Evidencia Digital

Definicin
Es toda informacin que se extrae de un medio electrnico, la cual debe
cumplir con ciertas exigencias para su autentificacin, debido a que este
tipo de documentacin digital no deja rastro alguno de ser copiado y en el
intervalo puede modificarse. Por tal razn los investigadores deben generar
varias copias y verificar durante el proceso de trabajo que no haya ninguna
alteracin.
Caractersticas
La evidencia digital es nica, cuando se la compara con otras formas de
evidencia. A diferencia de la evidencia fsica, la evidencia digital es frgil y
una copia de un documento almacenado en un archivo es idntica al
original. Otro aspecto nico es su potencial de realizar copias no autorizadas
de archivos, sin dejar rastro alguno. La evidencia digital posee, entre otras,
las siguientes caractersticas:

Es
Es
Es
Es
Es

voltil
annima
duplicable
alterable y modificable
eliminable

Clasificacin de la evidencia digital

Registros generados por computador: Son aquellos, que como dice su
nombre, son generados como efecto de la programacin de un computador.
Los registros generados por computador son inalterables por una persona.
Estos son llamados registros de eventos de seguridad (logs) y sirven como
prueba.
Registros no generados sino simplemente almacenados por o en
computadores: Son aquellos generados por una persona, y que son
almacenados en el computador, por ejemplo, un documento. En estos
registros es importante lograr demostrar la identidad del generador, y
probar hechos o afirmaciones contenidas en la evidencia misma.
Registros hbridos que incluyen tanto registros generados por
computador como almacenados en los mismos: Los hbridos son
aquellos que combinan afirmaciones humanas y logs. Para que estos
registros sirvan como prueba deben cumplir los dos requisitos anteriores.
Donde encontrar evidencia digital:

Discos slidos (SSD)

Discos rgidos (HDD)
Discos externos
Memorias USB
Smartphones
Celulares
Cmaras digitales

Fax
Etc.

Tipos de evidencia digital:

Documentos de Office: Word, excel.

Servicios de mensajera : E-mails, SMSs, etc
Imgenes digitales: fotos, videos, etc
Bases de datos
Ficheros de registro de actividad: LOGS
Evidencias de host: memoria, conexiones de red, procesos, usuarios
conectados, configuraciones de red, discos, etc.

Criterios de admisibilidad
La evidencia digital debe cumplir con algunos requerimientos para tener
validez jurdica

Autenticidad: La evidencia no ha sido modificada

Precisin: Tanto las herramientas, como los procedimientos no deben
presentar dudas, adems debe estar relacionada con el incidente
Suficiencia: Debe mostrar todo los eventos que relacionan a un
incidente
Conformidad con las leyes y las regulaciones de la administracin de
justicia: La evidencia digital debe cumplir con los cdigos de
procedimientos y disposiciones legales de ordenamiento del pas. Es
decir, debe respetar y cumplir las normas legales vigentes en el
sistema jurdico.

Manipulacin de la evidencia digital

Se debe hacer uso de medios forenses estriles (para copias de

informacin)
Se debe mantener y controlar la integridad del medio original, las
acciones realizadas no deben cambiar nunca esta evidencia.
Cuando sea necesario que una persona tenga acceso a evidencia
digital forense, esa persona debe ser un profesional forense.
Las copias de los datos obtenidas, deben estar correctamente
marcadas, controladas y preservadas. Y deben estar disponibles para
su revisin. Siempre que la evidencia digital este en poder de algn
individuo, ste ser responsable de ella, mientras est en su poder.
Las agencias responsables de llevar el proceso de recoleccin y
anlisis de la evidencia digital, sern quienes deben garantizar el
cumplimiento de los principios anteriores.