Estrategias para la recolección de pruebas electrónicas
Algunas consideraciones importantes al momento de realizar la recolección de las pruebas deben estar orientas a:
- Llevar un orden de recopilación de información
- Buscar la evidencia
- Determinar la relevancia
- Determinar la volatilidad de la información
- Eliminar la interferencia exterior
- Recoger la evidencia
- Documentar todas las acciones realizadas
Orientaciones para Recolección de Evidencias
Teniendo en cuenta que la recolección de evidencia varia dependiendo del país, sin embargo existen unas consideraciones que aplican en marco más general, como son:
- Cantidad de información recolectada, tratar de recolectar toda la información podría ser una tentación ya que se puede llegar a alterar la información del dispositivos, por tal motivo podría ser una mejor práctica copiar la información únicamente necesaria.
- Cuidados del hardware, decidir si se toma la evidencia con la máquina encendida es otro factor a considerar.
Volatilidad de la evidencia
Existen diferentes aspectos que puede ocasionar que las evidencias puedan borrarse por lo cual es importante tener en cuenta las siguientes consideraciones:
Existen diferentes aspectos que puede ocasionar que las evidencias puedan borrarse por lo cual es importante tener en cuenta las siguientes consideraciones:
- La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios.
- Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa.
En general, la evidencia informática debe ser
- Admisible: Las pruebas deben cumplir con ciertas normas legales antes de que puedan presentarse un tribunal. Esto se explica más adelante en este capítulo.
- Auténtica: Debe ser posible vincular positivamente el material probatorio a los hechos, demostrando que la evidencia se relaciona con el incidente de una manera relevante.
- Completa: Se debe contar toda la historia y no sólo una perspectiva particular. No sólo debe reunir pruebas que puedan demostrar las acciones del atacante, pero también evidencia de que podría ser su inocencia.
- Confiable: No debe haber nada acerca de cómo la evidencia fue recogida y, posteriormente, manejado que arroja dudas sobre su autenticidad y veracidad.
- Creíble y comprensible: La evidencia debe ser fácilmente creíble y capaz de entender por un tribunal de justicia. No tiene sentido en la presentación de la salida de un volcado de memoria si un jurado no tiene idea de lo que significa.
No hay comentarios:
Publicar un comentario