Documents - MX Grupo 1 Cadena de Custodia de Evidencia Digital

POLICA NACIONAL DEL PER
IRDAOC -DA
ECAEPOLPNP
TRABAJO APLICATIVO DE INVESTIGACIN

TEMA
: EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE

LA EVIDENCIA DIGITAL EN LA INVESTIGACIN DE DELITOS
INFORMTICOS EFECTUADOS EN LA DIVINDAT PNP
ASESOR
: Dr. MALCA CORONADO Hctor
JEFE DE EQUIPO: CMDTE. PNP YUI BOTERI Luis Enrique

INTEGRANTES
: CMDTE
CMDTE
MAYOR
CAP
ALFZ
PNP
PNP
PNP
PNP
PNP
POMA GUERRA Jess Arsedio

HUAYPAR VASQUEZ Jorge
SUAREZ CONTRERAS Ricardo
DIAZ SALOMON Omar
MELENDEZ SIFUENTES Fernando
LIMA 2010
TTULO DEL TRABAJO DE INVESTIGACIN
EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE LA

EVIDENCIA DIGITAL EN LA INVESTIGACIN DE DELITOS
INFORMTICOS EFECTUADOS EN LA DIVINDAT PNP
AGRADECIMIENTO
Dejamos constancia de nuestro agradecimiento a la Plana Orgnica y
Acadmica de la Escuela de Capacitacin y Especializacin Policial
ECAEPOL PNP, as como a los Directivos del Instituto Internacional de
Investigacin y Desarrollo Contra el Crimen Organizado IRDAOC, por su
invalorable apoyo, asesoramiento tcnico y fortalecimiento acadmico de los
miembros integrantes de la Polica Nacional en aspectos relacionados a la
lucha contra las diversas modalidades del crimen organizado para enfrentarlos
eficientemente, en virtud a lo cual ha sido posible realizar de manera
satisfactoria el presente Trabajo de Investigacin.
DEDICATORIA
El presente trabajo de investigacin est
dedicado a los Oficiales y Suboficiales de la
Polica Nacional del Per, que tienen a su cargo
la fundamental y delicada responsabilidad de la
funcin operativa de la institucin, cuya labor es
valiosa y de gran utilidad en el marco de la
misin institucional.
NDICE
TITULO
AGRADECIMIENTO
DEDICATORIA
INDICE
PRESENTACIN
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
A.
Caracterizacin del problema
10
B.
Formulacin del problema
13
C.
D.
E.
1.
Problema principal
2.
Problemas secundarios.
Delimitacin de los objetivos

1.
Objetivo General
2.
Objetivos Especficos
Justificacin del Estudio

1.
Justificacin
2.
Importancia
14
15
Limitaciones
15
CAPITULO II
MARCO TEORICO
A.
Antecedentes
17
B.
Bases Tericas
17
C.
Base Legal
65
D.
Definicin de Trminos
67
CAPITULO III
A.
Sistematizacin de la Informacin
72
B.
Anlisis de la Informacin
75
C.
Anlisis de Resultados
77
CAPTULO IV
CONCLUSIONES
84
RECOMENDACIONES
85
BIBLIOGRAFA
86
ANEXOS
87
PRESENTACIN
Casi a diario somos testigos de un nuevo invento o producto tecnolgico que

supera largamente al anterior y, en muchos casos deja obsoleto a uno que ni
siquiera lleg a tener mayor presencia en el mercado.
Esta vertiginosa carrera tecnolgica ha generado en la prctica no slo
beneficios para la sociedad, tambin ha permitido que personas inescrupulosas
y organizaciones criminales encuentren un nicho delictivo sacando provecho de
la rapidez con que estas nuevas tecnologas surgen para sacar ventaja de sus
vulnerabilidades. En ese sentido, son comunes las noticias de pginas web que
son vctimas de hackers, hurtos telemticos a clientes del sistema financiero,
suplantacin de identidades, entre otros delitos.
En el mbito internacional se considera que no existe una definicin propia del

