Representación de la Cadena de Custodia y DFD según ISO/IEC 27037

 INTRODUCCIÓN

La cadena de custodia con base en la ISO/IEC 27037 es un concepto crucial en la gestión de evidencia digital, especialmente en el contexto de incidentes relacionados con delitos cibernéticos, investigaciones forenses y procedimientos judiciales. En el mundo actual los delitos cibernéticos, como el robo de datos, el fraude en línea, el acceso no autorizado a sistemas y el sabotaje informático, se han vuelto cada vez más comunes, lo que ha incrementado la necesidad de métodos eficientes y seguros para manejar la evidencia digital. La cadena de custodia en este ámbito tiene como objetivo principal preservar la integridad de los datos y garantizar que no hayan sido alterados, contaminados o manipulados de ninguna forma a lo largo de su proceso de recolección, análisis y presentación.

El manejo adecuado de la evidencia digital requiere un enfoque minucioso debido a las características específicas de los datos cibernéticos, como su volatilidad, la facilidad de modificación y la gran cantidad de información involucrada. Por ejemplo, los archivos, registros de acceso y comunicaciones electrónicas pueden ser alterados sin dejar rastros visibles, lo que hace que una cadena de custodia sólida sea aún más esencial. Esta cadena abarca desde la captura de la evidencia, pasando por su almacenamiento seguro, hasta su análisis forense y la presentación en tribunales o informes de investigación. Durante todo este proceso, es necesario mantener un registro detallado de cada paso, asegurando que cualquier intervención sobre la evidencia sea documentada de manera precisa.

El principio fundamental detrás de la cadena de custodia en ciberseguridad es la trazabilidad, es decir, la capacidad de demostrar y verificar quién tuvo acceso a la evidencia, cuándo y cómo fue manejada, para prevenir cualquier tipo de cuestionamiento sobre la validez de la misma en un juicio o proceso legal. Para ello, las herramientas digitales, como los sellos de tiempo, las firmas electrónicas y los registros automáticos de auditoría, juegan un papel clave en la protección de la evidencia. Además, las políticas y protocolos internos de las organizaciones deben incluir medidas de seguridad rigurosas para proteger los sistemas y datos durante toda su vida útil.

En resumen, la cadena de custodia en ciberseguridad es una práctica que no solo protege la integridad de las pruebas, sino que también asegura la transparencia y confianza en las investigaciones digitales. Dada la creciente amenaza de los cibercrímenes y la complejidad de los entornos tecnológicos actuales, la implementación rigurosa de la cadena de custodia es vital para garantizar que la justicia se administre de manera efectiva y equitativa en el mundo digital.

MARCO TEÓRICO

1. Introducción al Concepto de Cadena de Custodia

La cadena de custodia es un principio clave en el ámbito de la ciberseguridad y la informática forense, relacionado con la preservación, control y autenticidad de la evidencia digital a lo largo de todo el proceso de investigación de un incidente cibernético. El concepto de cadena de custodia proviene de las ciencias forenses, donde su propósito es garantizar la integridad de las pruebas físicas, y ha sido adaptado al contexto digital debido a la creciente complejidad de los cibercrímenes y la necesidad de contar con evidencia confiable en procedimientos legales.

En el contexto de la ciberseguridad, la cadena de custodia tiene como objetivo asegurar que la evidencia digital no sea alterada, destruida o manipulada durante su recolección, almacenamiento, análisis o presentación en juicio. Esta rigurosidad es vital debido a que los datos digitales son inherentemente frágiles y susceptibles a alteraciones no detectadas, como la modificación o eliminación de archivos.

2. Importancia de la Cadena de Custodia en Ciberseguridad

La cadena de custodia es fundamental en ciberseguridad, ya que garantiza la validez de la evidencia en el contexto judicial. En un mundo donde la información digital se utiliza en casi todos los aspectos de la vida diaria, desde transacciones financieras hasta comunicaciones privadas, los delitos cibernéticos han evolucionado en sofisticación, por lo que la correcta recolección y manejo de la evidencia es crucial para las investigaciones.

Algunos de los delitos más comunes que requieren una correcta cadena de custodia en ciberseguridad incluyen:

  • Intrusión en sistemas informáticos: Acceso no autorizado a redes o servidores.

  • Robo de identidad: Obtención de información personal de forma fraudulenta.

  • Ciberfraude: Manipulación de datos para obtener beneficios ilegales.

  • Ataques de ransomware: Secuestro de archivos con fines de extorsión.

Para que la evidencia recolectada sea válida, no puede existir duda sobre su autenticidad. Si los procedimientos de custodia no se manejan adecuadamente, las pruebas pueden ser descalificadas o rechazadas en tribunales, lo que puede dificultar la resolución de casos cibernéticos.

