2. Página 2 de 57
UNIDAD 3:
3. METODOLOGIA Y TENDENCIAS EN PERICIAS
TECNOLOGICAS.
3.1. Metodologías de uso en informática forense: adquisición –
obtención – preservación –análisis).
3.2. Tipos, clasificación y generalidades de los diferentes
escenarios de análisis.
3.3. Puntos de pericia: Análisis y estudio. Definición de los mismos.
3.4. Importancia de la prueba Pericial. Tipos de pruebas.
3.5. El informe pericial: Características propias de un informe
Tecnológico.
3.6. Consideraciones legales sobre el uso de ciertos términos (copia,
copia autorizada, adquisición forense, imagen forense,
certificación digital, duplicación, preservación, cadena de
custodia, hash.).
3.7. ISO 27037 y 27042.
3.8. Protocolo del Ministerio Publico de la Nación.
3.9. Protocolo del Ministerio de Seguridad de la Nación.
3. Página 3 de 57
3.1. Metodologías de uso en informática forense:
Básicamente, hay que reconocer que, entre los protocolos de actuación, se
pueden distinguir acciones básicas comunes:
3.1.1- La identificación de la evidencia digital:
Identificar es el reconocimiento de donde se halla la evidencia digital, sea esta
física o lógica.
Podemos decir que esta etapa está caracterizada por distintos aspectos. Entre
ellos podemos mencionar el factor humano, que realiza los secuestros/aporte de
material informático a un proceso judicial. En muchos casos, la identificación y
recolección de potencial evidencia digital es realizada por personal que no cuenta con
los conocimientos adecuados para llevar a cabo las tareas en cuestión (por ejemplo un
allanamiento policial, o un administrador no instruido). La omisión de algunos
aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad
de analizar cierta información digital.
4. Página 4 de 57
Como parte de esta etapa, puede considerarse la generación de una copia forense de
la información de cada uno de los dispositivos. Comúnmente se llama a este procedimiento
Adquisición de la evidencia Informática o generación de la Imagen Forense 1
.
El informático forense que realiza esta actividad debe evitar de ser posible
la evaluación en tiempo real y la evaluación sobre el objeto original.
Estos procedimientos primarios pueden generase en distintos momentos:
Durante un procedimiento ordenado por un juez (allanamientos, Pericias con o
sin conocimiento de la contraria)
Resguardada voluntariamente por una parte mediante procedimiento Notarial
El informático además deberá tener siempre presente los aspectos legales:
Registro de actividades.
Acta notarial: Puede estar enteramente confeccionada por el escribano/notario
o puede incluir un acta técnica.
Siempre deben aparecer tanto en el acta o en el informe datos como:
Datos filiatorios del investigador.
Identificación medios magnéticos u ópticos.
Identificación de la plataforma empleada (hard/soft).
Explicación sucinta del procedimiento técnico realizado.
Nombre de archivo de destino algoritmo de autenticación y resultado o
número HASH 2
1 IMAGEN FORENSE (IF): Llamada también "Espejo" en ingles "Mirror", la cual es una copia bit a bit de un medio
electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos, aéreas borradas
incluyendo particiones escondidas. Se utiliza software forense especifico y metodología aceptada para autenticar la
misma (numero HASH).
2 HASH: Función matemática que se aplica a un archivo a los efectos de obtener un resumen o digesto del mismo en un
número hexadecimal de 32 posiciones en el caso del básico MD5 (existen otros algoritmos más complejos que generan
un numero más largo en posiciones como ser las funciones SHA y SHA 1). Este número al ser resultado del estado de un
archivo, si el mismo se modifica mínimamente, el hash cambia, tornándose así un método aceptado internacionalmente
5. Página 5 de 57
3.1.2_ La extracción y preservación (Recolección) del material informático:
Extraer, Preservar y/o Recolectar: frecuentemente el DEFR, deberá tomar la
decisión de recolectar la evidencia y trasladarla al laboratorio para su adquisición, en
función del tiempo y los recursos informáticos disponibles en la escena del hecho,
sustentado por el mandato judicial. En cualquier caso, deberá documentar su decisión
(y autorización judicial) fundamentándola.
Se deberá considerar la fragilidad de los medios de almacenamiento de datos y
la volatilidad de la información. Sobre este aspecto, cabe destacar que existe una gran
importancia de “Cadena de Custodia” o “resguardo de la continuidad de la prueba”,
cuyo objetivo consiste en mantener el registro de todas las operaciones que se realizan
sobre la evidencia digital en cada uno de los pasos de investigación detallados.
Usualmente, el secuestro de material informático tiene un tratamiento muy
similar al de otros elementos –armas, papeles contables, etc.- y no se le da el cuidado
que realmente merece, pudiendo algún golpe ocasionar roturas en el equipamiento
informático. Debe considerarse además que la información digital es sensible a la
temperatura, y en algunos casos a los campos electromagnéticos.
Para todo caso entonces se debe considera una categorización también en este
aspecto:
1. Seguridad física de la evidencia electrónica: para lo cual se deben adoptar las
medidas necesarias para mitigar el posible daño durante traslado e impedir que
se pueda acceder a la conexión o a los componentes con información.
2. Seguridad lógica de la evidencia digital: Si es posible en cuanto al volumen, se
podrá certificar cada archivo contenido en el soporte. La utilización de software
que genere un valor hash a partir de un conjunto de datos es de gran ayuda.
para autentificar un archivo digital. En informática forense si el numero hash obtenido en una verificación es idéntico
al asentado en alguna constancia, implica VERIFICACION positiva de la integridad.
Ej. De numero HASH: "DF6789E1EC65055CD9CA17DD5B0BEA5892504DFE7661D258737AF7CB9DC46462".
6. Página 6 de 57
Para realizar copias de la evidencia original debe usarse algún software forense
que realice una imagen forense y no una simple copia de archivos, en la que se pierde
información que puede ser usada como potencial evidencia.
Asimismo, debe quedar claro que, aunque por principio general se debe
trabajar sobre imágenes de la evidencia original, sólo el perito podrá determinar
cuándo debe o no aplicarse este tipo de medida.
En muchos casos resulta impracticable realizar copias de la evidencia original
por impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán
extremar las precauciones durante la investigación, siempre aplicando técnicas de
análisis de datos no invasivas y utilizando todas las herramientas forenses que estén al
alcance, a fin de no alterar la evidencia. Para ello es muy común utilizar herramientas
de protección contra escritura 3 (software o de hardware) que impidan que la
información original se modifique involuntariamente
3 PROTECCION CONTRA ESCRITURA: Se utiliza un método que asegure que la información contenida en un
dispositivo no se altere accidentalmente por el accionar del sistema operativo, software antivirus o accionar
del operador. Consiste en la utilización de un dispositivo electrónico conocido como bloqueador de escritura,
"Write Blocker" o "Bridge". La División Apoyo Tecnológico Judicial posee varios de estos dispositivos de la
firma Tableau, modelos T35. También se puede bloquear con software o directamente desde el registro de
Windows los puertos USB y conectar el disco o dispositivo "original" al mismo.
7. Página 7 de 57
El o los documentos que resguarden la continuidad de la prueba (cadena de
custodia) deben incluir l menos los siguientes datos:
Nombre de la persona y momento (lugar fecha y hora) en que se hizo cargo de
la custodia de los elementos.
Registro del pasaje de una persona o de una ubicación física a otra.
Tareas realizadas durante la posesión
Forma de lacrado, franjado o sellado que impida el acceso a la
información.
Fotografías de la evidencia en las tareas realizadas.
Tan importante es la atención en estos temas que un precepto fundamental
del derecho impone estos aseguramientos: La Evidencia obtenida en violación de cualquier
procedimiento técnico-legal es INADMISIBLE (Evidencia nula), al igual que todas las
conclusiones que obtenga a partir de esta Evidencia. Se conoce a este precepto como
“Teoría del Fruto del árbol envenenado”.4
Respecto de la imagen forense, se deben tener en cuentas los siguientes
conceptos:
Este tipo de copia bit a bit del contenido total del disco, esto incluye:
Metadatos del sistema operativo.
Archivos del usuario
Espacio utilizado y no utilizado.
4 Se es reitera torio con el tema dado que en l mayoría de los planteos que realizan los abogados, este
concepto es el que más sobresale en cuanto a su cuestionamiento y el método más exitoso para dar por
tierra con la evidencia digital.
8. Página 8 de 57
El archivo de evidencia (imagen forense o copia forense como
preferencia), se debe crear por medio de una tecnología forense, que como mínimo, debería:
Imagen “cruda” (RAW) sin alterar el original. Esto genera un archivo con la
extensión .DD, que es una extensión de formato universal de Linux.
También se puede generar con formatos de productos comerciales (Encase,
FTK, Safeback, etc).
Acceso a discos rígidos de cualquier tecnología.
Verificar la integridad del archivo.
Debe estar documentada y crear un log de errores.
Calcular el valor Hash (MD5 de 128 bits y SHA-1 de 160 bits)
Respecto de donde generar estas adquisiciones, surgen distintos modos:
Adquisición Según el lugar:
Laboratorio .
Campo
Adquisición por método:
Directa (no intervienen la PC del operador, es una copia electrónica):
1. Extraer disco de PC de origen
2. Montar disco en un dispositivo denominado DUPLICADOR
FORENSE.
3. Adquirir imagen
4. Reinstalar disco en PC de origen
Indirecta:
1. Conectar el equipo a investigar con el Investigado.
2. Adquirir imagen “a través del cable de red”.
3. También se puede adquirir utilizando un programa que trabaje en
memoria RAM o "Live", como ser CAINE, HELIX o DEFT.
9. Página 9 de 57
3.1.3 El análisis de datos
Analizar involucra aquellas tareas referidas a extraer evidencia digital de los
dispositivos de almacenamiento. Una de las claves a la hora de analizar es la
localización de información específica vinculada con una determinada causa. La
experiencia demuestra que, en muchos casos, el análisis de datos requerirá un trabajo
interdisciplinario entre el perito y el operador judicial -juez, fiscal- que lleve la causa.
En general el concepto de DATA CARVING 5, adecuado a la búsqueda de
palabras clave (keywords) que son de interés para la investigación, es el proceso que
más se utiliza para obtener información de relevancia. Esta cadena de caracteres está
formada por uno o más caracteres, una única letra, una palabra o una frase. Las
cadenas de caracteres pueden incluir "espacios en blanco", signos de puntuación, y
caracteres invisibles (de control). Además en esta instancia quizás se requiera
realizar una evaluación manual de cada resultado, debido a la posible existencia de
“falsos positivos”, es decir resultados detectados pero que en el contexto general de
la información buscada, el acierto no es de interés (ej . se detecta la palabra
“Cervantes”, como apellido de interés, en un documento, pero resulta ser que de su
simple lectura se desprende que se trata información de un diccionario en referencia
al autor castellano de la obra “Don Quijote de la Mancha”.
