Revista Iberoamericana de Derecho, Cultura y Ambiente
RIDCA - Edición Nº6 - Derecho Penal y Criminología
Alberto Pravia Director
15 de diciembre de 2024
Manejo de evidencia digital: Un pilar en la lucha contra el cibercrimen
Autor. Hernán José ZEPEDA CASTRO. Honduras
Por Hernán José ZEPEDA CASTRO[1]
Resumen
El manejo de la evidencia digital es una disciplina fundamental en la investigación de delitos informáticos y en el aseguramiento de la justicia en la era digital. Este artículo profundiza en los principios básicos, las fases clave y los estándares internacionales que rigen el manejo de la evidencia digital. Se abordan las mejores prácticas para preservar su integridad, los desafíos derivados de tecnologías emergentes como el cifrado y la masificación de datos, y las implicaciones éticas y legales que conlleva su uso en procesos judiciales.
Abstract
Digital evidence management is a critical discipline in the investigation of cybercrimes and the pursuit of justice in the digital age. This article delves into the fundamental principles, key phases, and international standards governing digital evidence handling. It discusses best practices to preserve its integrity, challenges arising from emerging technologies like encryption and data proliferation, and the ethical and legal implications of its use in judicial processes.
Introducción
La evolución tecnológica ha transformado profundamente la sociedad, permitiendo una conexión global sin precedentes. Sin embargo, con esta conectividad emergen desafíos en términos de seguridad y legalidad, especialmente en el ámbito del cibercrimen. Según Cybersecurity Ventures (2023), se espera que el cibercrimen se convierta en la tercera economía más grande del mundo, solo superada por Estados Unidos y China.
El manejo de la evidencia digital se ha convertido en una piedra angular para combatir delitos que van desde el fraude financiero y el ciberterrorismo hasta casos de ciberacoso. Esta disciplina, que combina elementos técnicos y legales, es crítica para asegurar que las investigaciones sean imparciales y efectivas. Sin un manejo adecuado de la evidencia digital, los sistemas legales enfrentarían enormes dificultades para garantizar justicia en un mundo digitalizado. (Casey, 2011)
El artículo que sigue se centra en los principios, fases, estándares y desafíos actuales del manejo de evidencia digital, con énfasis en su aplicación práctica y las implicaciones éticas y legales.
Definición y Características de la Evidencia Digital
La evidencia digital tiene un rol esencial en diversas investigaciones, no solo en delitos cibernéticos, sino también en casos tradicionales como robos, homicidios y tráfico de drogas, donde los datos electrónicos pueden revelar conexiones clave.
Características Clave:
El manejo de evidencia digital implica abordar un conjunto único de características para garantizar su integridad, confiabilidad y admisibilidad en contextos legales (Garfinkel, 2010). A continuación, se detallan estas características.
- Volatilidad
La evidencia digital es intrínsecamente frágil, ya que puede alterarse o eliminarse fácilmente debido a acciones humanas, procesos automáticos del sistema o ataques cibernéticos, por ejemplo, Los datos almacenados en la memoria RAM desaparecen cuando el dispositivo se apaga, para esto se utilizan herramientas como FTK Imager o Volatility para capturar y analizar datos volátiles en tiempo real.
- Dependencia Tecnológica
La evidencia digital está directamente vinculada a los dispositivos y sistemas que la generan, como computadoras, dispositivos móviles o redes. Esta dependencia requiere un conocimiento técnico actualizado para su correcta interpretación, podemos usar como ejemplo cuando un archivo almacenado en un formato propietario puede requerir software específico para ser analizado; herramientas como EnCase y Cellebrite son útiles para abordar una variedad de plataformas y sistemas.
- Facilidad de Reproducción
La evidencia digital puede copiarse fielmente sin degradación, pero esta ventaja también conlleva el riesgo de que se generen múltiples versiones no controladas, como ejemplo podemos tomar que un archivo de audio puede duplicarse y ser editado sin que el original sea evidente, utilizar el cálculo de hashes criptográficos (por ejemplo, MD5 o SHA-256) sirve para garantizar que cada copia sea idéntica al original.