3. Elementos Clave en la Cadena de Custodia Digital

En ciberseguridad, la cadena de custodia no se limita a un solo individuo o evento, sino que implica varios procesos interrelacionados. A continuación, se destacan los elementos clave de la cadena de custodia digital:

  • Recolección de evidencia: Consiste en la identificación y adquisición de los datos digitales relevantes, como archivos, correos electrónicos, registros de acceso o capturas de tráfico de red. En esta fase, es crucial que las herramientas y métodos utilizados para la recolección sean adecuados para evitar modificaciones o alteraciones de los datos originales.

  • Documentación: Todo el proceso debe estar documentado detalladamente, registrando el momento de la recolección, la persona encargada, los métodos utilizados, así como cualquier acceso posterior a la evidencia. La documentación actúa como un registro histórico que proporciona transparencia y trazabilidad.

  • Transporte y almacenamiento: La evidencia debe ser trasladada de manera segura y almacenada en un entorno controlado para evitar la alteración, pérdida o destrucción. Esto incluye el uso de dispositivos de almacenamiento seguros, como discos duros encriptados, y la implementación de políticas de acceso restringido.

  • Análisis forense: En esta etapa, los expertos en ciberseguridad examinan la evidencia para identificar patrones de actividad sospechosos, recuperar datos borrados o encontrar pruebas relacionadas con el delito. Es importante que todo el análisis se realice de manera controlada, sin modificar la evidencia original.

  • Presentación en juicio: Finalmente, la evidencia debe ser presentada en tribunales de manera comprensible y clara, con el respaldo de un informe detallado sobre el proceso de manejo de la cadena de custodia. Cualquier brecha en la cadena puede poner en duda la validez de la evidencia ante un juez.

4. Herramientas y Métodos para Asegurar la Integridad de la Evidencia Digital

Para asegurar la integridad de la evidencia digital durante todo el proceso de cadena de custodia, se utilizan diversas herramientas y métodos técnicos. Algunos de los más comunes incluyen:

  • Sistemas de firma electrónica: Utilizados para autenticar la evidencia digital, asegurando que no ha sido modificada desde su recolección.

  • Hashes criptográficos: Los algoritmos de hash (como SHA-256) se emplean para generar una "huella digital" única de los archivos, lo que permite verificar si el archivo ha sido alterado al comparar los valores de hash en diferentes momentos del proceso.

  • Sellos de tiempo (Timestamping): Los sellos de tiempo garantizan que los archivos o registros hayan sido creados o modificados en momentos específicos, proporcionando evidencia de su autenticidad.

  • Registros de auditoría: Las herramientas de auditoría permiten llevar un registro detallado de todas las acciones realizadas sobre la evidencia digital, como el acceso, análisis y modificación de los archivos, con la finalidad de mantener un registro claro y detallado de la cadena de custodia.

5. Desafíos en la Cadena de Custodia Digital

A pesar de su importancia, la implementación de una cadena de custodia en ciberseguridad enfrenta varios desafíos:

  • Volatilidad de la evidencia: Los datos digitales son fácilmente modificables y pueden perderse si no se toman medidas adecuadas. La evidencia digital, como archivos temporales o registros de tráfico, puede desaparecer rápidamente si no se recolecta de manera inmediata.

  • Falta de estandarización: Aunque existen normativas y estándares internacionales (como el ISO/IEC 27037), aún falta una estandarización completa en la forma en que se debe manejar la evidencia digital en diferentes países y jurisdicciones, lo que puede generar inconsistencias en los procedimientos.

  • Acceso no autorizado: La protección de la evidencia en entornos informáticos es esencial. El acceso no autorizado por parte de personal interno o externo puede comprometer la integridad de la evidencia.

OBJETIVOS

Objetivo General:

  1. Lograr la representación de la cadena de custodia mediante un caso hipotético garantizando la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en procesos judiciales o investigaciones, asegurando que no haya sido alterada, manipulada o contaminada durante el manejo y análisis de la misma.


Objetivos Específicos:

  1. Representar gráficamente los procesos de la cadena de custodia: Utilizando un DFD para mostrar de manera clara y detallada los procesos involucrados en el caso, ilustrando cómo se transforman y manipulan los datos a lo largo de las distintas etapas del sistema.


  1. Identificar las entradas y salidas de datos: Determinando las fuentes y destinos de la información dentro de la cadena de custodia, lo que ayudará a comprender cómo fluye y se intercambia la información entre los distintos componentes del caso.


