ISO 27037 Perito Informático

La ISO/IEC 27037:2012 proporciona pautas para el manejo de las evidencias digitales; sistematizando la identificación, recolección, adquisición y preservación de las mismas. Estos procesos deben diseñarse para mantener la integridad de las evidencias y con una metodología aceptable para contribuir a su admisibilidad en procesos legales.

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia.

Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital. Esta norma internacional también proporciona directrices generales para la obtención de pruebas no digitales que pueden ser útiles en la etapa de análisis de la evidencia digital.

La norma ISO/IEC 27037:2012 pretende orientar a aquellos responsables de la identificación, recolección, adquisición y preservación de potencial evidencia digital. Estos individuos incluyen:

  • Digital Evidence First Responder (DEFRs) o especialista en evidencia digital de primera intervención.
  • Digital Evidence Specialist (DESs) o especialista en evidencia digital, especialistas en respuestas a incidentes y directores de laboratorios forenses.

De esta manera se asegura que las personas responsables de gestionar evidencias digitales, lo hagan con prácticas aceptadas en todo el mundo, con el objetivo de realizar la investigación de una manera sistemática e imparcial, preservando su integridad y autenticidad.

La ISO/IEC 27037:2012 está destinada a aquellas personas que necesitan determinar la confiabilidad de la evidencia digital que se les presenta. Es aplicable a las organizaciones que necesitan formalmente establecer un marco de aceptabilidad. La evidencia digital a la que hace referencia puede obtenerse de diferentes tipos de dispositivos digitales, redes, bases de datos, etc. Se refiere a datos que ya están en formato digital y no abarca la conversión de datos analógicos a formato digital. La rigurosidad de la aplicación de una metodología adecuada se debe a la fragilidad de la evidencia digital.

La aplicación de esta norma internacional exige el cumplimiento de las leyes, normas y reglamentos nacionales. La norma ISO/IEC 27037:2012 no hace ninguna referencia a requisitos específicos de cada jurisdicción que se refieren a cuestiones como la admisibilidad, la ponderación probatoria, la pertinencia y otras limitaciones que controlan el uso de la evidencia digital en los tribunales de justicia. Sin embargo, puede ayudar al intercambio de evidencia digital entre jurisdicciones.

La norma presenta el concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener en cuenta:

  • Un identificador unívoco de la evidencia.
  • Quién, cuándo y dónde se accede a la evidencia.
  • El pasaje de la evidencia de un sitio a otro y tareas realizadas.
  • Todo cambio potencial en la evidencia digital debe registrarse con el nombre del responsable y la justificación de las acciones realizadas.

Los principios fundamentales de la norma son los siguientes:

  • Metodología: La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de respaldo.
  • Auditoría del proceso: Los procedimientos seguidos y la documentación generada deben haber sido validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar trazas y evidencias de lo realizado, así como sus resultados.
  • Reproducción del proceso: Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas. Y deben poder ser repetidos, por peritos informáticos distintos a quiénes lo ejecutaron la primera vez. Debe partirse de las mismas premisas y obtener los mismos resultados.
  • Defensa del proceso: Necesariedad de que el proceso pueda ser defendible. Para ello se demostrará la adecuación de todas las herramientas utilizadas, éstas, deben haber sido validadas y contrastadas en su uso.

La normativa ISO/IEC 27037:2012 divide, para cada tipo de dispositivo, la actuación o su tratamiento en tres procesos como modelo de tratamiento genérico de las evidencias:

  • Identificación: Localizar e identificar donde está la información potencial, ya sea en estado físico o lógico.
  • Adquisición: recolección de la evidencia o de una copia forense de la misma, así como de la documentación asociada a ésta.
  • Conservación: preservación de la evidencia como elemento inalterado, al objeto de que pueda ser admitido como prueba, es decir, conservando su cadena de custodia.