EXTRAÍDO DEL COMPENDIO DE PROTOCOLOS DE ACTUACIÓN PARA EL FORTALECIMIENTO DE LA INVESTIGACIÓN PENAL EN VENEZUELA (2022)
PROTOCOLO ANEXO AL MANUAL ÚNICO DE CADENA DE CUSTODIA DE EVIDENCIAS FÍSICAS (MUCEEF)
Lineamientos Específicos para las Evidencias en el Procedimiento de Obtención
De la Naturaleza Tecnológica de la Información, Comunicación y Operacional
Protección del Sitio de Suceso y las Evidencias Físicas.
1. Retirar al usuario(a) que esté trabajando en el equipo, a fin de evitar cualquier alteración o pérdida de la información contenida en el dispositivo digital.
2. Mantener encendido el dispositivo (lectores o copiadores, computación personal, comunicacionales y portables de posicionamiento, vigilancia y reconocimiento), para realizar el proceso de observación y fijación de la actividad.
3. Deshabilitar las entradas y salidas de señales de comunicación (alámbricas o inalámbricas) que puedan contaminar, destruir o modificar la evidencia que se encuentre en el sitio del suceso.
4. Evitar introducir dispositivos de conexión que alteren la meta data, meta verso o el contenido de las evidencias digitales.
5. Establecer mecanismos para proteger la información sensitiva o crítica de los sistemas.
6. Proteger los sistemas, redes y su capacidad, para que estos sigan funcionando, sin afectar su operatividad.
Protección aplicada a los sitios donde existan elementos de interés criminalísticos relacionado con evidencias de tecnologías de información, comunicaciones y operativas
1. Realizar protección permanente sobre la evidencia de dispositivos digitales para evitar el acceso de tercero.
2. Retirar al usuario(a) que esté trabajando en el equipo, a fin de evitar cualquier alteración o pérdida de la información contenida en el dispositivo digital.
3. Mantener encendido el dispositivo digital para realizar el procedimiento de observación y fijación.
4. Evaluar las diferentes técnicas preventivas establecidas en la MUCCEF para impedir el acceso de terceros con intenciones maliciosa a dispositivos digitales conectados de forma alámbrica o inalámbrica.
5. Utilizar dispositivos digitales externos previamente acondicionados para el proceso de adquisición a fin de no alterar la metadata o el contenido de las evidencias digitales.
6. Estudiar los elementos que conforman el entorno informático, con la finalidad de aplicar medidas para la protección del sitio digital y la evidencia en sí.
7. Cualquier otro medio necesario para garantizar la debida protección.
Observación
Aplicar los lineamientos generales descritos en el presente protocolo.
Búsqueda
Realizar una exploración en el sitio a través de método de escaneo con el internet de las cosas, así como la verificación de ranuras, puertos usb, unidad de ópticos, entre otros; que permita la búsqueda de evidencias tecnológicas en dispositivos digitales relacionados con el hecho delictivo.
Fijación
1. Aplicar lo establecido en el Manual Único de Cadena de Custodia de Evidencias Físicas (MUCCEF).
2. Fijar fotográficamente o mediante vídeo la pantalla del dispositivo de la actividad en ejecución, sin intervenir en su funcionalidad.
3. Fijar fotográficamente o mediante video los dispositivos conectados externamente, inserciones, conexiones alámbricas, para dejar constancia de su relación.
4. En caso de equipos móviles identificar e individualizar (imei, numero de SimCard, número eSIM,)
5. Ilustrar gráficamente la topológica de la red o nodos.
Colección
Lineamientos específicos Para la colección de dispositivos digitales
En este tipo de escenario pueden intervenir criminalistas de campo previamente capacitados(as) en la colección de evidencias digitales, especialista en informática forense, perito(a) informático de campo y perito informático de laboratorio, o cualquier otro funcionario(a) con habilidades, destrezas y conocimiento específico del área. Si los tipos de dispositivos digitales se encuentran apagados, aplicar los lineamientos que establece el Manual Único de Cadena de Custodia de Evidencias Físicas, considerando:
1. Identificar e individualizar las características de los dispositivos digitales (en caso de equipos móviles imei, número de SimCard, número eSIM, marca, modelo, tipo de cargador, ranura USB, entre otros).
2. Verificar y documentar la ubicación de los dispositivos de almacenamiento externo encontrados.
3. Extraer el dispositivo de almacenamiento externo conectado, cuando aplique.
4. Si no está encendido, no lo encienda para evitar el inicio de cualquier tipo de programa de autoprotección.
5. Asegurar que el dispositivo digital este realmente apagado. En caso de estar en modo de espera o suspensión remitirlo al laboratorio en ese estado o contactar al perito, experto, especialista, forense o técnico en el área.
6. Utilizar herramientas antiestáticas (brazalete, alfombrilla) que proteja al dispositivo para así disminuir la descarga electroestática.
7. Levantar la evidencia de dispositivos digital por los laterales de ésta.
8. Hacer desconexión física de los dispositivos digitales, retirando primero el extremo conectado al dispositivo digital y luego al extremo conectado a la toma eléctrica.
