EXTRAÍDO DEL COMPENDIO DE PROTOCOLOS DE ACTUACIÓN PARA EL FORTALECIMIENTO DE LA INVESTIGACIÓN PENAL EN VENEZUELA (2022)
PROTOCOLO ANEXO AL MANUAL ÚNICO DE CADENA DE CUSTODIA DE EVIDENCIAS FÍSICAS (MUCEEF)
Lineamientos Específicos para las Evidencias
en el Procedimiento de Obtención
De la Naturaleza Tecnológica de la Información, Comunicación y Operacional
Protección del Sitio de Suceso y las Evidencias Físicas.
1. Retirar al usuario(a) que esté trabajando en el equipo, a fin de evitar cualquier
alteración o pérdida de la información contenida en el dispositivo digital.
2. Mantener encendido el dispositivo (lectores o copiadores, computación
personal, comunicacionales y portables de posicionamiento, vigilancia
y reconocimiento), para realizar el proceso de observación y fijación de la
actividad.
3. Deshabilitar las entradas y salidas de señales de comunicación (alámbricas o
inalámbricas) que puedan contaminar, destruir o modificar la evidencia que se
encuentre en el sitio del suceso.
4. Evitar introducir dispositivos de conexión que alteren la meta data, meta
verso o el contenido de las evidencias digitales.
5. Establecer mecanismos para proteger la información sensitiva o crítica de
los sistemas.
6. Proteger los sistemas, redes y su capacidad, para que estos sigan funcionando,
sin afectar su operatividad.
Protección aplicada a los sitios donde existan elementos de interés criminalísticos
relacionado con evidencias de tecnologías de información, comunicaciones y
operativas
1. Realizar protección permanente sobre la evidencia de dispositivos digitales
para evitar el acceso de tercero.
2. Retirar al usuario(a) que esté trabajando en el equipo, a fin de evitar cualquier
alteración o pérdida de la información contenida en el dispositivo digital.
3. Mantener encendido el dispositivo digital para realizar el procedimiento de
observación y fijación.
4. Evaluar las diferentes técnicas preventivas establecidas en la MUCCEF para
impedir el acceso de terceros con intenciones maliciosa a dispositivos digitales
conectados de forma alámbrica o inalámbrica.
5. Utilizar dispositivos digitales externos previamente acondicionados para
el proceso de adquisición a fin de no alterar la metadata o el contenido de las
evidencias digitales.
6. Estudiar los elementos que conforman el entorno informático, con la finalidad
de aplicar medidas para la protección del sitio digital y la evidencia en sí.
7. Cualquier otro medio necesario para garantizar la debida protección.
Observación
Aplicar los lineamientos generales descritos en el presente protocolo.
Búsqueda
Realizar una exploración en el sitio a través de método de escaneo con el
internet de las cosas, así como la verificación de ranuras, puertos usb, unidad
de ópticos, entre otros; que permita la búsqueda de evidencias tecnológicas en
dispositivos digitales relacionados con el hecho delictivo.
Fijación
1. Aplicar lo establecido en el Manual Único de Cadena de Custodia de Evidencias
Físicas (MUCCEF).
2. Fijar fotográficamente o mediante vídeo la pantalla del dispositivo de la
actividad en ejecución, sin intervenir en su funcionalidad.
3. Fijar fotográficamente o mediante video los dispositivos conectados
externamente, inserciones, conexiones alámbricas, para dejar constancia de su
relación.
4. En caso de equipos móviles identificar e individualizar (imei, numero de
SimCard, número eSIM,)
5. Ilustrar gráficamente la topológica de la red o nodos.
Colección
Lineamientos específicos
Para la colección de dispositivos digitales
En este tipo de escenario pueden intervenir criminalistas de campo previamente
capacitados(as) en la colección de evidencias digitales, especialista en informática
forense, perito(a) informático de campo y perito informático de laboratorio, o
cualquier otro funcionario(a) con habilidades, destrezas y conocimiento específico
del área.
