Este documento proporciona una guía sobre los procedimientos y buenas prácticas en materia de pericias informáticas. Explica los primeros pasos del procedimiento de pericia, incluyendo la adquisición de la evidencia digital, el marco legal relevante en Argentina, y los pasos a seguir durante un allanamiento para asegurar la preservación de la cadena de custodia de la evidencia.
5. Es el conjunto de métodos, teorías y técnicas de
varias disciplinas científicas y analíticas, que
brindan soporte de preservación y análisis de
una prueba indiciaria.
“La prueba indiciaria o indirecta es aquella que permite dar por
acreditados en un proceso judicial unos hechos sobre los que
no existe una prueba directa, pero que a partir de estimar
probados otros hechos relacionados con los que se pretende
probar, cabe deducir razonadamente la certeza o acreditación
de éstos últimos”
6. La informática forense se utiliza como un método probatorio , el cual
desarrolla técnicas periciales de identificación, recolección,
reproducción y análisis de evidencia con fines legales.
7. Comprendemos por “Prueba Pericial Informático Forense” al dictamen
del perito en conjunto de pruebas documentales informáticas analógicas
8. Marco Legal – Argentina 2019
“Todo acto o conducta ilícita cometida en un hecho digital
como medio o fin.” – Nahuel Sagardoy
Si bien las definiciones cambian según el autor y estas son varias, podríamos obtener la
anteriormente mencionada como guía, ya que la cantidad de delitos relacionados con datos
digitales, redes, computadoras y sistemas son tantos, que nos encontramos con la necesidad
de crear una definición que nuclee todos estos delitos bajo el nombre de “Delitos
Informáticos”
Dicho eso podemos Comprender que :
Son todos aquellos delitos, tipificados en el código penal, que hacen uso
indebido de cualquier medio o sistema informático.
9. Marco Legal – Argentina 2019
LEY 26.388
LEY 25.326
LEY 26.904
Tratado de Budapest
LEY 24.766
LEY 11.723
10. Clasificación / Tipificación
Calumnias , calumnias y difamaciones
Amenazas
Delitos contra la propiedad intelectual
Pornografía infantil
Acceso indebido a sistemas informáticos
Fraude informático
Instigación a cometer delitos
Grooming
Extorsión
Daño informático
11. Procedimiento primeros pasos
* Encase, Os Forensic y Autopsy son por lo general
los programas mas utilizados a la hora de realizar
pericias informáticas.
*Estos se encuentran avalados por el instituto
nacional para estándares y tecnología (NIST).
*Los tres tienen la finalidad de iniciar un caso,
analizar el contenido y presentarlo cumpliendo
con las normativas vigentes.
12. Procedimiento primeros pasos
#* Ya a nivel Mobil (celular), predomina el Hardware sobre el software, sin
embargo las alternativas digitales
mas productivas o utilizadas son, Cellebrite (software edition), oxygen forensic,
Access Data MPEP, Santoku (Linux OS), etc.
#* Cellbrite es el líder Estandard a nivel Hardware dado que su practica
presentación TOUCH nos permite realizar en simples
pasos el desbloqueo del equipo y la copia bit a bit, ya a nivel de avería se inclina
al uso del famoso octopus y la técnica
de chipoff, obteniendo datos en crudo del celular en cuestión a pericia.
17. Procedimiento primeros pasos
La cadena de Custodia tiene como finalidad preservar la prueba. Por tal motivo debe establecérselos
procedimientos indicados para garantizar la idoneidad de los métodos aplicados para la obtención de la evidencia
informática.
18. Procedimiento primeros pasos
Lugar del Hecho
Área de Evidencia
UFI
MPF
UDT-UFIE
D.I.D.C.
ENVIAR
EVIDENCIA INFORMÁTICA
ALMACENAR
ENVIAR
EVIDENCIA + OFICIO + DESIGNACIÓN
REMITIR
INFORME + EVIDENCIA
La preservación de la cadena de custodia sobre la prueba indiciaria es obligación de la totalidad
de los miembros del poder juncial, los operadores del derecho y de sus auxiliares directos.
