ADQUISICIN DE IMGENES FORENSES EN DISPOSITIVOS O MEDIOS DE

ALMACENAMIENTO DE DATOS.

ADALID ABOGADOS

Nit. 900.095.522-5
Cll 93 A No. 9 a- 07
Bogot, Colombia
info@adalidabogados.com
Tel/Fax 571-6047536
www.adalidabogados.com

Phones: (+571) 604 7536 - (+571) 325 6962 / E-mail: info@adalidabogados.com

Address: Calle 93 A No. 9A-07 Bogot Colombia / www.adalidabogados.com

CONFIDENCIALIDAD DE LA INFORMACIN

Este documento contiene informacin de ADALID ABOGADOS que es

considerada secreto industrial. La informacin aqu suministrada debe ser
utilizada exclusivamente por ADALID ABOGADOS y terceros explcitamente
definidos por ADALID ABOGADOS, en el marco de la ejecucin de las
labores normales del negocio en ADALID ABOGADOS, as como en la
ejecucin de contratos y exploracin de potenciales beneficios mutuos en
negocios conjuntos con ADALID ABOGADOS. Al recibir este documento,
usted est de acuerdo en mantener la confidencialidad de su contenido,
permitiendo el acceso al mismo slo a personas de la organizacin que
tengan responsabilidad en la ejecucin del negocio, los contratos y/o
exploraciones citadas. Igualmente, usted se compromete a no copiar,
reproducir ni distribuir copia alguna, en parte o en todo de dicha
informacin, sin la previa autorizacin escrita de ADALID ABOGADOS.

INTRODUCCIN.

La imagen es uno o ms archivos que contienen la estructura y el

contenido completo de un dispositivo o medio de almacenamiento de
datos, como una memoria USB, discos pticos como CD o DVD o discos
duros.
La imagen se crea, adquiriendo una copia bit a bit y sector por sector del
medio de origen, de acuerdo a lo anterior al examinar la imagen, se
recrea perfectamente la estructura y contenidos de un dispositivo de
almacenamiento.
La adquisicin y manejo de la imagen de dispositivos de almacenamiento
se realiza con software forense especializado y certificado a nivel mundial,
con procedimientos tcnicos estandarizados en manejo de evidencias
digitales, para que posteriormente sean usadas como evidencias forenses
validas y as nace el concepto de imgenes forenses.

PROCEDIMIENTO PARA LA ADQUISICIN DE IMGENES FORENSES.

Cuando los medios o dispositivos de almacenamiento se encuentran en

el laboratorio de Adalid Abogados se procede a la adquisicin de una
imagen forense, as:

Se prepara el equipo de cmputo forense1, donde se encuentra

instalado el software de anlisis.

Se utilizan bloqueadores de escritura a nivel de hardware y

bloqueadores de escritura a nivel de software para conectar los
medios o dispositivos de almacenamiento de origen al equipo de
cmputo forense, esto con el fin de no alterar los datos
contenidos en los medios de almacenamiento.
(No aplica para medios de almacenamiento como CD o DVD)

Se utiliza el software forense especializado para adquirir la

imagen forense.

Las imgenes adquiridas se guardan, el original en un disco duro,

previamente sanitizado, y luego se realiza una copia forense del
original, con los mismos estndares antes mencionados. Esta
ltima copia es sobre la cual se trabaja.

El equipo de cmputo forense es un conjunto de hardware y software de alto
rendimiento, con caractersticas tcnicas que permiten obtener, analizar y asegurar
evidencia digital.

INICIO DE CADENA DE CUSTODIA DIGITAL

Se utiliza el software Certievidencia herramienta propietaria de Adalid
Abogados desarrollada en compaa con Certicmara.
Esta herramienta obtiene el respectivo algoritmo HASH de todo el
contenido de los medios o dispositivos de almacenamiento, lo cual
garantiza la integridad de la imagen obtenida, al mismo tiempo hace un
estampado cronolgico.
El estampado cronolgico es un servicio mediante el cual se garantiza la
existencia de un mensaje de datos o informacin digital, en un
determinado instante de tiempo, este es efectuado en tiempo real por
Certicmara, con el reloj atmico de la Superintendencia de Industria y
Comercio, lo que le da toda la validez legal de conformidad con la Ley
527 de 1999, ms cuando es un tercero ajeno a la relacin el que lo hace.
Mediante la emisin de una estampa de tiempo es posible garantizar el
instante de creacin, modificacin, recepcin, etc., de un determinado
mensaje de datos o informacin digital, impidiendo su posterior alteracin.
Las Estampas Cronolgicas Certificadas emitidas por Certicmara cumplen
con el estndar TSA (Time Stamp Authority) descrito en los documentos RFC
3628 y 3161. Igualmente, cumple los estndares establecidos por la Ley 527
de 1999.
La informacin contenida en la estampa cronolgica certificada
proporciona 3 datos:

Tiempo del da: expresado en hora, minuto y segundo (hh: mm: ss)
de acuerdo con el Sistema Internacional de Medidas.
(ii) Fecha: expresada en da, mes y ao (dd: mm: aaaa).
(iii) Firma de los datos realizada con el certificado de Certicmara.

Como se explic, Certicmara proporciona los valores asignados al tiempo

del da y la fecha con base en la Hora Legal de La Repblica de Colombia
tomada directamente de los patrones de referencia del Laboratorio de
Tiempo y Frecuencia de la Superintendencia de Industria y Comercio.
Los valores asignados al tiempo del da y la fecha de una estampa
cronolgica certificada, no tienen en cuenta ni aplican en ningn caso los
valores que el sistema informtico del solicitante seale y ningn tercero
puede cambiar o solicitar la aplicacin de valores distintos de tiempo del
da y fecha.