Los atributos de mayor interés para el investigador forense son:
• el nombre del archivo.
• MAC Times (fecha y hora de la última Modificación, Acceso o Cambio de
un archivo)
• los datos (si el archivo es suficientemente pequeño)
• la ubicación de los datos en el disco.
5 DATA CARVING: "el proceso de extraer una serie de datos de un gran conjunto de datos. La técnica de data carving se
utiliza habitualmente durante una investigación digital cuando se analiza el espacio no ubicado de un sistema de ficheros
para extraer archivos. Los archivos son 'desenterrados' del espacio no ubicado utilizando valores para las cabeceras y pies
específicos del tipo de archivo. Las estructuras manejadas por el sistema de ficheros no son tenidas en cuenta durante el
proceso" Digital Forensic Research Workshop (DFRWS2006).
10. Página 10 de 57
• el archivo utilizado como memoria virtual del sistema operativo (Swap
file).
• el espacio libre que puede quedar entre un archivo y el clúster en el cual
reside (Slack space).
• la papelera de reciclaje (Recycle bin).
• clusters que contienen parte que los archivos borrados (Unallocatable
space)6
• los accesos directos.
• los archivos temporarios.
• los artefactos de Internet (redes sociales, historiales, cookies, etc).
La enumeración anterior son solo algunos de los elementos sobre los que se
realiza habitualmente el análisis de datos.
Por otro lado, un examen del registro de Windows permite conocer el hardware
y software instalado en un determinado equipo.
6 Unallocated Space (Espacio no asignado): Espacio libre en el disco que no está asignado a ninguna partición, unidad
local ni ningún volumen. Puede contener restos de archivos
11. Página 11 de 57
3.1.4 La presentación del dictamen pericial
Presentar consiste en elaborar el dictamen pericial con los resultados obtenidos
en las etapas anteriores.
Es sabido que el documento electrónico para la ley vigente argentina, constituye
tan sólo “principio de prueba por escrito", lo que genera numerosos inconvenientes a
la hora de determinar la eficacia probatoria de los elementos informáticos y su
interpretación a través de los dictámenes periciales.
Teniendo en cuenta que nuestra ley penal data de 1921, es claro que la misma
no pueda receptar con facilidad los adelantos tecnológicos, dando lugar a situaciones
de duda.
La eficacia probatoria de los dictámenes informáticos radica fundamentalmente
en la continuidad del aseguramiento de la prueba desde el momento de su secuestro.
Realizado ello en debida forma es poco probable que, si la investigación
preliminar se dirigió correctamente, el material peritado no arroje elementos
contundentes para la prueba del delito.
Expuesta la situación actual en materia de pericias informáticas, interesa
conocer cómo debe realizarse un dictamen pericial sobre análisis de datos, de manera
tal que sea objetivo, preciso y contenga suficientes elementos para repetir el proceso
en caso de ser necesario.
La estructura básica de cualquier informe atendería al siguiente esquema:
Antecedentes (Solicitante, encargo profesional o tipo de trabajo. Situación.
Redactor)
Documentos facilitados, recopilados y examinados (Proyectos, expedientes
administrativos, contratos, escrituras, datos registrales, etc.)
Inspecciones realizadas (Pruebas requeridas en función del material a
analizar y del tipo de daño a valorar).
12. Página 12 de 57
Metodología del informe (Se expondrán los criterios que se han seguido para
su elaboración).
Dictamen (Por último, deberá completarse junto con el apartado de
conclusiones, que recogerá de modo resumido los aspectos más
determinantes del trabajo).
Anexos (Este apartado estará compuesto por los diferentes documentos
obtenidos en las investigaciones: fotografías, resultados de los análisis,
documentación relevante como prueba, normativa infringida, etc.).
Legalmente el informe debe contener la ubicación espacial y temporal (lugar y
fecha), quien realiza el estudio, los elementos ofrecidos para su estudio y el estado de
recepción de los mismos, las incógnitas periciales planteadas, las acciones que se
desarrollaron para poder contestar esos interrogantes y por último la respuestas a
cada uno de los untos periciales planteados.
El arte aquí se constituye al momento de tener que plasmar en el informe, datos
y concepto netamente técnicos, a veces complejos, pero transmitiendo la idea de tal
manera que sea de fácil comprensión para un profesional del derecho como lo es el
juez. Debe ser técnicamente correcto, pero en leguaje que pueda ser interpretado por
personas que no conocen demasiado de tecnología.
13. Página 13 de 57
3.2. Tipos, clasificación y generalidades de los
diferentes escenarios de análisis.
Al respecto, podemos establecer tantas clasificaciones como personas
existen, es decir, es tan variado nuestro campo de acción y encima es tan variante, que
establecer una clasificación es al menos temporario.
De todas formas, es real que se deben establecer diferencias, porque los
métodos de estudio técnico en dispositivos disimiles, obliga a agrupar por
características ya sea de acceso a la información digital, métodos de copia y
aseguramiento, método de análisis y hasta método de algo tan básico como de
identificar la evidencia digital.
A modo de ejemplo, acceder a la información de una computadora de uso
hogareño, genera todo un protocolo y métodos distintos a los que son requeridos para
por ejemplo el análisis de lo que pudiera registrar un dispositivo de control automático
de dosificación en la industria farmacéutica o la necesidad de del análisis de los
registros internos de un tomógrafo computado de un hospital. Ejemplos como estos,
pueden ser miles, acorde a las posibilidades que puedan darse y por lo tanto, el diseño
de un protocolo que pueda alcanzar con detalle en los procedimientos, a todas las
circunstancias, se torna casi imposible y por ello, se diseñan protocolos de actuación en
base a los casos más frecuentes o son muy generalistas (sin procedimientos concretos).
Asimismo, la constante innovación, genera una sensación de estar en una
constante “etapa artesanal” en cuanto al análisis informático para algunas situaciones.
Las pericias tecnológicas vivieron varias etapas en pocos años, en
comparación con otras ciencias auxiliares de la criminalísticas y por ello, teniendo en
cuenta las demoras que proliferan en las instancias judiciales desde la generación de
las tareas periciales y el efectivo juicio oral, hay muchas actividades periciales
cuestionadas por sus procedimiento (realizado unos años antes del juicio y cuyas
técnicas evolucionaron quedando al menos “obsoleta”).
14. Página 14 de 57
Es necesario entonces, pensar en estos “nichos” o “grupos” de dispositivos
desde su tecnología, desde su evolución y desde las herramientas disponibles para
poder analizar de la manera más homogénea posible.
Podemos pensar en grupos como los siguientes:
EVIDENCIA
DIGITAL
ORDENADO
RES,
NOTEBOOKS
, TABLETS
TELEFONIA
MOVIL
CCTV
SISTEMA
INTEGRALES
PROPIOS
SISTEMA
PROFESIONAL
CON LLAVE
DE LICENCIA
IDATOS Y
SISTEMAS
EN LA NUBE
INTERNET
DE LAS
COSAS (IOT).
????????
15. Página 15 de 57
3.3. Puntos de pericia: Análisis y estudio. Definición de los mismos.
Las ciencias fácticas (de los hechos) o ciencias empíricas (de la experiencia)
se ocupan de la realidad constatable y experimentable y tienen por objeto comprender
las fuerzas y mecanismos que intervienen en los fenómenos naturales o sociales. Se
diferencian de las ciencias formales en su objeto de estudio dado que estas últimas se ocupan
de estudiar los sistemas de representación lógica y mental de la realidad. No obstante, aun
cuando utilizan el método científico como herramienta de validación teórica las ciencias
fácticas se apoyan en procesos formales para sostener sus estudios.
La prueba informática es una ciencia fáctica y, por lo tanto, debe cumplir con
las siguientes premisas:
Debe ser analítica, yendo de lo general a lo particular
Debe ser obligatoriamente especializada, por la particularización de los
problemas y la necesidad de profundizar al máximo los conocimientos
Debe generar contenidos comunicables y entendibles para quien esté entrenado
para su entendimiento.
Los conocimientos deben ser verificables, puesto que son reproducibles y por lo
tanto comprobables.
Debe ser metódica, va siempre en la misma dirección de manera planeada,
evolucionando y generando nuevos enunciados al tiempo que es de utilidad para
la aplicación práctica u operativa.
En síntesis, debe ser claro y preciso y esta precisión de los puntos de pericia
que debe responder un perito deben obedecer a una planificación previa rigurosa.
Los puntos de pericia poseen una función orientadora y una función
probatoria. En la primera, la evidencia proporciona una pista o hilo conductor que
permite avanzar en una investigación. La pista por sí misma no necesariamente acredita
un extremo del hecho investigado “la obtención de una dirección IP que conduzca luego a
un domicilio físico.”
16. Página 16 de 57
En la segunda función o función probatoria la evidencia puede ser invocada
como prueba de los hechos que afirma una de las partes del proceso. Por ejemplo: un
archivo de audio donde se registra una desvinculación laboral.
Asimismo, es necesario aclarar las funciones de un perito en informática,
con sus especificidades del campo de trabajo y los principios basales de relevancia,
confiabilidad y suficiencia en el proceso forense. Es habitual confundir que todo lo que
es tecnología es área y tema de análisis de quienes sean profesionales de sistemas o
informática. El diferenciar y establecer en forma correcta a qué especialista solicitar
en el punto de pericia -o bien, a quienes no se debe solicitar- será de vital importancia
al momento de que los tiempos procesales no se dilaten con errores y excusaciones de
peritos sorteados que no sean idóneos o competentes para el trabajo encomendado.
17. Página 17 de 57
3.4 - Importancia de la prueba Pericial. Tipos de pruebas.
El inicio de un proceso judicial en donde se plantean hechos controvertidos,
las partes interesadas deben acercar al expediente todos los medios de prueba que
intentan valerse para alcanzar la pretensión que persiguen. Como el juez no tiene un
conocimiento directo de los hechos, la ley le posibilita conocerlos por medio de estas
herramientas legales denominadas medios de prueba.
Siempre que no hubiere conformidad entre las partes respecto de los hechos
alegados o existieren hechos controvertidos, el juez debe decretar la apertura a prueba o
recibir la causa a prueba. Abierta la etapa de prueba, se deberán realizar todas las diligencias
necesarias para que el juez pueda, a través de estos medios, conocer y apreciar
indirectamente los hechos.
Los medios de prueba pueden definirse como las herramientas legales para
la comprobación de la verdad de aquellos hechos controvertidos, del cual se pretende
hacer valer un derecho dentro de un proceso.
