Escenario del Crimen: Oficinas

Por donde salio : Fisico, como lgico

Solicitar la informacin de los accesos

Historial de accesos :

Historial de conexiones cuando ingreso, cuando salio.

La Cadena De Custodia (tambin conocida como CdC) es uno de los protocolos

de actuacin que ha de seguirse con respecto a una prueba durante su perodo de
vida o de validez, desde que sta se consigue o genera, hasta que se destruye, o deja
de ser necesaria.

Este protocolo debe controlar dnde y cmo se ha obtenido la prueba, qu se ha

hecho con ella -y cundo-, quin ha tenido acceso a la misma, dnde se encuentra
sta en todo momento y quin la tiene y, en caso de su destruccin por la causa
que sea-, cmo se ha destruido, cundo, quin, dnde y porqu se ha destruido.

Este procedimiento de control debe ser

absolutamente riguroso, tanto con la prueba, como los hechos que la afectan, as
como con el personal que tiene acceso a la misma, de tal forma que cuando sta o
cualquier informe que se genere sobre ella-, llegue a manos del juzgador, no pueda
dudarse ni por un instante de su validez, tanto de la prueba, como del informe, en
su defecto, o como acompaamiento de la misma.

En muchos textos se define la cadena de custodia como el procedimiento de control

que se aplica al indicio material relacionado con el delito, desde su localizacin, hasta
que es valorado por los rganos de administracin de Justicia. Esta primera parte
de la definicin es vlida como concepto genrico pero, en informtica, hay que
precisar que un conjunto de datos obtenidos en el primer anlisis -el de campo,
en el lugar de los hechos-, se destruye necesariamente. Me estoy refiriendo a las
memorias voltiles. La Polica cientfica, o quien est encargado de recoger esta
primera y valiossima informacin, deber generar un informe basado en gran parte
en la prueba documental textual y fotogrfica tomada en el momento del primer
estudio hecho sobre el terreno, de todos aquellos datos que pueda obtener y que
sabe a ciencia cierta que van a perderse, nada ms desenchufar el dispositivo.
 Imaginemos, por ejemplo, un router
ADSL. Este dispositivo tendr un LOG (un registro de conexiones) guardado, en el
que se podr constatar qu ordenadores (y sus MAC e IPs) han estado, o estaban
conectados -y cundo lo han estado-, hasta el momento en que la persona
autorizada por el Juez entra al lugar a investigar y toma el control del dispositivo. Si
el investigador lo primero que hace es desenchufar, habr eliminado un dato
precioso. Pero tambin somos conscientes de que hay que desenchufar en algn
momento. Por tanto, la cadena de custodia del router, como dispositivo fsico, de
poco servir, o no ser completamente eficaz si simplemente se procede a la
desconexin del enrutador, pues tan importantes, o ms, son los datos que ste tena
en su memoria, antes de ser desenchufado.

En base a lo anterior es por lo que nos atrevemos a decir que, en algunos casos, la
cadena de custodia no se aplicar slo al indicio material relacionado con el delito,
sino que, a mayores, habra que ampliar esta definicin, de tal forma que cubra
y ampare igualmente aquellos datos obtenidos de dispositivos con informacin
voltil que hayan sido obtenidos sobre el terreno. Adems, el hecho de que nunca
acuda un solo agente al lugar de los hechos permite que los dems asistentes den fe
de los datos que se han salvaguardado, cmo se han recuperado y el lugar en el que
han sido obtenidos. Una muestra fotogrfica del proceso de captacin de datos y de
las diferentes pantallas del router en este caso-, as como de los datos caractersticos
de ste (n de serie, modelo, forma fsica del mismo) servirn para relacionar el
continente con el contenido.