delito informtico, sin embargo, muchos han sido los esfuerzos de expertos que
se han ocupado del tema, an cuando no existe una definicin con carcter
universal, se han formado algunos conceptos funcionales atendiendo a
realidades nacionales concretas.
En nuestro pas, los delitos contra el patrimonio y contra la fe pblica (hurto,
estafa, falsificacin, etc.) tal y como se encontraban originalmente tipificados,
daban lugar a una serie de lagunas de atipicidad que permitan nuevas formas
de crmenes que operaran bajo un cierto manto de impunidad. Ante ello, el
legislativo, poco a poco fue incluyendo nuevas formas o modalidades delictivas
y sus correspondientes sanciones al Cdigo Penal, surgiendo de este modo los
llamados Delitos informticos.
Las personas que cometen delitos informticos, son aquellas que poseen
ciertas caractersticas que no presentan el denominador comn de los
delincuentes, esto es, los sujetos activos poseen habilidades para el manejo de
los sistemas informticos, generalmente por su situacin laboral se encuentran

en lugares estratgicos, donde se maneja informacin de carcter sensible; o
bien son hbiles en el uso de los sistemas informatizados, an cuando en
muchos de los casos, no desarrollen actividades laborales que faciliten la
comisin de este tipo de delitos. Para referirse a los sujetos pasivos, se debe
hacer una clara diferencia con las vctimas del delito, pues, este ltimo es el
ente sobre el cual recae la conducta de accin u omisin que realiza el sujeto
activo, en el caso de los delitos informticos, las vctimas pueden ser
individuos, instituciones crediticias, gobiernos u otros, quienes usan sistemas
automatizados de informacin, generalmente conectados a otros. El sujeto
pasivo del delito es sumamente importante en la investigacin de los delitos
informticos, ya que mediante el podemos conocer los diferentes ilcitos
cometidos por los delincuentes informticos, con la finalidad de prever las
acciones pertinentes y, descubrir a tiempo el delito y, no de forma casual,
debido al desconocimiento del modus operando de los sujetos activos.
Asimismo, las evidencias digitales son cada da ms recurrentes en los

procesos judiciales. Son las pruebas que sustentan los delitos informticos y
afines, son correos electrnicos, grabaciones generadas y conservadas en
formato digital, fotografas digitales, mensajes de texto de celulares, llamadas
reportadas en la base de datos de los operadores de telefona mvil, entre
otras; lo que pone en la mira el deficiente conocimiento que sobre la gestin de
ste tipo de evidencias se debe asentar.
Los procedimientos policiales complejos conllevan en muchos casos al

contacto con elementos tecnolgicos. Existen numerosas razones que pueden
llevar a cometer errores en la identificacin y preservacin de potencial
evidencia digital, as como tambin en el aseguramiento de la cadena de
custodia, tales como la falta de formacin tcnica, la ausencia de
procedimientos formales, y la dificultad para obtener documentacin en
lenguaje nativo ya que la mayor parte del personal policial y muchos
profesionales del derecho no cuentan con un nivel de lectura adecuado en

idioma ingls.
Siempre que se trate con personal no tcnico, es conveniente realizar -como

parte de la planificacin general del procedimiento policial, una breve
explicacin de los recaudos a tomar durante la obtencin y el secuestro de
equipamiento informtico. Si bien puede suceder que existan integrantes del
equipo de investigacin que ya tengan alguna experiencia previa con este tipo
de material, no todos ellos suelen contar con documentacin y/o formacin
adecuada.
En ese contexto, el presente trabajo de investigacin pretende contribuir a que