Uno de los grandes recaudos en materia probatoria, reside en poder distinguir y
determinar la licitud o ilicitud de las pruebas y si bien la mayoría de los códigos procesales
de nuestro país tienen una amplia libertad probatoria, generalmente contienen en su
regulación seis medios de prueba:
Documental
Reconocimiento judicial
Confesional
Informativa
Pericial
Testimonial.
Veremos en detalle los medios que más nos interesan en esta materia:
18. Página 18 de 57
Prueba documental:
Documento es un soporte material que expresa o incorpora datos, hechos,
narraciones. Ellos pueden tener eficacia probatoria y, según cada caso, cierta
relevancia jurídica, por lo que documento puede ser desde una grabación, un
instrumento público o privado y hasta una fotografía, siempre que represente de
manera objetiva un pensamiento y constituya una prueba indirecta, ya que el juez toma
conocimiento de los hechos a través de una cosa, configurando una representación del
pasado.
Devis Echandía dice que “es documento toda cosa que sea producto de un acto
humano, perceptible con los sentidos de la vista y el tacto, que sirve de prueba histórica
indirecta y representativa de un hecho cualquiera”.
En el plano judicial, es el medio probatorio por excelencia.
Documento electrónico: Un documento electrónico es aquel que ha sido creado sobre
un ordenador, grabado en un soporte informático y que puede ser reproducido,
definiéndolo como un conjunto de campos digitales (magnéticos, ópticos u otra
tecnología actual o futura) aplicados a un soporte, de acuerdo con un determinado
código. Por lo que se puede resumir, diciendo que es un archivo codificado que se
encuentra almacenado en un aparato tecnológico determinado (ejemplo: PC, notebook,
Smartphone, PS4, reloj inteligente, GPS, Tablet, etc.) y que para poder exteriorizarlos
se necesita el auxilio de un equipo especial que lo haga visible.
Para poder utilizar el documento electrónico como prueba en un proceso judicial
habrá que acompañar el archivo digital que contiene la publicación en una red social, un
audio, una captura de pantalla, etc., en el soporte físico que los contenga, como puede ser un
CD, DVD, pendrive, Smartphone, tarjeta de memoria, etc. Lo que lo convierte en una
prueba compuesta por un lado por el archivo telemático y por el otro por su contenedor,
seguido de una impresión del documento en cuestión, siendo lo primero absolutamente
necesario para convertirlo en documento digital y no en una prueba documental clásica.
19. Página 19 de 57
Este tipo de pruebas presentan el inconveniente de que tienen que ser
complementada por otros medios probatorios, como una informativa, o una pericial
informática, para que tenga suficiente eficacia probatoria.
Fotografías: Las imágenes por lo general, se encuentran en una memoria interna, por lo
que pueden ser reproducidas y transferidas como así también, sujetas a posibles ediciones.
Por lo que la doctrina considera que es no es una prueba completa, sino que se va a tener que
acudir a otros medios probatorios, salvo que sea reconocida, o compartida en una red social
segura (Facebook, Twitter, Instagram) o compartida mediante mensajes en Whatsapp,
situación que se torna más segura en caso de tener la geolocalización activada y pueda
obtenerse una ubicación precisa de dónde fue tomada la fotografía.
Capturas de pantalla: El hecho de acompañar al expediente capturas de pantallas,
conocidas como screenshots, con la finalidad de demostrar la ocurrencia de hechos, es una
metodología muy utilizada. Generalmente, son impresos y aportados como prueba
documental, sin la intervención de un fedatario (escribano o testigos) y como consecuencia
disminuye el valor probatorio de estos aportes convirtiéndose en meros indicios sino son
acompañados con el efectivo documento electrónico.
Impresiones simples: En numerosas ocasiones, acompañan al expediente la impresión del
contenido, sin el formato original. Como ser correos electrónicos, fotografías de Facebook
o mensajes de Whatsapp, lo que adolece de la grave dificultad de comprobar la autoría y la
torna inválida.
La prueba testimonial
El testimonio es una de los medios de pruebas que la mayoría de los códigos de
forma de nuestro país admiten. Consiste en que una persona que no es parte en el proceso
en cuestión, declara ante el juez, sobre lo que sabe acerca de un hecho, que pudo
percibir con sus sentidos.
20. Página 20 de 57
Cuando hablamos de prueba electrónica, este tipo de prueba tiene ciertas
particularidades y puede darse de dos maneras distintas a saber:
1. La directa: El testigo tomó contacto personal con una prueba que se
encuentra almacenada en registros informáticos, pudo ver, sentir u oír, los
hechos registrados. Por ejemplo: Un audio, una fotografía o una filmación.
Por lo que no se presentan mayores obstáculos, el testigo va a deponer frente a
un juez sobre algo que presenció y percibió con sus sentidos.
2. La cuasidirecta: En este caso el testigo no participó en los hechos, pero tuvo
un conocimiento semidirecto, utilizando algún artefacto electrónico que
permitió el contacto, aunque fue efectivo para apreciar hechos, actos o
conocimientos. Esta situación es peculiar, porque el testigo para conseguir su
conocimiento, no lo hizo a través de sus sentidos en contacto inmediato con lo
que tuvo que percibir (modo directo), sino que lo hizo por intermedio de algún
equipo informático o electrónico, que dio lugar a que pudiera observar lo
ocurrido. Un ejemplo de esto: “que determinada persona es el administrador
de una “fanpage”, que el titular de la cuenta que efectuó una publicación
cuestionable.
Amistad en redes sociales: ¿Qué sucede en caso de que el testigo que va a prestar
declaración es “amigo” de alguna de las partes en redes sociales? Para empezar, hay que
aclarar que no es lo mismo una amistad en una red social, a una amistad real. La amistad es
uno de las sensaciones más humanas que podemos encontrar, en cambio en redes sociales,
es distinta la calificación. Facebook, considera “amigos” a aquellas personas que se
conectan mutuamente y se permiten, mutuamente, ver la actividad del otro en la sección de
noticias, historias y fotos. Dicho esto, queda en evidencia que son dos conceptos de amistad
muy distintos entre sí. En una verdadera amistad, hay sentimientos en juego, que pueden
provocar una afección a los sentidos del testigo, en cambio, una amistad en una red
social, donde te permite tener miles de contacto “amigos”, “seguidores”, “fan” o como
la red social se disponga de nombrar ese contacto
21. Página 21 de 57
Prueba pericial:
La pericia como actividad consiste principalmente en ¨la aplicación de los
conocimiento del experto a un supuesto concreto, emitiendo un parecer, evacuando una
opinión o facilitando una información¨(Flores, 2005:128). La peritación es una
actividad procesal desarrollada, en virtud de encargo judicial, por personas distintas
de las partes del juicio, especialmente calificadas por sus conocimientos técnicos o
científicos, que se suministra al juez argumentos o razones para la formación de su
convencimiento respecto de ciertos hechos cuya percepción o cuyo entendimiento
escapa a las aptitudes del común de la gente. Lo que distingue a la pericia del resto de
los medios de prueba es que la pericial intenta lograr la convicción del tribunal respecto de
hechos técnicamente complejos, o sobre aspectos especializados de hechos determinados.
La prueba pericial se enmarca, dentro de lo que se denomina la prueba
científica, la que goza de un alto poder de fiabilidad. La valoración que el juez efectúa
del informe de peritos se realiza conforme a las reglas de la sana crítica, y sin que por ella
esta prueba deba prevalecer sobre el resto de las pruebas allegadas al proceso, valorándose
la misma en su conjunto.
Evidencia Digital: Se entiende por prueba digital a los datos que constan en
formato electrónico y que constituyen elementos de prueba, comprendiendo las etapas de
extracción, procesamiento e interpretación.
La definición de evidencia digital puede ser abordada desde dos perspectivas:
Como OBJETO, cuando se vincula con aquellas acciones que se realizan por
medios electrónicos (obtención de datos mediante el ingreso indebido a una base
de datos, la intercepción no autorizada de una conversación telefónica, entre
otros).
Como REPRESENTACION, cuando se la considera como representación de
ciertos actos jurídicamente relevantes, el hecho en sí no es electrónico, sino más
bien los medios electrónicos son elementos que representan eficazmente el
consentimiento, la voluntad y el delito, pero no constituyen tales elementos.
Además de estos medios electrónicos, podrían presentarse otros para probar la
existencia del consentimiento, la voluntad y el delito.
22. Página 22 de 57
En ambos casos, se requiere una mirada tecnológica para entender las
características de los medios utilizados, y un análisis técnico-jurídico que determine cómo
obtener la evidencia, cómo presentar la prueba, cómo interpretarla, y cómo relacionarla con
los hechos o actos jurídicos materia de juicio.
En resumen, puede considerarse a la evidencia digital como un tipo de
prueba física en donde sus datos pueden ser recolectados, almacenados y analizados
con herramientas informáticas forenses y técnicas especiales. Con esto nos referimos a
registros almacenados en el equipo de tecnología informática, como pueden ser correos
electrónicos, archivos de aplicaciones de ofimática, imágenes, entre otros; también
registros generados por los equipos de tecnología informática, como por ejemplo
auditoría, transacciones, eventos, entre otros; y registros que parcialmente han sido
generados y almacenados en los equipos de tecnología informática, en tal caso serán
hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales
de datos, entre otras.
La preponderancia que tiene la prueba o evidencia digital para esclarecer un
delito depende de la vinculación que tenga con un caso en particular. Esta puede provenir de
un delito informático o de un delito que se cometió utilizando de manera directa o indirecta
con algún medio tecnológico.
Si la evidencia fue presentada de manera correcta y su cadena de custodia no fue
alterada, puede llegar a ser crucial para resolver cualquier clase de delitos. El problema
radica en que muchas veces se encuentran algunos inconvenientes a la hora de demostrar o
aclarar un hecho, al momento de tipificarlo correctamente (por ejemplo antes de la ley de
delitos informáticos, algunas actividades de intrusión a sistemas informáticos, era
investigados como el delito de estafa). Si bien, paulatinamente la justicia ha ido considerando
a estos medios tecnológicos como parte del proceso judicial a la hora de resolver delitos de
todo tipo, esta situación no se ha visto acompañada por cambios en las ciencias jurídicas y
en la teoría procesal.
Esta situación tampoco ha permitido a los operadores del derecho moverse con
certezas al momento de las decisiones judiciales que implican los hechos tecnológicos, por
lo que se requiere una necesaria capacitación en este sentido.
23. Página 23 de 57
Relación de la prueba pericial con las nuevas TICs (nuevos medios de prueba):
En relación a la ilicitud de la prueba, nos podemos encontrar ante varios supuestos:
1) Puede que el procedimiento que se utilizó para obtenerla sea ilícito, aunque la
prueba no lo sea.
