La evidencia digital es única cuando se la compara con otras formas de evidencia física de tipo documental. La evidencia digital, por lo tanto, es frágil, y una copia de un registro almacenado en un dispositivo de almacenamiento será idéntica al original.
El término evidencia digital describe de forma amplia todo registro informático, cuya clasificación puede realizarse según sus características, naturaleza, orden de volatilidad y criterios de admisibilidad que debe cumplir. La evidencia digital se define como cualquier información con valor probatorio que es almacenada o transmitida en forma digital.
Respecto a su clasificación, los tipos de evidencia digital se dividen en dos grupos: por un lado, tenemos los temporales o volátiles-que corresponden a los datos que se mantienen en la memoria RAM por tiempo limitado, generalmente hasta el apagado del dispositivo-, y, por otro, los permanentes o no volátiles-que es la información conservada en soportes físicos (USBs, discos duros) y en espacios de almacenamiento virtualizados (in cloud) incluso después del apagado del dispositivo-.
Profundizando en esta cuestión, se puede ampliar un poco más-en una segunda etapa- la clasificación en función de dónde son alojados los datos.
. Sistemas de comunicación, que están formados por redes de telecomunicaciones.
. Sistemas de comunicación abiertos, que incluyen desde pc de escritorio y notebooks hasta los periféricos y servidores utilizados a nivel de usuario
. Sistemas convergentes de informática, compuesto por tablets y smartphones
La recolección de esta evidencia digital es un trabajo que presenta un gran desafío en función que debe tener características especiales como las que detallamos a continuación:
. Volatilidad: existe determinado tipo de información que se pierde al interrumpirse el suministro de energía eléctrico.
. Anonimato: si bien la información puede ser atribuida a un usuario, no necesariamente puede ser vinculada con una persona física.
. Capacidad de duplicación: pueden existir infinidad de copias idénticas respecto de un archivo informático.
. Posibilidad de alteración y modificación: la integridad de la información es susceptible a cambios.
. Alta probabilidad de eliminación: la disponibilidad de la información no se encuentra asegurada, si bien hay software para tratar de recuperar la información, su eficacia es aleatoria.
La fase de identificación y recolección de evidencia digital posee un alto grado de criticidad por la naturaleza de los indicios colectados; por tal motivo, resulta de vital importancia que el investigador posea determinadas habilidades y conocimiento necesario para garantizar en todo momento el ciclo de vida de la evidencia digital.
A tales fines, el rol del perito informático forense juega un papel preponderante, pues éste deberá realizar múltiples previsiones, de ser posible, respecto de la escena del delito, metodologías a implementar y equipamiento necesario para cumplimentar con los requerimientos planteados.
La cadena de custodia es el mecanismo que garantizará el origen, identidad e integridad de la evidencia recopilada, evitando su pérdida, destrucción o alteración. Incluye toda actividad tendiente a su identificación, recolección, obtención, resguardo, traslado, almacenamiento, entrega, recepción y análisis, preservando su autenticidad e integridad.
Es primordial que no se altere ningún equipo a revisar: el término cadena de custodia hace referencia a que los equipos no sean adulterados hasta llegar el perito forense para garantizar un análisis sin mediación de factores externos.
Aclaramos que no existe un procedimiento estándar empleado para el análisis forense digital. Sin embargo, un gran número de instituciones y organismos han creado diferentes directrices consideradas guías o reglas de buena práctica, las que abordan la temática desde diferentes enfoques, con el objetivo de gestionar e identificar la evidencia digital para ser empleada dentro de una investigación.
Es importante tener presente la Guía para recolectar y archivar evidencia (NWG 3227/2002), que provee reglas de buena práctica para determinar la volatilidad de las pruebas recabadas, decidir qué y cómo recolectarlas, determinando su almacenamiento y documentación (Network Working Group, 2002, https://www.ietf.org/rfc/rfc3227.txt).
Dentro de estas pautas se aprecian:
1) Principios a tener presentes durante la recolección de evidencia digital: volatilidad posibles inconvenientes, cumplimiento.
2) Etapa de recolección: confiabilidad y proceso de recolección.
3) Etapa de archivo: importancia de la cadena de custodia, gestión documental.
Otra guía existente es la IT (SAI/2003) creada con el fin de asistir a las organizaciones para combatir el crimen electrónico, estableciendo puntos de referencia para la preservación y recolección de la evidencia digital (Standards Australia International, 2003,
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf), Detallando el ciclo de administración de evidencia de la siguiente forma:
1) Tipo de Diseño de la evidencia.
2) Producción de la evidencia.
3) Recolección de la evidencia.
4) Análisis de la evidencia.
5) Reporte y presentación.
6) Determinación de la relevancia de la evidencia
Existen otras guías que no son nombradas aquí; se plantean estas para instaurar la idea de que en la actualidad están en incremento estas prácticas, que nos proveen de una diversidad de sistemas, guías y legislaciones al respecto.