RECOLECCIÓN DE EVIDENCIA DIGITAL EN UNA ESCENA DEL DELITO
Toda Evidencia Digital (Datos o Información) se encuentra almacenada en un Dispositivo Electrónico (Hardware), para su recolección se debe tener en cuenta lo siguiente:
1. QUÉ HACER AL ENCONTRAR UN DISPOSITIVO ELECTRÓNICO O INFORMÁTICO
· No tome los objetos sin guantes de hule, podría alterar, encubrir o hacer desaparecer las huellas dactilares existentes en el equipo o en el área donde se encuentra residiendo el sistema informático.
· Asegure el lugar.
· Asegure los equipos de cualquier tipo de intervención física o electrónica hecha por extraños.
· Si no está encendido, no lo encienda (para evitar el inicio de cualquier tipo de programa de autoprotección).
· Si usted cree razonablemente que el equipo informático o electrónico está destruyendo la evidencia, debe desconectarlo inmediatamente.
· Si está encendido, no lo apague inmediatamente (para evitar la pérdida de información “volátil”).
· SI ES POSIBLE, LLAME UN INVESTIGADOR EXPERTO EN SISTEMAS.
2. CUANDO NO HAY UN EXPERTO EN SISTEMAS
· No use el equipo informático que está siendo investigado, ni intente buscar evidencias sin el entrenamiento adecuado.
· Si está encendido, no lo apague inmediatamente.
· Si tiene un “Mouse”, muévalo cada minuto para no permitir que la pantalla se cierre o se bloqueé.
· Si una Computadora Portátil (Laptop) no se apaga cuando es removido el cable de alimentación, localice y remueva la batería, ésta generalmente se encuentra debajo del equipo, y tiene un botón para liberar la batería del equipo. Una vez que ésta es removida debe guardarse en un lugar seguro y no dentro de la misma máquina, a fin de prevenir un encendido accidental.
· Si el aparato está conectado a una red, anote los números de conexión (Dirección IP).
· Fotografíe la pantalla, las conexiones y cables.
· Usar bolsas especiales antiestática para almacenar diskettes, discos rígidos, y otros dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de electricidad estática que puede destruir los datos.
· Coloque etiquetas en los cables para facilitar reconexión posteriormente.
· Anote la información de los menús y los archivos activos (sin utilizar el teclado). Cualquier movimiento del teclado puede borrar información importante.
· Si hay un disco, un disquete, una cinta, un CD u otro medio de grabación en alguna unidad de disco o grabación, retírelo, protéjalo y guárdelo en un contenedor de papel.
· Bloqueé toda unidad de grabación con una cinta, un disco o un disquete vacío aportado por el investigador (NO DEL LUGAR DE LOS HECHOS). Al utilizar algún elemento del lugar del allanamiento o de los hechos, se contamina un elemento materia de prueba con otro.
· Selle cada entrada o puerto de información con cinta de evidencia.
· De igual manera deben sellar los tornillos del sistema a fin de que no se puedan remover o reemplazar las piezas internas del mismo.
· Desconecte la fuente de poder.
· Quite las baterías y almacénela de forma separada del equipo (Si funciona a base de baterías o es una computadora portátil).
· Mantenga el sistema y medios de grabación separados de cualquier tipo de imán, o campo magnético.
· Al llevar aparatos, anote todo número de identificación, mantenga siempre la CADENA DE CUSTODIA.
· Lleve todo cable, accesorio, conexión.
· Lleve, si es posible, manuales, documentación, anotaciones.
· Tenga en cuenta que es posible que existen otros datos importantes en sistemas periféricos, si el aparato fue conectado a una red, por tanto desconecte el cable de poder de todo hardware de Red (Router, modem, Swich, Hub).
· Si el equipo es una estación de trabajo o un Servidor conectado en red y está en un Negocio o Empresa, NO DEBE DESCONECTARLO SIN CONSULTAR A UN EXPERTO EN REDES.
