La cadena de custodia informático forense: 1ª Parte

 "No temo a los ordenadores; lo que temo es quedarme sin ellos". Isaac Asimov

Autores : Prof(s) Ing(s) María Elena Darahuge y Luis Enrique Arellano González

La preservación de la cadena de custodia sobre la prueba indiciaria criminalística, es un objetivo que afecta a la totalidad de los miembros del poder judicial, los operadores del derecho y sus auxiliares directos.

Entre éstos últimos debemos incluir el personal de las Fuerzas de Seguridad, las Policías Judiciales y al conjunto de Peritos Oficiales, de Oficio y Consultores Técnicos o Peritos de Parte.

Por esta razón el establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de métodos y procedimientos que aseguren la confiabilidad de la información recolectada, único elemento integrador a proteger en los activos informáticos cuestionados, ya que incluye la confidencialidad, la autenticidad, la integridad y el no repudio de los mismo, es una necesidad imperiosa para asegurar el debido proceso en cualquiera de los fueros judiciales vigentes.

En términos sencillos implica establecer un mecanismo que asegure a quien debe Juzgar, que los elementos probatorios ofrecidos como Prueba Documental Informática, son confiables. Es decir que no han sufrido alteración o adulteración alguna desde su recolección, hecho que implica su uso pertinente como indicios probatorios, en sustento de una determinada argumentación orientada a una pretensión fundada en derecho.

El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, desde la sana crítica, la prueba tasada o las libres convicciones según sea el caso y la estructura judicial en que se desarrolle el proceso.

Consideramos a la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia y que tiene como fin asegurar la inocuidad y esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial.

Para asegurar estas acciones es necesario establecer un riguroso y detallado registro, que identifique la evidencia y posesión de la misma, con una razón que indique, lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no).

Desde la detección, identificación, fijación, recolección, protección, resguardo empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la escena, es la misma que se está presentando ante el evaluador y/o decisor.

Subsidiariamente, pero a idéntico tenor, es importante considerar el significa-do implícito en los indicios recolectados, el valor que van a tener en el proceso de investigación, análisis y argumentación del cual dependen. En dicho marco de referencia es que adquirirán su relevancia y pertinencia, de ahí la necesidad de evitar en lo posible la impugnación de los mismos en razón de errores metodológicos propios de cada disciplina en particular (no son idénticas la cadena de custodia de muestras biológicas que la que se corresponde con armas, o documentos impresos o virtuales). Es por esta razón que existen componentes genéricos y componentes particulares en toda cadena de custodia. Por ejemplo el realizar un acta de secuestro es un elemento genérico, pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre el archivo secuestrado es un elemento propio de la cadena de custodia informático forense.

Suele asociarse a la cadena de custodia con el proceso judicial orientado a dilucidar acciones delictivas, sin embargo la misma no se agota en el orden penal. En particular la cadena de custodia informático forense debe preservarse en todas las transacciones virtuales susceptibles de ser valoradas económicamente. Cuando un banco realiza una transferencia de fondos o un consumidor adquiere un producto por medios virtuales (Internet entre otros) requiere de esa operación la misma confiabilidad que puede aportarle la cadena de custodia informático forense, es decir afecta en todo momento a la comunidad virtual y sus actores involucrados.

Al recolectar las pruebas, lo importante es el significado, el valor que va a tener en el proceso de investigación y por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar, al haberse acatado el procedimiento.

Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria ante el encargado de decidir a partir de la misma, es necesario que la misma sea garantizada respecto de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente adecuado. Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.

Definición: Podemos definir a la cadena de custodia informático forense como un procedimiento controlado y supervisable, que se aplica a los indicios materiales o virtuales relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia y que tiene como fin asegurar la confiabilidad de la prueba documental informática recolectada en un determinado lugar del hecho real o virtual desde su recolección hasta su disposición definitiva por orden judicial.

Sin embargo, esta definición es abarcativa, pero genérica, la prueba documental informática tiene componentes particulares diferenciativos que la tornan sumamente diversa a la hora de recolectar, preservar y trasladar la misma:

1. La prueba documental informática consiste en indicios digitalizados, codificados y resguardados en un contenedor digital específico. Es decir toda información es información almacenada (aún durante su desplazamiento por una red, está almacenada en una onda electromagnética).

2. Es necesario diferenciar entre el objeto que contiene a la información (discos magnéticos, ópticos, cuánticos, ADN, proteínas, etc.) de su con-tenido: información almacenada y sobre todo de su significado.