2) Puede ser ilícita en sí misma cuando afecta derechos fundamentales previstos en
la Constitución Nacional o en Tratados Internacionales.
La ilicitud de la prueba se refiere normalmente a cómo la parte ha obtenido
la fuente de prueba que luego pretende introducir al proceso por medio de la prueba
EJ. Observar y documentar el contenido de un teléfono que no es propio sin consentimiento
de su dueño u orden judicial que lo disponga, hace ilícita toda la actividad de obtención de
evidencia. Otro ejemplo muy actual tiene que ver con redes sociales, supongamos que
queremos agregar una constatación web de un estado o foto de una red social y que el usuario
tenga el perfil con niveles de seguridad configurados para que únicamente sus “amigos”
puedan visualizarlos y como no somos su “amigo” no podemos ingresar a su perfil, pero sí
puede un tercero conocido y este nos preste su cuenta para ir al escribano y poder llevar
adelante el procedimiento. Este tipo de actividad, conocida como stalkear o stalkeo, es
habitual entre la gran mayoría de los usuarios de las redes sociales, pero bajo ningún punto
de vista puede ser convalidada en el plano judicial.
La prueba pericial informática: Perito es un tercero extraño al juicio que declara por
escrito o rinde explicaciones sobre hechos de naturaleza técnica para lo que tiene título que
acredita su idoneidad en la materia o bien es idóneo, cuando no se expidan títulos sobre la
materia a periciar.
La diferencia con el testimonio, reside en que el testigo presenció el hecho, lo
que torna irremplazable, solo él pudo percibirlo. En cambio, los peritos pueden ser
reemplazados, o cambiados por otros que tengan los mismos conocimientos técnicos. Los
peritos son auxiliares de la justicia e interpretan los hechos desde sus conocimientos
específicos.
24. Página 24 de 57
Whatsapp: Whatsapp Messenger es una aplicación de mensajería para teléfonos
inteligentes, en las que se envían y reciben mensajes mediante Internet, así como imágenes,
documentos, ubicaciones, contactos, videos y grabaciones de audio, permite realizar
llamadas y videollamadas, entre otras funciones. Para utilizar esta plataforma, es requisito
esencial contar con un número móvil celular, que luego va a ser vinculado a la cuenta de
quien quiera acceder al sistema.
Es tan masivo el uso de whatsapp, donde hoy día se torna relevante (sino
indispensable) para probar hechos que llevan a la solución de un conflicto judicial.
En 2014, se incorporó seguridad de encriptación a los mensajes para
impedir que terceros externos puedan acceder a mensajes, documentos y llamadas que
son protegidas en los dispositivos de sus usuarios. Es por ello, que, al iniciar una
comunicación, se puede observar la leyenda “Las llamadas y mensajes enviados a este chat
ahora están seguros con cifrado de extremo a extremo”. Esto implica que aplicar un cifrado
end-to-end (o extremo a extremo) el prestador del servicio tiene el dato electrónico, pero se
encuentra cifrado, y las claves necesarias para su desencriptación, se encuentran en cada uno
de los dispositivos móviles involucrados.
Nuestro Código Civil y Comercial, en su artículo 286, introdujo los documentos
electrónicos, al establecer que la expresión escrita puede tener lugar por instrumentos
públicos, o por instrumentos particulares firmados o no firmados, excepto en los casos en
que determinada instrumentación sea impuesta. Puede hacerse constar en cualquier soporte,
siempre que su contenido sea representado con texto inteligible, aunque su lectura exija
medios técnicos.
Por lo que podemos decir, que los mensajes de Whatsapp constituyen
documentos electrónicos, con características particulares:
1. poseen firma electrónica, con la mera creación de la cuenta de perfil del
usuario y los datos ingresados;
2. los mensajes de Whatsapp, son considerados como correspondencia.
Los requisitos a demostrar para que un mensaje de WhatsApp sea admisible
como prueba son:
25. Página 25 de 57
Autenticidad: Para que sea auténtico, debe coincidir el autor aparente con el
autor real del documento. En el caso de que un documento sea escrito, se puede
acreditar mediante el cotejo de la firma manuscrita; en el caso del documento
electrónico se identifica con el ordenador desde el que fue enviado, pero no surge
quien fue su remitente, por lo que da lugar a posibilitar la suplantación de la
identidad del mismo. Se genera, de esta manera, la necesidad de demostrar que
es un documento auténtico.
Se refuerza con base en la existencia de un mecanismo complementario de firma
electrónica, que permitirán generar una mínima presunción acerca de quién fue
el autor del mismo: el número de teléfono vinculado a la cuenta de usuario, el
número de tarjeta SIM, el código IMEI del dispositivo comunicacional, entre
muchas opciones que surjan de la investigación forense que deba practicarse.
Integridad: La integridad e inalterabilidad del documento electrónico, adquiere
vital importancia. En relación a un documento escrito, se puede realizar este
control a través de pruebas periciales; en el documento electrónico se debe
realizar una prueba pericial informática para establecer si fue modificada, qué
cambios se realizaron y desde qué dispositivo.
Los documentos electrónicos firmados digitalmente acorde a la ley no son
modificables y por si mismos ya poseen validez probatoria. Para el resto, surge
la necesidad de comprobar la autoría y la integridad.
Las comunicaciones vía Whatsapp, constituyen documentos electrónicos
firmados electrónicamente, por lo que será el juez quién deberá ponderar la
prueba, conforme lo dispuesto por el art. 319 del Código Civil y Comercial.
Licitud: En principio, se relaciona con la forma y modo de obtención de la fuente
o el elemento. Entonces, estos elementos probatorios podrán ser acompañados,
siempre y cuando no se hubieran obtenido de manera ilícita y que o sean de
carácter confidencial, en tal supuesto, es necesario el consentimiento del que lo
remitió y de vulnerarse la intimidad protegida por nuestra Constitución
Nacional, la consecuencia será la exclusión de la prueba por causa de nulidad.
Por ejemplo, el secuestro del dispositivo electrónico mediante violencia.
26. Página 26 de 57
Cómo se deben incorporar las comunicaciones de Whatsapp a un proceso judicial:
Realizar una transcripción íntegra de los mensajes intercambiados, que sean
pertinentes, con fecha y hora de remisión.
Acompañar los datos del titular de la cuenta Whatsapp.
Detallar los archivos adjuntos que hayan sido intercambiados por las partes y
que sean pertinentes, realizando una breve descripción de cada uno (audios,
imágenes, documentos).
El código IMEI del dispositivo.
El código hash de todos los archivos acompañados.
El código SIM del chip.
Agregar si efectivamente los mensajes intercambiables fueron “vistos” (tilde
azul).
Procurar que se designe un perito informático y practique una copia forense del
contenido en el dispositivo electrónico o acompañar el dispositivo como
documental.
Facebook, Instagram y otras redes sociales parecidas: Las redes sociales pueden
definirse como espacios digitales que brindan a los ciudadanos la oportunidad de compartir
información personal de especial interés, bien sea mediante el intercambio de imágenes y
videos que contengan vivencias personales, perfiles profesionales encaminados a explorar
oportunidades laborales o, simplemente, el encuentro con amigos y familiares que, por la
distancia, pueden encontrar en estos medios una ocasión ideal para reencontrarse
virtualmente.
Al registrarse, los usuarios aceptan las “Condiciones del servicio”, por lo
que celebran un contrato de adhesión. Así, el usuario concede a Facebook permisos de
uso, o sea que cuando alguien comparte, sube contenido o publica algo, se encuentra
protegido por derechos de propiedad intelectual a Facebook, una licencia mundial, no
exclusiva, transferible, sublicenciable y exenta de pagos por derechos de autor para alojar,
distribuir, modificar, mantener, comunicar el contenido generado.
27. Página 27 de 57
Cómo se deben incorporar las comunicaciones de Facebook y otras redes a un proceso
judicial:
Acompañar los datos personales del titular de la cuenta de Facebook (usuario y
mail de acceso).
Proporcionar el Facebook ID o Profile y la URL del perfil de Facebook.
Brindar el número de teléfono vinculado a la cuenta y correo electrónico
secundario, si lo hubiera.
Los datos del que generó la publicación don el URL del perfil.
El URL del que generó la publicación específica.
Transcribir el contenido de la publicación o posteo y su fecha y hora.
Procurar que la tarea la realice una persona con conocimientos de informática
forense a los efectos de extraer códigos hash de lo que se pueda descargar e
incorporar información que pudiera ser de relevancia.
Estos ejemplos prácticos, presentan posibles soluciones a la hora de lidiar con la
necesidad de presentar pruebas tecnológicas. Para otras tantas problemáticas parecidas y las
que seguramente vendrán, hay que darle lugar a los cambios y adaptarnos a ellos,
proponiendo soluciones acerca de cómo incorporar estos nuevos medios probatorios a los
procesos y sincerizarnos con el contexto digital, limitar o excluir este tipo de pruebas
conlleva, en mayor o menor medida, a vulnerar los derechos de las partes y a crear
magistrados arcaicos ajenos y temerosos de nuevas realidades.
28. Página 28 de 57
3.5 - El informe pericial: Características propias de un informe
Tecnológico.
La etapa del dictamen implica la exteriorización de la actividad del perito
a través de un escrito donde vuelca todo su saber en la materia para la cual se lo
solicita. Se denomina dictamen pericial o simplemente pericia, a la presentación
judicial del perito en la que responde al cuestionario efectuado en el proceso y emite
su opinión fundada como profesional, en los casos en que le hubiera sido solicitada.
Ya hemos visto la importancia en apuntes anteriores, pero es de tal
importancia el tema que se vera de nuevo, bajo otro tipo de lupa
El dictamen pericial puede dividirse en partes:
1) Encabezamiento (con el objeto, el destinatario y la presentación del
profesional)
2) Cuerpo del escrito (con el detalle de las diligencias periciales, incluyéndose el
dictamen).
3) Párrafo final (con el petitorio y el cierre de estilo).
4) Anexos documentales, gráficos o incorporación de medios digitales: Si
resultase conveniente, el perito puede adicionar párrafos aclaratorios y anexos
que formarán parte del dictamen.
Para cumplir dicha diligencia tendrá que llevar a cabo actividades para:
a) verificar e informar sobre hechos que requieren conocimientos especiales que
escapan a la cultura común del juez y de las personas, explicando sus causas y
efectos.
b) suministrar las reglas técnicas o científicas de la experiencia especializada de los
peritos para formar la convección del juez sobre tales hechos.