Si los tipos de dispositivos digitales se encuentran apagados, aplicar los lineamientos que establece el Manual Único de Cadena de Custodia de Evidencias
Físicas, considerando:
1. Identificar e individualizar las características de los dispositivos digitales
(en caso de equipos móviles imei, número de SimCard, número eSIM, marca,
modelo, tipo de cargador, ranura USB, entre otros).
2. Verificar y documentar la ubicación de los dispositivos de almacenamiento
externo encontrados.
3. Extraer el dispositivo de almacenamiento externo conectado, cuando aplique.
4. Si no está encendido, no lo encienda para evitar el inicio de cualquier tipo de
programa de autoprotección.
5. Asegurar que el dispositivo digital este realmente apagado. En caso de
estar en modo de espera o suspensión remitirlo al laboratorio en ese estado o
contactar al perito, experto, especialista, forense o técnico en el área.
6. Utilizar herramientas antiestáticas (brazalete, alfombrilla) que proteja al
dispositivo para así disminuir la descarga electroestática.
7. Levantar la evidencia de dispositivos digital por los laterales de ésta.
8. Hacer desconexión física de los dispositivos digitales, retirando primero
el extremo conectado al dispositivo digital y luego al extremo conectado a la
toma eléctrica.
9. Etiquetar los puertos para que el sistema pueda reconstruirse en una etapa
posterior.
10. Inmovilizar el interruptor con cinta adhesiva, para evitar que cambie
de estado.
11. Recabar los accesorios necesarios para el funcionamiento de los
dispositivos digitales.
12. Documentar el acceso. Obtener la contraseña (código, pin, usuario,
patrón de desbloqueo, etc.) de los dispositivos digitales que lo requieran.
13. Desconectar la batería en caso de computadoras portátiles.
14. Considerar los siguientes aspectos en dispositivos IOT (Internet de las
cosas), preferiblemente debe ser valorado por un PICó criminalista de campo
capacitado:
a) Evaluar la función y capacidad del dispositivo en el Internet de las
cosas (IOT) para valorar la potencialidad de la evidencia digital.
b) Evaluar si el dispositivo en el Internet de las cosas (IOT) conduce a
datos almacenados en otros sitios como proveedor de servicio en la nube,
computadora personal, dispositivos móviles u otro de IOT.
c) Los dispositivos digitales de IOT deben estar aislados de su(s) red(es),
un método a utilizar es desconectar la alimentación del dispositivo o quitar
la alimentación de la batería.
d) Utilizar un método de aislamiento de red en caso que el dispositivo no
se puede apagar.
e) Extraer la batería en los casos donde lo permita para aislar el dispositivo,
este debe estar embalado en un contenedor diferente al dispositivo digital
para evitar que se habilite el sistema conexión.
f) Evaluar la seguridad del dispositivo, considerando el diseño de seguridad
(tecnología diseñada para invocar la seguridad relacionada con los datos
almacenados localmente, las conexiones de red o ad hoc y la transmisión de
datos).
g) Dispositivos encendidos que no ameritan adquisición en sitio:
i. Apagar el dispositivo de posicionamiento global (GPS) y no encenderlo,
para evitar que registre la ruta de traslado al laboratorio.
ii. En caso de aeronaves pilotadas a distancia, verificar si se encuentran
encendido revisando las conexiones remotas, vinculaciones con otros
dispositivos (móvil o de nube) y realizar la adquisición in situ antes de
proceder a apagarlo.
Adquisición
Lineamientos específicos
para la adquisición de evidencia digital
En estos escenarios digitales las técnicas son variadas, puede ser una captura
de pantalla de un sitio web, copia instantánea (Snapshots) en la nube, una réplica
de información digital o una imagen forense; en este sentido, queda a criterio
del experto, perito, especialista o forense las técnicas y herramientas a usar en
dependencia del caso:
1. Evaluar el nivel de autonomía de la batería correspondiente a los dispositivos
portátiles, antes de realizar el triaje (análisis en vivo) a fin de evitar el apagado
durante el análisis o durante el traslado.
