Preservación de la evidencia

Tema # 3

Introducción
• Increíblemente los delincuentes hoy están utilizando
la tecnología para facilitar el cometimiento de
infracciones y eludir a las autoridades. Este hecho ha
creado la necesidad de que tanto la Policía Judicial,
la Fiscalía General del Estado y la Función Judicial
deba especializarse y capacitarse en estas nuevas
áreas en donde las TICs1 se convierten en
herramientas necesarias en auxilio de la Justicia y la
persecución de delito y el delincuente.

• La obtención de Información (elementos de
convicción) se constituye en una de las facetas útiles
dentro del éxito de en una investigación criminal,
aspecto que demanda de los investigadores
encargados de la recolección preservación, análisis y
presentación de las evidencias digitales una eficaz
labor que garantice la autenticidad e integridad de
dichas evidencias, a fin de ser utilizadas
posteriormente ante el Tribunal Penal.

.• La preservación es uno de los procesos que conllevan a conservar la evidencia digital potencial y mantener su integridad y autenticidad en todo el proceso de la investigación (la integridad y autenticidad son parámetros que mantienen la cadena de custodia).

• La preservación debe estar presente en todo momento (independientemente la naturaleza de la evidencia digital) uno de estos momentos se da cuando el investigador forense digital según su capacidad. . técnica y recursos debe realizar el embalaje (debe ser envuelto o colocado en un embalaje adecuado según la naturaleza del dispositivo para evitar la contaminación) con el fin de asegurar todos los elementos incautados y poder eliminar toda probabilidad de manipulación y expoliación.

La manipulación se dará cuando el investigador forense digital necesite realizar pruebas con ella (es conveniente que el investigador forense digital siempre utilice copias para dichas pruebas y utilizar lo menos posible la evidencia original) o cuando hay un interés y se modifica intencionalmente para perjudicar el resultado. entre otros.• La expoliación para este caso resulta de la degradación magnética. golpes. degradación eléctrica. vibraciones. humedad. . temperaturas.

cabe mencionar que algunas jurisdicciones o no cumplen o no existen este tipo de normas ya que este proceso no está regularizado con estándares y se realiza con prácticas rusticas (por ejemplo la evidencia digital incautada es puesta en cajas de cartones.• El investigador forense digital siempre tendrá que estar a la expectativa de las normas que rigen las formas de embalaje que rigen esa jurisdicción. con cintas adhesivas mal colocadas y etiquetado inapropiado con marcadores permanentes) .

• lo recomendado sería que los CPUs y los ordenadores portátiles deben ser asegurados en un contenedor APROPIADO para evitar la manipulación o expoliación de la evidencia digital potencial que puede residir en él. El embalaje de la evidencia digital debe ser apropiado (acciones mínimas) a menos que haya una buena razón para no hacerlo (se debe de justificar en la documentación de la cadena de custodia) .

• 2. . Etiquetar todas las pruebas digitales. Se podrían mencionar como acciones mínimas las siguientes: • 1. El investigador forense digital deberá conocer la tecnología actual y deberá estar familiarizado con el manejo de los medios de comunicación. por ejemplo. se deberán utilizar etiquetas aprobadas por el laboratorio forense digital (algunas jurisdicciones dan las guías de etiquetado). al incautar cintas magnéticas se deberán utilizar guantes sin pelusa. La etiqueta no debe colocarse directamente sobre las partes mecánicas de la evidencia digital y no debe cubrir u ocultar información de identificación importante.

Los dispositivos digitales con algún tipo de aberturas y componentes móviles deben ser sellados con etiquetas inviolables. Los dispositivos que están conectados a baterías que manejen datos volátiles deben ser revisados periódicamente para garantizar que los dispositivos siempre tienen suficiente suministro de energía. • 4. .• 3. firmados y sellados por el investigador forense digital.

Los ordenadores y dispositivos digitales deben estar envasados de tal manera para evitar daños por golpes.• 5. vibraciones. .) • 6. radios de policía. electricidad estática. etc. luces ultravioleta. Identificar y asegurar los dispositivos digitales en un RECIPIENTE ADECUADO según sea la naturaleza del dispositivo contra las amenazas potenciales (fuentes electromagnéticas. calor y la exposición a la radiofrecuencia durante el transporte.