19. Procedimiento primeros pasos
Esta etapa corresponde a inteligencia, en la misma se deberá adquirir la
máxima información posible sobre la infraestructura y sistema informático
existente. Ya que con esta información se procederá a elaborar una
planificación que permitirá realizar el secuestro de los elementos necesarios
que puedan contener material probatorio.
20. Procedimiento primeros pasos
La labor de identificar debe llevarse a cabo teniendo un amplio conocimiento
sobre los distintos dispositivos y medios de almacenamiento. Es decir,
aunque muchos textos apunten sobre todo a computadores de escritorio,
netbook, notebook, tablet, celulares, cámaras y memorias usb.
También debemos comprender que existen millones mas, como memorias
ocultas, cámaras espías, grabadores de audio, micro computadoras, consolas
de videojuego, routers con almacenamiento, etc.
21. Procedimiento primeros pasos
Si bien por ausencia de recursos muchos instructivos recomiendan mayormente la
utilización de precintos o fajas de seguridad al momento de secuestrar los elementos
informático, cabe destacar que por buenas practicas y para una mejor defensa al horario
de defender nuestro procedimiento, se intenta utilizar Gabinetes especiales de resguardo,
jaulas Faraday para eliminar cualquier nivel estático proveniente del exterior como así
mismo la utilización remota y alteración de los dispositivos, etc.
22. Procedimiento primeros pasos
Los operadores judiciales realizan una minuciosa investigación y
consultas con el objetivo de eliminar ambigüedades y establecer de
forma concreta los puntos de pericia en el oficio donde se apuntara los
elementos secuestrados y proveerá la información para la realización
del correcto análisis forense.
23. Procedimiento primeros pasos
Las audiencias son llevadas a cabo en condiciones
acordadas con el organismo que así las solicite y teniendo
en cuenta el cronograma interno de la oficina.
El solicitante deberá remitir la información necesaria para
despejar toda incertidumbre posible sobre las tareas que
se realizaran.
24. Procedimiento primeros pasos
El mismo es responsabilidad del personal policial a cargo del operativo (DDI, PFA,
etc.), por ende, todo personal que intervenga en la cadena de custodia deberá
dejar registrada su intervención en el acá de secuestro. ( sanciones previstas art
254 y 255 del Código Penal Argentino).
La recepción de los elementos secuestrados se realiza cotejando la integridad y
presencia de los precintos y fajas de seguridad conforme al procedimiento y
protocolo procedimental, en el caso de observar anomalías y discrepancias, se
procede con dejar constancia de esto en el acta de recepción.
25. Procedimiento primeros pasos
El mismo se lleva a cabo de procedimientos legales validos regidos en la actualidad según los estándares y
buenas practicas, con el objetivo de obtener resultados en tiempo y forma sustentados técnica y legalmente.
Las actividades periciales "in situ" en la actualidad resultan dificultosas dado los tiempos que estas requieren,
por eso mismo en general se opta por el secuestro protocolar y el análisis en los laboratorios forenses en
condiciones ideales y son los recursos adecuados garantizando los resultados del mismo.
Así mismo la ausencia de personal Informático forense como criminalistas informáticos en la actualidad hace
que dicha labor "in situ" sea imposible en todos los allanamientos realizados.
26. Procedimiento primeros pasos
Sera presentado utilizando los estándares para la presentación de reportes forenses.
En la actualidad el documental informático forense como informe intenta reducir el
volumen de información en soporte papel , dando espacio a información complementaria
en soporte digital.
El lenguaje utilizado será técnico, sin embargo se utilizan comentarios en lenguaje coloquial
universal cuando este se requiera para la comprensión de no técnicos.
Se imprimirá un informe para presentar al organismo requirente y una copia para ser
resguardo en oficina.
27. Procedimiento primeros pasos
Dichos elementos se mantendrán al resguardo con los medios
adecuando para preservar la integridad y autenticidad de la
invidencia hasta finaliza el proceso judicial.
