La Evidencia Digital en la Informática Forense

Questions and Answers

¿Cuál de los siguientes elementos no es un objetivo principal al analizar la evidencia digital en informática forense?

• Clasificar las evidencias conforme a su volatilidad para su correcta adquisición.
• Clasificar las evidencias según su coste económico para su posterior tasación. (correct)
• Entender la importancia de la prueba dentro de un procedimiento judicial.
• Comprender qué es una evidencia digital y sus características.

Según el principio de intercambio de Locard, ¿cuál de las siguientes afirmaciones es la más precisa?

• Toda acción delictiva deja rastros, permitiendo conectar al delincuente con la escena del crimen. (correct)
• La intensidad de un crimen es directamente proporcional a la cantidad de evidencia dejada en la escena.
• El delincuente solo deja rastros en la escena del crimen si interactúa físicamente con ella.
• Es posible cometer un crimen sin dejar rastro si se utilizan las técnicas adecuadas.

¿Qué implica la 'libre valoración de la prueba' en el contexto de la evidencia digital presentada ante un tribunal?

• Los peritos informáticos son los únicos que pueden valorar la evidencia digital, determinando su admisibilidad.
• El juez decide el valor probatorio de la evidencia digital, determinando si es suficiente para probar un hecho. (correct)
• La evidencia digital se valora únicamente en función de si fue obtenida siguiendo los procedimientos legales.
• El juez está obligado a admitir cualquier evidencia digital presentada, sin cuestionar su origen.

¿Cuál es la diferencia clave entre la evidencia digital y el 'contenedor' de la evidencia digital?

La evidencia es la información digital, mientras que el contenedor es el dispositivo que la contiene. (C)

¿Cuál de las siguientes opciones describe mejor el concepto de 'relevancia' como característica de la evidencia digital?

La evidencia debe estar relacionada con el hecho que se investiga y probar acciones o inocencia. (D)

¿Qué implica la característica de 'confianza' en la evidencia digital?

Que la evidencia sea una copia exacta del original y no haya sido alterada. (A)

¿Por qué es crucial que la adquisición de evidencias digitales sea 'suficiente'?

Para garantizar que todas las partes relevantes del hecho investigado puedan ser probadas. (B)

En la adquisición de evidencia digital, ¿qué problema podría surgir si solo se adquieren los archivos solicitados por un juez sin considerar otros datos del sistema?

Se podría omitir información crucial que permita refutar contra-periciales o comprender el contexto de los hechos. (B)

¿Cuál de los siguientes tipos de archivos no se considera comúnmente como una evidencia digital?

Facturas de servicios públicos. (D)

¿Por qué los logs de aplicaciones y del sistema operativo son valiosos en las investigaciones forenses digitales?

Porque registran la actividad del sistema, como conexiones USB, encendidos, apagados y cambios de hora. (C)

¿En qué se diferencian las evidencias digitales volátiles de las no volátiles?

Las volátiles son más fáciles de alterar y desaparecen al apagar el equipo, mientras que las no volátiles persisten. (A)

Según el orden de volatilidad de las evidencias, ¿cuál de las siguientes debe ser recolectada primero en una investigación?

Memoria RAM. (B)

¿Por qué se considera poco práctico intentar adquirir los registros y la caché del procesador en un análisis forense?

Porque su volatilidad es tan alta que cualquier acción modifica la evidencia antes de poder adquirirla. (A)

En un escenario donde se sospecha de una intrusión en la red de una organización, ¿qué tipo de evidencia digital es especialmente importante recopilar?

Configuración física y de red del equipo para identificar posibles puertas de entrada. (A)

¿Qué principio fundamental del derecho se relaciona directamente con la necesidad de presentar pruebas en un juicio?

La presunción de inocencia. (B)

¿Qué implica la 'carga de la prueba' en un procedimiento judicial?

La obligación de quien acusa de probar los hechos. (C)

¿Cómo define la norma ISO/IEC 27037 la evidencia digital?

Cualquier información almacenada o transmitida digitalmente que pueda ser utilizada como medio de prueba. (A)

Si en un equipo se encuentra una fotografía genérica de un paisaje, ¿cuándo podría considerarse evidencia digital?

