En este post voy a mostrarles los diez estándares nacionales e internacionales que os pueden ayudar como guías para realizar un análisis forense TIC completo, desde la adquisición de pruebas, pasando por la investigación y acabando en la redacción de las conclusiones.

Indicar, que trabajamos siempre siguiendo los estándares explicados, marcando la excelencia y la profesionalidad sobre todas nuestras investigaciones y peritaciones.

Todas las normas, guías y estándares de este post tienen como finalidad dar una metodología para la preservación, adquisición, documentación, análisis y presentación de pruebas digitales. Estos documentos deben dar respuesta a las infracciones legales e incidentes informáticos y telemáticos en las distintas empresas y entidades.

  1. Norma UNE 197010:2015; Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)

Esta norma nos define como debe redactarse un informe pericial informático, telemático o tecnológico (o sea, TIC), sin entrar a valorar ni el aseguramiento de la escena, ni la recolección, ni la preservación, ni el análisis de las evidencias.

Es una actualización del a Norma UNE 197001:2011 “Criterios generales para la elaboración de informes y dictámenes periciales”, que es la norma que especifica los requisitos para la elaboración de los informes y dictámenes periciales.

Es, sobre todos los que vamos a explicar, el documento base que utilizamos al pie de la letra para la redacción de los informes periciales tanto en INVACI como en forenseTIC.

  1. Familia UNE 71505:2013
  • UNE 71505-1:2013: Tecnologías de la Información (TI). Sistemas de Gestión de Evidencias Electrónicas (SGEE). Parte 1: Vocabulario y principios generales.
  • UNE 71505-2:2013: Tecnologías de la Información (TI). Sistemas de Gestión de Evidencias Electrónicas (SGEE). Parte 2: Buenas practicas en la gestión de las evidencias electrónicas.
  • UNE 71505-3:2013: Tecnologías de la Información (TI). Sistemas de Gestión de Evidencias Electrónicas (SGEE). Parte 3: Formados y mecanismos técnicos.

Normas UNE que nos indican la forma de gestionar evidencias electrónicas y establecen sus buenas prácticas. Esta parte es muy importante, porque nosotros, como peritos, debemos seguir las indicaciones marcadas porque revierten en la admisibilidad de las pruebas electrónicas durante los procesos judiciales.

Estas normas nos ayudan a no perder las evidencias o a que las que utilicemos no se puedan poner en duda. En cada una de sus fases de gestión (definición, recogida, custodia y aportación), es fundamental conocer los aspectos jurídicos necesarios para garantizar la eficacia probatoria de las evidencias informática y/o telemáticas, como, por ejemplo, los WhatsApps, las fotos, los mails o la geolocalización.

  1. UNE 71506:2013

Esta norma UNE es el marco de referencia de buenas prácticas en la gestión de Evidencias Electrónicas, y en ella se fija el procedimiento de análisis forense dentro del proceso de la gestión de las pruebas tecnológicas, basándose en la norma UNE 71505.

En la norma hay anexos muy buenos y útiles, como un modelo de informe pericial, en el que toma como referencia el modelo de informe ya propuesto en la norma UNE 197001.

También hay un anexo que se refiere al equipamiento para el análisis forense de las evidencias informáticas y telemáticas. Se debe contar con herramientas de hardware y de software reconocidas por la comunidad internacional forense, a pesar de no existir una normalización. Nuestra forma de trabajar en este punto es utilizar, como mínimo, tres softwares o hardwares para llegar a la misma conclusión, así somos nosotros mismos los que nos marcamos el listón bien alto en cuanto a software y hardware reconocido y valido.

  1. RFC 3227. Manejo y recolección de evidencias

Este documento nos indica las principales guías para la recolección y el almacenamiento de evidencias digitales. Cabe recordar, que nosotros como peritos ingenieros telemáticos, solo trabajamos con evidencias digitales. Esta RFC se considera un estándar.

El perito forense, basándonos en este estándar que utilizamos en INVACI y en forenseTIC, se debe centrar en que no se pierda información. A veces debemos tomar una decisión de si se deben extraer evidencias de sistemas encendidos durante una intervención, o si se debe desconectar la máquina de la red para poder evitar que se active cualquier tipo de malware que pueda comprometer la información de las unidades conectadas al sistema.

  1. RFC 4810. Como preservar la información a largo plazo

Esta RFC nos define un estándar relacionado con la preservación de la información. Punto muy importante para los informes periciales y las investigaciones tecnológicas, ya que nuestro trabajo siempre debe poder ser comprobado para validar su autenticidad y su veracidad.

En esta RFC, entre otros, nos indica a los peritos como debemos proceder para verificar una firma digital tras haber pasado un gran espacio de tiempo desde la generación de la misma.

  1. ISO/IEC 27037:212. Indicaciones para la identificación, recolección, adquisición y preservación de la evidencia digital

El estándar nos proporciona directrices para la identificación, recolección, adquisición y preservación de potenciales evidencias telemáticas e informáticas que pueden tener valor probatorio.

Nos proporciona, entre otros, guías para el manejo de evidencias digitales, así como orientaciones en los procedimientos de intercambio de evidencias digitales. Sin embargo, nunca entra en el análisis de la evidencia.

Este estándar nos indica como preservar la evidencia y la cadena de custodia para dispositivos digitales de almacenamiento de todo tipo.

Se puede utilizar a la par que la RFC 3227, aunque más bien es una actualización.

  1. ISO/IEC 27040:2105. Almacenamiento seguro

Reúne guías y recomendaciones para que el almacenamiento de las evidenciad digitales sea seguro.

Nos presenta riesgos existentes en el almacenamiento y nos provee directrices o buenas prácticas incluyendo modelos de auditorias y revisiones para poder controlar el almacenamiento de las evidencias y garantizar que se haga de forma correcta y segura.

  1. ISO/IEC 27042:2015. Indicaciones para el análisis e interpretación de la evidencia digital

Norma que trata el análisis y la interpretación de evidencias digitales.

Proporciona guías sobre como un perito en informática y telemática forense puede afrontar el análisis e interpretación de una evidencia digital o tecnológica en un incidente o en una intervención pericial, desde su identificación, análisis, hasta que es aceptada como prueba en un juicio y las partes que deben tener el informe.

Aparte define conceptos como examen, análisis e interpretación y nos habla de los modelos de análisis que pueden utilizar los peritos telemáticos: estáticos, en vivo y en vivo de sistemas que pueden ser copiados o que se puede obtener una imagen de los mismos.

  1. RFC 4998. Evidence Record Syntax

Esta RFC define un estándar para la preservación de la información, incluyendo información firmada digitalmente.

Nos indica como demostrar su existencia e integridad durante un periodo de tiempo que se desconoce.

También define el tipo de sistemas de ficheros que pueden ser utilizados en esas situaciones y los requisitos que deben cumplir el registro de evidencias, al que un investigador telemático o informático puede hacer referencia, para garantizar que dicha información existe y evitar que sea rechazada.

  1. RFC 6283. XML Evidence Record Syntax

Esta RFC nos demuestra la existencia, integridad y validez de la información, durante periodos determinados de tiempo.

También define la sintaxis en lenguaje XML, así como las reglas de procesado, que deben seguirse para la creación de evidencias íntegras de información, y así evitar que sea rechazada.