- Complejidad en la Interpretación
A menudo, la evidencia digital requiere análisis especializados para traducir datos crudos en información comprensible y útil, por ejemplo, un archivo de registro (log) de red puede necesitar correlaciones complejas para identificar actividades sospechosas, y la utilización de herramientas avanzadas como Splunk o herramientas de SIEM (Gestión de Información y Eventos de Seguridad) que sirven para interpretar grandes volúmenes de datos.
- Integridad y Autenticidad
Es crucial demostrar que la evidencia no ha sido alterada desde su obtención y que proviene de una fuente legítima, Un correo electrónico presentado como evidencia debe estar respaldado por metadatos que certifiquen su origen y contenido, la implementación de cadenas de custodia estrictas y el uso de técnicas de firma digital es vital para validar la autenticidad de los datos.
- Admisibilidad Legal
Para ser utilizada en procedimientos judiciales, la evidencia digital debe cumplir con normativas legales específicas que varían según la jurisdicción, en algunos países, los datos obtenidos sin una orden judicial pueden ser inadmisibles en tribunales, se deben seguir estándares internacionales como ISO/IEC 27037 para garantizar el cumplimiento legal. (ISO, 2012)
- Escalabilidad
- El volumen de evidencia digital puede ser enorme, especialmente en casos relacionados con Big Data o redes empresariales, para poder realizar el análisis de estas grandes cantidades el uso de tecnologías basadas en inteligencia artificial para filtrar y priorizar datos relevantes, por ejemplo, en una violación de datos, millones de registros pueden requerir análisis simultáneo.
Fases del Manejo de la Evidencia Digital
- Identificación y Recolección
La etapa inicial de cualquier investigación digital consiste en identificar las fuentes potenciales de evidencia. Esto incluye dispositivos locales, redes y servicios en la nube, para esta fase se usa aplicaciones de Network Sniffers como Wireshark para capturar tráfico en tiempo real en redes locales y además, inspección de dispositivos como routers o cámaras de vigilancia para identificar registros relevantes.
En esta fase se deben obtener órdenes judiciales para acceder a datos protegidos por leyes de privacidad, además se debe colaborar con proveedores de servicios como Google o Amazon para obtener información almacenada en la nube.
- Preservación
La preservación implica mantener la integridad de la evidencia desde su recolección hasta su presentación en un tribunal, para mantener esa integridad se pueden utilizar herramientas como Write Blockers que son dispositivos que aseguran que no se puedan realizar modificaciones en los medios de almacenamiento durante la recolección, también se pueden realizar cálculo de hashes criptográficos: Por ejemplo, un valor hash SHA-256 de un archivo puede demostrarse como idéntico antes y después del análisis, esto puede ser útil por ejemplo, en un caso de acceso no autorizado a un sistema financiero, la preservación adecuada permitió rastrear la actividad del atacante hasta una dirección IP específica.
- Análisis
El análisis forense es una de las etapas más complejas, donde los expertos trabajan para extraer información relevante, dentro de las técnicas comunes son:
-
- Recuperación de datos eliminados mediante software como Recuva o R-Studio.
- Análisis de memoria RAM con herramientas como Volatility Framework.
- Presentación
La presentación de la evidencia requiere claridad y precisión para que sea comprensible tanto para jueces como jurados, para esto los informes deben incluir una línea de tiempo visual de los eventos clave y una explicación técnica simplificada acompañada de gráficos.
Normativas Internacionales y Buenas Prácticas
Las normativas internacionales ofrecen un marco indispensable para garantizar la legalidad y la admisibilidad de la evidencia digital, El Convenio de Budapest o Convenio sobre Ciberdelincuencia, adoptado en 2001 por el Consejo de Europa, es el primer tratado internacional que aborda los delitos informáticos y establece un marco de cooperación internacional para combatir el cibercrimen (Consejo de Europa, 2001). Este tratado no solo tipifica conductas delictivas relacionadas con la informática, sino que también establece directrices para el manejo de evidencia digital, esencial para la investigación y el procesamiento judicial de estos delitos, el Artículo 16 del convenio trata sobre la preservación de datos, este dice: “que los Estados deben contar con procedimientos legales para preservar rápidamente datos almacenados que sean relevantes para una investigación.”
En su Artículo 17 el Convenio de Budapest establece “que los Estados deben contar con procedimientos legales para preservar rápidamente datos almacenados que sean relevantes para una investigación.”, y en su Artículo 18 nos menciona que “cómo las autoridades pueden acceder a datos almacenados, como correos electrónicos, mensajes o archivos, garantizando el respeto a los derechos humanos y la privacidad.”