. Los dispositivos digitales también pueden contener rastro o evidencia biológica y se deben tener en cuenta este tipo de procedimientos. anti- estático y libre de partículas. Los medios de almacenamiento magnético se deben almacenar en un envase magnéticamente inerte. • 8.• 7.

El proceso de transporte debe permitir un entorno propicio y controlado. El investigador forense digital deberá garantizar que los ordenadores y dispositivos digitales se empaquetan con seguridad durante el transporte para evitar daños por golpes y vibraciones. de lo contrario deberá justificar mediante documentación para garantizar la cadena de custodia. Al momento de transportar la evidencia digital el investigador forense digital deberá acompañar a la evidencia y estar presente en todo momento. .• La transportación de la evidencia digital es otro punto que debe tomarse en consideración y estará regido por leyes jurisdiccionales locales y reglamentos en materia de protección de datos.

fusionrms.com/ .com/ • Fusion RMS http://www.com/ • ASAP systems https://www.• Hay una variedad de aplicaciones que son utilizadas en algunos laboratorios forenses para asegurar la cadena de custodia. por ejemplo: • Evidence Tracker http://trackerproducts.asapsystems.

El “centro de operaciones” de la organización.• Un aspecto importante para salvaguardar la evidencia digital es el lugar o establecimiento donde estará alojada y donde se le realizarán las pruebas científicas pertinentes. la recepción incorrecta o imprecisa de artículos de interés en esta etapa puede invalidar la presentación de la evidencia .

• (varias bibliografías señalan que debe haber un ente encargado para realizar estas tareas en específico). . la ubicación del personal disponible. la cantidad de personal que pueda permanecer en el laboratorio y los tipos de procedimientos que se espera llevar a cabo en su interior. la proximidad entre otras organizaciones o funciones (por ejemplo. el equipo de recuperación de desastres o el personal de auditoría). la seguridad y otros temas son tratados en este apartado.

Los metadatos (aliados o enemigos) • Tal vez escucharon nombrar a los metadatos. entre otros. . Por ejemplo. el tamaño y la fecha de creación. estos son información adicional sobre los datos. en una foto. nos permitirían saber el tipo de extensión del archivo.

.

• Sucede que frecuentemente son utilizados por los ciberdelincuentes para obtener información acerca de una víctima. • Si no se toman los recaudos necesarios. Para poder entender un poco mejor qué son exactamente los metadatos y cómo podrían ocasionar la fuga de información. los vamos a ilustrar con imágenes. . sí: esta simple foto podría entregar información muy sensible a un atacante.

.

.

.

.

.

.

¿Y como se ven estos datos? .

CÓMO NO INVALIDAR LA EVIDENCIA DIGITAL EN ANÁLISIS FORENSE • En la actualidad nos desarrollamos en un mundo digital relativamente globalizado en donde IoT. . en la cual se deberán presentar evidencias digitales que serán de gran ayuda la hora de esclarecer un ilícito. smartphones. servidores y computadores personales pueden ser víctimas de los más diversos ataques cibernéticos apuntados en contra de negocios. En muchas ocasiones y de la mano de la informática forense estos hechos son denunciados ante la justicia. personas o instituciones.

imágenes de discos o tarjetas. capturas de tráfico o conexiones de red.• Es importante entender que se define a la evidencia digital como el conjunto de datos o información en formato binario. entre otros. En otras palabras. que puedan ser utilizados en una corte para esclarecer un hecho o incidente de seguridad. su contenido o referencias a éstos (metadatos). es todo aquel elemento que pueda almacenar información de forma física o lógica que logre ayudar a esclarecer un caso. . o memoria volátil del sistema atacado. como por ejemplo ficheros.

entre las cuales podemos mencionar la RFC 3227. Además. es decir que tenga relación con el delito bajo investigación y que haya sido obtenida en un modo legal. • Existen varias metodologías. . pero no está de más recordar las siguientes cuestiones con el objetivo de no invalidar el proceso de recolección de información.• Esta debe ser relevante. en ella se explica detalladamente el modo correcto de preservar una evidencia digital. debe estar correctamente identificada (respetando su cadena de custodia) y ser confiable es decir que no haya sido modificada.

ya que se perderían todos los datos volátiles como por ejemplo procesos activos. . • En caso contrario. borrando así las huellas del incidente. si se encuentra prendido no se debe apagarlo. cuando el dispositivo se encuentre apagado no debe encenderse. No cambiar el estado del dispositivo • Básicamente.1. debido a que al cargarse nuevamente el sistema podría sobrescribir información útil e inclusive podría tener algún código malicioso que destruya las evidencias de forma automática. y todo lo que esté cargando en la memoria RAM.