Luego serian remitidos al organismo de origen junto al informe
correspondiente.
28. Pasos Durante el Allanamiento
Se debe separar a las personas que utilicen equipos informáticos lo ante posible.
En el caso empresaria, se debe identificar al personal informático interno o a los usuarios
del sistema especifico a realizar la pericia.
Labrar acta de registro donde figure los usuarios y/o dueños de los dispositivos.
En caso de ser posible solicitar y obtener las contraseñas de acceso a sistemas y
dispositivos. (no es posible exigir de manera legal que nos entreguen la contraseña en el
caso de que un usuario se niegue sin embargo, si el acceso corresponde a una huella
dactilar, en ese caso si se puede proceder a exigir el desbloqueo correspondiente y así
quitarlo, dejando desbloqueado el dispositivo)
29. Pasos Durante el Allanamiento
Se debe fotografiar una toma completa del lugar donde se procesa a secuestrar dispositivos,
como así mismo realizarlo a los equipos e instalaciones correspondientes
antes secuestrarlos constatando si estos estas con pantallas encendidos.
En el caso extraordinario de ser necesario la realizarse adquisición de información in situ, es
conveniente registrar en video las acciones a llevara cabo a ojo de los testigos.
Evitar el contacto del material informático sin uso de guantes descartables. Ya que
dependiendo de la investigación, el teclado, el mouse, o cualquier fuese el dispositivo
secuestrado, podría ser utilizado para el análisis de huellas dactilares, levantamiento de
ADN, etc.
Si se tiene conocimiento con que no se realizaran este tipo de pericias ,
se puede proceder sin guantes descartables al secuestro de los mismos.
30. Pasos Durante el Allanamiento
El equipo debe quedar en el mismo estado en que se lo secuestra, ( si esta apagado debe quedar apagado y si
esta encendido, debe quedar encendido) siendo necesario una alimentación externa para que este quede
encendido, la modalidad de apagado mas utilizada es desconectando el cable de alimentación desde la parte
trasera del gabinete. Sin embargo la labor ante un especialista podría diferir en el caso de necesitar
previamente realizar un volcado de memoria RAM, credenciales de acceso y/o cualquier otro elemento que se
pierde por falta de suministro eléctrico. En el caso de que el dispositivo este apagado se procederá de
desconectarlo de la red eléctrica normalmente.
Si los equipos son notebook o notebook, se recomienda quitar la batería de manera estándar, aunque en
muchos casos los especialistas pueden solicitar que simplemente se cierre el equipo para mantener una
versión de hibernación de dicho equipo y obtener mas datos, cabe destacar proceder a secuestrar los cables y
fuente de alimentación de estos dispositivos.
En el caso de telefonía móvil aunque muchos siguen el procedimiento protocolar de la notebook /
notebook y retiran la batería o apagan el dispositivo para evitar ser alterado, es conveniente que
este quede en el estado que se lo encontró y almacenarlo dentro de una jaula Faraday.
31. Pasos Durante el Allanamiento
Identificar si existen equipos que estén conectados a una línea telefónica y en su caso el numero telefónico
registrarlo en el acta de allanamiento
Impedir la utilización de los dispositivos a secuestrar por parte del personal presente que fuese, dado que la
navegación por directorios o intento de visualización de la información
podría alterar u ocasionar la perdida de la evidencia digital.
Identificar todo el material secuestrado
Se debe obviar los almacenamientos de poco volúmenes de datos (DVD, cd, etc. ), excepto que se
tenga una fuerte presunción de hallar evidencia en estos o que la situación así lo requiera.
32. Pasos Durante el Allanamiento
El hardware que se va a secuestrar se debe roturar con los siguientes datos:
Para computadoras, notebooks, netbooks, celulares, cámaras digitales, etc.: N° del expediente judicial, fecha y
hora, Numero de Serie, Fabricante, Modelo.