Si la fotografía está relacionada con un delito, como una prueba de dónde se encontraba el sospechoso. (D)

¿Qué establece el RFC 3227 sobre la recolección y el archivo de evidencia?

Establece el orden de volatilidad de las evidencias y cómo deben ser obtenidas. (C)

¿Cuál de las siguientes acciones no es necesaria para adquirir una evidencia digital de manera forense?

Modificar la escena del crimen si es necesario para acceder a la evidencia. (A)

¿Cuál de las siguientes opciones describe mejor el propósito de un volcado de memoria (memory dump) en informática forense?

Extraer información de la memoria RAM, incluyendo procesos en ejecución y datos volátiles. (A)

¿Qué se entiende por 'datos almacenados en remoto' cuando se habla de evidencia digital, y cómo se deberían abordar?

Se refieren a datos en servidores externos o en la nube, y su recolección no debería alterar la evidencia local. (B)

¿Qué tipo de información se puede encontrar en las cookies del explorador que sea relevante para una investigación forense?

El historial de navegación y la interacción con páginas web. (A)

¿Por qué es importante verificar la hora del sistema al adquirir evidencia digital?

Porque la hora incorrecta puede afectar la autenticidad de la evidencia y la validez de la cronología de los eventos. (D)

¿Cuál de las siguientes afirmaciones sobre la alteración de la hora del sistema es la más precisa en el contexto forense?

Si se alteró la hora del sistema, se puede rastrear mediante los registros del sistema. (B)

¿Qué significa que una evidencia digital debe ser 'suficiente' para ser admisible en un juicio?

Que la evidencia contenga toda la información necesaria para probar o refutar un hecho relevante. (B)

Al recolectar evidencia de un disco duro, ¿cuál de las siguientes acciones es la más importante para mantener la integridad de la evidencia?

Realizar una copia bit a bit del disco duro. (B)

En un caso de malware, ¿qué tipo de evidencia digital sería más útil para identificar la fuente de la infección?

La configuración física y de red del equipo. (A)

¿Cuál de los siguientes NO corresponde a una evidencia volátil?

Disco Duro. (D)

¿Cuál de las siguientes NO es una característica de la evidencia digital?

Volatilidad. (D)

Según el principio de intercambio de Locard, que se considera la base de todas las ciencias forenses, ¿qué se puede afirmar?

El delincuente siempre deja evidencia de su actividad en la escena del crimen y se lleva indicios de dónde ha estado. (D)

En el contexto de la evidencia digital, ¿qué estrategia de defensa se centra en cuestionar la forma en que se obtuvo la evidencia?

Cuestionar la validez legal de la evidencia debido a procedimientos de adquisición irregulares. (A)

Si un perito informático presenta un informe pericial basado en la hora de creación de unos archivos, pero no considera la posibilidad de que la hora del sistema haya sido alterada, ¿qué característica de la evidencia digital no está cumpliendo?

Confianza. (B)

¿Qué tipo de información no se considera una evidencia digital común?

Declaraciones de testigos presenciales. (C)

Si en un equipo se encuentra una fotografía de pornografía infantil, ¿cuándo se considera esta una evidencia digital?

Si la fotografía ayuda a probar un hecho delictivo, como la distribución o posesión de material ilegal. (C)

Al adquirir evidencia digital, ¿por qué es importante clasificarla según su volatilidad?

Para priorizar la adquisición de las evidencias que cambian o se pierden más rápidamente. (B)

En un escenario en el que un usuario borra archivos de su ordenador antes de ser incautado, ¿qué tipo de evidencia podría ser útil para demostrar que esos archivos existieron?

Logs de aplicaciones. (B)

¿Cuál de las siguientes evidencias es más volátil?

Tabla de enrutamiento. (D)

¿Qué dice el principio de intercambio de Locard?

Que, cuando se comete una acción sobre un determinado objeto, siempre se puede encontrar algún indicio de dicha acción. (A)

¿Cuáles de las anteriores son características de las evidencias volátiles?

Todas las anteriores. (A)

¿Qué significa que una evidencia digital es confiable?

Que la evidencia es autentica, real y está relacionada con el incidente de manera adecuada. (D)

¿Qué es la presunción de inocencia?