3. Para este caso consideramos:

a. Información: Todo conocimiento referido a un objeto o hecho, susceptible de codificación y almacenamiento.

b. Objeto: Conjunto físicamente determinable o lógicamente definible.

4. La información puede estar en uno de los siguientes estados:

a. Almacenada: se encuentra en un reservorio a la espera de ser accedida (Almacenamiento primario, secundario o terciario) es un estado estático y conforma la mayoría de las recolecciones posibles, sin embargo difiere de la mayoría de los indicios recolectables, en que puede ser accedida por medios locales y/o remotos.

b. En desplazamiento: es decir viajando en un elemento físico determinado (cable, microonda, láser, etc.), es susceptible de recolección mediante intercepción de dicho elemento y está condicionada por las mismas cuestiones legales que la escucha telefónica o la violación de correspondencia.

c. En procesamiento: es el caso más complicado y constituye la primera decisión a tomar por el recolector. Ante un equipo en funcionamiento, donde la información está siendo procesada, es decir modificada, actualizada y nuevamente resguardada, debe decidir si apaga o no el equipo. Esta decisión es crítica y puede implicar la pérdida de información y la destrucción de la prueba documental informática pretendida [1] . La solución por medio del acceso remoto, indetectable por el accedido, es un tema que aún no se encuentra en discusión en nuestro país[2].

5. En cuanto a su significado, el mismo tendrá la validez que le asigne su inserción como elemento pertinente y conducente a la argumentación presentada como sustento de la pretensión jurídica manifestada. Es decir no deja de ser un documento más, que difiere de la prueba documental clásica (bibliográfica, foliográfica y pictográfica) únicamente en el soporte (digital vs. papel).

6. Sin embargo es necesario tener en cuenta que un bit no es similar sino idéntico a otro bit. De ahí que una copia bit a bit de un archivo digital es indiferenciable de su original, esto significa que no puede establecerse cuál es el original y cual su copia, salvo que hayamos presenciado el proceso de copiado y tengamos conocimiento sobre cuál era el contenedor del original y cuál el de la copia (método indirecto e independiente de los archivos considerados) Esto no resulta en un inconveniente sino en una ventaja, desde el punto de vista de la cadena de custodia, ya que permite preservar la copias, manteniendo el valor probatorio del original y evitando riesgos para el mismo. Se puede entregar al perito una copia de los archivos dubitados y preservar los mismos en su reservorio original en el local del Tribunal y con las seguridades que este puede ofrecerle (entre otros caja fuerte)[3].

7. Mientras que en la recolección física de prueba indiciaria tradicional, se secuestra el indicio y se lo traslada, en la recolección de documental informática esta acción puede realizarse o no, ya que es suficiente con copiar bit a bit la prueba y luego trasladar dicha copia. Es una extensión del caso anterior, donde no es necesario entregar el original al perito si-no que alcanza con su copia. La recolección de prueba, mediante copia debidamente certificada puede sustituir perfectamente al original, es aplicable a los casos en que la información esté almacenada en reservorios vitales para la operación de una determina entidad u organización estatal o privada. Supongamos la necesidad de secuestrar información almacenada en uno de los servidores operativos del Banco Central, es evidente que el secuestro de dicho servidor, podría sacar de operación a la entidad con las consecuencias que dicho hecho implicaría, mientras que su copia, certificación mediante hash y ante la autoridad judicial, administrativa o notarial correspondiente, en nada afectaría a la continuidad del servicio y serviría perfectamente como elemento probatorio.

8. Los mecanismos de certificación digital (hash, firma electrónica, firma digital) son mucho más confiables y difíciles de falsificar que los mismos elementos referidos a la firma y certificación ológrafas. Sin embargo la susceptibilidad de los operadores del derecho ante el nuevo mundo virtual hace que tengan sensaciones de inseguridad que no tienen sustento alguno en la realidad matemática que brinda soporte a los mecanismos referidos. Se adopta una actitud sumamente crítica y negativa frente a la seguridad que los mismos brindan, en parte como consecuencia de la necesidad implícita de confiar en algoritmos que no se conocen. Entender, comprender y analizar un algoritmo de cifrado por clave pública, es una tarea de expertos y que no está al alcance de una formación matemática básica como la que posee la mayoría de los operadores del derecho. Por otra parte el individuo inserto en la sociedad tiende más a confiar en la medicina (por eso no cuestiona los métodos del médico legista o del psiquiatra forense) que la matemática con la que se relaciona mucho menos[4]. Es un proceso lento de aceptación, que como todo en derecho seguramente llegará a posteriori del desarrollo social y tecnológico que nos rodea e impulsa hacia el futuro.