Para DVD´s , CD´s, Pendrives, etc.: Almacenarlos en conjunto en un sobre antiestático, indicando N° del
expediente judicial, Tipo (DVDs, CDs, Pendrives, etc) y Cantidad.
En el caso de estar ante presencia de dispositivos y/o periféricos muy específicos conectados a los equipos
informáticos a secuestrar, se debe registrar mediante fotografía a los mismos,
el como están conectados y etiquetar los cables de conexión respecto a la misma.
33. Pasos Durante el Allanamiento
Utilizar bolsas especiales antiestáticas y/o jaula de Faraday siendo posible para almacenar los dispositivos de
almacenamiento electromagnéticos a secuestrar siendo estos discos duros o celulares, etc. En el caso
de no poseer, se pueden utilizar bolsas de papel madera, evitar el uso de bolsas plásticas, dado que estas
pueden causar una descarga eléctrica ocasionando la destrucción de los datos.
Precintar cada equipo informático, bloqueando todas sus entradas eléctricas como toda todo puerto de
conexión y parte que pueda ser abierta y/o removida.
Manipular los elementos secuestrados con extrema cautela, resguardarlos en un lugar limpio y son
temperaturas dentro del rango normal y fuera de todo campo electromagnético.
Mantener la cadena de custodia del material informático transportado.
34. Pasos Durante el Allanamiento
Numero de Serie: Identificador único e irrepetible.
Fecha y Hora : realización de secuestro de evidencia informática.
Lugar: Lugar del hecho.
Evidencia informática: descripción de los elementos informáticos
N° Oficio y Expte: se coloca si existe al momento de realizar el procedimiento.
Realizado por y Firma: identidad de quien coloco la etiqueta de seguridad y firma.
Testigo N° 1 y Firma: Identidad y forma del testigo.
Testigo N° 2 y Firma: Identidad y forma del testigo.
37. Etapa de Adquisición
* La copia forense, es una copia no igual sino que IDÉNTICA del dispositivo analizar, es decir, una copia bit a bit.
* El dispositivo a realizar la copia debe poseer cierta características dependiendo de varios factores, si el mismo
proviene de un secuestro, este debe presentar toda los aspectos fundamentales de la preservación de la cadena de
custodia como así mismo haber cumplido con el protocolo paso a paso. En el caso de que seamos nosotros mismos
quienes nos encontramos en la fase de secuestro presente a los dispositivos a secuestrar, debemos realizar paso a
paso el procedimiento correspondiente para que se cumpla con lo que la ley manda.
* La copia forense se avala del HASH ( algoritmo matemático que otorga como resultado un cadenera de caracteres
UNICA), este es evaluado y comparado con el original para verificar la autenticación e integridad del mismo.
* Nunca se trabaja con el original, ni con la copia, por lo general por buenas practicas y procedimientos correctos, se
realiza la pericia a una segunda o tercer copia forense.
38. Etapa de Adquisición
• La copia forense, puede realizarse tanto por Duplicadores de Discos , Estaciones dedicadas a dicha funcionalidad,
hasta computadoras con software avalado por los entes que lo regulen para su correcto desempeño.
• Entre los software nos podemos encontrar con los ya mencionados Encase , como por medio de FTK imager, DD, etc.
• Tanto el software como el hardware empleado
para dicha labor debe cumplir con los estándares
para su función , de caso contrario todo el
procedimiento puede ser desestimado a la hora
de ser presentado en un juicio.
39. Etapa de Adquisición
# Se identifica un conjunto de pruebas para ser
tomadas como evidencia.
# Recuperar los atributos del archivo
# Relevar la mayor cantidad de evidencia digital (sin
alterarla)
GENDARMERÍA NACIONAL ARGENTINA
DIRECCIÓN DE POLICÍA CIENTÍFICA
40. Autentificación de la Evidencia
GENDARMERÍA NACIONAL ARGENTINA
DIRECCIÓN DE POLICÍA CIENTÍFICA
41. Preguntas Frecuentes
*- Información del Hardware de la Computadora
*- Información de los programas instalados en la Computadora
*- E-Mail | Correo Electrónico
*- Historial de Navegación Web
*- Logs del Sistema
*- Dispositivos Multimedia ( Fotos | Videos)
*- Documentos
*- Elementos Eliminados
*- Dispositivos Conectados
*- Dispositivos desconectados (utilizados en alguna instancia)
*- Contraseñas almacenadas
*- etc ...