9. Etiquetar los puertos para que el sistema pueda reconstruirse en una etapa posterior.
10. Inmovilizar el interruptor con cinta adhesiva, para evitar que cambie de estado.
11. Recabar los accesorios necesarios para el funcionamiento de los dispositivos digitales.
12. Documentar el acceso. Obtener la contraseña (código, pin, usuario, patrón de desbloqueo, etc.) de los dispositivos digitales que lo requieran.
13. Desconectar la batería en caso de computadoras portátiles.
14. Considerar los siguientes aspectos en dispositivos IOT (Internet de las cosas), preferiblemente debe ser valorado por un PICó criminalista de campo capacitado:
a) Evaluar la función y capacidad del dispositivo en el Internet de las cosas (IOT) para valorar la potencialidad de la evidencia digital.
b) Evaluar si el dispositivo en el Internet de las cosas (IOT) conduce a datos almacenados en otros sitios como proveedor de servicio en la nube, computadora personal, dispositivos móviles u otro de IOT.
c) Los dispositivos digitales de IOT deben estar aislados de su(s) red(es), un método a utilizar es desconectar la alimentación del dispositivo o quitar la alimentación de la batería.
d) Utilizar un método de aislamiento de red en caso que el dispositivo no se puede apagar.
e) Extraer la batería en los casos donde lo permita para aislar el dispositivo, este debe estar embalado en un contenedor diferente al dispositivo digital para evitar que se habilite el sistema conexión.
f) Evaluar la seguridad del dispositivo, considerando el diseño de seguridad (tecnología diseñada para invocar la seguridad relacionada con los datos almacenados localmente, las conexiones de red o ad hoc y la transmisión de datos).
g) Dispositivos encendidos que no ameritan adquisición en sitio:
i. Apagar el dispositivo de posicionamiento global (GPS) y no encenderlo, para evitar que registre la ruta de traslado al laboratorio.
ii. En caso de aeronaves pilotadas a distancia, verificar si se encuentran encendido revisando las conexiones remotas, vinculaciones con otros dispositivos (móvil o de nube) y realizar la adquisición in situ antes de proceder a apagarlo.
Adquisición
Lineamientos específicos para la adquisición de evidencia digital
En estos escenarios digitales las técnicas son variadas, puede ser una captura de pantalla de un sitio web, copia instantánea (Snapshots) en la nube, una réplica de información digital o una imagen forense; en este sentido, queda a criterio del experto, perito, especialista o forense las técnicas y herramientas a usar en dependencia del caso:
1. Evaluar el nivel de autonomía de la batería correspondiente a los dispositivos portátiles, antes de realizar el triaje (análisis en vivo) a fin de evitar el apagado durante el análisis o durante el traslado.
2. Adquirir los elementos de interés criminalístico de manera inmediata en el dispositivo digital que se encuentren encendido y que su carga no permita mantenerlo activo hasta su traslado al laboratorio.
3. Emplear medios esterilizados de almacenamiento que permita la transferencia y depósito de la información a objeto de realizar el tratamiento de evidencia digital.
4. Adquirir la evidencia digital con programas y dispositivos especializados en dicha tarea.
5. Realizar la adquisición de la evidencia digital, de acuerdo a su grado de volatilidad; información de la memoria RAM, particiones y archivos de intercambio (swap), procesos de red y del sistema operativo en ejecución; información de los sistemas de ficheros y datos contenidos en los sectores de los dispositivos por bloque.
6. Aplicar métodos de verificación de la integridad de la evidencia adquirida, para asegurar que la evidencia digital no fue alterada y que la copia obtenida sea idéntica al contenido de la evidencia en dispositivos digitales de origen.
7. Realizar adquisición en dispositivos encendidos:
h) Desconectar y documentar las redes alámbricas o inalámbricas.
i) Evaluar los métodos e interfaz de conexión (remoto o local) a utilizar para la adquisición de la evidencia digital.
j) En los casos de infraestructura o servicios críticos, se debe aplicar la adquisición en vivo manteniendo la continuidad del servicio. En relación al análisis en vivo, este también se aplicará a sistemas de vigilancia y otros sistemas que causen afectación a terceros si son ininterrumpidos o apagados.
8. Adquirir la evidencia por selección cuando se encuentre en los siguientes casos:
a) Sistema de almacenamiento de grandes volúmenes (Ejemplo: bases de datos, arreglos de disco).
b) Sistema crítico para ser apagado.
c) Por restricción legal que sólo permita adquirir lo que está definido en el alcance de la solicitud.
d) Cualquier otro dispositivo digital en el cual se considere que se debe aplica este método.
9. Documentar la adquisición por selección de la evidencia digital incluyendo lo siguiente:
a) Identificar carpeta (s), archivo (s) y toda la información relevante disponibles a ser adquirida.
b) Realizar una adquisición lógica de todos los datos identificados.
10. Obtener las credenciales de acceso a los sistemas y aplicaciones que serán objeto de la adquisición (base de datos, correos electrónicos, redes sociales, entre otros).
11. Gestionar ante el tribunal correspondiente la autorización del acceso a los sistemas y aplicaciones que serán objeto de la adquisición (base de datos, correos electrónicos, redes sociales, entre otros), cumpliendo con la normativa legal vigente.
