1. ¿Qué es la cadena de custodia?
1.1. Es el procedimiento de control que se aplica al indicio o evidencia material, ya sea vestigio, huella, medio de comisión, objeto material o producto relacionado con el delito
1.2. ¿Cuándo se inicia y cuándo concluye la cadena de custodia?
1.2.1. Inicia desde la localización por parte de una autoridad, policía o agente del Ministerio Público Federal hasta que la autoridad competente ordene su conclusión.
1.3. ¿Cuál es su fin?
1.3.1. Que la evidencia digital o material no se altere, modifique, destruya o desaparezca.
2. ¿Qué es el registro de la Cadena de Custodia?
2.1. El registro de la Cadena de Custodia es o son los formatos en el que se asentarán la información detallada a la investigación desde su inicio hasta su finalización.
3. ¿Qué información debe contener?
3.1. • Número de averiguación previa.
3.2. • Unidad administrativa responsable.
3.3. • Número de registro (folio o llamado).
3.4. • Ubicación e identificación del lugar con croquis.
3.5. • Infomación del analista forense, considerando: Nombre completo, cargo y firma de los investigadores forense que intervinieron en la preservación del lugar.
4. Ruptura.
4.1. ¿Qué es ?
4.1.1. La ruptura de la cadena de custodia es la interrupción de la secuencia lógica de los procesos que la conforman, la cual puede o no constituir una alteración de la evidencia.
4.2. ¿Qué efectos produce?
4.2.1. La simple ruptura de la cadena de custodia no genera la nulidad de la prueba ni ésta pierde su valor probatorio por este solo hecho.
4.3. ¿Cuándo se rompe?
4.3.1. La cadena de custodia se rompe cuando no se registra todo lo que acontece a los indicios o evidencias.
4.4. ¿Cuáles son las responsabilidades por la ruptura?
4.4.1. Las responsabilidades pueden ser penales y administrativas.
5. ¿Cuáles son las etapas?
5.1. 1) Conocimiento de la comisión del delito
5.2. 2) Preservación
5.2.1. ¿Cuál es el objeto de la preservación?
5.2.1.1. Evitar cualquier intromisión indebida o inadecuada que pueda alterar, modificar, sustraer o dañar los indicios o evidencias que se puedan encontrar.
5.2.2. ¿Cuáles son los pasos para una adecuada preservación?
5.2.2.1. Custodia del lugar.
5.2.2.2. Ubicación y descripción del lugar de los hechos y/o del hallazgo.
5.2.2.3. Localización de testigos.
5.2.2.4. Auxilio y protección de víctimas.
5.2.3. ¿Cómo se realiza la entrega de los formatos de la preservación?
5.2.3.1. La preservación será el responsable en medida que se informame a la autoridad correspondiente sobre lo ocurrido hasta el momento de su arribo para su preservación correspondiente.
5.2.4. Duración de la preservación
5.2.4.1. La preservación dura una vez que se han realizado todas las diligencias necesarias hechas por los especialistas forenses (peritos o agente ministeriales)
5.3. 3) Extracción de datos
5.3.1. Plan de extración de datos
5.3.1.1. Definición de valores probables basado en la experiencia del especialista forense.
5.3.1.2. Definición de adquisición de evidencia basados en la volatilidad de la información (evidencia)
5.3.1.3. Cantidad de esfuerzo requerido considerando el tiempo dedicado y los costos relacionados (uso de personal y equipo)
5.3.2. Extracción de datos
5.3.2.1. Contar con un proceso definido para la extracción de datos
5.3.2.2. Usar herramientas forenses especializadas para recopulación de datos
5.3.2.3. Duplicar fuentes de datos y considerar el aseguramiento de la fuente original
5.3.2.4. Usar procedimientos de acuerdo al origen de datos, es decir, si la evidencia se encuentra de forma local o forma remota
5.3.3. Verificación de integridad de los datos extraidos
5.3.3.1. Aplicar algoritmos hash para la verificación de integridad de la evidencia digital obtenida
5.3.3.2. Uso de herramientas basadas en hardware o software para la optención de estos códigos de integridad
5.3.3.3. Realizar copias bit a bit de las fuentes originales de datos
5.3.3.4. Llevar un registrodetallado de cada paso realizado para la recopilación o adquisición de datos incluyendo cada herramienta utilizada
5.3.3.5. La documentación del tratamiento de la evidencia se hace a través de la cadena de custodia.
5.3.4. Recolección de indicios o elementos materiales digitales
5.3.4.1. Ubicar las fuentes de información así como los dispositivos que se encuentren en in situ (zona intervenida) o remota
5.3.4.2. La recolección deberá ser manual, instrumental o digital de acuerdo al tipo de evidencia y dispositivo
5.4. 4) Documentación de los datos Obtenidos
5.4.1. Elaboración de un inventario completo ded todos los indicios o elementos materiales probatorios digitales localizados en lugar de la intervención
5.4.2. El inventario definido, debe ser suficientemente descriptivo para su localización futura (descripción de características, conexiones, estado en el que se encuentra el dispositivo analizado, lugar donde se ubica, etc.)
