soporte legal de la evidencia digital en un incidente … · 2013-09-18 · soporte legal de la...
TRANSCRIPT
95.1 – BG – MDN - R002 - 03
Soporte Legal de la Evidencia Digitalen un Incidente Informático
95.1 – BG – MDN - R002 - 03
Artículo 236. …el indiciado o imputado estátransmitiendo o manipulando datos a través delas redes de telecomunicaciones, ordenará apolicía judicial la retención, aprehensión orecuperación de dicha información, equiposterminales, dispositivos o servidores que puedahaber utilizado cualquier medio dealmacenamiento físico o virtual, análogo odigital, para que expertos
Ley 906 de 2004Ley 906 de 2004 –– Ley 1453 de 2011Ley 1453 de 2011ARTÍCULO 53. RECUPERACIÓN DE PRODUCTO DE LA TRANSMISIÓN DE DATOS ATRAVÉS DE LAS REDES DE COMUNICACIONES.
Artículo 236. …el indiciado o imputado estátransmitiendo o manipulando datos a través delas redes de telecomunicaciones, ordenará apolicía judicial la retención, aprehensión orecuperación de dicha información, equiposterminales, dispositivos o servidores que puedahaber utilizado cualquier medio dealmacenamiento físico o virtual, análogo odigital, para que expertosen informática forense, descubran, recojan, analicen y custodien lainformación que recuperen..
Art. 275. EMP Y E.F.g. El mensaje de datos, como el intercambioelectrónico de datos, internet, correoelectrónico, telegrama, télex, telefax o similar,regulados por la Ley 527 de 1999 o las normasque la sustituyan, adicionen o reformen;
Ley 906 de 2004Ley 906 de 2004
Art. 236 de 906 de 2004*Desactualizado? … Disquetes no se usen
Los equipos suelen llegar mucho tiempo después de incautados
Existen equipos que no han sido conectados a una red o internet
Sería exclusivo de archivos producto de la navegación en una red.
Qué pasaría con archivos de usuario.
* Sentencia C 334 de 2010 «…tal intervención de no efectuarse con la prontitud yeficacia señalados …podría dar lugar a que los datos y evidencias físicas y elementosmateriales por recoger de tal navegación se perdieran para siempre eirremediablemente»
Desactualizado? … Disquetes no se usen
Los equipos suelen llegar mucho tiempo después de incautados
Existen equipos que no han sido conectados a una red o internet
Sería exclusivo de archivos producto de la navegación en una red.
Qué pasaría con archivos de usuario.
Copia de elementos materiales de prueba-Análisis Forense - RealizarBack up
Resultarían Órdenes validas, pero no son integrales. Corresponden aprocedimientos que adelantan los peritos en el laboratorio.
•IMAGING - DISCO ESPEJO - IMAGEN FORENSE
•PRESERVACIÓN-RECUPERACIÓN-BÚSQUEDAS-EXTRACCIÓN
El término «orden de análisis forense» no tendrían un punto decontrol de legalidad. Forma.
Back up Verbo: Copia de Seguridad Hacer copia de seguridadSustantivo : RespaldoNo es un término forense
Resultarían Órdenes validas, pero no son integrales. Corresponden aprocedimientos que adelantan los peritos en el laboratorio.
•IMAGING - DISCO ESPEJO - IMAGEN FORENSE
•PRESERVACIÓN-RECUPERACIÓN-BÚSQUEDAS-EXTRACCIÓN
El término «orden de análisis forense» no tendrían un punto decontrol de legalidad. Forma.
Back up Verbo: Copia de Seguridad Hacer copia de seguridadSustantivo : RespaldoNo es un término forense
Tomado de la Sentencia C 336 de 2007
La Policía Judicial no es el Administrador de la Información(ley 1266 de 2008)
Aproximación a la necesidadOrden de Inspección y registro a equipos
• Orden de registro a computadores y elementos digitales
• Cumpliría con un control judicial posterior (Art. 237 CPP)
• Se ajustaría a los parámetros forenses *
• Protección de la evidencia-Búsqueda de Información de acuerdos aparámetros, criterios de búsqueda, proyección de informes deinvestigador de laboratorio.
• Orden de registro a computadores y elementos digitales
• Cumpliría con un control judicial posterior (Art. 237 CPP)
• Se ajustaría a los parámetros forenses *
• Protección de la evidencia-Búsqueda de Información de acuerdos aparámetros, criterios de búsqueda, proyección de informes deinvestigador de laboratorio.
Control Posterior de LegalidadEn algunos casos se ha requerido la presencia del perito con el fin deilustrar al juez en la audiencia. Ayudas
Cuando no se surten las órdenes adecuadamente los juecesmanifiestan la imposibilidad de impartir la legalidad a losprocedimientos ante la inexistencia de los procedimientos en lanorma procesal. Back Up-imagen-
Es necesaria la claridad de conceptos como Integridad a través dealgoritmo HASH.
Cadena de custodia...en casos se revisan incluso números seriales dedispositivos incautados.
En algunos casos se ha requerido la presencia del perito con el fin deilustrar al juez en la audiencia. Ayudas
Cuando no se surten las órdenes adecuadamente los juecesmanifiestan la imposibilidad de impartir la legalidad a losprocedimientos ante la inexistencia de los procedimientos en lanorma procesal. Back Up-imagen-
Es necesaria la claridad de conceptos como Integridad a través dealgoritmo HASH.
Cadena de custodia...en casos se revisan incluso números seriales dedispositivos incautados.
Conceptos básicos para las AudienciasConceptos básicos para las AudienciasImagen forense: Copia no modificada de undispositivo electrónico de almacenamiento digital.La creación de una imagen forense garantiza:
•La integridad de las pruebas.•Protección contra cambios o daños nodeliberados a los datos originales.
Imagen física e imagen lógica
Procedimiento matemático que medianteel empleo de un algoritmo permiteidentificar un archivo con valor único, estevalor se calcula sobre el contenido delarchivo y no sobre el nombre del mismo.Se realiza mediante el uso de una funciónespecífica MD5, SHA1 entre otros.
Evidencia Digital y la Investigación Penal
Hallazgo deEvidencia Digital
Policía Judicial(Informes: Ejecutivo-Investigador Campo,
y otros )
Órdenes a PolicíaJudicial
(Capacidad dellaboratorio)
Control Posterior deLegalidadAlmacén de
evidencia digitalAlmacén de
evidencia digital