12. Ubicar, identificar y documentar diagramas de red relacionados con los sistemas y aplicaciones que serán objeto de la adquisición sin exponer la seguridad de la red (sistemas CCTV, bases de datos, comercio electrónico (E-comerce), etc.). Una vez realizado el abordaje del sitio digital, se continúa con el proceso de colección, adquisición, protección, almacenamiento y traslado, descrito en los entornos de evidencias físicas.
Lineamientos a considerar en la adquisición de la evidencia digital en la nube
1. El experto(a), perito(a), especialista o forense debe considerar la determinación del tipo de nube donde se realizará la adquisición de la evidencia digital (privada, comunitaria, pública, híbrida), así como el modelo de servicios utilizado (IaaS, SaaS, Paas, entre otros), con los consecuentes niveles de control de datos asignados al proveedor del servicio de internet (ISP), al usuario(a), arquitectura y topología física y lógica de la nube; y los posibles lugares de almacenamiento de la evidencia o tecnologías utilizadas por los dichos proveedores de servicio (herramientas de auditoría, formatos de metadatos, cifrados, etc.).
2. El experto(a), perito, especialista o forense debe seleccionar las acciones apropiadas en función de los recursos disponibles, su conocimiento y comprensión del caso investigado para la adquisición u obtención de la evidencia digital.
3. Verificar y documentar la evidencia digital adquirida que esté relacionada con la información básica asociada con la cuenta o proveedor de servicio en la nube.
4. Verificar y constatar las credenciales de acceso de la cuenta o estación de trabajo donde se almacenan evidencia digital (usuario, cuenta de correo electrónico y contraseña), con el objeto de obtener la evidencia correctamente al ingresar los datos por parte la interesada.
5. Usar algún método a través de API que se pueda obtener desde un dispositivo en investigación que utiliza los servicios en la nube u otros métodos alternativos, en los casos de no ser posible el acceso con las credenciales obtenidas.
6. Documentar el proceso de adquisición, métodos utilizados, cómo se obtienen los datos, tomar fotografías, capturas de pantalla, registros de facturación o en algunos casos realizar una grabación de la sesión de manera que permita a otro experto, perito, especialista o forense identificar que se ha hecho y evaluar los resultados.
7. Verificar si existe copias (snapshots) con fecha anterior al suceso que pueda servir para esclarecer el caso investigado.
8. En los casos que el dispositivo no esté sincronizado con la nube, el experto(a), perito(a), especialista o forense deberá realizar la sincronización, copia de seguridad y/o respaldo necesario para almacenarlo localmente o procesarla por un dispositivo tecnológico donde sea resguardada en un proveedor que brinda servicio de almacenamiento en la nube para su adquisición y preservación.
9. En los casos que surjan problemas para la obtención o adquisición de datos a través de métodos planificados, el experto(a), perito(a), especialista o forense deberá intentar métodos alternativos y documentarlos mediante capturas de pantalla o fotografías de los datos relevantes.
10. Calcular y registrar valores hash antes de después de los datos adquiridos.
Embalaje y Rotulado
1. Aplicar los procedimientos establecidos en el MUCCEF, a fin de proteger las condiciones físicas y estáticas de las evidencias de acuerdo a su naturaleza.
2. Empaquetar en dispositivos de almacenamiento (discos externos, CD, DVD) la evidencia digital adquirida en el sitio de suceso digital.
3. Identificar las carpetas digitales contenedoras con la información referida a la evidencia digital, siempre aplicando los criterios establecidos en el MUCCEF.
4. Embalar los dispositivos móviles utilizando inhibidores de señales. Ejemplo:
a) Bolsa, caja o carpa de Faraday: se debe aislar el dispositivo de las señales inalámbricas al mismo tiempo que permiten previsualizar la evidencia dentro del sistema de aislamiento (posiblemente no confiable).
b) Pintura Faraday (habitación): Tiene fibra de aluminio y cobre unidad e impide las comunicaciones.
c) Lata contra incendios: Es la versión casera de una bolsa de Faraday, puede usarse para transporte. No se puede manipular el teléfono cuando está adentro (posiblemente no confiable).
d) Papel aluminio: Es la versión casera de un aislamiento de la red, puede requerir dos o tres capas para ser eficaz (posiblemente no confiable).
e) Modo avión: Utilice este modo para cortar las comunicaciones de WIFi (802.11) y las comunicaciones celulares al dispositivo (muy confiable-mejor método disponible).
Registro de Cadena de Custodia
1. Incluir los datos referidos al dispositivo digital, marca, modelo, serial y componentes anexos.
2. Incluir el resultado del valor hash en la planilla de cadena de custodia en caso de tratarse de una sola evidencia digital.
3. Incluir el nombre, el tamaño y el hash de la imagen forense realizada a contenedores digitales de grandes cantidades de evidencias adquiridas (en el caso del hash), solo si se realiza en el sitio de colección al tratarse de evidencia que no puede ser colectada ni trasladada.
Si necesita asesoría legal, no dude en contactarme.
No hay comentarios.:
Publicar un comentario