Recogida de pruebas y custodia en cadena. Una consideración clave en cualquier investigación debe ser siempre cómo asegurar o preservar las pruebas suficientes para demostrar un caso de fraude. Es de vital importancia que se controle cualquier prueba física antes de que surja la oportunidad de que sea eliminada o destruida por el sospechoso.
Por lo tanto, puede ser necesario incautar las pruebas físicas en una fase temprana de la investigación, antes de que se recojan las declaraciones de los testigos o se realicen las entrevistas. Si se sospecha de un acto delictivo, también debe consultarse a la policía en una fase temprana del proceso, antes de emprender cualquier acción abierta y de alertar al sospechoso.
Recogida de pruebas y cadena de custodia
Si una persona acaba siendo acusada de un delito penal, y esto puede no estar previsto al principio de la investigación, todas las investigaciones, y las pruebas relevantes que surjan de dichas investigaciones, estarán abiertas a ser descubiertas por la defensa de esa persona. Por lo tanto, es importante que se mantengan registros adecuados desde el principio, incluyendo notas precisas de cuándo, dónde y de quién se obtuvieron las pruebas y por quién.
La policía, o los asesores jurídicos, podrán aconsejar sobre cómo hacerlo. Si procede, debe obtenerse el consentimiento por escrito del departamento correspondiente o del director de la sucursal antes de retirar cualquier objeto. Esto puede hacerse con la autoridad de la alta dirección, ya que los artículos son propiedad de la organización. Del mismo modo, las pruebas electrónicas deben asegurarse antes de que puedan ser manipuladas por el sospechoso.
Cadena de custodia
El concepto de cadena de custodia se refiere a la secuencia lógica de recopilación de pruebas, ya sean físicas o electrónicas, en los casos legales. Cada eslabón de la cadena es esencial, ya que las pruebas presentadas para su consideración en un caso legal civil o penal pueden ser inadmisibles. De este modo, la preservación de la cadena de custodia consiste en seguir el procedimiento correcto y asegurarse de que la calidad de las pruebas que se presentan ante los tribunales es de primera categoría.
El uso cotidiano de las pruebas digitales en los casos judiciales implica ahora la necesidad de captar y mantener la cadena de custodia cuando se recogen y manejan pruebas electrónicas. En cualquier caso, la cadena debe estar documentada para mostrar el final de la secuencia de trabajo realizada, incluyendo por quién, cuándo (es decir, fecha/hora) y el propósito.
Además, la cadena de custodia no es sólo un requisito de los tribunales, sino que también respalda el proceso de examen de las pruebas al garantizar que los elementos de los datos no se examinen únicamente desde una única dimensión. Anima a considerar cada elemento de prueba desde la perspectiva de su procedencia (es decir, empresa, dispositivo, geografía), quién lo creó, cuándo y por qué.
Esto significa que, al ver toda la cadena de custodia, las pruebas que de otro modo podrían parecer poco útiles para una investigación pueden servir para serlo.
¿Cuál es el proceso de la cadena de custodia de las pruebas digitales?
Para proteger las pruebas digitales, la cadena de custodia debe abarcar desde el primer punto de recogida de datos hasta el examen, el análisis, la elaboración de informes y el momento de la presentación ante los tribunales. Esto es importante para evitar la posibilidad de que se sugiera que las pruebas han sido comprometidas de alguna manera. Si bien es posible que se haya manejado correctamente durante el proceso, si la prueba se entrega luego al tribunal para dejarla abierta a la alteración, tal vez cambiando las marcas de tiempo o los metadatos asociados, puede entonces resultar dañada.
Recogida de datos
La cadena de custodia comienza desde el primer dato recogido. El examinador debe «etiquetar» cada elemento adquirido y documentar la fuente, cómo y cuándo se recogió, dónde se almacena y quién tiene acceso.
Examen
La cadena de custodia debe documentarse durante el proceso de examen, describiendo el proceso realizado. Es útil realizar capturas de pantalla para mostrar las tareas realizadas y las pruebas expuestas a lo largo del proceso.
Análisis
Puede ser apropiado capturar la información de la cadena de custodia durante la etapa de análisis.
Informes
En la fase de elaboración de informes, la cadena de custodia se documenta en una declaración que explica las herramientas utilizadas, las fuentes de datos, los métodos de extracción empleados, el proceso de análisis, los problemas encontrados y cómo se han controlado. En última instancia, esta declaración debe dejar claro que la cadena de custodia se ha mantenido durante todo el proceso y que las pruebas aportadas son legalmente defendibles.
Para mantener la cadena de custodia, los expertos digitales tienen mucha práctica en la toma de notas contemporáneas, lo que les permite documentar los procesos realizados y recrear los resultados obtenidos.
¿Cómo se puede garantizar la cadena de custodia?
Además de tomar notas contemporáneas, los examinadores digitales utilizan algunas de las mejores prácticas para preservar la cadena de custodia, entre ellas:
Examinar el lugar de los hechos antes de tomar los datos puede perjudicar un caso si un examinador actúa con demasiada rapidez a la hora de identificar y capturar datos y dispositivos de interés sin evaluar la situación y asegurarse de que el lugar de los hechos es seguro. Esto incluye asegurarse de que la eliminación de un elemento no tendrá un impacto negativo en la prestación de servicios informáticos en curso, documentar el contexto más amplio y la infraestructura existente de la que se está extrayendo el elemento de datos (incluyendo el número y el tipo de ordenadores, el tipo de red, los detalles del personal administrativo clave, los tipos de software utilizados y los sistemas operativos utilizados) – esto puede proporcionar información útil que es material para la investigación.
Utilización de copias de los datos capturados: no se puede exagerar la parte central de la preservación de las pruebas originales, ya que si se dañan o comprometen de alguna manera, el caso puede estar en peligro. Hay muchas maneras de hacer copias de las pruebas digitales y utilizarlas para su examen y análisis, incluida la creación de un clon «bit a bit» (es decir, digitalmente idéntico) de elementos de datos individuales o del contenido de todo el sistema.
Garantizar la esterilización del medio de almacenamiento: si se coloca un elemento de datos en el dispositivo de almacenamiento de un examinador (es decir, el disco duro), ese medio debe estar totalmente limpio y libre de cualquier posible contaminación en todos los niveles.
La cadena de custodia digital es el centro de toda acción realizada por los especialistas digitales. Entienden que días o semanas de trabajo intensivo se desperdiciarían si se saltan un paso del proceso o no garantizan la integridad de las pruebas que tanto les ha costado encontrar, analizar y documentar. De ahí que la integridad sea siempre lo primero en la mente de los examinadores digitales.
Reflexiones finales
Un fiscal debe demostrar que las pruebas presentadas en el tribunal son las mismas que se recuperaron en la escena de un presunto delito para poder condenar a alguien. Deben ser capaces de demostrar que las pruebas se manipularon correctamente y que no fueron contaminadas o manipuladas. Si las fuerzas del orden no manejan las pruebas adecuadamente, pueden ser impugnadas alegando que fueron manipuladas, que los resultados de las pruebas son defectuosos o inexactos, o que las pruebas fueron colocadas en la escena del crimen.