Este convenio proporciona un marco legal común para el manejo de la evidencia digital facilitando la cooperación entre sistemas legales diversos.
A pesar de que el convenio data de 2001, sus principios siguen siendo aplicables en contextos actuales, como el análisis de blockchain o el rastreo de criptomonedas, además, cada país firmante debe designar un punto de contacto operativo las 24 horas, los 7 días de la semana, para coordinar acciones internacionales rápidamente.
A parte del convenio existen algunas normas adicionales como ser la ISO/IEC 27042 que brinda guías sobre análisis forense digital y la ISO/IEC 27050 que proporciona las reglas para el manejo de evidencia en litigios electrónicos (e-discovery). (ISO, 2012).
Además de la normativa internacional se deben tener buenas prácticas como la realización de simulacros periódicos de manejo de incidentes para fortalecer la preparación del equipo y participar en certificaciones avanzadas como GIAC Certified Forensic Examiner (GCFE).
Desafíos Actuales
El manejo de evidencia digital enfrenta una serie de desafíos derivados de la rápida evolución tecnológica, la globalización y las restricciones legales.
Estos desafíos afectan la capacidad de los investigadores para recolectar, preservar y analizar evidencia en casos que involucran delitos informáticos o el uso de tecnología en actividades delictivas, dentro de estos desafíos tenemos:
- Criptografía y Cifrado
La popularización de herramientas como Signal y ProtonMail plantea problemas importantes para los investigadores, ya que la información cifrada puede ser inaccesible incluso con órdenes judiciales, para solucionar esto debemos hacer uso de análisis de tráfico para identificar patrones que puedan revelar actividades sospechosas. - Volumen de Datos
Con el auge del Big Data, el análisis manual se vuelve impracticable, por lo que se deben implementación de algoritmos de aprendizaje automático para filtrar información irrelevante, además del uso de tecnologías de almacenamiento distribuidas para manejar grandes volúmenes de datos. - Tecnologías Emergentes
La aparición de blockchain y el metaverso introduce nuevas formas de evidencia digital, esto genera nuevas oportunidades como que Blockchain puede ser utilizado para verificar transacciones financieras de manera transparente y en el metaverso, las interacciones digitales pueden ser capturadas y analizadas para casos legales. (Dardick G., 2010).
Conclusiones
El manejo de evidencia digital no solo es una herramienta para combatir el cibercrimen, sino también un factor esencial para garantizar la confianza pública en los sistemas legales y tecnológicos. Su desarrollo futuro dependerá de la capacidad de las instituciones para integrar tecnologías avanzadas, formar profesionales especializados y construir marcos legales inclusivos que balanceen la seguridad con los derechos fundamentales.
Invertir en capacitación, establecer colaboraciones interdisciplinarias y fomentar la investigación en este campo son pasos cruciales para enfrentar los desafíos de una era cada vez más digitalizada. (Hales G., 2015).
Bibliografía
Brenner, S. W. (2004). Cybercrime: Criminal Threats from Cyberspace. Praeger Publishers.
Carrier, B. (2003). Open Source Digital Forensics Tools: The Legal Argument. International Journal of Digital Evidence, 1(1).
Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
Consejo de Europa. (2001). Convenio de Budapest sobre Ciberdelincuencia. Disponible en: https://rm.coe.int
Garfinkel, S. (2010). Digital forensics research: The next 10 years. Digital Investigation, 7, S64-S73.
Hales, G. (2015). Digital Evidence Management and its Role in Modern Investigations. Journal of Digital Forensics, Security, and Law, 10(3), 25-36.
International Organization for Standardization (ISO). (2012). ISO/IEC 27037: Guidelines for the identification, collection, acquisition, and preservation of digital evidence. ISO.
Dardick, G. (2010). A Forensic Taxonomy of Digital Crimes. International Journal of Digital Crime and Forensics, 2(2), 37-56.
Citas
[1] Analista de sistemas de TI en Poder Judicial de Honduras
Buscar
Edición
15 de diciembre de 2024
Edición Especial
Derecho Penal y Criminología
Alberto Pravia, Director
15 de julio de 2024
20 de diciembre de 2023
15 de julio de 2023
20 de diciembre de 2022
15 de junio de 2022
Portada