el personal operativo de la PNP durante las tareas de intervencin por delitos
informticos que realiza minimice cualquier error que pueda hacer fracasar la
identificacin y secuestro de elementos probatorios (evidencia digital), sobre
todo cuando se realizan procedimientos simultneos con numerosa cantidad de
personal y que tenga en cuenta que la base de cualquier caso que involucre
evidencia digital es el manejo apropiado de dicha evidencia. De esta forma, la
prctica de identificar, almacenar y acceder a la evidencia debe ser una rutina
al punto de la perfeccin mediante la correcta aplicacin del sistema de cadena
de custodia, que va a permitir una eficiente investigacin policial.
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
A. CARACTERIZACIN DEL PROBLEMA
El espectacular desarrollo de la tecnologa informtica ha abierto las puertas
a nuevas posibilidades de delincuencia antes impensables. La manipulacin
fraudulenta de los ordenadores con nimo de lucro, la destruccin de
programas o datos y el acceso y la utilizacin indebida de la informacin
que puede afectar la esfera de la privacidad, son algunos de los
procedimientos relacionados con el procesamiento electrnico de datos
mediante los cuales es posible obtener grandes beneficios econmicos o
causar importantes daos materiales o morales. En este sentido, la
informtica puede ser el objeto del ataque o el medio para cometer otros
delitos. La informtica rene unas caractersticas que la convierten en un
medio idneo para la comisin de muy distintas modalidades delictivas, en
especial de carcter patrimonial (estafas, hurtos agravados, etc.). La
idoneidad proviene, bsicamente, de la gran cantidad de datos que se
acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente
fcil manipulacin de esos datos.
Derecho Penal, se ha visto en la necesidad de crear nuevas figuras para
poder cubrir los vacos que se generaban con la normatividad del derecho
penal clsico; toda vez que, en los delitos contra el patrimonio y contra la fe
pblica (hurto, estafa, falsificacin, etc.) tal y como se encontraban
originalmente tipificados, daban lugar a una serie de lagunas de atipicidad
que permitan nuevas formas de crmenes que operaran bajo un cierto
manto de impunidad. Ante ello, el legislativo, poco a poco fue incluyendo
nuevas formas o modalidades delictivas y sus correspondientes sanciones
al Cdigo Penal, surgiendo de este modo los llamados Delitos
informticos.
10
Por su parte, la Polica Nacional del Per, cre la Divisin de Investigacin

de Delitos de Alta Tecnologa DIVINDAT, unidad especializada en la
investigacin de estas nuevas modalidades delictivas.
Slo durante el ao 2008, la DIVINDAT resolvi 177 casos, que
involucraban ms de 5 millones de nuevos soles y 395 mil 356 dlares.
Durante dichas investigaciones, fueron detenidas cerca de 50 personas y se
desarticularon 17 bandas u organizaciones delictivas, lo que da una clara
idea de la creciente actividad delictiva en este sector.
Segn indagaciones realizadas por la Divisin de Investigacin de Delitos
de Alta Tecnologa de la PNP, en nuestro pas los delitos informticos se
han ido incrementando en los ltimos aos e incluso las bandas
organizadas han optado por operar en el interior del pas para correr menos
riesgos y multiplicar sus ganancias. Segn la informacin de la cual se
dispone actualmente, el trfico de pornografa infantil y el desvalijamiento de
cuentas de dbito y crdito ajenas son los casos que se dan con mayor
frecuencia. Estas acciones no solo se presentan en la ciudad de Lima, se
han detectado casos en Iquitos, Chiclayo y Chimbote.
Ao tras ao, las actividades ilcitas por parte de cibercriminales han ido en
aumento y cada vez ms se han ido perfeccionando en sus tcnicas para
engaar a los usuarios de tecnologa. En este sentido, resulta necesario
que el funcionario policial tenga conocimientos especializados para
investigar y resolver este tipo de delitos, as como de procedimientos
especiales para la aprehensin, anlisis y preservacin de la evidencia
digital que se concretar mediante la aplicacin eficiente del sistema de
cadena de custodia de la evidencia.
Los mtodos o procedimientos de recoleccin y procesamiento de la

evidencia digital en la investigacin de los delitos informticos juega un
papel importante, toda vez que los elementos materiales del delito y la
11
evidencia fsica y/o lgica radica en que estas pueden probar la comisin
del delito, relacionar al sospechoso con la vctima o con la escena del
crimen, establecer las personas asociadas con el delito, corroborar el
testimonio de una vctima, definir el modo de operacin del agresor y
relacionar casos entre si o exonerar a un inocente. Adems, es ms
confiable y objetiva que la prueba testimonial.
Dentro de la legislacin nacional, el Reglamento de la Cadena de Custodia

de elementos materiales, evidencias y administracin de bienes incautados
seala que este mecanismo descansa sobre los principios de: control en
todas las etapas desde la recoleccin o incorporacin de los elementos
materiales, evidencias y bienes incautados hasta su destino final, as como
del actuar de los responsables de la custodia de los mismos; la
preservacin, de estos elementos a fin de garantizar su inalterabilidad; la
seguridad de stos con el empleo de tcnicas y medios adecuados de
custodia; la mnima intervencin de funcionarios o personas responsables
en cada uno de los procedimientos y la descripcin detallada de las
caractersticas de los elementos materiales y evidencias as como tambin
del medio en que se hallaron, de las tcnicas utilizadas y de las pericias.
La cadena de custodia, es un procedimiento determinado por la

