8. Evidencia digital Una definicin uniforme y universal de evidencia digital no es fcil de encontrar.

Sin embargo se considera acertada la ofrecida por J. Cano1, quien manifiesta que la evidencia digital es un tipo de evidencia fsica. Contina definindola a la misma como aquella evidencia construida por campos magnticos y pulsos electrnicos que pueden ser recolectados, almacenados y analizados con herramientas tcnicas especiales. La evidencia digital es una denominacin usada de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal. De acuerdo con el HB: 171 2003 Guidelines for the Managment of IT Evidence, la evidencia digital es cualquier informacin que, sujeta a una intervencin humana u otra semejante, ha sido extrada de un medio informtico. El documento mencionado establece tambin que la evidencia digital puede dividirse en tres categoras: y y y Registros almacenados en el equipo de tecnologa informtica (por ejemplo, correos electrnicos, archivos de aplicaciones de ofimtica, imgenes, etc.). Registros generados por los equipos de tecnologa informtica (registros de auditora, registros de transacciones, registros de eventos, etc.). Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica. (hojas de clculo financieras, consultas especializadas en bases de datos vistas parciales de datos, etc.).

La evidencia digital es nica, cuando se la compara con otras formas de evidencia. A diferencia de la evidencia fsica, la evidencia digital es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico es su potencial de realizar copias no autorizadas de archivos, sin dejar rastro alguno. La evidencia digital posee, entre otras, las siguientes caractersticas: y y y y y Es voltil Es annima Es duplicable Es alterable y modificable Es eliminable

Tales caractersticas sugieren la exigente labor requerida por los especialistas cuando tenga que llevarse adelante investigaciones sobre la delincuencia informtica, en procedimientos, tcnicas y herramientas tecnolgicas para obtener, custodiar, revisar, analizar y presentar la evidencia encontrada en la escena del crimen2. Se requiere tratamiento especial a tiempo de manejar la evidencia digital durante el juicio, mas all del cumplimiento de las normas formales, pues estas
Cano, Jeny, Estado del arte del peritaje informtico en Latinoamrica , comentarios de tecnologa y Derecho, disponible en www.alfa-redi.org, 26 de julio de 2008. 2 th Brungs A, y Jameison R. Legal issues for computer forensics. Proceedings for 14 Australasian Conference on Information Systems. Perth, Western Australia, November, 2003.
1

deben estar articuladas con los esfuerzos de conservacin y seguridad de los estndares internacionales. 8.1 Cadena de custodia y procedimiento de coleccin de la evidencia digital Dado que no existen investigaciones iguales, no es posible definir un procedimiento nico para llevar adelante un anlisis completo en la coleccin de la evidencia digital, pero si definir una aproximacin metodolgica que permita el manejo adecuado; minimizar los errores en su manejo y garantizar su admisin en los tribunales de justicia3, Dicha aproximacin incluye cinco etapas: 8.1.1 Planificacin. Es una estrategia en el que se espera que se detecte el incidente y luego el investigador se familiarice con el mismo y con el entorno en el que ocurri; adems de fijar el proceso adecuado para la recoleccin de la evidencia. El primer paso consiste en identificar el problema aparente o probable e indagar qu grado de contacto tuvieron los usurarios con el sistema involucrado, para evitar la contaminacin de la escena del crimen. Como segundo paso, el investigador se debe familiarizar con el entorno informtico y con el incidente en cuestin. Para ello se sugiere el desarrollo de entrevistas al personal de la organizacin o entidad que tenga algn tipo de relacin con el entorno informtico y determinar que sistemas informticos se usa, que registros generan, si hay polticas de seguridad o no las hay y quienes son responsables del funcionamiento de los equipos y los servicios de entidad, etc. Al concluir este paso el investigador debe describir con detalle la escena del crimen, incluidos nombres de usuarios y roles, su ubicacin fsica de los mismos, equipos, puntos de red, etc., adems debe registrar informacin grafica del lugar ( a travs de fotografas y videos), ya que muchas veces encontrara detalles importantes que posteriormente puede ser de enorme utilidad durante la investigacin (sern documentos todas aquellas formas de expresin producto del desarrollo de las tcnicas de la comunicacin y la informtica, incluidos, por ejemplo videos y fotografas digitales). 8.1.2 Recoleccin En esta etapa se debe recoger la informacin relevante y conservarla para garantizar los requisitos de admisibilidad de la prueba: Como muchas veces no es posible presentar los sistemas involucrados en una audiencia o tenerlos durante la investigacin, se recomienda tomar una copia idntica bit a bit- de su contenido, que representara al sistema en cuestin y que adems ser sobre la que se trabaje (independientemente del camino tomado para realizar el proceso de recoleccin, la evidencia siempre debe ser recolectada de lo mas a lo menos voltil). Este proceso se realiza por medio de herramientas que permitan copiar el contenido visible del dispositivo de
3

Cano, Jeny, Admisibilidad de la Evidencia Digital: Algunos elementos de revisin y anlisis , Revista de derecho informtico, agosto de 2003; Cano, Jeny, Evidencia Digital: Conceptos y Retos , Comercio Electrnico & Telecomunicaciones, 2002, pg. 97.

almacenamiento y el contenido invisible, es decir, la informacin de las reas del disco que no son utilizados, esto incluye los sectores que se encuentran disponibles para escritura, los que no estn siendo utilizados por ninguna particin y el espacio sobrante, cuando la informacin que se escribe en un bloque es menor que el tamao de este. Queda a criterio del investigador determinar si es correcto apagar o reiniciar el sistema relacionado con el delito que se investiga, ya que, al hacer esto se perder informacin que puede ser valiosa en el momento de correlacionar la evidencia recolectada (el contenido de la memoria, que archivos estn abiertos, el estado de las conexiones de red, los procesos que se estn ejecutando, los usuarios que estn dentro del sistema, etc.); por esta razn se recomienda, mientras sea posible, generar una imagen del estado del sistema antes de que sea apagado. En la recoleccin de la evidencia se requiere el cumplir con los siguientes objetivos: y y y y y Establecimiento de buenos procedimientos para recolectar evidencia digital. La evidencia debe poder ser utilizada en el presente y futuro. Mantener y verificar la cadena de custodia. Seguimiento de las regulaciones y normas de recoleccin de la evidencia digital. Desarrollo de criterios para establecer la relevancia o irrelevancia de la evidencia recolectada.

