Como cada vez hay más pruebas de naturaleza digital en los casos policiales o de inteligencia, se necesita un sistema de gestión de pruebas digitales (DEMS). Pero esto, a su vez, tiene su propia problemática: la Cadena de Custodia, como ocurre con todas las pruebas, debe preservarse en todo momento, para permitir que estas pruebas sean admitidas en un juicio. Y, en el caso de los archivos digitales, esto conlleva algunos desafíos tecnológicos.

La cadena de custodia tradicional

Con pruebas físicas, como una bala en la escena del crimen, o algo de sangre, la tradicional Cadena de Custodia (CoC en inglés) comienza justo en la escena del crimen: todo se documenta, dónde estaba en la habitación (incluso con coordenadas), se toman fotografías para ver la relación entre los elementos, etc. Luego, un agente recoge las pruebas y las coloca en una bolsa, mientras documenta qué son exactamente. Posteriormente, el agente entregará las pruebas a un funcionario de custodia, quien las almacenará en un lugar seguro, mientras documenta su recepción. Si es necesario para un análisis, el funcionario registra la persona, la hora y la fecha, y adónde va (por ejemplo, el laboratorio). Cuando regresa, todo vuelve a registrarse cronológicamente, hasta el juicio. Luego se entregan las pruebas y la Cadena de Custodia al juez, con la firma de todos los que han interactuado con las pruebas, para que pueda comprobar que las pruebas fueron manejadas adecuadamente, y sólo por personas autorizadas, a fin de que puedan ser admitidas ante el tribunal. Esto también establece la autenticidad de las pruebas y su pertenencia al delito que se juzga.

¿Y por qué es todo esto tan importante? Una de las razones es que la CoC excluye que alguien pueda alterar las pruebas o incluso colocar pruebas en un caso indebidamente, para hacer que el acusado parezca culpable o inocente. Mantener un registro exhaustivo de todos los movimientos y personas excluye la posibilidad de manipulación de las pruebas.

La Cadena de Custodia digital

Hoy en día, además de las pruebas físicas, cada vez es más frecuente tener que lidiar con pruebas digitales en los casos policiales. Registros telefónicos, archivos, imágenes, vídeos, grabaciones de audio, documentos, archivos PDF… la lista sigue y sigue.

Sin embargo, como todos sabemos, los archivos digitales se pueden editar o alterar con bastante facilidad. ¿Cómo se puede entonces demostrar que la grabación que le presenta al juez es exactamente la misma que fue copiada del teléfono del criminal que está siendo juzgado? Un buen DEMS debería poder demostrar que los archivos que se cargaron inicialmente en el sistema son exactamente los que verá el juez.

Lo bueno es que trabajar con archivos digitales tiene sus ventajas. Por un lado, puedes obtener un Hash de cualquier archivo con bastante facilidad. Esto es un número hexadecimal muy largo, calculado a partir de cada uno de los bits del archivo. Incluso un cambio en un solo bit modificará ostensiblemente el Hash. Por lo tanto, si se toma el Hash de un determinado archivo cuando se sube al DEM, es fácil verificar si el fichero que se presenta al juez ha sido modificado o no, calculando nuevamente el Hash. Si coincide, la integridad del archivo está completamente intacta. Y esto hace que sea más fácil cumplir con normativas como NERC CIP, NIST CSF, PCI DSS, GDPR o HIPAA. Pero, principalmente, demuestra que la prueba es original y no ha sufrido ningún cambio.

Registro de accesos

Además de la integridad del archivo, también es de suma importancia saber quién ha visto exactamente las pruebas. Una vez más, estar en el ámbito digital facilita las cosas en momentos como este. Casi cualquier sistema informático es capaz de saber cuándo se ha accedido a un archivo y quién. Esto se encarga del acceso a una prueba en particular. Y, como cualquier usuario que haya entrado en contacto con las pruebas es responsable de lo que le suceda, todo se mantiene en regla.

Pero lo que es más importante es que puedes denegar el acceso a ciertos archivos con una granularidad completa, asignando permisos específicos a las personas que tendrán que lidiar con ellos (como solo lectura, no imprimir, no tomar capturas de pantalla, no copiar, no duplicar, no compartir o transferir, etc.). En este sentido, un buen DEMS tiene mucho que ofrecer y puede mostrar el registro de los accesos a un archivo en cualquier momento. O incluso avisarte si de alguna manera se obtiene un acceso no autorizado.

Destrucción de pruebas y programación de retención

Finalmente, el fin de la Cadena de Custodia es la eliminación y/o destrucción de las pruebas, cuando éstas hayan cumplido su propósito y ya no sea necesarias. Cualquier sistema de gestión de pruebas digitales debe proporcionar varios medios para eliminar archivos, ya sea de forma automática o manual. Por lo general, algún sistema de eliminación seguro se encarga de borrar los archivos. Esto significa que los datos no sólo se eliminan, sino que se sobrescriben una o varias veces con diferentes patrones de bits, para excluir la posibilidad de recuperar los datos, por cualquier medio.

Por lo general, las programaciones de retención se definen al principio, cuando se recopilan las primeras pruebas de un caso. Una vez transcurrido el tiempo predefinido, el sistema puede eliminar automáticamente los archivos afectados o enviarte un mensaje para informarte que debe deshacerse de los archivos relacionados manualmente. 

Conclusión

Cualquier sistema de gestión de pruebas digitales debe poder mantener una cadena de custodia intacta para que sus pruebas sean válidas en un juicio. Los sistemas modernos cuentan con varios mecanismos que protegen las pruebas digitales para que no sea manipuladas, eliminadas o accedidas por personas equivocadas. También se encarga de la destrucción segura de los archivos, una vez que ya no sean necesarios.