peritos-informaticos-iso-27042

ISO 27042

Directrices para el procedimiento de la actuación pericial en el escenario de la identificación y análisis de la evidencia digital, hasta que esta es considerada apta para ser prueba judicial.

Tipología de dispositivos

Los dispositivos y entornos que vamos a ver en esta norma suelen ser :

  • Equipos y medios de almacenamiento y dispositivos periféricos.
  • Sistemas críticos (alta exigencia de disponibilidad).
  • Ordenadores y dispositivos conectados en red.
  • Dispositivos móviles.
  • Sistema de circuito cerrado de televisión digital.

Los modelos analíticos:

– Análisis estático:

Inspección de la prueba digital considerada como potencial con idea de establecer si puede ser considerada prueba digital. Se debe examinar “en crudo” y usar procedimientos que aseguren la cadena de custodia de la prueba digital potencial.

– Análisis en vivo:

Inspeccionar pruebas digitales pero en sistemas activos, y “en caliente”. Memorias RAM, smartphones, redes informáticas, etc. Se divide en dos, dependiendo de la volatilidad de la prueba.

– Análisis en vivo (I):

Sistemas que no pueden ser copiados ni obtener imágenes forenses de ellos. Riego alto al analizar la prueba, que debe ser minimizado, y registro de todas las operaciones realizadas.

– Análisis en vivo (II):

Sistemas que si pueden ser copiados o es posible realizar las imágenes forenses. Se interactúa con ellos directamente, cabe la posibilidad de usar máquinas virtuales certificadas o, en entornos reales que dan resultados mas veraces.

La ISO 27042 detalla ciertas indicaciones que se deben incluir en el informe pericial:

  • Hechos sustentados por una evidencia digital y hallados durante la investigación
  • Daños en la evidencia digital y sus implicaciones en los siguientes estadios del proceso de investigación
  • Limitaciones de todos los análisis realizados
  • Calificaciones del perito informático
  • Información inicial de que dispone el perito informático y su equipo
  • Naturaleza del incidente que va a ser investigado por el perito informático
  • Fecha, hora y duración del incidente
  • Lugar del incidente
  • Detalle de procesos y herramientas utilizadas
  • Interpretación de la evidencia digital por parte del perito informático
  • Conclusiones
  • Recomendaciones para futuras investigaciones
  • Objetivos de la investigación
  • Miembros del equipo de investigación supervisados por el perito informático
  • Fecha, hora y duración de la investigación
  • Lugar de la investigación

El perito informático no podrá incluir en el informe pericial, ningún tipo de juicio de valor o afirmación que no se sustente en hechos puramente científicos.

Enlace Oficial a la Norma