Cómo Preservar Medios para Análisis Forense
Respuesta directa
La preservación correcta de medios convierte un caso técnico en evidencia jurídicamente válida. Hash SHA-256, cadena de custodia documentada y copia bit a bit antes de cualquier análisis son obligatorios. 6 pasos garantizan aceptación en juicio.
Por qué la preservación difiere de copia común
El forense aplica estándares estrictos: el medio original NO puede alterarse tras incautación; el análisis se hace en copia bit a bit (imagen); cada movimiento físico y lógico se documenta; la integridad se valida por hash criptográfico. Si cualquiera de estos puntos falla, la evidencia puede ser impugnada y descartada en juicio. Documentos como ABNT NBR ISO/IEC 27037 y NIST SP 800-86 definen el estándar.
Errores que invalidan la evidencia
- 1.Conectar el medio directamente en computadora común. Windows monta automáticamente y puede actualizar timestamps de acceso. Todo análisis inicial en ambiente forense (write blocker).
- 2.Saltarse el hash inicial. Sin hash del original, cualquier alteración posterior es indistinguible. Hash antes es la primera acción tras incautación.
- 3.Analizar directamente el medio original. Rompe la cadena. Siempre copia.
- 4.No documentar transferencias entre personas/lugares. Brecha en la cadena = evidencia cuestionable. Cada movimiento es un registro.
6 pasos de preservación válida
- 1
Documentación en la incautación
Fotografías del medio in situ. Anotación de modelo, serial, capacidad. Quién entregó, cuándo, en qué estado. Sello de evidencia. Ese documento es el punto cero de la cadena de custodia.
- 2
Transporte con aislamiento electromagnético
Bolsa antiestática + caja rígida + sello numerado. Para medios sospechosos de wipe remoto: jaula de Faraday durante el transporte.
- 3
Imagen bit a bit con hardware write blocker
Tableau, WiebeTech o equivalente impide cualquier escritura en el medio original. Imagen vía FTK Imager, dc3dd o guymager. Formato preferido: E01 (EnCase) o RAW.
- 4
Hash SHA-256 antes y después
Calcule SHA-256 del medio original antes de cualquier lectura, y de la imagen tras creación. Ambos deben ser idénticos. Además, MD5 como hash secundario. Documente ambos.
- 5
Copia de trabajo separada
La imagen original queda en caja fuerte. El análisis se hace en copia de la imagen. Toda manipulación es en copia, nunca en el original. Ese principio garantiza poder reanalizar desde cero en cualquier momento.
- 6
Cadena de custodia documentada
Cada movimiento físico o lógico del medio se registra: quién manipuló, cuándo, con qué finalidad, con qué herramienta. Documento firmado por todos. En caso jurídico, ese es el documento más preguntado.
Preguntas frecuentes
¿Cuándo se necesita cadena de custodia formal?
Cualquier caso con potencial uso judicial: investigación interna corporativa (improbidad, filtración, fraude), pericia para proceso civil o penal, respuesta a incidente de seguridad regulado. Para uso personal/familiar normalmente no es necesario.
¿Puedo hacerlo yo o necesito un profesional?
El equipamiento (write blocker) cuesta US$600-3.000. Software forense pago (EnCase, FTK) cuesta US$6.000-10.000/año. Para caso aislado, contratar un laboratorio (HD Doctor) es órdenes de magnitud más barato y garantiza aceptación.
¿Cuánto tarda la preservación completa?
Medio hasta 1TB: 4-8h. 4TB: 12-20h. RAID corporativo: 1-3 días solo para imagen. El tiempo escala linealmente con volumen y velocidad del medio.
¿Y si el medio tiene defecto físico?
Imagen con hardware especializado (PC-3000) que ignora bad blocks e intenta múltiples veces. Cada sector no leído se documenta. La evidencia acepta 'best effort' cuando se documenta.
¿Cuánto cuesta un dictamen pericial?
No publicamos precios de tabla. Variable según: número de medios, complejidad, urgencia, idiomas del dictamen. Casos típicos: US$1.000-5.000 para 1-3 medios. Cotización gratuita tras análisis inicial.
¿Necesita preservar medios para uso judicial?
Cadena de custodia documentada. Dictamen válido en juicio. Atendemos policía, fiscalía y abogacía.