2. Adquirir los elementos de interés criminalístico de manera inmediata en el
dispositivo digital que se encuentren encendido y que su carga no permita
mantenerlo activo hasta su traslado al laboratorio.
3. Emplear medios esterilizados de almacenamiento que permita la transferencia
y depósito de la información a objeto de realizar el tratamiento de evidencia
digital.
4. Adquirir la evidencia digital con programas y dispositivos especializados en
dicha tarea.
5. Realizar la adquisición de la evidencia digital, de acuerdo a su grado de
volatilidad; información de la memoria RAM, particiones y archivos de
intercambio (swap), procesos de red y del sistema operativo en ejecución;
información de los sistemas de ficheros y datos contenidos en los sectores de
los dispositivos por bloque.
6. Aplicar métodos de verificación de la integridad de la evidencia adquirida,
para asegurar que la evidencia digital no fue alterada y que la copia obtenida
sea idéntica al contenido de la evidencia en dispositivos digitales de origen.
7. Realizar adquisición en dispositivos encendidos:
h) Desconectar y documentar las redes alámbricas o inalámbricas.
i) Evaluar los métodos e interfaz de conexión (remoto o local) a utilizar
para la adquisición de la evidencia digital.
j) En los casos de infraestructura o servicios críticos, se debe aplicar la
adquisición en vivo manteniendo la continuidad del servicio.
En relación al análisis en vivo, este también se aplicará a sistemas de vigilancia
y otros sistemas que causen afectación a terceros si son ininterrumpidos o
apagados.
8. Adquirir la evidencia por selección cuando se encuentre en los siguientes
casos:
a) Sistema de almacenamiento de grandes volúmenes (Ejemplo: bases de
datos, arreglos de disco).
b) Sistema crítico para ser apagado.
c) Por restricción legal que sólo permita adquirir lo que está definido en
el alcance de la solicitud.
d) Cualquier otro dispositivo digital en el cual se considere que se debe
aplica este método.
9. Documentar la adquisición por selección de la evidencia digital incluyendo
lo siguiente:
a) Identificar carpeta (s), archivo (s) y toda la información relevante
disponibles a ser adquirida.
b) Realizar una adquisición lógica de todos los datos identificados.
10. Obtener las credenciales de acceso a los sistemas y aplicaciones que
serán objeto de la adquisición (base de datos, correos electrónicos, redes
sociales, entre otros).
11. Gestionar ante el tribunal correspondiente la autorización del acceso a
los sistemas y aplicaciones que serán objeto de la adquisición (base de datos,
correos electrónicos, redes sociales, entre otros), cumpliendo con la normativa
legal vigente.
12. Ubicar, identificar y documentar diagramas de red relacionados con
los sistemas y aplicaciones que serán objeto de la adquisición sin exponer
la seguridad de la red (sistemas CCTV, bases de datos, comercio electrónico
(E-comerce), etc.).
Una vez realizado el abordaje del sitio digital, se continúa con el proceso
de colección, adquisición, protección, almacenamiento y traslado, descrito en los
entornos de evidencias físicas.
Lineamientos a considerar
en la adquisición de la evidencia digital en la nube
1. El experto(a), perito(a), especialista o forense debe considerar la determinación
del tipo de nube donde se realizará la adquisición de la evidencia digital
(privada, comunitaria, pública, híbrida), así como el modelo de servicios utilizado
(IaaS, SaaS, Paas, entre otros), con los consecuentes niveles de control de datos
asignados al proveedor del servicio de internet (ISP), al usuario(a), arquitectura
y topología física y lógica de la nube; y los posibles lugares de almacenamiento
de la evidencia o tecnologías utilizadas por los dichos proveedores de servicio
(herramientas de auditoría, formatos de metadatos, cifrados, etc.).
2. El experto(a), perito, especialista o forense debe seleccionar las acciones
apropiadas en función de los recursos disponibles, su conocimiento y
comprensión del caso investigado para la adquisición u obtención de la
evidencia digital.
