1. Poseer una orden judicial en el que se especifique el secuestro del sistema.

2. Despejar el área asegurándose que nadie tenga acceso a la computadora o sus alrededores.

3. Si la computadora se encuentra apagada, NO LA ENCIENDA. Al encenderla pueden activarse sistemas que causarían la destrucción de la información.

4. Si la computadora se encuentra encendida, fotografíe la pantalla.

5. Deshabilite la energía desde su fuente.

Dependiendo del Sistema Operativo involucrado, esto generalmente significa desenchufar la fuente o cerrar el sistema usando los comandos del Sistema Operativo. Sin embargo, debe tenerse en cuenta los posibles procesos destructivos que puedan estar activados . Estos pueden estar operando desde la memoria o accesibles a través de un módem o conexión de red. Dependiendo también del Sistema Operativo, puede agregarse un protector de pantalla con contraseña que se activará en cualquier momento, lo que puede complicar el apagado de la computadora. Generalmente, el tiempo es crítico, y el sistema debe cerrarse o apagarse lo más rápido posible.

6. Deshabilite o desconecte el módem.

7. Desconecte la fuente de la impresora.

8. Inserte un diskette en la diskettera y cúbralo con cinta de evidencia.

9. Fotografíe las conexiones de todos los equipos.

Se asume que la computadora será removida a una locación segura con una cadena de custodia apropiada y donde el procesamiento de la evidencia pueda comenzar. Antes de desmantelar el sistema, es importante que se tomen fotografías de todos los ángulos para documentar todos los componentes de hardware y como se encuentran conectados. Las computadoras idealmente deberían procesarse en una reconstrucción idéntica a la original.

10. Rotule todas las conexiones de todos los equipos para así poder reestablecer la configuración original.

11. Fotografíe todas las conexiones y luego diagrámelas.

12. Fotografíe el área luego de que el gabinete ha sido removido.

13. Investigue el área en busca de contraseñas u otra información relacionada.

14. Secuestre todos los libros, notas, manuales, software, diskettes y discos, sistemas de almacenamiento y todo ítem relacionado al sistema. Coloque todos los discos en sobres de material que no conduzca la estática (papel). Realice un inventario de todo lo secuestrado.

15. Interrogue a todos los sospechosos que puedan tener conocimiento del sistema, informacion operacional y todo tema relacionado.

16. Transporte la evidencia. NO coloque ningun elemento cerca de Fuentes electromagnméticas tales como radios policiales.

17. Transporte la Computadora a un lugar seguro.

Demasiado frecuentemente las computadoras son almacenadas en lugares menos que seguros. Es imperativo que el sistema sea tratado como evidencia y debería ser guardado fuera del alcance de usuarios curiosos. Muchas veces, individuos operan computadoras que han sido secuestradas sin saber que están destruyendo potencial evidencia y la cadena de custodia. Más aún, estas computadoras que no son correctamente vigiladas puede ser fácilmente comprometidas. Puede plantarse evidencia así como aquella que es vital puede ser destruida intencionalmente. La falta de una cadena de custodia apropiada puede salvar a un Abogado Defensor perspicaz. De no ser suficientemente cuidadoso en este asunto, ¿cómo puede asegurarse que la evidencia relevante no ha sido alterada o plantada luego del secuestro? La respuesta es simple. No se puede. Nunca deje el sistema fuera de la custodia a menos que se encuentre bajo llave en un lugar seguro.

18. Realice copias de seguridad de todos los canales de bits, Discos Rígidos y Diskettes.

La computadora no debe ser operada ni procesada para su análisis hasta que se hayan realizado copias de todos los discos rígidos, y diskettes. Toda la recuperación forense debe ser realizada en las copias y no en los discos originales. La evidencia original no deberá tocarse a menos que existan circunstancias extremas que así lo demanden. La preservación de la evidencia es vital. Es frágil y puede ser fácilmente alterada o destruida. Muchas veces esta alteración puede ser irreversible.

19. Autentifique Matemáticamente la Información de todos los Sistemas de Almacenamiento.

Usted querrá poder probar que no ha alterado nada de la evidencia luego de que la computadora llego a su posesión. Tal prueba le ayudará para negar alegatos de que ha cambiado la información original. Desde 1989, las agencias militares y policiales han usado procesos matemáticos de 32 bits para realizar procesos de autentificación. Matemáticamente, una validación de 32 bits de datos es precisa aproximadamente en una en 4.3 billones. Sin embargo, dadas las velocidades y tamaños de los discos actuales, este nivel de precisión ya no es suficiente. Éste puede ser fácilmente comprometido. POr lo tanto, se recomiendo estar constantemente atento a las actualizaciones que las compañías informáticas realizan sobre los sistemas de actualización.

20. Siempre mantenga presente, las computadoras son evidencia. La evidencia debe ser preservada en su estado original. Cuando la información es analizada, los datos de los archivos pueden cambiar, lo que puede ser relevante en un proceso judicial. Los sistemas tradicionales para realizar copias de seguridad no captan toda la información en un sistema, y parte de la información puede perderse. Por favor comuníquese con las Unidades de Delitos Informáticos ante cualquier duda.

Bibliografía:

http://www.forensics-intl.com/evidguid.html