La cadena de custodia y las pistas de auditoría

En nuestro sector existe cierta confusión en cuanto a las diferencias entre cadena de custodia y pista de auditoría. Es justo decir que tienen un valor complementario entre sí, pero definitivamente son elementos separados, y su importancia en ese sentido es primordial para todo el proceso de gestión de pruebas. Hoy hablaremos de los dos informes más importantes relativos a los elementos de prueba individuales, de cómo funcionan juntos en ocasiones y de por qué se necesita un sistema que los separe.

¿Qué es la cadena de custodia?

Mucha gente se familiarizó con esta frase al ver el drama que supuso el juicio por asesinato de OJ Simpson. Durante el juicio, su defensa pudo argumentar con éxito para eliminar ciertas pruebas de la consideración porque la cadena de custodia sobre numerosos artículos había sido comprometida a través de diversas malas prácticas, muchas de las cuales eran comunes en ese momento.

En resumen, la cadena de custodia es la documentación física de la secuencia de custodia, control, transferencia, análisis y disposición de las pruebas. Supongamos que un agente recupera un zapato en el lugar del delito. Debería registrar en un documento oficial de dónde recuperó el objeto, y la mejor práctica incluiría la fotografía del objeto en una secuencia lógica desde el descubrimiento hasta la recogida. Si ese agente tiene que transferir la custodia del objeto a otro agente, esa transferencia de un agente a otro debe registrarse en el documento de la cadena de custodia. Este proceso continúa cuando las pruebas se almacenan temporalmente, en una sala de pruebas, y durante todo el proceso hasta su disposición, incluida la eliminación.

La cadena de custodia es obligatoria, y la pérdida de cualquier registro de la información correspondiente arruinará la integridad y el valor de esa prueba, y lo más probable es que signifique que será eliminada del caso, lo que podría dar lugar a un sobreseimiento.

Una forma de concebir la cadena de custodia es que documenta las actividades realizadas por las personas con el objeto, empezando por el descubrimiento del objeto y registrando todo lo que esas personas hacen con él, en términos de transacciones, entre ellas o con otras personas, terminando con la disposición del objeto. Hay que tener en cuenta que ésta es una forma simplificada de ver la cadena de custodia. Ciertamente, hay matices que se pierden en esta idea, pero es una forma de separar la cadena de custodia de las pistas de auditoría.

¿Qué es una pista de auditoría?

Mucha gente confunde la cadena de custodia con las pistas de auditoría. Hay algunas razones válidas para ello, pero ahora vamos a separar ambas cosas y a zanjar para siempre este debate.

Una cosa que hay que recordar es que las pistas de auditoría no siempre se han aplicado a las pruebas físicas, sino que originalmente se vincularon a las pruebas documentales, y poco después se vincularon a las pruebas digitales. En la actualidad se aplican a las pruebas físicas, y hablaremos de ello en esta sección.

El Servicio de Impuestos Internos (IRS) ha utilizado esta frase durante bastante tiempo, definiéndola como pruebas documentales que registran los procesos y las actividades financieras de una empresa determinada. Para sus fines, el IRS depende de estos documentos cuando audita una empresa determinada. Les ayuda a entender cómo una empresa lleva a cabo sus operaciones cuando se trata de gastar y recibir dinero, así como a comprender una imagen completa de sus obligaciones fiscales.

La aplicación de los principios de pista de auditoría a otros procesos oficiales se convirtió en una práctica recomendada en una serie de sectores, como el médico, el gubernamental, el de la construcción y otros relacionados con el cumplimiento de la normativa. A medida que los documentos pasaron a ser electrónicos, los principios de la pista de auditoría empezaron a aplicarse a otros contenidos electrónicos relacionados con los negocios y la administración. Y pronto, el concepto se introdujo en las pruebas digitales. Realmente tiene sentido, porque cuando se gestionan activos digitales (pruebas), es necesario poder expresar cada actividad relativa a ese archivo, pero no todo lo que se haga a un archivo digital va a cumplir el umbral que hemos comentado sobre la cadena de custodia. Por ejemplo, un gestor de pruebas digitales puede tener que trasladar pruebas digitales de un lugar a otro, pero en la misma pila de almacenamiento. Técnicamente, se trata de una actividad. Pero si este gestor ya tiene asignada la prueba, puede que no cumpla los requisitos de la cadena de custodia, ya que el expediente no se está moviendo desde fuera de la estantería de almacenamiento en cuestión, sino que se está moviendo a una posición diferente en la estantería. Este escenario puede ser peliagudo, y no siempre hay una respuesta clara al respecto, por eso lo planteaba al principio.

Pero, una forma más fácil de explicar la separación de responsabilidades de la pista de auditoría es la autenticación de archivos. Todo sistema de gestión de pruebas digitales debe disponer de funciones automatizadas en las que se verifique que las pruebas digitales siguen siendo las mismas que cuando se introdujeron en el sistema. Las pistas de auditoría también deben registrar fechas, horas, lugares y personal que ha buscado archivos en el sistema y seleccionado un archivo determinado. Este es otro ejemplo de algo que no se encontraría en la cadena de custodia, pero que sin duda debe registrarse y asociarse con el archivo en cuestión.

Cuando se trata de pruebas físicas, pueden aplicarse los principios de una pista de auditoría, pero puede requerir más acciones por parte de su gestor de bienes y pruebas. Por ejemplo, cuando se lleva a cabo una revisión de conformidad en su sala de pruebas y se seleccionan elementos específicos para registrar la conformidad, el simple acto de recuperar, registrar y verificar esos elementos debe documentarse en un registro de auditoría. Una revisión de conformidad no cambia la custodia del elemento en cuestión, ni destruye su valor probatorio. El registro de la actividad garantiza que se alcancen ambos objetivos y que el cumplimiento se cumpla no sólo en la revisión, sino en la propia documentación de la revisión.

¿Cuándo se unen la cadena de custodia y la pista de auditoría?

La intersección de estos dos informes obligatorios se produce cuando los datos de la cadena de custodia se incluyen en una pista de auditoría. Mientras que la cadena de custodia registrará muchos detalles específicos sobre una transferencia entre dos funcionarios, en el registro de auditoría se registrarán la fecha/hora, los nombres de los funcionarios, el tipo de actividad y el lugar. Pero todo son datos muy simples que se adjuntan al registro de auditoría. Y esta es la única intersección que se puede esperar entre los dos. En realidad son dos cosas totalmente distintas, y tienen algunas cualidades complementarias, pero son realmente básicas.

Si tratas con una empresa que intenta fusionar ambas cosas en su conversación, es posible que no entienda las diferencias, y eso es un gran indicio de que estás hablando con la persona equivocada sobre la solución que necesitas.

Conclusiones

Cadena de custodia, pista de auditoría. Son documentos sencillos que lo son todo para sus pruebas y para su aceptación en los tribunales. Hay que conocer las diferencias y saber dónde se agrupa la información. Y lo que es más importante, las personas que construyen tu software tienen que saber estas cosas. Si combinan las dos cosas, no están atendiendo a tus necesidades y te van a meter en un lío. No dejes que otros te creen problemas.

Ve con cuidado.