A éstas actividades se le debe agregar una etapa previa, en la cual el perito
organiza las tareas que llevará a cabo para cumplimentar las funciones encomendadas, lo
29. Página 29 de 57
cual incluye evaluación de los elementos aportados, herramientas disponibles para
tratarlos, verificar si los puntos periciales permiten realizar la tarea sin aclaraciones o
directivas adicionales, constatar su propia idoneidad para llevar adelante todas las
actividades o requerirá del auxilio de un experto en determinada especialidad, verificar la
existencia de perito de parte.
El profesional en la materia deberá preparar, redactar y presentar el escrito
judicial que contenga el resumen de las actividades procesales cumplimentadas y de los
procedimientos técnicos realizados de conformidad con la normativa vigente a los puntos de
pericia requeridos.
En primer lugar, el dictamen pericial debe cumplir las normas exigidas para
todos los escritos judiciales, los cuales pueden varias según el código procesal con el que se
trabaje (quizás hay pequeñas diferencias entre provincias, o el uso de código procesal
federal, o por fuero).
El informe pericial contendrá la explicación detallada de las operaciones técnicas
realizadas y de los principios científicos en que los peritos funden su opinión.
Es por ello que constituye un requisito sustancial que el perito sea experto e
idóneo para el desempeño de su encargo, para poder lograr la eficacia probatoria de su
dictamen.
El juez debe determinar concretamente los puntos de pericia sobre los cuales ha
de versar el dictamen si es de oficio, y si procede a propuesta de parte (perito de parte) podrá
remitirse a los puntos que éstas indiquen para demostrar o probar su pretensión.
El hecho objeto de la pericia debe tener relación con la causa y la pericia debe
ser útil para probar ese hecho controvertido, como también otros casos que tengan
características similares. Esto significa que el dictamen debe ser conducente, pertinente y
significativo.
En documento pericial el perito debe seguir un orden de exposición lógico y
homogéneo, propio de una metodología o saber científico para que las partes y el juez se
introduzcan en el tema en una forma razonada.
De esta manera, las conclusiones será una consecuencia lógica de las
motivaciones expuestas por el perito.
30. Página 30 de 57
A tal fin, éste debe presentar toda la actividad realizada de una manera ordenada,
utilizando una estructura adecuada para la especialidad y los usos judiciales.
El dictamen por sí mismo debe poder satisfacer los requerimientos de las partes
y del juez, esclarecer todos los aspectos técnicos vinculados con la causa y en tal sentido
ayudar a dilucidar los hechos controvertidos.
En el mismo debe consignarse la firma y sello del profesional interviniente dando
cumplimiento a lo receptado por los ordenamientos procesales y reglamentos
administrativos
La Valoración del dictamen: El dictamen pericial no es vinculante para el juez; o sea, no
lo obliga y tiene libertad a la hora de valorarlo, pudiendo abstenerse de considerarlo,
mediante decisión debidamente fundamentada.
Si el juez considera que los hechos afirmados en las conclusiones son absurdos
o imposibles, está autorizado a rechazarlo, si luego de una crítica rigurosa, razonada y de
conjunto, las conclusiones del dictamen son dudosas o inciertas o no concordantes con las
que arrojan otras pruebas de igual o superior valor, no se puede tener plena eficacia
probatoria y no debe tener en cuenta el dictamen del perito. Por el contrario, si el juzgador
considera que, los fundamentos y las conclusiones del dictamen reúnen todos los requisitos
de lógica, de técnica, de ciencia, de equidad, de validez, de eficacia, que para el caso pueden
exigirse, y no existen otras pruebas mejores o iguales en contra, no puede rechazarlas sin
incurrir en arbitrariedad.
Para la mayoría de la doctrina y jurisprudencia el dictamen del perito oficial es
idóneo “per se”, para formar convicción y que su opinión debe prevalecer, en principio,
sobre la del perito de control o perito de parte, que como tal ha sido designado parta defender
los intereses de quien lo propone, premiando la objetividad y fundamentación científica y
técnica y/o empírica del dictamen, por encima del sujeto que la haya emitido.
Si el juez basa su decisión en la pericia oficial, no debe agregar ninguna
fundamentación a la misma. En cambio, para apartarse de la pericia oficial el magistrado
tiene que dar a saber cuáles son las razones de entidad suficiente que justifiquen su decisión.
31. Página 31 de 57
Esta valoración queda en la libre convicción del juzgador, siempre bajo las reglas de la sana
crítica racional.
Las opiniones periciales deben encontrarse tan fundadas desde la
perspectiva científica, técnica o artística de que se trate, como las sentencias desde el
punto de vista jurídico, o sea, la idoneidad subjetiva del perito, el haber obtenido un
grado universitario, técnico u artístico no es motivo suficiente para que los jueces deban
acatar su opinión. La opinión experta se sostiene en su aptitud epistemológica y no en
la autoridad que emana de la calificación técnica de quien la emite.
POR SI NO SE ENTENDIÓ ESTIMADOS, LO CIERTO ES QUE LA
VALORACIÓN DE LA PERICIA Y TODO EL ESFUERZO QUE IMPLICA
(DURANTE LA PERICIA Y EN LA PREPARACIÓN CIENTÍFICA DEL PERITO),
QUEDA SUJETO A CRITERIO DEL JUEZ, Y EN PARTE, EL MIDE EL
RESULTADO POR COMO ESTA PLANTEADO Y COMO IMPRESIONA LA
EXPLICACION BRINDADA.
NO BASTA HACERLO BIEN HAY QUE ESCRIBIRLO BIEN.
PARA LOS TÉCNICOS, MUCHAS VECES LA REDACCIÓN NO ES LO FUERTE.
POR ELLO, UNA DE LAS PREMISAS PARA EL LIC. EN CRIMINALÍSTICA ES
MEDIAR, COLABORAR Y PRESTAR ATENCIÓN EN ESTE PUNTO PORQUE
PUEDE SER CRICUAL PARA APUNTALAR O DERRUMBAR UNA PERICIA
TÉCNOLOGICA.
32. Página 32 de 57
3.6 Consideraciones legales sobre el uso de ciertos términos.
Copia autorizada:
No se debe confundir este termino con una imagen forense.
Una copia autorizada, tiene que ver con copia de archivos que una de las
partes solicita en sede judicial, y por oficio, se ordena realizar esa copia de archivos.
Generalmente se da cuando la actividad de un organismo, empresa o privado, se ve
perjudicada porque no dispone de la información que poseen los ordenadores
secuestrados.
Ej.: Se secuestraron ordenadores en una empresa de transporte por fraude
en los subsidios de combustibles. El juzgado puede ordenar hacer una copia de la
información del sistema de gestión de sueldos, de recursos humanos etc, a los efectos
de que la empresa, pueda liquidar sueldos y evitar problemas mayores. Esta copia se
realiza bajo acta, se deja plasmado de la información que se provee y la actividad se
realiza con las formalidades legales (testigos o escribano).
Adquisición forense, imagen forense, Copia forense:
Este tipo de copia se realiza como paso fundamental en un protocolo de
pericias informáticas.
Incluye:
Una copia BIT a BIT, o copia cruda, o copia espejo
Posibilidad de certificación via extracción de numero HASH.
Debe realizarse con un método eficiente y reconocido en la comunidad
informática forense. Puede ser directo con el uso de equipamiento exclusivo
para esta actividad (duplicador forense) o puede hacerse mediante un
método indirecto mediante el uso de programas aptos, bloqueadores de
escritura para proteger la información original (bloqueador forense por
hardware o puentes forenses, la modificación del registro del sistema
33. Página 33 de 57
operativo que hace a los puestos USB de solo lectura o la utilización de
programas bloqueadores de escritura).
Un instrumento legal como lo es un acta con formalidades legales vigentes
(testigos) o una Escritura realizada por un Escribano, donde se describe lo
realizado, los elementos replicados, el numero hash de verificación y el
resultado.
Certificación digital:
Una certificación hace a la seguridad de la información, pero seguridad en
cuanto a su integridad (no se modificó).
Esta certificación no es otra cosa que la extracción del numero hash u otra
técnica física o lógica que impida o advierta de la modificación del contenido del
archivo.
Como ejemplo es una certificación que incorpore el numero hash, un CD o
DVD firmado (que no se pueda regrabar)
Preservación y Cadena de custodia:
Son técnicas tendientes a poder conocer quien, cuando y donde ha
manipulado la evidencia por un lado y por el otro, ya más apuntando a la preservación,
refiere a los cuidados físicos que hay que tener con el tipo de material secuestrado o
aportado.
La custodia de todos los elementos allegados al caso y en poder del
investigador, debe responder a una diligencia y formalidad especial es para
documentar cada uno de los eventos que se han realizado con la evidencia en su poder:
Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido
acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben
estar claramente resueltas para poder dar cuenta de la adecuada administración de las
pruebas a su cargo.
34. Página 34 de 57
Sea cual fuere el formulario o el documento de cadena de custodia, debe
contener como mínimo los siguientes datos:
Un identificador univoco de la evidencia.
Autoridad judicial que ordena retener los elementos.
Causa judicial o sumario policial al que está afectado el elemento.
Quién accede a la evidencia, en qué momento y en qué ubicación física.
El pasaje de la evidencia de un sitio a otro y tareas realizadas.
Cualquier cambio inevitable potencial en evidencia digital será registrado
con el nombre del responsable y la justificación de sus acciones.
Función HASH:
Lo que preserva a las imágenes forenses es el CALCULO DE HASH. Podemos
decir que este es una función matemática de criptografía. Dado un archivo digital, si
aplicamos la función hash a dicho archivo, obtenemos como resultado un numero finito de
bits, que es univoco a dicho archivo.
Si el archivo NO se modifica, el cálculo del valor hash dará siempre el mismo
resultado.
Ejemplo:
ENTRADA: Zorro -----------------------------------------------------Funcion Hash--------DFCD3454 (VALOR HASH)
ENTRADA: El zorro rojo CORRE a través del hielo-----------Funcion Hash--------52ED879E (VALOR HASH)
ENTRADA: El zorro rojo camina a través del hielo------------Funcion Hash--------46042841 (VALOR HASH)
Luego de adquisición de cada imagen forense, se deberá efectuar un hash a la
evidencia original, y a la imagen forense efectuada. Si ambos hashes resultan coincidentes,
entonces la copia forense es “integra”, y la evidencia será preservada. Lo mismo pasa con
cualquier archivo digital que se quiera certificar, preservar o verificar.
35. Página 35 de 57
3.7- ISO 27037 y 27042.
Uno de los activos más valiosos que hoy en día posee las diferentes empresas,
es la información y parece ser que con la globalización, ésta peligra ya que cada vez sufre
grandes amenazas en cuanto a su confiabilidad y su resguardo, de igual forma la información
es vital para el éxito y sobrevivencia de las empresas en cualquier mercado. Con todo esto
todo parece indicar que uno de los principales objetivos de toda organización es el
aseguramiento de dicha información, así como también de los sistemas que la procesan.
