ISO/IEC 27037:2012 y el Perito Informático

1378

¿Cuál es la norma ISO/IEC 27037:2012 y su relación con el Perito Informático para el cumplimiento de la cadena de custodia?

La ISO/IEC 27037:2012 proporciona pautas para el manejo de las evidencias digitales; sistematizando la identificación, recolección, adquisición y preservación de las mismas. Estos procesos deben diseñarse para mantener la integridad de las evidencias y con una metodología aceptable para contribuir a su admisibilidad en procesos legales.

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia.

Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital. Esta norma internacional también proporciona directrices generales para la obtención de pruebas no digitales que pueden ser útiles en la etapa de análisis de la evidencia digital.

La norma ISO/IEC 27037:2012 pretende orientar a aquellos responsables de la identificación, recolección, adquisición y preservación de potencial evidencia digital. Estos individuos incluyen:

Digital Evidence First Responder (DEFRs) o especialista en evidencia digital de primera intervención.
Digital Evidence Specialist (DESs) o especialista en evidencia digital, especialistas en respuestas a incidentes y directores de laboratorios forenses.

De esta manera se asegura que las personas responsables de gestionar evidencias digitales, lo hagan con prácticas aceptadas en todo el mundo, con el objetivo de realizar la investigación de una manera sistemática e imparcial, preservando su integridad y autenticidad.

La ISO/IEC 27037:2012 está destinada a aquellas personas que necesitan determinar la confiabilidad de la evidencia digital que se les presenta. Es aplicable a las organizaciones que necesitan formalmente establecer un marco de aceptabilidad. La evidencia digital a la que hace referencia puede obtenerse de diferentes tipos de dispositivos digitales, redes, bases de datos, etc. Se refiere a datos que ya están en formato digital y no abarca la conversión de datos analógicos a formato digital. La rigurosidad de la aplicación de una metodología adecuada se debe a la fragilidad de la evidencia digital.

La aplicación de esta norma internacional exige el cumplimiento de las leyes, normas y reglamentos nacionales. La norma ISO/IEC 27037:2012 no hace ninguna referencia a requisitos específicos de cada jurisdicción que se refieren a cuestiones como la admisibilidad, la ponderación probatoria, la pertinencia y otras limitaciones que controlan el uso de la evidencia digital en los tribunales de justicia. Sin embargo, puede ayudar al intercambio de evidencia digital entre jurisdicciones.

La norma presenta el concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener en cuenta:

Un identificador unívoco de la evidencia.
Quién, cuándo y dónde se accede a la evidencia.
El pasaje de la evidencia de un sitio a otro y tareas realizadas.
Todo cambio potencial en la evidencia digital debe registrarse con el nombre del responsable y la justificación de las acciones realizadas.

Los principios fundamentales de la norma son los siguientes:

Metodología: La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de respaldo.
Auditoría del proceso: Los procedimientos seguidos y la documentación generada deben haber sido validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar trazas y evidencias de lo realizado, así como sus resultados.
Reproducción del proceso: Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas. Y deben poder ser repetidos, por peritos informáticos distintos a quiénes lo ejecutaron la primera vez. Debe partirse de las mismas premisas y obtener los mismos resultados.
Defensa del proceso: Necesariedad de que el proceso pueda ser defendible. Para ello se demostrará la adecuación de todas las herramientas utilizadas, éstas, deben haber sido validadas y contrastadas en su uso.

La normativa ISO/IEC 27037:2012 divide, para cada tipo de dispositivo, la actuación o su tratamiento en tres procesos como modelo de tratamiento genérico de las evidencias:

Identificación: Localizar e identificar donde está la información potencial, ya sea en estado físico o lógico.
Adquisición: recolección de la evidencia o de una copia forense de la misma, así como de la documentación asociada a ésta.
Conservación: preservación de la evidencia como elemento inalterado, al objeto de que pueda ser admitido como prueba, es decir, conservando su cadena de custodia.

El perito informático y la cadena de custodia

Realmente la importancia del cumplimiento de esta normativa es, sobre todo a nivel procesal, que la prueba ha debido ser extraída cumpliendo los parámetros técnicos que aseguren que la prueba está extraída del dispositivo original, sin intermediarios, grabaciones de grabaciones o copias sin que exista un hash que autentifique la cadena de custodia desde el original.

La grabación de la grabación de vídeo o audio, el reenvío de mensajes de correos o whatsapps, o cualquier otra que no sea extraída del original, necesitará una verificación posterior más especializada aún ya que hay que ver el contenido del fichero para intentar asegurar que no es manipulación del original, lo que en muchos casos es imposible.

Porque, si tengo un reenvío de un mensaje o una grabación de una llamada que se ha hecho en ambiente, ¿cómo se puede asegurar el perito informático que no he manipulado algo y luego lo he grabado? Podremos dar validez a que la grabación de la grabación no se ha modificado, pero no a que el original es o no el auténtico.

Esto se llama incumplimiento de la cadena de custodia.

Contacte con nuestros Peritos Informáticos

Somos expertos en detección de programas espías para móviles y ordenadores. En Globátika Lab contamos con peritos informáticos cualificados en toda España que han resuelto más de 700 casos.

Para cualquier consulta, no dude en llamarnos al teléfono gratuito 900 649 252, o ponerse contacto a través del formulario de contacto de nuestra página web, estaremos encantados de atenderle.

Cookie	Tipo	Duración	Descripción
1P_JAR	De Terceros	1 mes	Google utiliza esta cookie para personalizar los anuncios según los intereses personales.
ANID	De Terceros	1 año	Estas cookies tienen una finalidad publicitaria del servicio Google Adwords. Contienen un valor generado aleatoriamente único que permite a la Plataforma para distinguir navegadores y dispositivos. Esta información es utilizada para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.
CONSENT	De Terceros	Permanente	Guarda el consentimiento de aceptación de cookies de Google.
cookielawinfo-checkbox-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies necesarias.
cookielawinfo-checkbox-non-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies no necesarias.
fr	De Terceros	3 meses	Cookie de pixel de Facebook de conversión, publicidad y remarketing
IDE	De Terceros	1 año	Cookie publicitaria que se utiliza para registrar y reportar las acciones del usuario sobre la visualización e interacción en anuncios con el propósito de mejorar la eficacia de estos y presentar los mismos bajo un segmento determinado.
NID	De Terceros	6 meses	Contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido (por ejemplo, el español), el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro SafeSearch de Google esté activado o desactivado.
_fbp	De Terceros	3 meses	Utilizada por Facebook para proporcionar una serie de productos publicitarios como pujas en tiempo real de terceros anunciantes.
_ga	De Terceros	2 años	Google Analytics. Se usa para distinguir a los usuarios
_gat	De Terceros	1 minuto	Google Analytics. Se usa para limitar el porcentaje de solicitudes. Si se ha implementado Google Analytics mediante Google Tag Manager, esta cookie se llamará _dc_gtm_.
_gid	De Terceros	24 horas	Google Analytics. Se usa para distinguir a los usuarios.

¿Cuál es la norma ISO/IEC 27037:2012 y su relación con el Perito Informático para el cumplimiento de la cadena de custodia?

El perito informático y la cadena de custodia

Contacte con nuestros Peritos Informáticos

Artículos relacionadosMás del autor

UNE 50132. Numeración de las divisiones y subdivisiones en los documentos escritos.

ISO 71506/2013. Metodología para el análisis forense de las evidencias electrónicas.

ISO 71505/2013-3. Formatos y mecanismos técnicos

Cookies

Artículos relacionados Más del autor