La informática forense como especialidad dentro de la criminalística debe incluir los requisitos generales establecidos en la Inspección Judicial en Criminalística. En esta especialidad los elementos dubitados pueden ser del tipo físico o virtual. En el caso de los elementos virtuales la detección, identificación y recolección deberá efectuarse en tiempo real, es decir en vivo, con el equipo encendido. La información es un elemento intangible que se encuentra almacenado en dispositivos que pueden ser volátiles o no. Con el fin de determinar la validez de la información contenida en los mencionados dispositivos será necesario efectuar la correspondiente certificación matemática por medio de un digesto o hash. Esta comprobación es la que permitirá posteriormente determinar la integridad de la prueba recolectada y su correspondencia con el elemento original.

El objetivo principal es preservar la evidencia, por lo tanto al acceder al lugar del hecho deberá:

- Identificar - - Situar - - Relacionar

A través de un accionar metódico, sistemático y seguro, cuya consigna será:

- Rotular - - Referenciar - - Proteger -

En síntesis, se deberá mantener la seguridad, procurar el resguardo legal y aplicar una metodología estricta.

En el lugar del hecho se deberá seguir una secuencia de pasos expresadas en el siguiente procedimiento que será considerado como la etapa preliminar a la elaboración del formulario de la cadena de custodia, el cual debe ser considerado como información confidencial, clasificada y resguardada en un lugar seguro:

1. Detección, Identificación y registro

En lo posible se deben identificar la totalidad de los elementos informáticos dubitados, –computadoras, red de computadoras, netbook, notebook, celular, ipad, gps, etc.-.- Inventario de Hardware en la Inspección y Reconocimiento Judicial - Formulario Registro de Evidencia

a. Colocarse guantes

b. Fotografiar el lugar del hecho o filmar todos los elementos que se encuentran en el área de inspección, desde la periferia hacia el área dubitada.

c. Fotografiar los elementos informáticos, determinando en cuál de ellos efectuar macro fotografía:

1. Pantallas del monitor del equipo dubitado.

2. Vistas frontal, lateral y posterior, según corresponda

3. Números de series de los elementos informáticos, etiquetas de garantías.

4. Periféricos, (teclados, mouse, monitor, impresoras, agendas PDA, videocámaras, video grabadora, Pendrive, dispositivos de almacenamiento en red, Unidades de Zip o Jazz, celula-res, ipod, entre otros)
5. Material impreso en la bandeja de la impresora o circundante


6. Cableados
7. Dispositivos de conectividad, alámbricos e inalámbricos
8. Diagramas de la red y topologías

d. Inventariar todos los elementos utilizando una planilla de registro del hardware, identificando: Tipo, Marca, Número de serie, Registro de garantía, Estado (normal, dañado), Observaciones Particulares. consultar Inventario del hardware de la Inspección Judicial y Reconocimiento Judicial – Formulario de Registro de evidencia de la computadora
e. Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, la ubicación del o los equipos informáticos y de cualquier otro elemento, mobiliario, racks, cableado, existentes en el área a inspeccionar, para luego representarlo con cualquier herramienta de diseño.

2. Recolección de los elementos informáticos dubitados –Físicos o Virtuales-
El Perito Informático Forense deberá recolectar la evidencia procediendo acorde al origen del requerimiento de la pericia informático forense, a saber:



1. Por orden judicial, cuyo texto indica:
a. Secuestrar la evidencia para su posterior análisis en el laboratorio, el Perito Informático Forense procederá a:

1 Certificar matemáticamente la evidencia
2 Identificar y registrar la evidencia
3 Elaborar un acta ante testigos
4 Iniciar la cadena de custodia
5 Transportar la evidencia al laboratorio

b. Efectuar la copia de la evidencia para su posterior análisis en el laboratorio, el Perito Informático Forense procederá a:
1 Certificar matemáticamente la evidencia
2 Duplicar la evidencia
3 Identificar y registrar la evidencia y la copia
4. Elaborar un acta ante testigos
5 Transportar la copia o duplicación de la evidencia al laboratorio

2. Por solicitud particular de una persona específica, de una consultora, empresa, institución, organismo o por otros profesionales, el Perito In-formático Forense procederá a:

a. Concurrir al lugar del hecho con un escribano público.

b. Certificar matemáticamente la evidencia ante el escribano públi-co.

c. Duplicar la evidencia ante escribano público.

d. Solicitar al escribano que deje constancia en el acta de los motivos del secuestro, de los datos de la o las personas que solicitaron la pericia, las razones argumentadas y los fines pretendidos.

e. Solicitar una copia del acta realizada por el escribano.

f. Transportar la copia de la evidencia para su posterior análisis en el laboratorio
a. Duplicación y autenticación de la prueba

En ciertas situaciones el Perito Informático Forense no podrá trasladar el equipamiento que contiene la información dubitada, por lo tanto deberá en el lugar del hecho efectuar la duplicación de la información contenida en su repositorio original. Esta tarea se deberá realizar de manera tal que la duplicación o copia generada preserve la validez de su contenido original.