Este dato que aportamos es de suma

importancia, a nuestro parecer. En informtica, la cadena de custodia no debe
aplicarse slo a aquellos dispositivos que se incautan en un momento dado. Tambin
debe aplicarse a aquellos datos que se generan sobre el terreno, de tal forma que
tengan plena validez legal, ya sea como sustitucin de una prueba extinguida (la
prdida del contenido de una RAM), o como apoyo a una prueba fsica. El Juez
(primer y ltimo eslabn de la cadena de custodia, pues es quien manda incautar
el elemento objeto de custodia y al que retornan los datos una vez estudiados y
procesados) debe permitir que el grupo especializado encargado de incautar y tomar
el primer contacto con la prueba, pueda hacer un primer anlisis de campo, sobre
aquellos dispositivos en los que, de forma cierta, se sepa que van a perder
informacin valiosa, en el momento que sean desconectados de la corriente elctrica.

Ya centrados en los elementos que albergan informacin no voltil, pensamos que

la cadena de custodia no debe limitarse nicamente a aquellos dispositivos
incautados, o a los informes y datos generados en el momento de la incautacin.
sta debera aplicarse a todos aquellos dispositivos que, por la razn que fuere, hayan
sido duplicados o clonados; siempre y cuando estos dispositivos que almacenan la
copia pretendan ser usados como prueba, como es lgico.

Para estas nuevas pruebas, deber

crearse una cadena de custodia independiente, que haga referencia a su
procedencia, como primer eslabn de la cadena. De esta forma el dispositivo
origen siempre estar preservado de terceros, en un lugar seguro, y libre de
posibles manipulaciones o destrucciones. En este punto hemos de recalcar que el
contenido original de un dispositivo de almacenamiento o el dispositivo mismo-,
podra verse alterado en cualquier momento, incluso de forma intencionada, por lo
que la posibilidad de trabajar con copias idnticas (y en este caso la prueba
informtica tiene una gran ventaja sobre otras pruebas de diferente ndole) aleja el
temor de que una prueba pueda ser contaminada. Y en el caso de que esto se
produzca por el motivo que sea-, podr volver a clonarse el original por personal
especializado designado para tal efecto, permitiendo comenzar de cero, si as fuera
preciso.

Somos conscientes de que en otros campos de actuacin de la cadena de custodia,

el principio de preservacin de la prueba es sumamente importante, pero habra que
establecer una serie de matices en la prueba digital. En el caso de la informtica, hay
una parte de la prueba que si bien ha de ser custodiada en todo momento-, puede
ser duplicada tantas veces como sea preciso (es el caso del contenido de un disco
duro, o un lpiz usb, o tarjeta de memoria, etc.), pero para que este duplicado tenga
validez jurdica ha de aplicarse esta cadena de custodia al elemento resultante, como
si del original se tratase. Sin embargo, y como apuntbamos anteriormente, existe
otra parte de la prueba que desaparecer una vez desconectado el dispositivo, por
lo que el documento generado tras el trabajo realizado in situ, antes de la
desconexin, ser la nica prueba fehaciente de los datos que existan
previamente. Es por esto que el documento resultante tendr que ser sometido a
cadena de custodia, para garantizar as que los datos obtenidos en ese instante no
han tenido una posterior adulteracin.

Por tanto, y resumiendo, podramos

definir en informtica-, que la cadena de custodia es el protocolo de actuacin
relativo a la seguridad y manipulacin que ha de seguirse durante el perodo de
vida de una prueba, desde que sta se consigue o se genera, hasta que se
destruye o deja de ser necesaria. De este modo nos alejamos (somos conscientes)
de otras tesis ms genricas que ahondan en el principio de indestructibilidad,
preservacin o necesidad misma de la prueba fsica puesto que, como hemos dicho
anteriormente, algunas pruebas cruciales se destruyen en el momento en que se
desconecta el dispositivo electrnico, al tiempo que otras podrn duplicarse casi de
forma indefinida-, de forma exacta y fidedigna a la prueba original, convirtindose
en ese momento en otra prueba vlida independiente, exacta a la de origen.

En el siguiente artculo de la cadena de custodia os hablar de los principios

probatorios.
Hallazgo

Custtodia

Analisis

Devolucion