Son muchos los compañeros peritos informáticos que se dedican a hablar sobre la cadena de custodia, con lo cual poco nuevo puedo aportar en algo realmente TAN IMPORTANTE. Ahora bien, me gustaría hacer diferentes reflexiones sobre este aspecto:
- Un trabajador se ha ido de una compañía y a los 20 días se sospecha que ha podido sustraer datos. Es evidente que durante ese tiempo hasta que se interviene su equipo por un perito informático (bien sea con presencia de Notario, testigos, … o no) el equipo no ha sido custodiado.. entonces ¿Ya no se puede investigar por estar rota la cadena de custodia?
- Existe un alto número de supuestas cadenas de custodia correctas, que depositan el material custodiado en Notario y nos facilitan un código HASH que garantiza su no manipulación. ¿Cuántas veces se ha comprobado por la parte contraria si ese código es real?
- Una gran empresa realiza el clonado y posterior custodia de unos discos duros, sin embargo el inicio de la cadena de custodia lo realiza una persona y los equipos los entrega posteriormente otra persona o bien incluso aparecen en una ubicación diferente, todo ello sin realizar traspaso de custodia documentado. ¿Que ha pasado por el camino?
Estas y otras muchas preguntas, son realmente interesantes y pocas veces se ponen en duda. Como todo, existen múltiples respuestas para cada pregunta pero lo importante es analizar cada una de ellas. Es evidente que un buen perito informático deberá informar de si la cadena de custodia ha sido o no rota, al igual que también deberá analizar si en el momento en el que el equipo no ha sido custodiado existen síntomas de manipulación de la prueba.
Por otro lado, siempre se debe comprobar el HASH que ha aportado la parte contraria, máxime cuando todo se ha realizado de manera correcta (aunque sea aparentemente) para comprobar si es real, dado que muchas veces puedes encontrar importantes sorpresas.
Ya por último, es muy habitual que la información supuestamente custodiada pase por varias manos y circule «libremente» sin control alguno, con lo cual nuevamente se requiere un rigor en toda la documental y parte técnica para ofrecer garantías.
Una vez que se comprueba el «dato informático», el perito informático debe tener conocimientos de informática forense y previo al análisis detallado debe hacer una serie de consideraciones importantes, tales como ver si ha calculado el HASH, si lo ha calculado mediante algún algoritmo vulnerable que nos permita que dos documentos diferentes generen un mismo código (y por lo tanto se pueda invalidar), si existen garantías del proceso, si se ha clonado mediante máquina forense, si se ha podido romper el secreto de las comunicaciones o acceder a la intimidad de las personas de una manera ilícita, … en resumidas cuentas un sinfin de opciones que se deben tener en consideración para dar uno de los primeros pasos, que es el de cadena de custodia y posterior puesta en escena.
Confía siempre en profesionales que técnicamente tengan el conocimiento, a nivel de infraestructura tengan los equipos necesarios y que posteriormente sepan defender tu caso ante un Juzgado, ya sabes que no vale con ser o parecer bueno, también tienes que demostrarlo!!! 😉
Por mi parte, si precisas cualquier tipo de recomendación, garantías, … sobre mi trabajo únicamente ponte en contacto conmigo o comprueba las recomendaciones de mi Linkedin realizadas por clientes finales y por abogados y te podrás hacer una idea. Gracias!!!
Trackbacks/Pingbacks