42. Preguntas Frecuentes
*- Llamadas y SMS
*- Historial Web
*- Contraseñas almacenadas
*- Historial de Ubicaciones Geográficas
*- Historial de Voz
*- Búsquedas
*- Conversaciones de mensajerías instantáneas
*- Archivos Multimedia (fotos | videos)
*- Elementos eliminados ( fotos | videos | documentos)
*- Conversaciones Eliminadas
*- Audios enviados y recibidos
*- ETC
43. Preguntas Frecuentes
Si bien se recurre generalmente a nombrar dispositivos como
computadoras o celulares, debemos tener en cuenta que se
puede realizar pericia de un sinfín de dispositivos, desde
Smart TV, impresoras alámbricas o inalámbricas, GPS,
Consolas de Video Juegos, MP4, Raspberry, Centros de
Domótica, hasta heladeras o lavarropas, hoy en día el famoso
efecto IOT nos ofrece interminables opciones a la hora de
realizar el labor.
44. Practica y Operativo
*- Recuperación de Archivos
*- Búsquedas de un "Target" especifico, sea tanto por una Magic Word (palabra clave) como por su extensión.
*- Obtención de Fecha y Hora de archivo eliminado
*- Detectar maniobras de encubrimiento
*- Recuperación de Conversaciones eliminadas y/o contenidos de la misma
*- Detectar adulteraciones en dispositivos
*- Determinar la implicación de un dispositivo en un hecho
*- Análisis de SIM.
*- Obtención de información de interés para una causa.
*- ETC
46. Practica y Operativo
*- Notebook o Workstation Móvil (software pericial integrado)
*- Hardware UFED
*- Bloqueado de Escritura (alternativa por software)
*- Cables Power, Adaptadores varios.
*- Discos de Almacenamiento ( Sanitizados)
*- Guantes Descartables
*- Zapatillas Eléctrica Multinorma con tomas universales y termina integrada
*- Fuente 110/220v
*- Maquina Grabadora | fotográfica (estilo GoPro)
*- Switch
*- Cables UTP
*- Bolsas Antiestáticas
47. Practica y Operativo
Se debe inventariar todo lo encontrado.
Tomar fotografías de los equipos y conexiones tanto externas como internas
Documentar
Individualmente y
en plano general
49. Practica y Operativo
Al momento de iniciar con una pericia “in situ” (en lugar de los hechos) debemos
tener en cuenta la Jerarquía de información relevante dependiendo su Volatilidad.
Volátil : La misma ante perdida de suministro eléctrico se pierde, es por eso
necesario su resguardo en tiempo y forma.
* Usuarios Logueados
* Registros del Procesador
* Datos en Memoria Cache
* Datos en Memoria RAM
* Conexiones de Red
* Procesos Activos
* etc.
50. Practica y Operativo
Desde la Consola de Comandos –CMD ( Windows)
Podemos Obtener de manera Manual gran parte de los datos necesarios y relevantes de
carácter Volátil.
Comando = date /t && time /t
Fecha y Hora del Sistema
52. Practica y Operativo
Comando = netstat –an
Conexiones Activas
El Comando
- n muestra las conexiones en formato numérico
- a muestra conexiones y puertos en escucha
56. Practica y Operativo
Script Batch
Podríamos resumir todos los comandos previamente vistos es un solo script con el objetivo de adquirir la
información automáticamente y generar un reporte del mismo.