5.4.3. El registro de cadena de custodia d deberá contener la descripción de cada indicio o elemento material probatorio
5.4.4. La documentación puede ser fotogáfica, videográfica, y/o escrita
5.4.5. Todo indicio o elemento material probatorio digital deberá ser descrito a través de la percepción de los sentidos del analista forense, dando a notar las características específicas de cada uno.
5.4.6. Apoyarse de formatos, fichas técnicas, etiquetas, textos, etc.
5.5. 5) Translado
5.5.1. El translado de la evidencia digital debe ser debidamente embalado, sellados, etiquetados, firmados y con registro de Cadena de Custodia Digital
5.5.2. Los servicios de transporte pueden ser a través del Ministerio Público o el Órgano Jurisdisccional correspondiente a través de servicios periciales
5.6. 6) Análisis
5.6.1. Obtención de pruebas digitales
5.6.1.1. Generar marcas de tiempo relacionada con cada elemento material probatorio digital o indicio, incluyendo el momento en que se modificaron por última vez o que se accedieron a estos.
5.6.1.2. El personal especializado y/o perito deberá ser selectivo con la información analizada excluyendo datos no relevantes para la investigación
5.6.1.3. Los especialistas forenses, deben de generar múltiples copias de los indicios o sistemas de archivos considerados relevantes para la ivestigación.
5.6.1.4. Se debe definir una copia maestra y copias de trabajo
5.6.2. Definir el tipo de copiado
5.6.2.1. Logical backup: Copia de directorios y archivos de un volumen lógico.
5.6.2.2. Bit Stream Imagin (imagen forense): Método que genera copia bit a bit de los medios origiales hacia un dispositivo de almacenamiento
5.6.3. Integridad de los datos
5.6.3.1. Se debe garantizar el uso de mecanismos basados en software o hardware para el bloqueo de escritura con el objetivo de no alterar los datos en los medios originales.
5.6.4. Propiedades de un archivo
5.6.4.1. Obtención de información de cuando se se creó, uso, y manipuló un archivo
5.6.4.2. Analizar las marcas de tiempo más comúnmente utilizadas en los archivos
5.6.4.2.1. Marcas de tiempo de creación
5.6.4.2.2. Marcas de tiempo de acceso
5.6.4.2.3. Marcas de tiempo de modificación
5.6.5. Localización de achivos
5.6.5.1. Ubicar los archivos a analizar evitando copiar espacios vacíos sobre los indicios analizados
5.6.6. Extracción de datos
5.6.6.1. Identificar el tipo de datos a extraer
5.6.6.2. Aplicar técnicas efectivas de identificación de datos en un archivo basado en un histograma simple que muestre la distribución de valores ASCII
5.6.6.3. Identificar el método de cifrado
5.6.6.3.1. Basado en herramientas de terceros
5.6.6.3.2. Realizado por el sistema operativo
5.6.6.4. Localización de las contraseñas de cifrado en el sistema de archivos
5.6.7. Descompresión, descifrado y reproducción de archivos
5.6.7.1. Los posibles procesos que un analista puidera utilizar para la descompresión, decifrado y reproducción de archivos son variadas
5.6.7.1.1. Visores de archivos
5.6.7.1.2. Descompresores de archivos
5.6.7.1.3. Uso de herramientas gráficas para la visualización de directorios
5.6.7.1.4. Herramientas de identificación de archivos conocidos para descartar aquellos sin importancia
5.6.7.1.5. Búsqueda de cadenas y conincidencia de patrones a la hora de la lectura de grandes cantidades de datos
5.6.8. Informes y/o dictamen
5.6.8.1. Informes técnicos: Expresan las técnicas, secuencias de obtención de datos software hardware y la manera en que fueron manipulados los indicios.
5.6.8.2. Informes ejecutivos: Este informe explica los resultados obtenidos con un jenguaje claro y entendible para cualquier persona ajena al lenguaje especializado.
5.6.8.3. Dictámen: Plasma el resultado del análisis realizado por los especialistas forenses. Se muestra el estudio, métodos eefectuados y medios empleados
5.6.8.3.1. Los dictámenes implícan la descripción de los elementos estudiados
5.6.8.3.2. Descripción detallada de la relación de todos los análisis
5.6.8.3.3. Medios científicos o técnicos empleaados
5.6.8.3.4. Emisión de conclusiones
5.7. 6) Almacenamiento de los indicios o evidencias.
5.7.1. ¿En qué momento se almacenan los indicios o evidencias?
5.7.1.1. Una vez que se les han practicado los peritajes correspondientes y no sean objeto de transferencia a una bodega del ministerio público destinada para dicho fin.
5.7.2. Para realizar el almacenamiento
5.7.2.1. Se considera que el responsable del mismo recibirá los indicios o elementos materiales probatorios digitales con previa revisión
5.7.2.2. Los responsables de recepción deberan verificar la información contenida en la Cadena de Custodia DIgital
5.7.2.3. Considerar que en caso de que salga un indicio será por razones justificadas
5.7.2.3.1. Salida temporal solicitada ante el ministerio público, registrada en el sistema de indicios
5.7.2.3.2. Salida definitiva a solicitud por parte de la autoridad competente, registrada en el sistema de indicios