  1. Implementar medidas de seguridad y control en el manejo de la evidencia: Establecer protocolos de acceso restringido y utilizar herramientas tecnológicas, como firmas electrónicas y algoritmos de hash, para proteger la evidencia digital de accesos no autorizados o manipulaciones.

Representación Ampliada de la Cadena de Custodia y DFD según ISO/IEC 27037.


Caso Hipotético en El Salvador: Investigación de Fraude Cibernético.

Escenario Detallado: La Fiscalía General de la República (FGR) de El Salvador investiga un caso de fraude cibernético en una institución financiera local. Se sospecha que empleados manipularon transacciones digitales para desviar fondos a cuentas externas. La evidencia digital clave se encuentra en computadoras de escritorio, portátiles, servidores de bases de datos y dispositivos móviles. La recolección, preservación y análisis de la evidencia digital debe seguir estrictamente la norma ISO/IEC 27037 para garantizar su integridad y admisibilidad en el proceso judicial.

Representación de la Cadena de Custodia

1. Identificación de la Evidencia Digital: en esta etapa se inicia el proceso con el objetivo de recopilar información que sirva de insumo para la investigación.

  • Evidencia Identificada: En este paso se verificaron las computadoras portátiles de la institución, los discos duros externos, servidores informáticos, dispositivos móviles y registros de red con el objetivo de recopilar evidencias que ayudarán a la identificación de caso.

  • Actividades Detalladas:

    • Inspección preliminar del entorno de TI.

    • Generación de un informe inicial de evidencias potenciales.

    • Asignación de códigos únicos a cada elemento recolectado (Ej.: FGR-2024-CASE001-PC01).

  • Medidas de Seguridad: Registro fotográfico y digital de la escena.

  • Documentación: Informe de identificación con firmas digitales de los peritos.

2. Recolección de la evidencia: en esta etapa se documentan las evidencias con ayuda de software especializado. 

  • Métodos Utilizados:

    • Uso de herramientas de clonación para dispositivos activos: FTK Imager, EnCase, Guymager, dd, Clonezilla, Accessdata FTK Imager, X-Ways Forensics.

    • Extracción segura de medios extraíbles mediante duplicación bit a bit.

    • Captura de tráfico de red y registros de acceso a sistemas.

  • Documentación Adicional: Bitácoras con tiempo exacto de recolección, condiciones del entorno y personal interviniente.

  • Controles: Precintos de seguridad numerados.

3. Transporte Seguro: En esta etapa se busca garantizar que las pruebas se trasladen lo más seguro posible para no contaminar la cadena de custodia.

  • Protocolos Implementados:

    • Para este caso se desplegó el transporte en vehículos oficiales con rutas controladas y personal armado para el resguardo de la evidencia.

    • Se colocaron GPS activos durante el traslado para un mejor seguimiento en tiempo real y para mayor seguridad.

  • Registros Generados:

    • Se crearon los registros correspondientes de salida y llegada.

    • Se generaron los formularios y actas correspondientes con sus respectivas firmas.

4. Adquisición de Evidencia Digital donde empleamos herramientas certificadas para la obtención de nuestra evidencia con su respectiva documentación.

  • Herramientas Forenses Certificadas: FTK Imager, EnCase y Autopsy.

  • Proceso:

    • Se crearon imágenes forenses con duplicación bit a bit.

    • Se crearon valores hash (SHA-256) para validación de integridad.

  • Documentación: Entrega de reportes de adquisición forense, respaldado por firmas digitales y valores hash.

5. Preservación de la evidencia  se garantizo que la evidencia se mantenga en su estado  original, asegurando así  la cadena de custodia sin interrupciones.

  • Almacenamiento Seguro:

    • Medios cifrados.

    • Cámaras de seguridad 24/7 en el laboratorio forense.

    • Almacenamiento redundante en sistemas de respaldo para evitar pérdida de datos

  • Controles de Acceso:

    • Sistema biométrico para ingreso al área de almacenamiento.

    • Registro de cada acceso, incluyendo hora, responsable, propósito y duración.

6. Análisis Forense Cada hallazgo se contextualiza en relación con el caso investigado y se explican los métodos empleados, asegurando que sean comprensibles para personas sin conocimientos técnicos.


  • Actividades Desarrolladas:

    • Búsqueda de patrones anómalos en transacciones.

    • Análisis de logs de sistemas y tráfico de red.

    • Recuperación de archivos eliminados.

  • Herramientas Usadas: Sleuth Kit, Volatility Framework.

  • Documentación: Informe exhaustivo con resultados, metodología empleada y conclusiones respaldadas con capturas de pantalla y valores hash.

7. Presentación en Juicio  se aseguró que la evidencia digital sea admisible y comprensible en el proceso judicial,reforzando la credibilidad de la investigación y el trabajo forense realizado.

