Reporte de inventario de eviencias
Autor
Natalia Galeano
Letzte Aktualisierung
vor 5 Jahren
Lizenz
Creative Commons CC BY 4.0
Abstrakt
Reporte de inventario de evidencias
Reporte de inventario de evidencias
\documentclass{article}
\usepackage[utf8]{inputenc}
\usepackage{enumerate}
\title{Reporte de inventario de eviencias}
\author{Natalia Galeano Valerio}
\date{Octubre 2019}
\begin{document}
\maketitle
\section{La evidencia digital}
La documentación de la evidencia en la escena es vital en el proceso investigativo. Se debe llevar un registro minucioso de todas las piezas de evidencia. Por ejemplo, documentos,
dispositivos, programas, archivos digitales, o cualquier pieza relacionada con el caso.
Esta evidencia debe ser procesada usando el protocolo de cadena de custodia donde se registrará los movimientos y características de la misma.
\section {La cadena de custodia y la evidencia digital}
El objetivo de la cadena de custodia es evitar la sustitución, manipulación, alteración, destrucción, contaminación y falsificación de la evidencia.Por eso la importancia de crear un cuestionario antes de evaluar la evidencia que incluya:
\begin{enumerate}
\item Qué tipo de evidencia digital ha sido colectada: Describir tipo de archivo, extensión, nombre, tamaño, lugar de adquisición y proceso de adquisición.
\item Identificar a las personas relacionadas con el uso de esa evidencia: Permitirá dar el seguimiento detallado de las personas que estuvieron involucradas en el manejo de la evidencia con nombres, agencia, horas y lugares.
\item Identificar los métodos usados en la adquisición de la evidencia digital: el software que se usó, características, preparación académica o técnica del investigador que manipuló el software, hardware donde estuvo instalado el software forense, método de adquisición, almacenamiento, transmisión y encriptación.
\item Determinar si a esa evidencia se accesó después: mediante la verificación del proceso de seguridad y autenticación de la evidencia usando la normativa SHA1-512 o MD5, para garantizar la fidelidad de la prueba.
\item Determinar cuándo fue colectada la evidencia y en dónde: Verificación decoordenadas satelitales de la ubicación de la evidencia en el proceso de manipulación y descripción de la zona horaria tanto del dispositivo como de la forma para garantizar su fidelidad.
\end{enumerate}
El cuestionario anterior sirve para garantizar la calidad, autenticidad y seguridad de la evidencia. Además, las reglas en la adquisición de evidencia digital se fundamentará en dos puntos importantes:
\begin{enumerate}
\item Admisible: Un término usado para describir la evidencia que pueda ser considerada por un jurado o un juez en los casos civiles y penales.
\item Auténtica: Para confirmar la identidad de una entidad cuando se presenta esa identidad, para verificar la identidad de un usuario, dispositivo de usuario, u otra entidad.
\end{enumerate}
Basandose en esas reglas, se deben cpnsiderar los siguientes puntos de seguridad:
\begin{enumerate}
\item Minimizar el uso desmedido de la evidencia para prevenir daños en la misma.
\item Uso de “Logs” en todo el proceso de la investigación.
\item Prepararse correctamente para el proceso de testimonio en la corte.
\item No apagar el sistema antes de colectar la evidencia.
\item No correr ningún programa adicional que afecte el sistema.
\end{enumerate}
\section{Cadena de custodia y la protección de la evidencia}
Para la proteccion de la evidencia en la cadena de custodia se recomienda seguir los siguientes pasos:
\begin{enumerate}
\item 1. Identificación del origen
\item Identificación del destino
\item Seguridad y Proceso de transmisión
\begin{itemize}
\item Método
\item Materiales
\end{itemize}
\item Consideraciones pre-salida de evidencia
\begin{itemize}
\item Autorización para personal custodio
\item Carta de autorización que incluya: Nombre completo, grado, nombre agencia o laboratorio.
\item Tipo de identificación disponible: Incluya fotografía, y niveles de seguridad estandarizados y comprobados.
\end{itemize}
\item Descripción de la evidencia que se enviará
\item Punto de salida, ruta y punto de llegada
\begin{itemize}
\item Nombre y título del agente o responsable que firma la carta
\item Inventario y descripción de la evidencia
\end{itemize}
\item Consideraciones con la envoltura o empaquetamiento
\begin{itemize}
\item Verificar antes de enviar
\item Minimizar el riesgo de daño
\item Usar doble envoltura, y material antiestático, resistente al agua, humedad y otros factores ambientales
\item Marcar todo el paquete como evidencia
\item Agregar recibo con: Nombre Examinador, numero de ID, dirección y contenido recibido.
\end{itemize}
\item Consideración a la seguridad de envio
\begin{itemize}
\item Información de Hardware o Software o Hash de los archivos, o imágenes
\item Incluya las claves en un sobre separado y sellado
\item No dejar la Evidencia en lugares no autorizados
\item Reportar cualquier incidente sospechoso y no abrir los materiales en ruta.
\end{itemize}
\item Consideraciones en el arribo de la evidencia:
\begin{itemize}
\item Recibo de entrega, si se moviliza a otro lugar firma de reenvio.