Es importante mencionar que no se espera que toda la informacin que se examine o recolecte deba ser admisible como evidencia en el curso del proceso. Mucha de ella ser utilizada para revelar evidencia admisible que si es importante. La cantidad de informacin que se recolecta debe ser decidida por el investigador durante la etapa de planificacin, teniendo en cuenta la hiptesis y las teoras del caso planteadas. 8.1.3 Presentacin de la evidencia digital La pregunta obligada Cmo se puede garantizar la neutralidad de esta presentacin? A pesar de que no existe una respuesta nica a este interrogante, debido a las enormes diferencias que existen entre los incidentes, Sommers, en el documento Downloads, Logs and Captures: Evidence from Cyberspace , especifica que en la mayora de los casos puede ser apropiado ofrecer 2 posibilidades. Una de bajo nivel en la que se muestre la informacin tal como es sin ninguna anotacin y/o modificacin y otra editada , en la que este solo la informacin relevante y que explique que se hizo con ella y porque. Con este enfoque es posible realizar una inspeccin cruzada en la que la copia de bajo nivel sea la encargada de sustentar tcnicamente los argumentos presentados en la parte editada y comentada. Adems es recomendable clasificar la evidencia para su presentacin en un juicio e identificar si los datos: y y y Verifican los datos y teoras existentes (evidencia que inculpa). Contradicen los datos y teoras existentes (evidencia que exculpa). Muestran signos de manipulaciones para esconder otros datos.

Lamentablemente en la actualidad no existen pautas generales en los cdigos de procedimientos penales y menos en el boliviano sobre cmo debe ser presentada la evidencia digital, una de las razones que dificultan la investigacin de las conductas relacionadas con incidentes informticos o con la informtica; adicionalmente, el desconocimiento de los aspectos tcnicos bsicos y del lenguaje utilizado en estos casos de los funcionarios judiciales dificulta an ms la penalizacin de los delitos informticos. 8.1.4 Anlisis de la evidencia digital Luego de recuperar informacin que podra ser relevante es necesario realizar un proceso de filtrado que permita extraer informacin directamente relacionada con el incidente. Se debe realizar un procedimiento de limpieza que por un lado conserve la integridad de la informacin recolectada y por otro que represente en su totalidad el escenario analizado (por ejemplo, un sistema de logs puede registrar miles de eventos, de los cuales, de acuerdo con la evidencia obtenida, es necesario extraer solamente los relacionados con un equipo en particular). Una vez obtenida, la evidencia digital, normalmente requiere de un proceso antes de que pueda ser comprendida por las personas, por ejemplo, cuando se tiene la imagen de un disco, los datos contenidos en ella requieren un proceso (de conversin) para que una persona los pueda interpretar. Por el contrario, si la evidencia no tiene relevancia alguna en la investigacin, se debe iniciar el proceso de clasificacin, comparacin e individualizacin. La clasificacin de la evidencia digital es el proceso por el cual se busca caractersticas que pueden ser utilizadas para describirla en trminos generales y distinguirla de especmenes similares y que puedes ser til al reconstruir un delito porque mediante la provisin de detalles adicionales e inclusive acerca del mismo sospechoso del hecho. La evidencia digital puede ser clasificada, comparada e individualizada de varias maneras; para ello se debe considerar los siguientes aspectos: y Contenido: Un e-mail por ejemplo, puede ser clasificado por su contenido como SPAM e individualizado a partir del contenido de sus encabezados, informacin que por lo general no es visible para el usuario; por ejemplo, por su direccin de origen. Funcin: El investigador puede examinar cmo funciona una programa para clasificarlo y algunas veces individualizarlo, por ejemplo, un programa que inesperadamente transfiere informacin valiosa desde un computador confiable a una locacin remota podra ser clasificado como un caballo de Troya y se individualizado por la localizacin remota a la que transfiere la informacin. Caractersticas: Los nombres de archivo, extensiones e inclusive los encabezados internos que identifican los formatos de archivo que existen pueden ser de utilidad en la clasificacin de evidencia digital.

Una de las caractersticas de los delitos informticos es su carcter cambiante que la escena del crimen puede estar distribuida en varios sistemas con diferentes horarios (fechas y horas), que por supuesto pueden ser localizados fsicamente en jurisdicciones distintas, lo que en muchos casos

dificulta o termina prematuramente una investigacin, ya que noes posible tener acceso a evidencia que podra ser clave para conocer cuando, como, donde y por que del incidente. Este es uno de los mayores obstculos que se presenta al realizar una investigacin, adicionalmente, muchos de los delitos de alta tecnologa, a pesar de ser cometidos desde sistemas locales, son cometidos desde cafs internet en los que, debido a la falta de regulacin, anonimato y la alta actividad que presentan estos sistemas hacen que la evidencia digital que se encuentra en ellos tenga un tiempo de vida muy corto y por consiguiente la investigacin solo llegue hasta ese punto. 8.2