Para exista una adecuada gestión de la seguridad de la información dentro de las
organizaciones, es necesario implantar un sistema que aborde esta tarea de una forma
metódica y lógica, documentada y basada en unos objetivos claros de seguridad y una
evaluación de los riesgos a los que está sometida la información de la organización.
Para lograr estos objetivos, existen organizaciones o entes especializados en
redactar estándares necesarios y especiales para el resguardo y seguridad de la información,
estos estándares son llamado o reconocidos como ISO.
¿Qué son las normas ISO?
Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestión
de calidad y seguridad que estaban apareciendo en distintos países y organizaciones del
mundo.
Los organismos de normalización de cada país producen normas que resultan del
consenso entre representantes del estado y de la industria. De la misma manera las normas
ISO surgen del consenso entre representantes de los distintos países integrados a la ISO.
Existen grandes familias de normas ISO, las de la familia 9000, las de la familia
14000 y las de la familia 27000 además de otras complementarias (ISO 8402; ISO 10011).
A los efectos de la materia, interesan las normas ISO que se relacionan con la
informática forense:
• ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una guía que proporciona
directrices para las actividades relacionadas con la identificación, recopilación,
36. Página 36 de 57
consolidación y preservación de evidencias digitales potenciales localizadas en
teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas
de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio
entre las diferentes jurisdicciones.
• ISO/IEC 27038: Publicada el 13 de Marzo de 2014. Es una guía de especificación
para seguridad en la redacción digital.
• ISO/IEC 27039: Publicada el 11 de Febrero de 2015. Es una guía para la selección,
despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
• ISO/IEC 27040: Publicada el 05 de Enero de 2015. Es una guía para la seguridad en
medios de almacenamiento.
• ISO/IEC 27041: Publicada el 19 de Junio de 2015. Es una guía para la garantizar la
idoneidad y adecuación de los métodos de investigación.
• ISO/IEC 27042: Publicada el 19 de Junio de 2015. Es una guía con directrices para
el análisis e interpretación de las evidencias digitales.
• ISO/IEC 27043: Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos
de investigación para la recopilación de evidencias digitales.
Ahora, lo que queda en claro que todo esto fue una evolución vertiginosa y da
comienzo con una serie interminable de protocolos que empezaron a publicarse en todo el
mundo. Se reflejan a continuación los mas destacables:
• NIJ (National Institute of Justice de Estados Unidos) y NIST (National Institute of
Standards and Technology). https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
• RFC 3227 (Guidelines for evidence collection and archiving) -
http://www.ietf.org/rfc/rfc3227.txt .
• UNE 71505:2013-2: Buenas prácticas en la gestión de las evidencias electrónicas
publicada por AENOR (Asociación Española de Normalización), tiene como
37. Página 37 de 57
objetivos la Descripción y definición de los conceptos de seguridad relativos a la
gestión de evidencias informáticas y la Descripción de los formatos de intercambio
de las evidencias informáticas. Se establecen los controles y proceso teniendo en
cuenta, la confiabilidad.
• UNE 71506:2013: Esta norma tiene como objetivo definir el proceso de análisis
forense dentro del ciclo de gestión de evidencias informáticas, según se describe en
la UNE 71505, complementándola. En ella se establece una metodología para la
preservación, adquisición, documentación, análisis y presentación de las evidencias
informáticas.
• Protocolos del FBI y otras Agencias Federales de Estados Unidos.
• IOCE (International Organization for Cooperation in evaluation).
• AEDEL (Asociación española de evidencias electrónicas).
Para entender más sobre este tema de las normas ISO que son la espina dorsal
de todo lo que ordena a la informática forense a nivel mundial, nos hacemos unas preguntas:
¿Quién elabora estas normas?
Existe la organización ISO, que significa International Organization for Standardization
(Organización Internacional para la Estandarización), constituye una organización no
gubernamental organizada como una Federación Mundial de Organismos Nacionales de
Normalización, creada en 1947, con sede en Ginebra (Suiza). Reúne las entidades máximas
de normalización de cada país, por ejemplo, BSI (British Standards Institute), DIN
(Deutsches Institut für Normung), INN (Instituto Nacional de Normalización-Chile), IRAM
(Instituto Argentino de Normalización y Certificación.), etc.
38. Página 38 de 57
NORMA ISO 27037:
Se establecen directrices para la identificación, recolección, adquisición y
preservación de la evidencia digital, como un primer documento reconocido por la
comunidad internacional y de alcance global para efectos de adelantar pericias
forenses informáticas, el cual de ahora en adelante será un referente base para todos
los informáticos forenses respecto de sus prácticas y procedimientos actuales.
Principios que gobiernan la evidencia digital: la evidencia digital es
gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la
suficiencia. Estos tres elementos definen la formalidad de cualquier investigación
basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o
no.
La relevancia es una condición técnicamente jurídica, que habla sobre aquellos
elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar
o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla
con este requisito será irrelevante y excluido del material probatorio recabado para efectos
del caso bajo estudio.
La confiabilidad es otra característica fundamental, que busca validar la
repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto
es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el
mismo proceso, deberá obtener resultados similares verificables y comprobables.
La suficiencia, está relacionada con completitud de pruebas informáticas, es
decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para
sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación
investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático
en el desarrollo de sus procedimientos y priorización de esfuerzos.
Si bien puede haber otros elementos que ayuden en el gobierno de la evidencia
digital, ISO ha determinado que estos tres, establecen las condiciones necesarias y
suficientes para que los expertos en informática forense recaben, aseguren y preserven
elementos materiales probatorios sobre medios digitales, los cuales podrán ser revisados y
39. Página 39 de 57
analizados por terceros interesados y sometidos a contradicción según ordenamiento
jurídico donde se encuentren. Los informáticos forenses deberán prestar atención a estas
indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos
tres principios, que si bien se describen en el documento, no se concretan en acciones
específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.
En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles
para efectos de validar los tres principios enunciados:
Relevancia
¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la
víctima?
¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en
estudio?
¿La evidencia recolectada valida un indicio clave que permita esclarecer los
hechos en estudio?
Confiabilidad
¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido
previamente probados?
¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?
¿Se han efectuado auditorias sobre la eficacia y eficiencia de los
procedimientos y herramientas utilizadas para adelantar el análisis forense
informático?
Suficiencia
¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado
en su apoyo a las situaciones que se deben probar?
¿Se han analizado todos los elementos informáticos identificados en la escena
del crimen?
40. Página 40 de 57
¿Se tiene certeza que no se ha eliminado o sobreescrito evidencia digital en los
medios analizados?
Dos roles claves: Digital Evidence First Responder (DEFR) y el Digital Evidence
Specialist (DES). Son roles para efectos de las actividades requeridas en informática
forense, DEFR, cuya traducción podría ser “Primer respondiente de la evidencia
digital” y el DES, como “Especialista en evidencia digital”.
El primero es aquella persona que está autorizada, formada y habilitada
para actuar en la escena de un incidente, y así recoger y adquirir las evidencias
digitales con las debidas garantías. Este es un rol que deben tener todas las
organizaciones, toda vez que cualquier persona en una empresa puede actuar como
primer respondiente frente a un incidente donde la evidencia digital sea parte de los
elementos materiales probatorios.
Según la norma, esta persona y su formación dependerán del contexto de
cada legislación y política organizacional, como quiera que, es en el contexto del
ejercicio de primer respondiente que se establecen las condiciones y habilidades
requeridas para asegurar de primera mano la evidencia digital propia de la situación
en estudio.
Actividades que debería desarrollar el DEFR, en el lugar del hecho:
Asegurar el área dónde ocurre el evento informático y los elementos
materiales probatorios que se encuentren allí: notas, documentos,
dispositivos electrónicos, entre otros.
Evitar que personal extraño al área, tenga acceso a la misma y a los equipos
que allí se encuentren.
Tomar fotos o video de cómo encontró el área y documentar fecha, hora y
condiciones en las cuales llega al sitio donde ocurren los hechos.
El Especialista en Evidencia Digital (EED) lo califica como aquella persona
que puede hacer lo que hace el primer respondiente la evidencia digital y además
cuenta con conocimientos, destrezas y entrenamiento especializado en un amplio
41. Página 41 de 57
rango de aspectos tecnológicos, lo que podríamos llamar un perito informático o en
inglés un “computer expert witness”. El DES debe tener al menos las siguientes
características:
Ser un tercero neutral, alguien ajeno al proceso y a los intereses
particulares que se encuentren en discusión.
Ser un experto, una persona con formación formal, con experiencia fruto
de sus desempeños laborales, conocimientos especializados, científicos o
prácticos según el caso.
Ser una persona que voluntariamente, acepte incorporar sus
conocimientos al proceso.
Finalmente y no menos importante, la norma hace énfasis en los siguientes
puntos, que se deben observar todo el tiempo tanto por el DEFR como por el DES:
Minimizar el manejo del dispositivo con la evidencia digital original o con
la evidencia digital potencial
Dar cuenta de cualquier cambio y documentar las acciones que se tomen
(mientras el experto se hace una opinión sobre su confiabilidad)
Cumplir con las leyes locales sobre el manejo de la evidencia
No tomar acciones más allá de sus competencias.
Tipologías de dispositivos y entornos alcance de la norma:
Equipos y medios de almacenamiento y dispositivos periféricos
Sistemas críticos (alta exigencia de disponibilidad)
Computadores y dispositivos conectados a la red
Dispositivos móviles
Sistemas de circuitos cerrados de televisión digital
Con este alcance, quedan fuera tecnologías recientes como las unidades de
estado sólido, los sistemas de control industrial (por sus configuraciones y tecnologías
especiales basadas en microcontroladores), servicios web, entre otros temas
especializados, que si bien pueden utilizar los pasos naturales del proceso asociado
con la informática forense (documentos y alcance de la norma identificación,
42. Página 42 de 57
recolección y/o adquisición, conservación y/o preservación), requiere una vista
particular de aseguramiento que es propia e inherente a los avances tecnológicos
previamente enunciados.
Si bien estas tipologías tratan de ser generales y genéricas frente a lo que
se puede encontrar en una escena con dispositivos tecnológicos, es importante anotar
que cada tecnología requiere un margen de especialidad que escapa al proceso general
planteado y sus actividades previstas, toda vez que los cambios técnicos que se tienen,
requieren un entendimiento particular de cómo funcionan y cuáles son las
implicaciones frente a las exigencias del proceso forense en informática, basado en el
método científico, no para conocer la verdad, sino para dar respuesta a preguntas que
se plantean en el contexto del caso en estudio.