title RECOLECTOR FORENSIC SYSTEM VOLATIL
@echo off
echo Reporte Forense Evidencia Digital > Reporte.txt
echo ------------- >> Reporte.txt
echo Fecha y Hora: >> Reporte.txt
date /t && time /t >> Reporte.txt
echo ------------- >> Reporte.txt
echo Usuario Actual y Usuarios Logueados >> Reporte.txt
whoami >> Reporte.txt
query user >> Reporte.txt
echo ------------- >> Reporte.txt
echo conexiones activas >> Reporte.txt
netstat –na >> Reporte.txt
echo ------------- >> Reporte.txt
echo configuracion de adaptador de red >> Reporte.txt
ipconfig /all >> Reporte.txt
echo ------------- >> Reporte.txt
echo informacion del sistema >> Reporte.txt
systeminfo >> Reporte.txt
echo ------------- >> Reporte.txt
procesos Corriendo >> Reporte.txt
tasklist >> Reporte.txt
echo ------------- >> Reporte.txt
echo fin del Reporte Volatil >> Reporte.txt
Guardar el Script .bat
57. Practica y Operativo
Script Batch
Así mismo podemos hacer consultar o generar un Script con el comando wmic
WMIC /Output:STDOUT BIOS get /all /format:LIST - Info de la BIOS
WMIC /Output:STDOUT CDROM get /all /format:LIST - Info Unidad CDROM
WMIC /Output:STDOUT NICCONFIG get /all /format:LIST - Info del Adaptador o Tarjeta de Red
WMIC /Output:STDOUT COMPUTERSYSTEM get /all /format:LIST - Info Sistema Operativo
WMIC /Output:STDOUT DISKDRIVE get /all /format:LIST - Info Discos Duros
WMIC /Output:STDOUT LOGICALDISK get /all /format:LIST - Info Discos Solidos
WMIC /Output:STDOUT MEMPHYSICAL get /all /format:LIST - Info Memoria Ram
WMIC /Output:STDOUT SERVICE get /all /format:LIST - Info de los Servicios
WMIC /Output:STDOUT PROCESS get /all /format:LIST - Info de Los Procesos
WMIC /Output:STDOUT STARTUP get /all /format:LIST - Info de los Programas de Inicio de Windows
WMIC /Output:STDOUT ONBOARDDEVICE get /all /format:LIST - Info de la MotherBoard
WMIC /Output:STDOUT RECOVEROS get /all /format:LIST - Info Errores del Sistema Operativo
WMIC
58. Practica y Operativo
Si bien no se debe instalar nada en el dispositivo a realizar la pericia con el objetivo de no
alterar la evidencia, debemos comprender que el uso de herramientas digitales portables
Pueden sernos de gran ayuda.
SOFTWARE
Access Data FTK Imager es un claro ejemplo de
software que nos permite realizar un volcado de
Memoria RAM.
59. Practica y Operativo
Así mismo UsbDeview nos permite
visualizar todos los dispositivos USB
activos o contactos alguna vez al
dispositivo en cuestión.
SOFTWARE
60. Practica y Operativo
Investigador 2.0 es un
software Argentino que nos
entrega un excelente reporte
de todas las actividades que
le tildemos a recolectar.
SOFTWARE
61. Practica y Operativo
Tequila OS - Agave64
SOFTWARE
Se encuentra tanto en su presentación de Sistema Operativo
Como en una estupenda Suite Portable para ser utilizada óptimamente
tanto en Windows (portable) como en Linux (OS).
63. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Análisis de Bitácoras
Sus herramientas permiten obtener
El historial de los navegadores web
en cuestión como así mismo las
ultimas actividades realizadas en el
sistema.
64. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Reconocimiento de Sistema
Posee Herramientas que nos
permiten obtener Información sobre
los Procesos Corriendo, Discos
Activos, Eventos, Actividades,
Archivos Recientes abiertos, y
muchas otras Auditorias de Sistema.
65. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Recuperar
Conjunto de herramientas que
permiten la labor de recuperar
fotografías, videos y cualquier fuese
el archivo eliminado lógicamente del
sistema operativo.
66. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Redes
Contraseñas almacenadas, Puertos Abiertos,
conexiones establecidas, reconocimiento de red
y dispositivos conectados a la misma, son una de
las tantas opciones que nos presenta este
segmento.
67. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Suite
Excelentes Software a la hora de
realizar una pericia informática,
permitiendo recolectar, analizar y
presentar evidencia por medio de
reportes de manera profesional.
68. Practica y Operativo
Tequila OS - Agave64 SOFTWARE
Menú Utilidades
Reproducción de Archivos, visualización de
metadatos, análisis de exif, verificación de técnicas
de ocultamiento | ofuscación, búsqueda de archivos,
acceso remoto y otras herramientas de mucha
utilidad al horario de una labor in situ.
69. Practica y Operativo
Desconectando la Red Por protocolo y buenas practicas se recomienda
iniciar por la desconexión re la red, retirando todas
las conexiones Visibles del Dispositivo a secuestrar.
Sin embargo cabe destacar que este procedimiento podría realizar una
perdida importantísima de evidencia digital dependiendo de la
investigación en curso, y no siempre nos encontraremos con equipos
con claras conexiones y/ líneas de cpu a router / modem, pudiendo
visualizar dispositivos complejos o conexiones que requieren de mayor
investigación para realizar su desconexión correcta.
70. Practica y Operativo
Desconectando la Red
Desconectar cable de Red de Modem al Router o
ADSL / Coaxil dependiendo conexiones ISP
Siempre y cuando la pericia no involucre el seguimiento,
investigación o recolección de información pertinente a nodos
activos en conexiones por medio de internet y la red analizada,
debemos comprender que el bloqueo de toda conexión hacia y
desde el exterior es una buena practica para evitar posibles
ataque, alteraciones o sistemas con fines de eliminar rastros o
huellas digitales.
71. Practica y Operativo
Redes Wifi Activas y Disponibles
Red Wifi PC Red Wifi Disp Móvil
Registrar mediante fotografía e informe la red
wifi conectada por los dispositivos a secuestrar
y las disponibles.
En muchos casos puede diferir de la red actual del
domicilio allanado o podríamos encontrar redes ocultas
y/o no visibles a la que tenemos conocimiento en relación
al allanamiento.
Documentar
72. Practica y Operativo
Desconectando Suministro Electico
Desconectar tirando del Cable, no utilizar la llave de
apagado manual ya que esta podría estar adulterada
con fines de destrucción de datos
Se debe desconectar del suministro eléctrico de forma “brusca”,
tirando del cable, o sea, no apagar de manera
ordenada. Así nos aseguramos que durante el proceso de
apagado no se ejecute ningún programa oculto que pueda
alterar la información de los dispositivos de almacenamiento
73. Practica y Operativo
Celulares y su Importancia
Si bien puede o no ser el objetivo de la pericia en
cuestión, la cantidad de información que nos puede
ofrecer hoy en día un teléfono móvil es incalculable.
Dicho esto podemos comprender que su secuestro y resguardo
debe ser minuciosamente confeccionado y cada acción realizada
debe ser bajo estricto conocimiento de las mismas.
Dependiendo de casos extraordinarios o necesidades puntuales
dichas acciones pueden variar.
74. Practica y Operativo
Secuestro Teléfono Móvil
Según el protocolo de actuación ante el secuestro de teléfonos celulares, se recomienda, siendo posible
retirar la batería del celular, en caso contrario ponerlo a este en modo avión y luego apagarlo, para su
resguardo correcto, proteger al mismo dentro de una Jaula Faraday y envolverlo con goma espuma, al
igual que se actual con los medios de almacenamientos electromagnéticos secuestrados.
Sin embargo en ciertos casos extraordinarios y/o necesarios para la futura recolección y análisis de
evidencia digital, debemos tener en claro ciertos aspectos. Si apagamos el móvil y este posee un sistema
avanzado de cifrado y no poseemos la forma de descifrar al mismo vamos a encontrar problemas a la
hora de realizar la pericia. Así mismo existe la posibilidad de perdida de información valiosa Volátil.