3. Verificar y documentar la evidencia digital adquirida que esté relacionada
con la información básica asociada con la cuenta o proveedor de servicio en la
nube.
4. Verificar y constatar las credenciales de acceso de la cuenta o estación
de trabajo donde se almacenan evidencia digital (usuario, cuenta de correo
electrónico y contraseña), con el objeto de obtener la evidencia correctamente
al ingresar los datos por parte la interesada.
5. Usar algún método a través de API que se pueda obtener desde un dispositivo
en investigación que utiliza los servicios en la nube u otros métodos alternativos,
en los casos de no ser posible el acceso con las credenciales obtenidas.
6. Documentar el proceso de adquisición, métodos utilizados, cómo se obtienen
los datos, tomar fotografías, capturas de pantalla, registros de facturación o
en algunos casos realizar una grabación de la sesión de manera que permita
a otro experto, perito, especialista o forense identificar que se ha hecho y
evaluar los resultados.
7. Verificar si existe copias (snapshots) con fecha anterior al suceso que pueda
servir para esclarecer el caso investigado.
8. En los casos que el dispositivo no esté sincronizado con la nube, el experto(a),
perito(a), especialista o forense deberá realizar la sincronización, copia de
seguridad y/o respaldo necesario para almacenarlo localmente o procesarla por
un dispositivo tecnológico donde sea resguardada en un proveedor que brinda
servicio de almacenamiento en la nube para su adquisición y preservación.
9. En los casos que surjan problemas para la obtención o adquisición de datos
a través de métodos planificados, el experto(a), perito(a), especialista o forense
deberá intentar métodos alternativos y documentarlos mediante capturas de
pantalla o fotografías de los datos relevantes.
10. Calcular y registrar valores hash antes de después de los datos
adquiridos.
Embalaje y Rotulado
1. Aplicar los procedimientos establecidos en el MUCCEF, a fin de proteger las
condiciones físicas y estáticas de las evidencias de acuerdo a su naturaleza.
2. Empaquetar en dispositivos de almacenamiento (discos externos, CD, DVD)
la evidencia digital adquirida en el sitio de suceso digital.
3. Identificar las carpetas digitales contenedoras con la información referida a
la evidencia digital, siempre aplicando los criterios establecidos en el MUCCEF.
4. Embalar los dispositivos móviles utilizando inhibidores de señales.
Ejemplo:
a) Bolsa, caja o carpa de Faraday: se debe aislar el dispositivo de las
señales inalámbricas al mismo tiempo que permiten previsualizar la evidencia
dentro del sistema de aislamiento (posiblemente no confiable).
b) Pintura Faraday (habitación): Tiene fibra de aluminio y cobre unidad e
impide las comunicaciones.
c) Lata contra incendios: Es la versión casera de una bolsa de Faraday,
puede usarse para transporte. No se puede manipular el teléfono cuando está
adentro (posiblemente no confiable).
d) Papel aluminio: Es la versión casera de un aislamiento de la red, puede
requerir dos o tres capas para ser eficaz (posiblemente no confiable).
e) Modo avión: Utilice este modo para cortar las comunicaciones de WIFi
(802.11) y las comunicaciones celulares al dispositivo (muy confiable-mejor
método disponible).
Registro de Cadena de Custodia
1. Incluir los datos referidos al dispositivo digital, marca, modelo, serial y
componentes anexos.
2. Incluir el resultado del valor hash en la planilla de cadena de custodia en
caso de tratarse de una sola evidencia digital.
3. Incluir el nombre, el tamaño y el hash de la imagen forense realizada a
contenedores digitales de grandes cantidades de evidencias adquiridas (en el
caso del hash), solo si se realiza en el sitio de colección al tratarse de evidencia
que no puede ser colectada ni trasladada.
Si necesita asesoría legal, no dude en contactarme.
%201.12.36%E2%80%AFp.%C2%A0m..png)