. 2. Este tipo de información resultará muy valiosa y por eso debe ser tenida muy en cuenta. desde malware que reside únicamente en memoria hasta las contraseñas de sitios web que están contenidas en su interior o conexiones en curso. además de porque puede ser destruida con facilidad. Recopilar evidencias siguiendo el orden de mayor a menor volatilidad • Los datos volátiles (aquellos que perdemos cuando se apaga el equipo) ofrecen muchísima información.

De este modo. . con el fin de entorpecer la investigación de los analistas forenses ocultando o falseando evidencias (esto se conoce como técnicas antiforenses). No confiar en la información proporcionada por los programas del sistema • Es muy común que los sistemas comprometidos puedan haber sido manipulados por los atacantes o algún código malicioso. Este es uno de los principales motivos por los cuales se aconseja capturar la información mediante programas desde un medio protegido. se asegurara que las herramientas utilizadas no puedan haber sido comprometidas ni modifiquen la evidencia.3.

Cambiado) de cada fichero y correlacionando distintos logs.4. las líneas de tiempo son unas de las técnicas de análisis forense más potentes para entender el paso a paso de los incidentes. No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los archivos del sistema • Como es sabido. Realizando una línea temporal basada en los tiempos MAC (Modificado. ejecutar aplicaciones que cambien los metadatos de los archivos sería un gran error que perjudicaría de manera catastrófica la investigación. . Por tal motivo. Accedido. puede identificarse el cómo de muchos hechos o incidentes.

. Si no está seguro de lo que está haciendo. si restablecer el sistema o comenzar un análisis forense. dejando nuevamente una ventana abierta para que los atacantes vuelvan a invadir el sistema del mismo modo. ¡no realice ninguna acción! • En muchas ocasiones llega el momento de decidir. Es importante tener en cuenta que si se reestablece el sistema es muy probable que se destruyan todas las evidencias.5. sabiendo que ha ocurrido una intrusión.

como por ejemplo por una caída del servicio. .• Por otra parte. si esta intrusión genera un impacto en el negocio de la empresa. Es por esta problemática que se recomienda tener un plan de contingencias. que ayudará a resolver este tipo de encrucijada. es muy probable que se esté obligado a restablecer el sistema cuanto antes.

.• Para concluir. debemos agregar que en caso de sospechar de un incidente que pretenda ser llevado a una corte judicial. se recomienda contactarse con un perito especializado en la materia. quien seguramente tendrá en cuenta todos estos consejos para le preservación de la evidencia digital.

¿Que diferencia la evidencia informatica de la evidencia tradicional ? • La volatilidad • La capacidad de duplicación • La facilidad de alterarla • La cantidad de Metadatos que posee .

. se intenta manipular el material de una pericia destruyendo.¿Qué son las técnicas anti forenses? • Para los analistas forenses. que son definidas como metodologías para comprometer la disponibilidad de la evidencia en un proceso forense. se presentan retos cada día más exigentes en cuanto al rastreo y detección de un atacante. ocultando. eliminando y/o falsificando la evidencia. El reconocimiento de las vulnerabilidades en las herramientas utilizadas por procedimientos de esta materia ha generado la aparición de las llamadas técnicas anti forenses. De esta forma. dada la sofisticación de los intrusos en sus técnicas de evasión.

el cual detalla las operaciones para que un archivo o directorio sea borrado en forma segura. estas aplicaciones son generalmente de escaso tamaño y portables. • Algunas se basan en el Algoritmo de Gutmann. es decir que no precisan una instalación . Existen muchas aplicaciones que realizan estas tareas y son capaces de ejecutarse en la mayoría de los sistemas operativos.A) Técnicas de borrado o destrucción de la información • El fin de esta técnica es imposibilitar la recuperación de las evidencias ya sea por el borrado de archivos o particiones del disco.

llamada esteganografía. • Esta técnica. De este modo. puede llegar a ser muy eficiente de ser bien ejecutada. de ser encontrada puede ser válida en una investigación formal y por lo tanto servir para la incriminación e identificación del autor de dicho ataque. de tal forma que no se perciba su existencia. pero conlleva muchos riesgos para el atacante o intruso. los atacantes ocultan mensajes u objetos dentro de otros archivos. . Al no modificar la evidencia.B) Técnicas de ocultación de la información • Este método tiene como principal objetivo hacer invisible la evidencia para el analista.