normatividad jurdica, que tiene el propsito de garantizar la integridad,
conservacin e inalterabilidad de elementos materiales de prueba de un
delito (documentos, muestras orgnicas e inorgnicas, armas de fuego,
proyectiles, etc.), y que los operadores de justicia (Polica, Ministerio Pblico
y Poder Judicial) estn obligados a cumplir bajo responsabilidad. En ese
contexto, la Divisin de Investigacin de Delitos de Alta Tecnologa
DIVINDAT DIRINCRI PNP, en la investigacin de los delitos informticos y
afines que por el cumplimiento de su misin y funciones realiza, con el
objeto de obtener, analizar y preservar la integridad de la evidencia digital,
cuenta con procedimientos idneos que permiten una garanta de la prueba,
teniendo en consideracin que el objetivo central de la Cadena de Custodia
12
no es proteger la calidad ni la cantidad de la evidencia sino la identidad de

la misma.
B. FORMULACIN DEL PROBLEMA
1.
Problema principal
De qu manera el sistema de cadena de custodia de la evidencia

digital influye en el proceso de investigacin de delitos informticos
efectuados en la DIVINDAT DIRINCRI PNP?.
1.
Problemas secundarios
a.
Los procedimientos implementados en la DIVINDAT DIRINCRI

PNP no garantizan la obtencin y custodia de la evidencia digital
en la investigacin de delitos informticos.
b.
El nivel de capacitacin del personal PNP de la DIVINDAT PNP

no contribuye sustancialmente en las investigaciones por delitos
informticos.
c.
El manejo incorrecto de la cadena de custodia de la evidencia

digital no contribuye a garantizar la autenticidad de la misma.
C. DELIMITACIN DE OBJETIVOS
1.
OBJETIVO GENERAL
Determinar si el sistema de cadena de custodia influye en el proceso de
investigacin de delitos informticos efectuados en la DIVINDAT
DIRINCRI PNP.
2.
OBJETIVOS ESPECFICOS
a.
Determinar si los procedimientos implementados en la DIVINDAT

DIRINCRI PNP garantizan la obtencin y custodia de la evidencia
digital en la investigacin de delitos informticos.
13
b.
Establecer la relacin entre el nivel de capacitacin del personal de

la DIVINDAT DIRINCRI PNP en la obtencin, preservacin y
custodia de la evidencia digital con la investigacin de delitos
informticos.
c.
Determinar el nivel de contribucin de la cadena de custodia de la

evidencia digital en la investigacin de los delitos informticos
D. JUSTIFICACIN DEL ESTUDIO
1.
JUSTIFICACION
El presente trabajo de investigacin permitir realizar un anlisis y
evaluacin del Sistema de cadena de custodia de la evidencia digital
implementado en la DIVINDAT DIRINCRI PNP y su influencia en la
investigacin de delitos informticos
Debido a la sofisticacin de los instrumentos y mtodos empleados en

la comisin de los delitos informticos, existe la necesidad imperiosa de
proponer e implementar medidas y procedimientos eficaces, que
permitan una investigacin cientfica y el aporte de pruebas confiables.
2.
IMPORTANCIA
La elaboracin del presente estudio es relevante dentro del contexto de
la investigacin criminal y sus procedimientos aplicados para el
esclarecimiento de los delitos informticos mediante el manejo eficiente
de las evidencias, pues busca concretar la importancia que merece
garantizar la integridad, conservacin e inalterabilidad de elementos
materiales de prueba de un delito, de la evidencia digital dentro de la
cadena de custodia que realiza la DIVINDAT DIRINCRI PNP, a fin de
evitar su contaminacin, alteracin, deterioro y otros que acarrean
responsabilidad.
14
Asimismo, va a servir para establecer un criterio en la realizacin de

