Preservar la cadena de custodia es, sin lugar a dudas, uno de los pasos más importantes para la realización de una investigación, informática forense, informe pericial, etc.
¿Qué es la cadena de custodia?
La cadena de custodia es el proceso mediante el cual se garantiza la autenticidad y se conserva la integridad, tanto física como lógica de las evidencias.
Dicho de otra manera, es el nombre que recibe el conjunto de actos que tienen por objeto la recogida, el traslado y la custodia de las evidencias obtenidas en el curso de una investigación que tienen por finalidad garantizar la autenticidad, inalterabilidad e indemnidad de la prueba.
En el caso en el que en el transcurso de las distintas acciones realizadas sobre las posibles evidencias intervengan más de una persona, debe quedar debidamente documentado.
Pasos a seguir para preservar la evidencia
Para realizar la cadena de custodia de una evidencia debemos seguir por norma general los siguientes pasos:
- Identificación y recolección
- Registro
- Depósito
- Traslado
- Análisis final
- Destrucción si fuese procedente.
Como podemos ver unos de los puntos más críticos son el 3 y 4.
Por norma general cuando hablamos de periciales a empresas o particulares, durante todo el proceso es muy importante que esté presente un notario que de fe de las acciones que realiza el perito informático y que custodie las evidencias hasta el final del proceso.
Para periciales judiciales existe la figura del secretario judicial que normalmente realiza las funciones comentadas anteriormente.
Identificación y recolección
Se deben identificar todos los equipos y sistemas a peritar y a ser posible se deben fotografiar todas las evidencias.
Discos duros, memorias, etc.
Es habitual sacar los dispositivos de almacenamiento a peritar. Para ello también deberemos tener especial cuidado con la indentificación.
Documentar número de serie, fecha y caso.
Debemos ponerlos en unas bolsas de seguridad que permiten almacenar el dispositivo en un ambiente antiestático y de maner precintada. De esta forma podríamos detectar fácilmente alteraciones indebidas.
Un precinto mal puesto podría romper la cadena de custodia de una evidencia.
¿Qué pasa si al realizar la investigación vemos que la prueba tiene algún fallo mecánico y no podemos obtener los datos?
¿Podemos llevarla a una empresa especializada? ¿Como continuamos la cadena de custodia?
Para este caso concreto, se debe realizar un documento de cadena de custodia donde se reflejará como mínimo:
- fecha y hora
- identificación de la evidencia
- origen y destino
- Persona que hace entrega de la evidencia
- Persona que recoge la evidencia
- Estado en el que se entrega
- Estado en el que se recoge.
En el caso de tratarse de una pericial particular es dificil que el cliente quiera depositar la evidencia original ante notario para que sea custodiada hasta que se realice el juicio y de esta forma se pueda garantizar la cadena de custodia.
De todos modos nosotros debemos explicar la forma correcta de realizarlo y el riesgo al que se enfrentan si no se realiza de esta forma.
Ya que si se rompe la cadena de custodia podría llegar a invalidarse la prueba con la consiguiente perdida de credibilidad del trabajo realizado.