CADENA DE CUSTODIA
Se deben tener en cuenta ciertos parmetros que garantizan la fecha y
hora en que se tomo, que no ha sido alterada, quin la tomo, que esta
integra, en resumn la transparencia y no contaminacin de la evidencia
digital en el momento de hallarla, recolectarla y documentarla, embalarla
y transportarla.
A la hora de manipular la evidencia digital y/o los equipos de cmputo
que la contienen debemos contar con herramientas de mano como
destornilladores, pinzas, etc., para la extraccin de la evidencia,
accesorios de proteccin personal y de proteccin de la evidencia digital,
como guantes de ltex o caucho, gafas de proteccin, manillas
antiestticas para evitar que descargas elctricas alteren o daen los
equipos de computo en los que se est trabajando y hasta la misma
evidencia digital y tapabocas si es necesario.
Contar con una cmara fotogrfica anloga o que efectu hash de las
fotografas, de no ser posible se debe obtener el algoritmo hash en el lugar,
de las fotografas tomadas con una cmara digital, para la fijacin de la
evidencia digital, de los equipos de cmputo y del sitio o lugar del
hallazgo.
Hallando:

Se debe documentar y fotografiar el lugar del hallazgo. (Ver fotografas

Identificar el computador o servidor donde se encuentren los medios

o dispositivos de almacenamiento con su marca y modelo. (Ver

de ejemplo.)

fotografas de ejemplo.)

Utilizar los accesorios de proteccin y la herramienta de mano, para

destapar los equipos de cmputo e identificar los medios de
almacenamiento o evidencia digital. (Ver fotografas de ejemplo.)

Realice fijacin fotogrfica del interior del equipo de cmputo y de

la ubicacin de los medios de almacenamiento o evidencia digital,
identifique las conexiones desconecte el cable de datos y
alimentacin. (Ver fotografas de ejemplo.)

Recolectando:

Al ubicar los medios o dispositivos de almacenamiento, se deben

extraer utilizando la herramienta de mano, retire los tornillos o
sistemas de fijacin del dispositivo. (Ver fotografas de ejemplo.)

Identificar detalladamente con marca, capacidad, serial y su

tecnologa si es IDE-SATA-SAS-RAID, etc. (Ver fotografas de ejemplo.)

Embalando:

El embalaje de la evidencia digital, comienza con la imposicin de

CERTIEVIDENCIA, que asegura la ineralterabilidad de la imagen
forense, despus de la extraccin, el perito no podr certificar antes
de esto ineralterabilidad alguna.

Se debe embalar la evidencia de forma que se pueda transportar,

mover y manipular sin causarle algn dao fsico, protegerla de
alguna descarga elctrica y magntica, es muy importante contar
con los empaques necesarios como bolsas plsticas, de papel, de
burbuja, bolsas antiestticas, contar con cajas o maletas adecuadas
para el transporte y evitar que choques o golpes afecten fsicamente
la evidencia, contar con materiales blandos como espuma o corcho
para la proteccin de la evidencia y cinta aislante para sellar los
puertos de conexin de la evidencia digital.

Con la cinta aislante se debe sellar los puertos de conexin de los

medios de almacenamiento. (Ver fotografas de ejemplo.)

10

Introduzca la evidencia digital en una bolsa antiesttica, bolsas

metalizadas o con tiras conductivas empleadas para evitar
descargas electrostticas a la parte electrnica de la evidencia
digital. (Ver fotografas de ejemplo.)

11

Rodee la evidencia digital de plstico de burbujas, espuma o algn

otro material sinttico, que no le d al conjunto una rigidez excesiva.
Si no tiene bolsa antiesttica, utilice directamente el plstico de
burbujas. Si an conserva el embalaje original del dispositivo, utilcelo.
(Ver fotografas de ejemplo.)

Coloque el dispositivo en una caja, rellnela aproximadamente

hasta la mitad de algn material blando. Introduzca el dispositivo y
cbralo de ms material hasta dejarlo totalmente protegido. No se
debe utilizar ningn tipo de papel, ya que puede acumular
humedad.

Despus del embalaje, se debe realizar el procedimiento de cadena de

custodia2 diligenciando el rotulo y el formato de cadena de custodia con
su respectivo registro de continuidad, se debe ser muy preciso con la
informacin escrita, como quien halla, recoge y embala, lugar de hallazgo
y descripcin. (Ver fotografas de ejemplo.)

2 Cadena de custodia: Es el conjunto de acciones, medidas logsticas y los actores
partcipes que, fehacientemente registrados en un informe, garantizan la salvaguarda de
la identidad e integridad de los medios digitales que van a ser analizados.

12

Terminada la identificacin de los medios de almacenamiento, su

descripcin y su embalaje se deben llevar al laboratorio de evidencias
digitales de Adalid Abogados, donde sern guardados en una caja fuerte
donde solo el gerente tiene acceso.

13

BIBLIOGRAFA

1. Seminario de delitos informticos. (Instructivo para el hallazgo,

identificacin y embalaje de la evidencia digital)
John Jairo Echeverry Aristizabal
2. Informtica forense: metodologa y aplicacin a sistemas Windows.
Rosala Ramos Fnez
3. Conceptos de computacin.
June Jamrichoja Parsons, Carl McDaniel
4. Temas de derecho penal, seguridad pblica y criminalstica.
Garca Ramrez, Olga islas de Gonzlez Mariscal, Leticia a. Vargas
Casillas
5. Cadena de custodia e-evidence
Dr. Andrs GUZMAN CABALLERO.

Enlaces de internet:
1. http://es.wikipedia.org/wiki/Imagen_de_disco
2. http://es.wikipedia.org/wiki/C%C3%B3mputo_forense

14