\end{itemize}
\end{enumerate}
\section{Fuentes de evidencia }
Algunos de los componentes de ciberneticos considerados fuentes de evidencia son los siguientes:
\begin{itemize}
\item Dispositivos de almacenamiento: Discos duros, flash drive, tarjetas móviles de almacenamiento o cualquier otro dispositivo que guarde información.
\item Dispositivos electrónicos de procesamiento de información: Juegos electrónicos, tabletas, cámaras digitales, teléfonos celulares, GPS y demás dispositivos que procesen información.
\item Comunicación de datos: Dispositivos de redes, servidores, base de datos, correo electrónico local, nubes con (sistemas de almacenamiento, sistemas virtualizados,
servicios web y más) y demás servicios de transferencia y almacenamiento de información.
\item Internet: Páginas web, redes sociales, y demás sitios privados o públicos que presenten información vinculada en una investigación.
\end{itemize}
\section{Validación de evidencia digital}
\subsection{Evaluación de dispositivos y servicios}
Si el dispositivo está apagado:
\begin{enumerate}
\item Documente y fotografíe dispositivos y cables conectados al equipo.
\item Etiquete todos los cables y dispositivos que almacenan evidencia digital
\item Verifique si existe unidades de almacenamiento dentro de los dispositivos como CD, DVD, USB y más, los cuales deben ser sellados con TAPE de evidencia.
\item Grabar modelo, marca, número de serie, y marcas distintivas del equipo.
\item Sella con tape los puertos USB y conector de Energía.
\item Empaquetar los dispositivos de acuerdo a los protocolos de fabricantes de hardware para la prevención de daños en la transportación.
\end{enumerate}
Cuando el dispositivo esté prendido:
\begin{enumerate}
\item Identificar la información que muestre la pantalla.
\item Requerir asistencia a personal con experiencia en captura y preservación de información volátil.
\item Verificar si existe indicios que muestren alguna actividad sospechosa del sistema estableciéndose que el equipo fue borrado o formateado.
\item Verificar si existe indicios que muestren alguna actividad sospechosa del sistema estableciéndose que el equipo fue borrado o formateado.
\item Desconectar el equipo si el mismo está borrándose o formateando el sistema de almacenamiento.
\end{enumerate}
\subsection{Empaquetamiento del dispositivo electrónico y/o la evidencia digital}
\begin{enumerate}
\item Toda evidencia digital debe empaquetarse en fundas y recipientes antiestáticos.
\item No se debe usar fundas plásticas ya que producen estática, permite humedad y condensación.
\item Los empaques de evidencia digital deben prevenir: rayones, golpes, movimientos bruscos.
\item Los dispositivos electrónicos móviles deben mantenerse como se encontraron, apagados o prendidos.
\end{enumerate}
\subsection{Traslado del dispositivo electrónico y/o evidencia digital}
\begin{enumerate}
\item Mantener la evidencia digital lejos de campos magnéticos, como los producidos por emisoras de radio, los imanes de los altavoces y magnéticos de luces de emergencia.
\item No mantener la evidencia en el vehículo por prolongados transcursos de tiempo.
\item Prevenir la caída y vibración de los equipos especialmente dispositivos de almacenamiento externos o internos.
\item Usar la técnica de validación y seguridad de evidencia digital.
\end{enumerate}
\subsection{Almacenamiento de dispositivo electrónico y/o evidencia digital}
\begin{enumerate}
\item Estar seguro de que la evidencia digital fue inventariada correctamente.
\item Asegurarse de que la evidencia digital es guardada en un lugar seguro, que incluya un sistema de climatización, ya que la evidencia digital no está sujeta a extremas temperaturas y humedad.
\item Establecer el principio de validación y seguridad de evidencia digital.
\end{enumerate}
\section{Inventario de envidencias}
En términos de lo que contiene una cadena de custodia adecuada, hay varias secciones cada una con sus propios detalles que deben proporcionarse.
\subsection{Detalles del dispositivo electrónico}
\begin{enumerate}
\item Numero de item: Se debe incluir un número de item único en el formulario.
\item Descripción: Esta debe ser una descripción general del artículo. Esta puede ser una declaración simple, como un disco duro SATA de 500 GB.
\item Fabricante: Este detalle ayuda en el caso de múltiples pruebas con fabricantes potencialmente diferentes.
\item Modelo: Esto detalla más la evidencia específica para la separación posterior si es necesario.
\item Numero de serie: Esta es una pieza crítica en el caso de que un incidente involucre una cantidad de sistemas con exactamente la misma configuración.
\end{enumerate}
\subsection{Cadena de custodia}
\begin{enumerate}
\item Numero de rastreo: Este número indica el paso en el ciclo de vida que tomó la evidencia.
\item Fecha y Hora: Esta es una información crítica en cualquier cadena de custodia y se aplica por igual a cada paso que tomaron las pruebas. Esto permite que cualquiera que vea la cadena de custodia pueda reconstruir hasta cada minuto cada paso en el ciclo de vida de la cadena de custodia.
\item De y Para: Estos campos pueden ser una persona o un lugar de almacenamiento.
\item Motivo: Mover una pieza de evidencia nunca debe hacerse sin una razón. En esta parte de la cadena de custodia, se completa el motivo.
\end{enumerate}
\end{document}