A continuación se enuncian los pasos para efectuar la autenticación y duplicación de la prueba, el Perito Informático Forense llevará en su maletín los dispositivos de almacenamiento limpios y desinfectados y el dispositivo de arranque (disco rígido externo, CD ROM, DVD, diskette) o inicio en vivo protegido contra escritura, que contiene el software de base seleccionado para la tarea y el software de autenticación y duplicación.

Las imágenes de los discos se deben realizar bit a bit para capturar la totalidad del disco rígido los espacios libres, no asignados y los archivos de intercambio, archivos eliminados y ocultos. Acorde a lo expresado por el NIST[5] (National Institute of Standard and Technlogy), la herramienta utilizada para la generación de la imagen debe reunir ciertas especificaciones, a saber:

1. La herramienta deberá efectuar una imagen bit a bit de un disco original o de una partición en un dispositivo fijo o removible

2. La herramienta debe asegurar que no alterará el disco original.

3. La herramienta podrá acceder tanto a discos SCSI como IDE.

4. La herramienta deberá verificar la integridad de la imagen de disco generada.

5. La herramienta deberá registrar errores tanto de entrada como de salida e informar si el dispositivo de origen es más grande que el de des-tino.

6. Se debe utilizar un bloqueador de escritura, preferiblemente por hardware, para asegurar la inalterabilidad del elemento de almacenamiento accedido.

La documentación de la herramienta deberá ser consistente para cada uno de los procedimientos. Esta imagen del disco se utilizará en la computadora del laboratorio para efectuar el análisis correspondiente.

1. Apagar el equipo desconectando el cable de alimentación eléctrica.

2. Retirar diskette, PenDirve, Zip.

3. Descargar la propia electricidad estática, tocando alguna parte metálica y abrir el gabinete.

4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI.

5. Desconectar la alimentación eléctrica del dispositivo de disco rígido

6. Ingresar al CMOS (Complementary Metal Oxide Semiconductor) o Configuración del BIOS (Sistema de entrada y salida de la computadora):

a. Encender la computadora

b. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora para acceder al CMOS
c. Verificar la fecha y hora del CMOS y registrarla en el formulario de recolección de evidencia. y documentar todo tipo de dato que el Perito Informático Forense considere relevante.
d. Modificar la unidad de inicio o arranque del sistema operativo, es de-cir seleccionar la unidad de diskette, CD-ROM / DVD o zip.
e. Guardar los cambios al salir

8. Verificar la existencia de discos CD-ROM o DVD:

a. Abrir la lectora o grabadora de CD-ROM o de DVD y quitar el disco pertinente

9. Colocar la unidad de arranque, diskette, CD-ROM/DVD o zip en el dispositivo de hardware pertinente

10. Verificar el inicio desde la unidad seleccionada.

11. Apagar el equipo

12. Asegurar el dispositivo de almacenamiento secundario original –generalmente está configurado en el CMOS como Master –maestro o primario- con protección de solo lectura, a través de la configuración de los jumpers que indique el fabricante del disco o a través de hardware bloqueador de lectura.

13. Conectar el cable plano al disco rígido, puede ser IDE o SCSI

14. Conectar la alimentación eléctrica del dispositivo de disco rígido master –maestro o primario-

15. Conectar el dispositivo que se utilice como destino para hacer la duplicación del disco rígido dubitado como slave –esclavo o secundario-, ya sea una controladora SCSI, un disco IDE esclavo o una unidad de cinta, o cualquier otro hardware utilizado para la duplicación de tamaño superior al disco original o dubitado. Si el almacenamiento secundario original es demasiado grande o es un arreglo de discos, efectuar la copia en cintas.

16. Verificar que en el dispositivo de arranque seleccionado se encuentren los controladores del hardware para la duplicación, en caso de que sean requeridos.