Las tipologías son sensibles a los cambios tecnológicos y nuevos retos
emergentes de la informática forense, lo que necesariamente advierte que las técnicas
descritas en el estándar deberán ser revisadas y ajustadas en el tiempo de manera
periódica, con el fin de advertir cambios y ajustes que permitan mantener la
confiabilidad de los procedimientos aplicados, como quiera que este documento es un
referente de alcance global.
El estándar ISO/IEC 27037:2012 es un avance relevante para el ejercicio
de la práctica de la informática forense a nivel internacional que permite
homogenizar una serie de prácticas claves para efectos de dar mayor confiabilidad a
los resultados de los procesos aplicados, que previamente sólo estaban fundados en la
buena práctica internacional o referentes particulares a instituciones o entidades
reconocidas por sus logros en este campo.
Este documento cubre tres etapas de la actuación forense digital como son
identificación, recolección y/o adquisición y conservación y/o preservación, detallando
prácticas y consideraciones de actuación relevantes que responden a los mínimos que
el “Especialista en Evidencia Digital” debe cubrir y asegurar para mantener la
confiabilidad de sus resultados frente al tratamiento y aseguramiento de la evidencia
digital.
43. Página 43 de 57
Sin embargo, los temas relacionados con el análisis e interpretación de la
evidencia digital no son cubiertos por esta norma y se espera que la anunciada
ISO/IEC 27042.
44. Página 44 de 57
ISO/IEC 27042:2015
El estándar ISO/IEC 27042:2015 “Information technology – Security
techniques – Guidelines for the analysis and interpretation of digital evidence”, es una
norma para el análisis e interpretación de evidencias digitales.
El estándar ISO/IEC 27042:2015 proporciona directrices sobre cómo un
perito informático puede abordar el análisis e interpretación de una evidencia digital
en un incidente o en una intervención pericial, desde su identificación (evidencia digital
potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como
prueba en un juicio (evidencia digital legal).
Las definiciones que proporciona la norma para su utilización en la realización
de un peritaje informático, son las siguientes:
Evidencia digital potencial: información identificada como posible evidencia
digital, es decir, que aún no ha sido analizada, almacenada en un medio físico, o
transmitida a través de la red en formato binario.
Evidencia digital: información identificada como evidencia digital, tras su
correspondiente análisis forense utilizando las herramientas adecuadas,
almacenada en un medio físico, o transmitida a través de la red.
Evidencia digital legal: información identificada como evidencia digital que ha
sido aceptada en un procedimiento judicial.
Investigación: aplicación de exámenes, análisis e interpretaciones sobre una
potencial evidencia digital hasta convertirla en una evidencia digital legal.
Examen: conjunto de procedimientos que se aplican para identificar y recuperar
una evidencia digital potencial de una o varias fuentes.
Análisis: evaluación de la evidencia digital potencial al objeto de valorar su
posible importancia en una investigación.
Interpretación: síntesis o composición para explicar, dentro de su alcance, los
hechos llevados a cabo en los exámenes y análisis que componen una
investigación.
45. Página 45 de 57
El estándar habla, asimismo, de los modelos analíticos que pueden utilizar
los peritos informáticos, que se dividen en las siguientes categorías:
Análisis estático: es una inspección de la evidencia digital potencial (contenido
de ficheros, datos borrados, etc.), a fin de determinar si puede ser considerada
evidencia digital. Debe examinarse en crudo y utilizarse procedimientos que
eviten la alteración de la evidencia digital potencial.
Análisis en vivo: es una inspección de evidencias digitales potenciales en
sistemas activos, como memorias RAM, teléfonos móviles, tabletas, redes, etc.
El análisis debe realizarse en caliente. A su vez, el análisis en vivo, se divide en:
1) Análisis en vivo de sistemas que no pueden ser copiados ni se puede
obtener una imagen de los mismos: el riesgo para el perito informático de
analizar en vivo este tipo de sistemas es evidente, ya que la potencial
evidencia digital, puede perderse al no poderse realizar una copia de la
misma. Por tanto, es muy importante minimizar el riesgo del análisis y
llevar un registro de todos los procedimientos ejecutados.
2) Análisis en vivo de sistemas que pueden ser copiados o se puede obtener
una imagen de los mismos: este tipo de sistemas deben analizarse
interactuando con ellos directamente, prestándose sumo cuidado a la hora
realizar emulaciones de software o hardware y utilizando para ello
máquinas virtuales certificadas, o incluso los entornos reales para obtener
unos resultados más cercanos a la realidad.
Asimismo, la ISO/IEC 27042:2015, enumera ciertas indicaciones o guidelines
que debe incluir el perito informático en su informe pericial, a no ser que existan indicaciones
judiciales en su contra. Dichas guidelines son las siguientes:
Calificaciones del perito informático
Información inicial de que dispone el perito informático y su equipo
Naturaleza del incidente que va a ser investigado por el perito informático
Fecha, hora y duración del incidente y lugar del incidente
46. Página 46 de 57
Objetivos de la investigación
Miembros del equipo de investigación supervisados por el perito informático
Fecha, hora y duración de la investigación y lugar donde se llevó a cabo.
Hechos sustentados por una evidencia digital y hallados durante la investigación
Daños en la evidencia digital y sus implicaciones en los siguientes estadios del
proceso de investigación
Limitaciones de todos los análisis realizados
Detalle de procesos y herramientas utilizadas
Interpretación de la evidencia digital por parte del perito informático
Conclusiones
Recomendaciones para futuras investigaciones
Por otra parte, la norma recalca que los hechos deben separarse totalmente de las
opiniones del perito informático, de tal forma que dichas opiniones deberán ser fundadas y
estar soportadas por los hechos que se desprendan de las evidencias digitales investigadas.
El perito informático no podrá incluir, por tanto, en el informe pericial, ningún tipo de juicio
de valor o afirmación que no se sustente en hechos puramente científicos.
Por último, el estándar concluye con determinadas indicaciones para los peritos
informáticos, que hablan sobre la formación y el mantenimiento de las habilidades
requeridas para ejecutar con la debida calidad las actividades conducentes a la gestión de la
evidencia digital. Así, estas indicaciones son:
Definición de competencia profesional como habilidad para obtener un resultado
a partir de la aplicación del conocimiento.
La competencia profesional de un perito informático debe ser medida e
identificada con métricas como: carreras universitarias, exámenes,
certificaciones, currículum, experiencia profesional, formación continua,
asistencia a eventos formativos como congresos, simposios o conferencias, etc.
47. Página 47 de 57
La competencia profesional de un perito informático deberá ser medida de forma
periódica y en periodos regulares, incluyendo nuevas áreas de conocimiento.
Un perito informático será considerado competente, cuando de los análisis de
sus investigaciones se obtengan resultados equivalentes a los de otro perito
informático.
La competencia profesional deberá ser validada por terceros independientes del
profesional.
Alcances de estas dos importantes norma ISO:
48. Página 48 de 57
3.8- PROTOCOLO DEL MINISTERIO PUBLICO DE LA
NACIÓN.
En base a las recomendaciones brindadas por las normas ISO vistas,
el Ministerio Público de la Nación, dictó una resolución en marzo de 2016 que
lleva el número PGN-756/16, donde se enumera una serie de postulado y
procedimientos en línea con estas recomendaciones.7
Al año siguiente, el Ministro de Justicia y Derechos Humanos de la
Nación, en un trabajo conjunto con el Consejo de Procuradores, Fiscales,
Defensores y Asesores Generales y el Consejo de Política Criminal, publican en el
marco del “Programa Nacional de Criminalistica”, el “PROTOCOLO UNIFICADO
DE LOS MINISTERIOS PÚBLICOS DE LA REPÚBLICA ARGENTINA : GUÍA
PARA EL LEVANTAMIENTO Y CONSERVACIÓN DE LA EVIDENCIA”.
El mismo es de amplio espectro, pero en el apartado 2.5 lo dedica
exclusivamente a la evidencia digital:
2.5. Evidencias digitales
2.5.1. Principios generales
Las evidencias digitales son elementos tecnológicos que pueden poseer
información almacenada en formato digital, como PC, notebook, netbook, tablets,
celulares, pendrive, CD, DVD, discos rígidos, servidores, etc.
7
https://www.fiscales.gob.ar/wp-content/uploads/2016/04/PGN-0756-2016-001.pdf
49. Página 49 de 57
Para aquellas situaciones que involucren procedimientos judiciales en
empresas o instituciones de gran envergadura, a priori se procurará obtener información
tendiente a conocer las características generales de la infraestructura tecnológica y
hardware existente en el lugar del hecho.
Las actividades operativas corresponden al personal policial y deben ser
efectuadas siguiendo las indicaciones del presente protocolo.
La actuación profesional del perito es, principalmente, una actividad de
laboratorio y de asesoramiento científico al operador judicial que es responsable de la
investigación penal.
La pericia informática conlleva tiempos elevados de trabajo y no es posible
realizarla sobre grandes cantidades de elementos.
Debe evitarse el secuestro masivo de elementos informáticos, en especial CD
y DVD, los que solo han de ser enviados a peritaje únicamente si se tienen presunciones
con un alto grado de verosimilitud de poseer la evidencia buscada.
Cabe aclarar que, de ser posible, se sugiere realizar, previo al allanamiento, una
investigación minuciosa con el objeto de identificar con precisión la ubicación y
características técnicas generales de los elementos a secuestrar por medio de inteligencia
policial.
Respecto a la evidencia digital se deberá identificar claramente qué
dispositivos móviles están en uso y a quiénes pertenecen, como así también los que se
encontraron apagados, guardados o en aparente desuso.
A continuación, se describen los principios generales para la recolección y
embalaje de las evidencias digitales halladas en la escena del crimen.
1) Registrar lo que es visible en los dispositivos de salida como pantallas e
impresoras y no intentar explorar los contenidos ni recuperar información
50. Página 50 de 57
de una computadora u otro dispositivo electrónico (cámara de fotos,
celular, etc.) sin contar con los conocimientos técnicos para realizarlo.
2) No presionar cualquier tecla ni hacer clic del mouse.
3) Verificar si existen discos o CD puestos en unidades.
4) Identificar claramente qué dispositivos móviles están en uso y a quién
pertenecen, dar cuenta también de los dispositivos que se encontraron
apagados, guardados o en aparente desuso.
5) No encender si se encuentra apagado.
6) Dejar encendido hasta agotar batería.
7) Para apagar, desconectar el enchufe directamente de la red de energía,
después desconectar el resto de cables, como la red de datos, monitores,
etc.
8) No desarmar el equipo dejándolo sin batería.
9) No abrir la tapa de una computadora portátil si está cerrada.
10) Se realiza algún cambio, registrarlo y justificar.
11) Respetar el orden de volatilidad, estableciendo como criterio preservar la
muestra más volátil al principio —como registros, cachés, memoria de
periféricos, memoria (kernel, física), estado de las conexiones de red,
procesos que se están ejecutando—.