De caso contrario, al quedar encendido este podría, por su propia automatización, realizar alguna
acción propia o secuenciada con fines de destruir evidencia digital del mismo.
75. Practica y Operativo
Secuestro Teléfono Movil
Faraday Bag Power Phone
Si bien como mencionamos anteriormente los dispositivos deben quedar en
sus respectivos estados al secuestrarlos (encendido / apagado), cabe
destacar que el protocolo de teléfonos móviles varia como bien
mencionamos, sin embargo al ser necesario que este quede encendido
debemos poseer una bolsa farday correspondiente para su traslado, la
misma puede poseer un power bank para mantener al celular con carga, de
misma manera se debe recordar ponerlo a este en modo avión, dado que de
dicha manera no quera en estado de búsqueda de señal consumiendo toda
su energía.
76. Practica y Operativo
Laboratorio – Primeros Pasos
En el laboratorio debemos analizar varios factores antes de comenzar con el procedimiento de adquisición,
análisis y preservación como segunda etapa a pericia luego de un secuestro de evidencia digital.
Como primer paso y el mas importante, debemos controlar que se halla cumplido la cadena de custodia
correspondiente antes de llegar a nuestras manos.
Luego debemos evaluar el estado del mismo dispositivo, dado que no se procede de misma manera con uno
terminal sin display, con táctil averiado o con la placa madre averiada. Dicho estado es fundamental para
proceder a la preparación de la adquisición forense.
El caso de avería extrema, teniendo los conocimientos propios y herramientas, procederemos con la reparación
o realización de un Chip-off en el caso de ser necesario. De lo contario se enviara a técnicos para su
Reparación correspondiente (Reballing seguramente en casos de dicha índole) para luego proceder
con la pericia en cuestión.
77. Practica y Operativo
Laboratorio – Hardware Utilizado
Si bien aun se siguen utilizando equipos informáticos con software para la adquisición ,
análisis y reporte de evidencia digital obtenida de teléfonos móviles, ya dichos equipos
se están desplazando por comodidad a hardware dedicado y de dimensiones portátiles.
Cuando hablamos de hardware extracción en telefonía móvil nos referimos a "UFED" -
Universal Forensic Extraction Device, como método.
Sin embargo podemos mencionar empresas como lo son XRY, Cellebrite, Spektor, etc.,
las cuales fabrican estos dispositivos.
En la actualidad la mas utilizada es UFED - Cellebrite en su versión actual Touch 2.
78. Practica y Operativo
Laboratorio – Hardware Utilizado
Estos dispositivos constan de computador central donde se conecta el
dispositivo móvil a realizar la pericia correspondiente con su respectivo
cable, cual el es solicitado por el software luego de seleccionar el
modelo y marca de equipo y la acción solicitada por el personal forense.
Estos cables se solicitan según si numeración.
En su lateral contario se puede apreciar las ranuras correspondientes al
ingreso de Dispositivos USB donde se presentara la evidencia e informe
peritado por dicha herramienta.
79. Practica y Operativo
Laboratorio – Hardware Utilizado
Extracción lógica de los archivos, Extracción del
sistema de archivos, Captura de imágenes,
Captura de Instantáneas y Extracción Física (
copia forense) sorteando los bloqueos del
dispositivo, son algunas de las tantas opciones
que nos presenta dicho panel .
80. Practica y Operativo
Laboratorio - Extracción
El resumen de extracción permite
seleccionar los ítems a analizar, se
intenta incluir los relevantes para el
caso, conociendo el mismo y así
evitar la abundante prueba
documental pericial informática. De
caso contrario se realizará un
informe completo
de esta en formato digital.
81. Practica y Operativo
Laboratorio - Informe
El Informe final UFED o reporte, nos permite
obtener un abundante estado de todos los
aspectos del móvil a analizado garantizando,
la precisión, la autenticidad y la integridad de
los datos presentados, cumpliendo con las
normativas y procedimientos forenses
estándares. El cual debe ser presentado con
toda prueba documental obtenida en el
proceso de secuestro.