  • Presentación de Evidencia:

    • Validación de Integridad en Tiempo Real: Recálculo de valores hash en la audiencia para demostrar que la evidencia no ha sido alterada.

    • Demostraciones Técnicas: Presentación de capturas de pantalla, gráficos de red y reconstrucciones de eventos cibernéticos.

  • Soporte al Testimonio Pericial:

    • Los peritos explican los hallazgos de forma comprensible para jueces y fiscales.

    • Responden preguntas técnicas, aclarando procedimientos y resultados.

  • Cumplimiento Legal y Normativo:

    • Garantía de que la evidencia cumple con los estándares de ISO/IEC 27037.

    • Demostración de una cadena de custodia ininterrumpida.



DFD (Diagrama de Flujo de Datos) - Cadena de Custodia según ISO/IEC 27037.


DFD (Diagrama de Flujo de Datos) - Cadena de Custodia según ISO/IEC 27037 adecuado para caso investigación fraude cibernético.

Controles Clave Incluidos en el DFD:

  • Validación de integridad mediante múltiples algoritmos de hash (SHA-256, SHA-512).

  • Registro de todas las interacciones con la evidencia.

  • Sistema biométrico de acceso y monitoreo continuo.

  • Herramientas forenses certificadas y actualizadas.


Conclusión

Este documento ampliado describe de manera detallada la representación de la cadena de custodia y el DFD correspondiente en el contexto de un caso de fraude cibernético en El Salvador. Siguiendo los estándares de ISO/IEC 27037, se garantiza la integridad, autenticidad y admisibilidad de la evidencia digital, fortaleciendo el proceso judicial y brindando confianza a las partes involucradas.

Comentarios

Publicar un comentario

Entradas populares de este blog

Implementación del Modelo AAA

Imagen
Servicios de autenticación. Servicios de autenticación: Local, LDAP, Kerberos. En cuanto a los servicios de autenticación, existen diversos enfoques. La autenticación local es el método más básico y consiste en almacenar las credenciales directamente en el sistema que las valida, como ocurre en los archivos /etc/shadow de Linux o la base de datos SAM en Windows. Este método es sencillo y no requiere infraestructura adicional, pero no es escalable en entornos con muchos equipos y dificulta la gestión centralizada de usuarios .   Ilustración 1 . Proceso de autenticación local, donde el usuario valida sus credenciales contra el archivo de contraseñas almacenado en el sistema operativo (/etc/shadow en Linux o SAM en Windows). Para escenarios más complejos, se utiliza LDAP (Lightweight Directory Access Protocol), un protocolo abierto que permite acceder y administrar servicios de directorio. A través de un servidor LDAP (como OpenLDAP, 389 Directory Server o Active Directory...
Leer más

¿Qué es la Auditoría de Sistemas Informáticos?

Imagen
 📌 ¿Qué es la Auditoría de Sistemas Informáticos? ISACA (2011): la auditoría informática consiste en la revisión y evaluación de todos los aspectos, o parte de ellos, relacionados con los sistemas automáticos de procesamiento de la información, incluyendo procedimientos no automáticos asociados e interfaces correspondientes. ISO 19011: define la auditoría como un proceso sistémico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva, con el fin de determinar el grado de cumplimiento respecto a criterios establecidos. 🎯 Objetivos principales. Salvaguardar activos de TI (hardware, software, información). Mantener la integridad de los datos. Contribuir al logro de metas organizacionales mediante la gestión adecuada de la información. Verificar cumplimiento normativo. Revisar la eficacia y eficiencia en el uso de recursos informáticos. 🛠️ Características clave. La auditoría de sistemas busca garantizar: Desempeño adecuado de los sistemas. Fiabilidad e...
Leer más

Simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

Imagen
El presente taller tiene como finalidad proporcionar una comprensión práctica y teórica sobre la realización de pruebas de penetración en un entorno organizacional. A través de ejercicios prácticos y el uso de herramientas especializadas, se busca fortalecer las habilidades necesarias para identificar, evaluar y mitigar vulnerabilidades de seguridad. La Open Web Application Security Project (OWASP) es una organización sin fines de lucro dedicada a mejorar la seguridad del software. OWASP proporciona recursos, metodologías y herramientas para evaluar y mitigar riesgos en aplicaciones web, siendo una referencia esencial en la ciberseguridad. Uno de sus principales aportes es el OWASP Top Ten, una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web, que incluye problemas como: Inyección de código (SQL, NoSQL, OS, LDAP, etc.) Autenticación rota Exposición de datos sensibles Entidades externas XML (XXE) Control de acceso defectuoso Configuraciones de seguridad i...
Leer más