. Mac o Unix. Utilizando una línea de tiempo para indicar las acciones y clasificándolas en orden cronológico. Aunque un atacante podría borrar los contenidos de los medios de comunicación.C) Técnicas de sobreescritura de metadatos • Si el analista descubre cuándo un atacante tuvo acceso a un sistema Windows. el analista tendría un esquema de lo que fue ocurriendo en el sistema. con frecuencia es posible determinar a qué archivos o directorios accedió. esta acción podría atraer aún más la atención.

. incriminando a terceros y por consiguiente desviando la investigación. • Otra estrategia bastante utilizada es cuando el atacante oculta sus pistas al sobrescribir los propios tiempos de acceso. creando falsas pruebas para cubrir al verdadero autor.• Este grupo de técnicas tiene como fin engañar. de manera que la línea de tiempo no pueda construirse de forma fiable.

. una partición o inclusive una comunicación. una aplicación.D) Técnicas de cifrado de la información • Estas técnicas tienen como objetivo dificultar la lectura de datos para los analistas. Veamos algunos ejemplos de estas técnicas en los diversos escenarios. Esta información puede estar vinculada a un directorio.

y en teoría solo se podría tener acceso a ella mediante la clave que. como es lógico. Bitlocker o DiskCryptor. Estas herramientas permiten mantener almacenada de una forma segura la información que ha sido cifrada. el analista no tendría.• Algunas herramientas muy utilizadas para cifrar archivos o particiones son Truecrypt. .

. Un ejemplo muy activo de estas técnicas lo vemos en la mayoría de los ataques e inclusive en los códigos maliciosos como CTB- Locker.E) Otras técnicas • Diversas técnicas anti forenses también se observan en las comunicaciones. que se comunican a través de Tor con su C&C. de este modo se utilizan proxies con el objetivo de enmascarar la IP de un atacante.

Es decir. dentro de otros. de modo que no se perciba su existencia.ESTEGANOGRAFIA • la esteganografía trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos. procura ocultar mensajes dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación. llamados portadores. . de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.

también es uno de los llamados métodos de sustitución. Consiste en hacer uso del bit menos significativo de los píxeles de una imagen y alterarlo. aunque no es lo más común.• Este es el método moderno más común y popular usado para esteganografía. La misma técnica puede aplicarse a vídeo y audio. .

componentes de color. . mientras que el mensaje es esparcido a lo largo de sus píxeles. Esta técnica funciona mejor cuando el archivo de imagen es grande. pero no es apropiada para aquellas en color de 8 bit paletizadas (misma estructura que las de escalas de gris.• Hecho así. la distorsión de la imagen en general se mantiene al mínimo (la perceptibilidad es prácticamente nula). posee fuertes variaciones de color ("imagen ruidosa") y también aventaja cuanto mayor sea la profundidad de color. pero con paleta en color). En general. por píxel). los mejores resultados se obtienen en imágenes con formato de color RGB (tres bytes. Asimismo esta técnica puede utilizarse eficazmente en imágenes a escala de gris.

alterándolo cambia en la menor medida posible el valor total del número representado. su representación original podría ser la siguiente (3 píxeles. 9 bytes): .• El valor (1 1 1 1 1 1 1 1) es un número binario de 8 bits. Si se tiene parte de una imagen con píxeles con formato RGB (3 bytes). • Un ejemplo de esteganografía: Ocultamiento de la letra "A". Al bit ubicado más a la derecha se le llama "bit menos significativo" (LSB) porque es el de menor peso.