17. Encender la computadora iniciando desde la unidad de arranque configurada en el CMOS.

18. Efectuar la certificación matemática del dispositivo dubitado.

19. Guardar el resultado en un dispositivo de almacenamiento

20. Registrar el resultado en el formulario verificación de la evidencia

21. Duplicar el dispositivo de los datos con la herramienta de software y hardware seleccionada.

22. Efectuar, acorde al requerimiento de la pericia una o dos copias de la evidencia. En el caso de realizar dos copias, una se deja en el lugar del hecho, para permitir la continuidad de las actividades, otra copia se utiliza para el análisis en el laboratorio del perito informático forense y el original se deja en depósito judicial o si la pericia ha sido solicitada por un particu-lar, registrarlo ante escribano público y guardarlo, según lo indicado por el solicitante de la pericia y el escribano público.

23. Efectuar la certificación matemática de la o las copias del dispositivo dubitado.

24. Guardar el resultado generado por las copias duplicadas en un dispositivo de almacenamiento.

25. Registrar el resultado generado por las copias duplicadas en el formulario de recolección de la evidencia.

26. Apagar el equipo

27. Retirar los tornillos de sujeción del dispositivo de disco rígido

28. Retirar el disco rígido con cuidado de no dañar el circuito electrónico.

[1] Es una decisiòn en francas condiciones de incertidumbre. Si decide mantener el equipo encendido, corre el riesgo de haber sido detectado durante su aproximación al equipo y que en realidad la actividad del mismo esté consistiendo en borrar de manera segura (técnicas específicas de eliminación de la información que la hacen irrecuperable a los métodos informático forenses, es decir borra sin dejar trazas), con lo que cuanto más tiempo permanezca el equipo funcionando mayor será el daño producido. Si por el contrario decide apagar el equipo, es posible que el mismo tenga un mecanismo de seguridad ante estos eventos que dispare las mismas acciones de borrado detalladas, sobre los equipos remotos, eliminando enlaces y reservorios dentro de la misma red o en redes externas (es muy común que con fines delictivos o no, la información sea almacenada en un reservorio remoto, lo que aumenta la seguridad y confiabilidad de la misma, ya que está excenta de los riesgos edilicios, físicos y lógicos, del local donde se utiliza).

La mejor manera de solucionar este problema es la labor de inteligencia previa (ataques pasivos, consistentes en intercepción, escucha o análisis de tráfico, por medios remotos). Esta tarea resuelve el problema pero requiere disponer de recursos técnicos y sobre todo humanos sumamente escados, por otra parte debe ser autorizada judicialmente y la práctica nos indica que la mayoría de los Juzgados, por muy diversas causas, son sumamente reacios a la hora de autorizar estar intervenciones (lo mismo ocurre con las clásicas y siempre restringidas medidas previas o preliminares, aunque constituyan prueba anticipada y reunan las condiciones requeridas para la misma: peligro en la demora, credibilidad del derecho invocado y contracautela de privacidad).

[2] Con los medios adecuados es perfectamente posible acceder a un equipo remoto y recolectar la información pretendida, preservando las condiciones legalmente establecidas desde la Constitución Nacional y sus normas derivadas, sin embargo en un ambiente donde la diferencia entre el Delito Informático Impropio (delitos clásicos cometidos utilizando medios informáticos) tipificado en la Ley 26.388 y el Delito Informático Propio (que afecta al bien jurídico protegido: “información”, algo que ni siquiera está contemplado en nuestro Código Penal) es un tema propio sólo de algunos operadores del derecho especializados en derecho de alta tecnología, el suponer la comprensión real de las particularidades que identifican al Lugar del Hecho Virtual (propio e impropio) respecto del Lugar del Hecho Real, parecen ser más una ilusión utópica que una realidad jurídica tangible en el mediano plazo.

[3] Si un documento en papel es reservado en secretaría, en la caja fuerte y luego se le debe realizar una pericia caligráfica, debe ser entregado al perito, porque sólo puede trabajar sobre originales. Esto implica la salida de la prueba, abandonando la protección del Tribunal, hasta que regrese al mismo, si durante ese desplazamiento es destruido en forma dolosa o culposa, la prueba se pierde. En cambio si la documental informática es resguardada en el tribunal (por ejemplo en un CD o DVD) y al perito se le entrega una copia de la misma, podrá realizar su tarea sin inconveniente y si su copia es destruida, en nada afecta al original resguardado en el Juzgado.

[4] Las posibilidades reales de ser engañados al comprar un libro por Internet, son mucho menores que sus similares ante un vendedor ambulante, sin embargo sentimos cierta aprensión al ingresar el código de seguridad de nuestra tarjeta de crédito para confirmar la compra, algo que ocurre mucho menos con los jóvenes y los adolescentes, es un problema generacional que supongo se superará con el simple paso del tiempo.

[5] Fecha de consulta 04-11-2011, http://www.nist.gov/index.html