Todas son ciertas. (C)

¿Cuál de las siguientes evidencias no vamos a poder adquirir?

La caché del procesador. (A)

¿Qué es una evidencia digital?

Aquel conjunto de información almacenada o transmitida de manera digital que puede ser utilizada como medio de prueba. (D)

¿Cuál de las siguientes piezas de información puede ser una evidencia?

Todas son ciertas. (B)

Flashcards

¿Qué es la presunción de inocencia?

Es un principio fundamental que presume la inocencia hasta que se demuestre lo contrario.

¿Qué es la carga de la prueba?

Quien acusa debe probarlo; se necesitan pruebas para demostrar un delito.

¿Qué es razonar la prueba?

Obligación del juez de explicar por qué otorga valor a una prueba específica.

¿Qué es el principio de intercambio de Locard?

Toda acción deja un rastro; el contacto siempre deja un indicio.

¿Qué es evidencia digital?

Información digital almacenada o transmitida que puede ser utilizada como evidencia.

¿Qué es el contenedor de la evidencia?

Dispositivo que almacena o transmite la evidencia digital.

¿Cuáles son relevancia, confianza y suficiencia?

Requisitos básicos de la evidencia digital según ISO 27037.

¿Qué es la relevancia de la evidencia?

Debe estar directamente relacionada con el hecho que se intenta probar.

¿Qué es la confianza de la evidencia?

Debe ser auténtica, real y sin alteraciones.

¿Qué es la suficiencia de la evidencia?

Debe contener toda la información necesaria para probar el hecho investigado.

¿En qué consiste la adquisición de evidencias digitales?

Copias exactas de la información original sin alterar la escena del crimen.

¿Qué determina la volatilidad de las evidencias?

La facilidad con la que una evidencia se modifica con el tiempo.

¿Qué son las evidencias volátiles?

Evidencias que cambian rápidamente y desaparecen al apagar el equipo.

¿Qué son las evidencias no volátiles?

Evidencias que varían lentamente y persisten incluso al apagar el equipo.

¿Cuál es el orden de volatilidad de las evidencias digitales?

Registros y caché del procesador, tabla de enrutamiento, archivos temporales, memoria RAM, etc.

¿Qué son archivos de texto o archivos ofimáticos?

Documentos de texto, hojas de cálculo, correos electrónicos, etc.

¿Qué son archivos de imagen o de video?

Fotografías, vídeos de seguridad, grabaciones de móviles, etc.

¿Qué son logs de aplicaciones?

Ficheros donde las aplicaciones guardan su actividad.

¿Qué son registros del sistema operativo?

Ficheros de registro del sistema operativo.

¿Qué son cookies del explorador?

Información de las páginas visitadas y la interacción con ellas.

¿Qué son registros de tráfico de red?

Datos de conexiones a Internet y otras máquinas.

¿Cuándo un archivo puede ser considerado una evidencia?

Para que sea considerada, se necesita que nos permita probar un hecho determinado.

Study Notes

Tema 2. La evidencia digital

Introducción y objetivos

• En este tema, se analiza la importancia de la evidencia digital como elemento fundamental de la informática forense, tanto a nivel legal como tecnológico.
• Se busca entender la importancia de la prueba en un procedimiento judicial.
• Además, se busca comprender y clasificar las evidencias según su volatilidad para su correcta adquisición.

¿Qué es una evidencia digital?

• La presunción de inocencia es base del derecho en países democráticos, recogido en la Constitución Española (art. 24.2) y en el art. 11.1 de la Declaración Universal de los Derechos Humanos.
• Se requiere de pruebas para demostrar un delito, lo que se conoce como «la carga de la prueba».
• El juez debe explicar las razones por las que otorga valor a una prueba.
• El principio de intercambio de Locard es fundamental en ciencias forenses: al cometer un crimen, se dejan rastros y se llevan indicios.
• La prueba debe permitir dirimir un hecho controvertido en un juicio y ser reconocida legalmente.
• Es esencial garantizar que la evidencia se haya recabado legalmente.
• Existen dos estrategias de defensa: sobre la forma (procedimientos legales) y sobre el fondo (validez de la evidencia).
• La libre valoración de la prueba otorga al juez la potestad de valorar si una prueba es suficiente para demostrar un hecho.
• La prueba debe ser obtenida por procedimientos adecuados y sin vulnerar la ley, sólida y consistente para su valoración positiva.
• La ISO/IEC 27037 define la evidencia digital como información almacenada o transmitida digitalmente que puede ser utilizada como medio de prueba.
• La evidencia son los datos digitales en cualquier formato, utilizables como prueba.
• El contenedor es el dispositivo que almacena o transmite la evidencia, mientras que la evidencia es la información que contiene.
• En informática forense, se habla de «evidencias digitales».