. pero es parte del tercer pixel (su tercera componente de color).• Observar que se ha sustituido el bit del mensaje (letra A. el noveno byte de color no se utilizó. uno por cada bit de la letra A. • El método del LSB funciona mejor en los archivos de imágenes que tienen una alta resolución y usan gran cantidad de colores. favorecen aquellos que tienen muchos y diferentes sonidos que poseen una alta tasa de bits. marcados en negritas) en cada uno de los bits menos significativos de color de los 3 píxeles. En caso de archivos de audio. Fueron necesarios 8 bytes para el cambio.

se necesitan 8 bytes de imagen por cada byte de mensaje a ocultar. es decir. la capacidad máxima de una imagen para almacenar un mensaje oculto es de su 12.5%.• Además este método no altera en absoluto el tamaño del archivo portador o cubierta (por eso es "una técnica de sustitución"). puede comenzar a ser percibible al ojo humano la alteración general provocada. sino los dos últimos). no sólo el último. . Posee la desventaja de que el tamaño del archivo portador debe ser mayor cuanto más grande sea el mensaje a embeber. Si se pretende emplear una mayor porción de bits de la imagen (por ejemplo.

entonces los nuevos píxeles alterados serían: • (1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0) • (0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1) • (0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1) .• (1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1) • (0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1) • (0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1) • El mensaje a cifrar es ‘A’ cuya representación ASCII es (1 0 0 1 0 1 1 1).

.

.

.

CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL .

. hasta que se destruye. desde que ésta se consigue o genera. o deja de ser necesaria.• La Cadena De Custodia (también conocida como CdC) es uno de los protocolos de actuación que ha de seguirse con respecto a una prueba durante su período de vida o de validez.

en caso de su destrucción –por la causa que sea-. dónde se encuentra ésta en todo momento y quién la tiene y. .• Este protocolo debe controlar dónde y cómo se ha obtenido la prueba. cuándo. quién. dónde y porqué se ha destruido. cómo se ha destruido. quién ha tenido acceso a la misma. qué se ha hecho con ella -y cuándo-.

llegue a manos del juzgador. de tal forma que cuando ésta –o cualquier informe que se genere sobre ella-. como del informe. tanto con la prueba. así como con el personal que tiene acceso a la misma.• Este procedimiento de control debe ser absolutamente riguroso. como los hechos que la afectan.no pueda dudarse ni por un instante de su validez. tanto de la prueba. en su defecto. . o como acompañamiento de la misma.

• El concepto Cadena de Custodia no es algo que solamente se utilice en el entorno del Análisis Forense informático. y es algo que incumbe a la recopilación de evidencias de cualquier tipo . sino que es un concepto ligado al ámbito legal y judicial.

está a la orden del día: un caso de corrupción. desgraciadamente. .• Para entender su importancia pongamos como ejemplo un caso que.

el sospechoso tiene muchas papeletas de ser culpable. Ahora imaginemos que el encargado de custodiar esas evidencias es amigo íntimo del sospechoso y que no se lleva ningún control de trazabilidad sobre las mismas. Cuando esas pruebas llegan al juez. . Para evitar que estas situaciones se produzcan en la realidad existe el concepto de Cadena de Custodia. todos esos contratos que antes eran la prueba de un delito ahora son completamente normales y responden a la más absoluta legalidad.• Cuando la policía y los investigadores entran en la casa del sospechoso. por lo que el juez no tiene más remedio que desestimar la acusación. resulta que encuentran un montón de documentación en papel referente a contratos inflados económicamente para estafar a la Administración Pública. por tanto.

evidencias o pruebas) no han sufrido alteración o contaminación alguna desde su recolección. examen y custodia. .• La CdC establece un mecanismo o procedimiento. que asegura a quienes deben juzgar que los elementos probatorios (indicios. hasta el momento en el cual se presentan como prueba ante el Tribunal.

• Este procedimiento debe controlar dónde y cómo se ha obtenido la prueba. quién ha tenido acceso a la misma. en caso de su destrucción (por la causa que sea). dónde se encuentra ésta en todo momento y quién la tiene y. dónde y porqué se ha destruido. . cómo se ha destruido. de manera que no pueda dudarse ni por un instante de la validez de la prueba. qué se ha hecho con ella (y cuándo). cuándo. Este procedimiento de control debe ser absolutamente riguroso. quién.

UNA TÈCNICA SERIA SACAR EL HASH .

.

. una ruta completa e incluso los procesos que actualmente se están ejecutando en nuestro sistema. un árbol de carpetas. Podemos cargar fácilmente en esta aplicación desde un único archivo hasta una carpeta.Calcula el Hash con MultiHasher • Es una aplicación totalmente gratuita y portable de tan sólo 2.7 MB que nos permite conocer en cuestión de segundos diferentes hashes de archivos.