12) Indicar si el material recolectado se encuentra contaminado con residuos
biológicos o peligrosos de cualquier tipo.
2.5.2. Pasos en el lugar del hecho, escena del crimen o en allanamiento
1) Separar a las personas que trabajen sobre los equipos informáticos lo antes
posible y no permitirles volver a utilizarlos. Si es una empresa, se debe
identificar al personal informático interno (administradores de sistemas,
programadores, etc.) o a los usuarios de aplicaciones específicas que deban
someterse a peritaje. Dejar registrado el nombre del dueño o usuarios del
equipamiento informático, ya que luego pueden ser de utilidad para la
pericia.
51. Página 51 de 57
2) Obtener, siempre que sea posible, las contraseñas y/o patrones de bloqueo
de aplicaciones, tabletas, celulares, etc. para registrar.
3) Fotografiar todos los equipos informáticos antes de moverlos o
desconectarlos. Esto es, fotografiar una toma completa del lugar donde se
encuentren los equipos informáticos y de las pantallas de las
computadoras, si están encendidas. Excepcionalmente, si se debiera
inspeccionar los equipos informáticos o material tecnológico en el lugar del
hecho, puede ser conveniente realizar una filmación o bien una descripción
del trabajo que se lleva a cabo ante los testigos.
4) Levantar el material informático con guantes descartables, ya que el
teclado, monitores, mouse, CD, DVD, etc., pueden ser utilizados para
análisis de huellas dactilares, ADN, etc.
5) Si los equipos están apagados, deben quedar apagados; si están prendidos,
deben quedar prendidos y consultar con un especialista la modalidad de
apagado (en caso de no contar con asesoramiento, proceder a apagarlos
desenchufando el cable de corriente desde el extremo que conecta al
gabinete informático).
Si los equipos están apagados, desconectarlos desde su respectiva toma
eléctrica y no del enchufe de la pared.
Si son notebooks o netbooks, es necesario quitarles la o las baterías y
proceder a secuestrar los cables y la fuente de alimentación. Para el caso
de celulares, retirar la batería.
En caso de no poder extraer la batería, apagarlo y proteger el botón de
encendido con un cartón pegado con cinta para evitar el encendido
accidental.
Como medida extra de seguridad, se puede activar el “modo avión” antes
de apagarlo.
6) De ser necesario, dejar el dispositivo encendido por algún requerimiento
específico —por ejemplo: para no perder información volátil colocarlo en
una bolsa de Faraday o envolverlo con, al menos, tres capas de papel
aluminio—.
52. Página 52 de 57
7) Identificar si existen equipos que estén conectados a una línea telefónica y,
en su caso, el número telefónico para registrarlo en el acta de allanamiento.
8) No realizar búsquedas sobre directorios ni ver la información almacenada
en los dispositivos, ya que es posible que se altere y destruya evidencia
digital (esto incluye intentar hacer una “copia” sin tener software forense
específico y sin que quede documentado en el expediente judicial el
procedimiento realizado).
9) Identificar correctamente todo el material tecnológico a secuestrar:
a) Siempre debe preferirse secuestrar únicamente los dispositivos
informáticos que almacenen grandes volúmenes de información digital
(computadoras, notebooks y discos rígidos externos). Respecto a DVD, CD,
pendrives, etc., atento a que pueden encontrarse cantidades importantes,
debe evitarse el secuestro de este material si no se tiene una fuerte
presunción de hallar la evidencia en estos medios de almacenamiento.
b) Rotular el hardware que se va a secuestrar con los siguientes datos:
Para computadoras, notebooks, netbooks, celulares, cámaras
digitales, etc.: número del expediente judicial, fecha y hora, número
de serie, fabricante, modelo.
Para DVD, CD, pendrives, etc.: almacenarlos en conjunto en un
sobre antiestático, indicando número del expediente judicial, tipo
(DVD, CD, pendrives, etc.) y cantidad.
c) Cuando haya periféricos muy específicos conectados a los equipos
informáticos y se deban secuestrar, deben identificarse con etiquetas con
números los cables para indicar dónde se deben conectar. Así como
también, fotografiar los equipos con sus respectivos cables de conexión
etiquetados.
53. Página 53 de 57
2.5.3. Registros activos y volátiles de las PC, netbooks y notebooks
2.5.4. Medios de almacenamiento
54. Página 54 de 57
3.9- Protocolo del Ministerio de Seguridad de la Nación.
El 26 de noviembre de 2021 se publicó en el Boletín Oficial de la Nación la
Resolución 528/2021 del Ministerio de Seguridad (en adelante, la “Resolución 528/21”),
que aprueba el Protocolo de Actuación para la Investigación Científica en el Lugar del
Hecho (en adelante, el “Protocolo”).
La Resolución 528/21 establece que el Protocolo será de aplicación obligatoria para
las fuerzas policiales y de seguridad federales.
Definiciones:
Potencial Elemento de Prueba Digital: (en adelante, “PEP digital”) es cualquier dato
(registro y/o archivo) generado, transmitido o almacenado por equipos de tecnología
informática, constituido por campos magnéticos y pulsos electrónicos, los cuales pueden ser
recolectados y analizados con herramientas y técnicas especiales.
Algoritmo hash: el Protocolo lo define como “función matemática unidireccional e
irreversible que convierte cualquier tamaño de datos (cualquier archivo o conjunto de ellos,
sean texto, ejecutables, de audio, imágenes, videos, etc.) en un número de longitud fija”. En
consecuencia, explica que “si se modifica el archivo original, cambiando, aunque sea sólo
un bit y se repite la operación, el número de HASH generado difiere notoriamente del
anterior, lo que permite asegurar la integridad de los datos preservados ante maniobras
posteriores de modificación y/o adulteración”.
Evidencia digital: “cualquier información que, sujeta a una intervención humana,
electrónica y/o informática, ha sido extraída de cualquier clase de medio tecnológico
informático (computadoras, celulares, aparatos de video digital, medios ópticos, etc.)”.
Además, “es un tipo de evidencia física que está constituida por campos magnéticos y
pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas
especiales”.
Herramientas de muestreo rápido (triage): es un análisis rápido que se realiza sobre un
equipo o dispositivo electrónico para determinar si contiene evidencia o indicios que
55. Página 55 de 57
puedan ser de utilidad para una investigación. Permite al perito interviniente determinar
respecto a cuáles dispositivos deben ser considerados para un análisis exhaustivo o eventual
secuestro y cuáles deben ser descartados.
Especialista en informática forense: (en adelante, el “Especialista”). Dicho Especialista
será el responsable de la exploración, localización, valoración, extracción y/o secuestro de
PEP digitales, aplicando las buenas prácticas reconocidas de su especialidad, vale decir,
ciertas formas de realizar actos que, si bien no resultan obligatorias legalmente, son
aceptadas generalmente como las más adecuadas y eficientes”
Lineamientos para el aseguramiento, recolección y preservación de la
evidencia digital
El protocolo se encarga de la preservación, exploración, localización, valoración y
recolección de potenciales elementos de prueba digitales, y de su cadena de custodia.
Se establece el principio general de que ante la presencia de PEP digitales en el
lugar del hecho, se debe realizar una consulta remota con el área especializada de la fuerza
preventora a efectos de preservar adecuadamente la información que aquellos PEP digitales
pudieran contener.
Asimismo, se establece que los PEP digitales no deben manipularse
innecesariamente ni ser utilizados para buscar información; excepto cuando se prevea
adquirir datos volátiles o se efectúen operaciones urgentes de triage bajo las directivas de
especialistas en informática forense.
Principios que deben cumplirse durante el proceso de identificación, recolección y
adquisición de PEP digitales:
Relevancia.
Suficiencia.
Validez legal
Confiabilidad.
56. Página 56 de 57
Respecto del nivel de discrecionalidad del Especialista, el protocolo exige
autorización judicial previa en los siguientes casos:
Cuando los PEP digital sean muy voluminosos o exista excesiva cantidad de
ellos en el lugar del hecho y se tenga conocimiento preciso de los datos o clase
de datos que se buscan, o se encuentren afectados derechos de terceros.
Extracción de datos en “vivo” de los dispositivos.
Extracción de datos en la “nube”, en este caso la autoridad judicial determinará
el objeto y alcance de dicha medida.
Presencia de criptoactivos, en este caso determinará la autoridad judicial el
temperamento a adoptar.
Todas estas restricciones al accionar del Especialista resultan razonables para evitar
que éste pueda incurrir en el delito penado en el art. 153 bis del Código Penal de la Nación
(el que a sabiendas accediere por cualquier medio,sin la debida autorización o
excediendo la que posea, a un sistema o dato informático de acceso restringido)
El Protocolo exige al Especialista hacer constar en el acta y/o informe
correspondiente una fijación narrativa, precisa y detallada que suministre una noción clara:
del lugar donde fueron hallados los medios tecnológicos informáticos;
de toda incidencia que hubiere acontecido durante el procedimiento policial, de
los PEP de su interés detectados y el estado en que fueron hallados
(encendido/apagado), incluyendo las características identificativas de cada
dispositivo (por ejemplo, daños, marca, modelo, número de serie y cualquier
marca de identificación).
Fotografías, filmaciones y planos del lugar y del sitio de ubicación de cada
elemento detectado – de ser necesario para complementar la información-
Respecto de la “Cadena de custodia”, se menciona que consiste en la trazabilidad
de la recolección, almacenamiento y resguardo de los elementos que sirven de prueba en una
investigación judicial. Si la cadena de custodia se rompe, no hay forma de garantizar que el
elemento probatorio se corresponde con el que fue encontrado en la escena del hecho. Tal
57. Página 57 de 57
incertidumbre determina principalmente que las partes involucradas no puedan ejercer el
debido control sobre la producción de esa prueba, afectando así la garantía constitucional de
defensa en juicio.
Principios básicos para el resguardo de la cadena de custodia:
inalterabilidad de la información;
aptitud técnica de quien lleva adelante los actos;
documentación del proceso;
cumplimiento de normas aplicables
Como premisas, se enuncia:
Los PEP digitales deben ser clasificados y embalados de manera individual y
adecuada según los específicos requerimientos técnicos de cada objeto
Asentar la descripción precisa y de identificación única que debe llevar el rótulo
que acompañará el embalaje.
En caso de haberse practicado alguna medida técnica sobre el elemento, deberá
hacerse constar en el acta y/o informes técnicos y/o en el “Formulario de Cadena
de Custodia”.
El producto de las intervenciones técnicas en el lugar del hecho donde se hayan
extraído y copiado datos (volcado de memoria RAM, etc.) esté con sus
respectivos valores de algoritmo hash.