Características de la evidencia digital

• Según la ISO 27037, las evidencias digitales deben ser relevantes, confiables y suficientes.
• Relevancia: La evidencia debe estar relacionada con el hecho a probar y servir para demostrar la culpabilidad o inocencia. Debe ser clara y comprensible para los jueces.
• Confianza: La evidencia debe ser auténtica, real, relacionada con el incidente y no haber sido alterada. No debe haber dudas sobre su autenticidad y veracidad.
• Suficiencia: La evidencia debe contener toda la información necesaria para constatar el hecho investigado, dependiendo de la experiencia del perito para determinar qué es suficiente.
• Adquisición «suficiente» de evidencias: En casos como la determinación de la fecha de creación de archivos, es crucial asegurar la correcta adquisición de la información, ya que la hora del sistema puede ser alterada, invalidando la evidencia.

Ejemplos de evidencias digitales

• No se debe confundir la evidencia digital con el contenedor.
• La evidencia digital es información digital, el contenedor es el dispositivo que la contiene.
• Ejemplos comunes de evidencias digitales:
  • Volcado de información de un dispositivo de almacenamiento.
  • Archivos independientes:
    • Archivos de texto u ofimáticos: cartas con amenazas, hojas de cálculo fraudulentas.
    • Archivos de imagen o de vídeo: fotografías de acciones ilícitas, vídeos de seguridad, grabaciones de móviles.
  • Logs de aplicaciones: ficheros de texto que registran la actividad de las aplicaciones.
  • Registros del sistema operativo: información sobre dispositivos USB conectados, encendido/apagado, cambios de hora.
  • Cookies del explorador: información de páginas visitadas e interacciones.
  • Registros de tráfico de red: información sobre conexiones a Internet y a otras máquinas.
• Para que un archivo sea considerado evidencia digital, debe permitir probar un hecho determinado.
• Fotografías genéricas no son evidencia a menos que muestren un hecho delictivo.

Adquisición de evidencias digitales

• Las evidencias digitales tienen dos características únicas: no es necesario alterar la escena del crimen para adquirirlas y no es necesario modificarlas o destruirlas para analizarlas.
• La adquisición de evidencias digitales consiste en realizar copias exactas de la información original sin alterar la escena del crimen.

Volatilidad

• La volatilidad determina la facilidad con la que las evidencias se modifican con el tiempo.
• Las evidencias se agrupan en volátiles y no volátiles.
• Las evidencias volátiles cambian con mayor facilidad, como la memoria RAM. Desaparecen al apagar el equipo y deben adquirirse antes de que se pierdan.
• Las evidencias no volátiles varían más despacio y mantienen la información al apagar el equipo, como dispositivos flash USB.
• Es fundamental comenzar por las evidencias volátiles, capturando su estado antes de que cambien o se pierdan al interrumpir la corriente.
• El orden de volatilidad determina el orden en que las evidencias deben ser obtenidas: de mayor a menor volatilidad.
• Las evidencias no volátiles (que no cambian fácilmente y no desaparecen al apagar el equipo) incluyen:
  • Dispositivos de almacenamiento removibles.
  • Configuración física y de red del equipo.
  • Datos almacenados en remoto.
  • Discos duros.
• Las evidencias volátiles (que cambian fácilmente y se pierden al apagar el equipo) incluyen:
  • Archivos temporales.
  • Memoria RAM (tablas de enrutamiento, procesos en ejecución, archivos abiertos).
• No tiene sentido intentar adquirir los registros y la caché del procesador debido a su alta volatilidad y la complejidad de su análisis.