ISO 27037 Perito Informático

¿Cuál es la norma ISO/IEC 27037:2012 y su relación con el Perito Informático para el cumplimiento de la cadena de custodia?

La ISO/IEC 27037:2012 proporciona pautas para el manejo de las evidencias digitales; sistematizando la identificación, recolección, adquisición y preservación de las mismas. Estos procesos deben diseñarse para mantener la integridad de las evidencias y con una metodología aceptable para contribuir a su admisibilidad en procesos legales.

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia.

Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital. Esta norma internacional también proporciona directrices generales para la obtención de pruebas no digitales que pueden ser útiles en la etapa de análisis de la evidencia digital.

La norma ISO/IEC 27037:2012 pretende orientar a aquellos responsables de la identificación, recolección, adquisición y preservación de potencial evidencia digital. Estos individuos incluyen:

  • Digital Evidence First Responder (DEFRs) o especialista en evidencia digital de primera intervención.
  • Digital Evidence Specialist (DESs) o especialista en evidencia digital, especialistas en respuestas a incidentes y directores de laboratorios forenses.

De esta manera se asegura que las personas responsables de gestionar evidencias digitales, lo hagan con prácticas aceptadas en todo el mundo, con el objetivo de realizar la investigación de una manera sistemática e imparcial, preservando su integridad y autenticidad.

La ISO/IEC 27037:2012 está destinada a aquellas personas que necesitan determinar la confiabilidad de la evidencia digital que se les presenta. Es aplicable a las organizaciones que necesitan formalmente establecer un marco de aceptabilidad. La evidencia digital a la que hace referencia puede obtenerse de diferentes tipos de dispositivos digitales, redes, bases de datos, etc. Se refiere a datos que ya están en formato digital y no abarca la conversión de datos analógicos a formato digital. La rigurosidad de la aplicación de una metodología adecuada se debe a la fragilidad de la evidencia digital.

La aplicación de esta norma internacional exige el cumplimiento de las leyes, normas y reglamentos nacionales. La norma ISO/IEC 27037:2012 no hace ninguna referencia a requisitos específicos de cada jurisdicción que se refieren a cuestiones como la admisibilidad, la ponderación probatoria, la pertinencia y otras limitaciones que controlan el uso de la evidencia digital en los tribunales de justicia. Sin embargo, puede ayudar al intercambio de evidencia digital entre jurisdicciones.

La norma presenta el concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener en cuenta:

  • Un identificador unívoco de la evidencia.
  • Quién, cuándo y dónde se accede a la evidencia.
  • El pasaje de la evidencia de un sitio a otro y tareas realizadas.
  • Todo cambio potencial en la evidencia digital debe registrarse con el nombre del responsable y la justificación de las acciones realizadas.

Los principios fundamentales de la norma son los siguientes:

  • Metodología: La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de respaldo.
  • Auditoría del proceso: Los procedimientos seguidos y la documentación generada deben haber sido validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar trazas y evidencias de lo realizado, así como sus resultados.
  • Reproducción del proceso: Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas. Y deben poder ser repetidos, por peritos informáticos distintos a quiénes lo ejecutaron la primera vez. Debe partirse de las mismas premisas y obtener los mismos resultados.
  • Defensa del proceso: Necesariedad de que el proceso pueda ser defendible. Para ello se demostrará la adecuación de todas las herramientas utilizadas, éstas, deben haber sido validadas y contrastadas en su uso.

La normativa ISO/IEC 27037:2012 divide, para cada tipo de dispositivo, la actuación o su tratamiento en tres procesos como modelo de tratamiento genérico de las evidencias:

  • Identificación: Localizar e identificar donde está la información potencial, ya sea en estado físico o lógico.
  • Adquisición: recolección de la evidencia o de una copia forense de la misma, así como de la documentación asociada a ésta.
  • Conservación: preservación de la evidencia como elemento inalterado, al objeto de que pueda ser admitido como prueba, es decir, conservando su cadena de custodia.

El perito informático y la cadena de custodia

Realmente la importancia del cumplimiento de esta normativa es, sobre todo a nivel procesal, que la prueba ha debido ser extraída cumpliendo los parámetros técnicos que aseguren que la prueba está extraída del dispositivo original, sin intermediarios, grabaciones de grabaciones o copias sin que exista un hash que autentifique la cadena de custodia desde el original.

La grabación de la grabación de vídeo o audio, el reenvío de mensajes de correos o whatsapps, o cualquier otra que no sea extraída del original, necesitará una verificación posterior más especializada aún ya que hay que ver el contenido del fichero para intentar asegurar que no es manipulación del original, lo que en muchos casos es imposible.

Porque, si tengo un reenvío de un mensaje o una grabación de una llamada que se ha hecho en ambiente, ¿cómo se puede asegurar el perito informático que no he manipulado algo y luego lo he grabado? Podremos dar validez a que la grabación de la grabación no se ha modificado, pero no a que el original es o no el auténtico.

Esto se llama incumplimiento de la cadena de custodia.

Contacte con nuestros Peritos Informáticos

Somos expertos en detección de programas espías para móviles y ordenadores. En Globátika Lab contamos con peritos informáticos cualificados en toda España que han resuelto más de 700 casos.

Para cualquier consulta, no dude en llamarnos al teléfono gratuito 900 649 252, o ponerse contacto a través del formulario de contacto de nuestra página webestaremos encantados de atenderle.