Professional Documents
Culture Documents
de Evidencias.
La actuacin de campo de la recopilacin de las evidencias es un actividad
extremamente delicada y compleja. La vala legal y tcnica de las evidencias en la
mayora de ocasiones depende del proceso realizado en la recopilacin y
preservacin de las mismas.
La norma ISO/IEC 27037:2012 Information technology Security techniques
Guidelines for identification, collection, acquisition and preservation of digital
evidence viene a renovar a las ya antiguas directrices RFC 3227 estando las
recomendaciones de la ISO 27037 ms dirigidas a dispositivos actuales y estn ms
de acorde con el estado de la tcnica actual.
Esta norma ISO 27037 est claramente orientada al procedimiento de la actuacin
pericial en el escenario de la recogida, identificacin y secuestro de la evidencia
digital, no entra en
la fase de Anlisis de la evidencia.
Las tipologas de dispositivos y entornos tratados en la norma son los siguientes:
Equipos y medios de almacenamiento y dispositivos perifricos.
Sistemas crticos (alta exigencia de disponibilidad).
Ordenadores y dispositivos conectados en red.
Dispositivos mviles.
Sistema de circuito cerrado de televisin digital.
Los principios bsicos en los que se basa la norma son:
Aplicacin de Mtodos
La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando
Proceso Reproducible
Los mtodos y procedimientos aplicados deben de ser reproducibles, verificables y
argumentables al nivel de comprensin de los entendidos en la materia, quienes
puedan dar validez y respaldo a las actuaciones realizadas.
Proceso Defendible
Las herramientas utilizadas deben de ser mencionadas y stas deben de haber sido
validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuacin.
Para cada tipologa de dispositivo la norma divide la actuacin o su tratamiento en
tres procesos diferenciados como modelo genrico de tratamiento de las
evidencias:
La identificacin
Es el proceso de la identificacin de la evidencia y consiste en localizar e identificar
las potenciales informaciones o elementos de prueba en sus dos posibles estados, el
fsico y el lgico segn sea el caso de cada evidencia.
La recoleccin y/o adquisicin
Este proceso se define como la recoleccin de los dispositivos y la documentacin
(incautacin y secuestro de los mismos) que puedan contener la evidencia que se
desea recopilar o bien la adquisicin y copia de la informacin existente en los
dispositivos.
La conservacin/preservacin
La evidencia ha de ser preservada para garantizar su utilidad, es decir, su
originalidad para que a posteriori pueda ser sta admisible como elemento de
prueba original e ntegra, por lo tanto, las acciones de este proceso estn
claramente dirigidas a conservar la Cadena de Custodia, la integridad y la
originalidad de la prueba.
Nota: En mi libro Peritaje Informtico y Tecnolgico podris encontrar la norma
desarrollada y comentada en castellano.
Enlace a la norma:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=44381
A R TI CU L O 2 1 1 B I S 1 A L 7 D E L C DI G O P E NA L
F E DE RA L RE L A TI V O A L A C CE S O I L CI TO A S I S TE MA S
Y E Q UI P O S DE I NF O R M TI CA
18 junio, 2015
-Artculo 211 bis 1 al 7 del cdigo penal federal relativo al acceso ilcito a sistemas y
equipos de informtica