense en juicio, ya que le da un valor fundamental en la continuidad y en el buen manejo de los EMP y/o EF desde el momento de su incautación hasta el experticio técnico y los mismos deben ser conservados hasta la finalización del proceso judicial.
Punto importante del adecuado registro de la cadena de custodia radica en preservar la evidencia, ya que muchas veces ha sucedido que la evidencia digital ha sido con antelación “analizada” por personal no idóneo, utilizando herramientas no adecuadas y lo más relevante sin documentar y una vez se realiza análisis técnico se detecta que la información original ha sido alterada y la evidencia pierde su valor en juicio.
Es por eso que con el Software EnCase Forensics, ya sea en campo o en laboratorio se preserva su autenticidad e integridad de la evidencia digital original, puesto que es un software que entre muchas de sus funcionalidades al realizar imágenes forenses utiliza diferentes algoritmos para verificar autenticidad (HASH, SHA1, CRC), los cuales por procedimientos de mantener la integridad de la evidencia, en los laboratorios forenses deben asegurarse que se genere dichos valores, así mismo, un paso importante es el dispositivo de almacenamiento debe ser conectado a través de un bloqueador de escritura Tableau, los cuales permiten como su nombre lo dice, bloquear los dispositivo protegiéndolos ante cualquier posibilidad de acceso a la información, permitiendo a los expertos trabajar sobre los archivos de imagen .Ex0 generados por el software EnCase Forensics.
Si una persona que realice el proceso de incautar y/o analizar técnicamente elementos material probatorio y/o evidencias físicas de tipo digital sigue los anteriores pasos básicos de mantener una debida cadena de custodia, seguramente no tendrá ningún tropiezo desde el inicio de la incautación, durante el estudio forense y hasta llegar a juicio.
RELACIONADOS
Lo Basico Del Registro De Cadena De Custodia - Parte 1
Prueba Imparcial Confirma Que EnCase Forensic Es Más Rápido Que FTK
Adquisición Remota Con Hardware de Tableau
No hay comentarios :
Publicar un comentario