También nos ofrece integración con VirusTotal con lo que podemos comprobar fácilmente por el Hash si un archivo es malicioso y sospechoso de contener malware.MultiHasher nos muestra automáticamente los siguientes Hash de los archivos analizados: • CRC32 • MD5 • RIPEMD-160 • SHA-1 • SHA-256 • SHA-384 • SHA-512 Una vez calculados los Hash de los archivos tenemos la posibilidad de exportarlos como un archivo (SFV. SHA1. . etc) según el tipo calculado. SHA256.

la evidencia digital tiene ciertas peculiaridades con respecto a otro tipo de evidencias. y es que la información que se puede presentar como medio de prueba la podemos encontrar en diferentes estados: .Sin embargo.

. • En tránsito o desplazamiento. • Almacenada dinámicamente o en procesamiento. Información que se encuentra en movimiento por la red en forma de paquete de información que puede ser capturado y/o almacenado. Información que se encuentra almacenada de manera persistente en un dispositivo a la espera de ser recuperada o utilizada. Información que se encuentra almacenada de manera temporal en un dispositivo volátil y que se perderá en el momento que el dispositivo deje de recibir corriente eléctrica.• Almacenada estáticamente.

• Especialmente de estos dos últimos estados hablaba cuando se refería a las peculiaridades de la evidencia digital. La mayoría de las veces que se habla de CdC se habla de la preservación de la prueba material incautada y relacionada con un delito. pero en informática. ese control de la prueba material carece de sentido cuando hablamos de memorias volátiles .

y antes o después el equipo donde esté alojada esa memoria RAM deberá ser apagado. credenciales de usuario. La información que contiene puede ser valiosísima a la hora de resolver una investigación (procesos en ejecución. ¿qué sentido tiene la cadena de custodia simplemente sobre la memoria RAM como dispositivo físico? .• Por ejemplo. esta información se perderá en el momento en que la memoria deje de percibir corriente eléctrica. Entonces. sin embargo. etc.). Pongámonos en el caso de una memoria RAM.

• Con este pequeño ejemplo se pone de manifiesto que cuando
hablamos de CdC no podemos referirnos solamente a las
pruebas materiales relacionadas con el delito, sino que hay
que hablar también de aquellos datos obtenidos de
dispositivos volátiles, y que se generan “sobre el terreno”.

• Por ejemplo, para preservar la información contenida en un
dispositivo volátil de manera que después pueda ser
analizada por un experto, habrá que copiar dicha
información a un dispositivo no volátil. Ese dispositivo es
una prueba generada “in situ” y deberá ser tratada como tal
aplicándole el procedimiento de CdC y garantizando su
validez legal en un proceso judicial.

• Como vemos, la información volátil supone una gran
peculiaridad, pero también la información no volátil, por las
características propias de las evidencias digitales, supone
una disrupción respecto a la definición tradicional de CdC.
Por ello, la CdC no debe limitarse únicamente a aquellos
dispositivos incautados, sino que debe aplicarse además a
todos aquellos dispositivos que, por la razón que fuere, hayan
sido duplicados o clonados, con el fin de que estas copias
tengan la misma validez legal que la evidencia original. De
esta manera, el dispositivo original estará protegido de
terceros, en un lugar seguro, y libre de posibles
manipulaciones o destrucciones.

alejando el temor de que una prueba pueda ser contaminada.• De todo lo anterior se desprende una ventaja a la hora de trabajar con evidencias digitales. y es que estas evidencias nos permiten trabajar con copias idénticas de la prueba original. .

• Y en el caso de que así sea. Esto supone una gran ventaja en este aspecto respecto a otros campos (pensemos en el ámbito de la medicina forense). podrá volver a clonarse el original permitiendo comenzar de cero si fuera necesario. . y una de estas copias idénticas se vea contaminada (por motivos del análisis de la misma en la mayoría de los casos).

. que ofrece una guía de cómo llevar a cabo la actuación pericial en el escenario de la recogida. identificación y secuestro de la evidencia digital. collection.• ISO/IEC 27037:2012 “Information technology – Security techniques – Guidelines for identification. y en su capítulo 7 trata la cuestión de la CdC en este ámbito. acquisition and preservation of digital evidence”. norma más dirigida a dispositivos actuales y más acorde con el estado de la técnica actual. Esta norma viene a sustituir a las antiguas directrices RFC 3227.