investigaciones preliminares a cargo del personal policial de la Unidad
Especializad en investigacin de delitos informticos, desde la
obtencin de la evidencia digital y el valor probatorio que sta tiene,
aplicando medidas y utilizando procedimientos operativos eficaces en
base
las
normas
legales
administrativas
existentes
que
generalmente no se han hecho uso por la falta de su operativizacin.
De igual forma el presente trabajo va a servir para sentar el precedente

necesario a fin de que lo tomen como punto de partida para la
elaboracin de trabajos de investigacin sobre los delitos informticos,
dada su complejidad y el dao que puede ocasionar, es pues provisorio
que se va a seguir investigando sobre el particular a fin de hallar cada
vez mejores medidas y procedimientos que hagan efectiva la
investigacin sobre este injusto penal, sobre todo por investigadores de
las Unidades Especializadas a cargo de la pesquisa de este delito,
capacitando al personal y brindndole un mayor horizonte cultural y por
ende una mejor capacidad de respuesta, fortaleciendo de este modo el
profesionalismo que debe caracterizar a los integrantes de nuestra
Institucin.
E. LIMITACIONES
Durante el desarrollo de la presente investigacin se han experimentado
limitaciones, en razn a los siguientes aspectos:
1. Ha existido Limitantes del factor tiempo, teniendo en consideracin la

naturaleza y complejidad de tema a tratar, ms an si solo se ha
contado con pocas semanas para su elaboracin, toda vez que en las
Instituciones
educativas
para
la
realizacin
de
un
trabajo
de
investigacin en el peor de los casos cuentan con seis meses para su
15
elaboracin y recopilacin de informacin; sumado a esto que dicho

tiempo limitado es compartido con el desempeado laboral que tienen
los integrantes del Grupo en las Unidades donde prestan servicios, que
muchas veces ocupa todo el perodo disponible sin que haya espacio
restante para emplearlo en la elaboracin del trabajo aplicativo.
2. Por ltimo, la principal limitante para realizar sta investigacin es la

dbil infraestructura legal (Directivas, Manuales) que posee la Polica
Nacional, en especial la DIVINDAT PNP, encargada de la identificacin
e investigacin de delitos informticos, respecto del tratamiento de la
evidencia digital a travs del Sistema de Cadena de Custodia; no
obstante de ello, se poseen los criterios suficientes sobre la base de la
experiencia profesional del personal policial para el adecuado anlisis e
interpretacin de ste tipo de evidencia en la investigacin de delitos
informticos.
16
CAPTULO II
MARCO TERICO
A.
ANTECEDENTES
MUOZ COBEAS, Froiln Ral y otros, (2009), Polica Nacional del

Per ECAEPOL, I Curso de Capacitacin en Procedimientos de
Investigacin en Delitos de Alta Tecnologa, tipo de investigacin bsica;
elabor la monografa: Conservacin de la evidencia digital dentro de la
cadena de custodia y su influencia en la investigacin de delitos de Alta
Tecnologa, arrib a las siguientes conclusiones: 1. El desconocimiento
por parte del personal PNP de los procedimientos y tcnicas que se
deben emplear en la cadena de custodia, para el recojo, manejo y
conservacin de evidencias digitales pueden provocar que estas se
contaminen, lo que implica la prdida del valor probatorio de la evidencia
digital, ante un proceso judicial. 2. No se cuenta con equipos
informticos de ltima generacin, as como de las herramientas
(software) para que los operadores puedan realizar el anlisis de las
evidencias de manera ms sofistificada y confiable en menor tiempo. 3.
Se observan algunas deficiencias en relacin al empleo de las tcnicas y
procedimientos de recojo, manejo y conservacin de las evidencias
digitales, pudiendo esto ocasionar probables falencias de parte de
nuestro personal PNP en la aplicacin de la cadena de custodia.
B.
BASES TERICAS
1.
TEORA DEL DELITO

Dorado Montero, dice: que el concepto de delito es relativo, como lo
es el orden jurdico en que indefectiblemente reposa, sin que sea
posible lograr una definicin en s que lo sea para todo el mundo y
17
abarque todos los hechos que merezcan la calificacin de delictuosos

por su propia naturaleza. Se hace referencia a infracciones, claro es
que en lo definitivo es menester siempre una toma de posicin e
incluso una determinada perspectiva.
En el Derecho Penal son aprovechadas las concepciones de la

Teora jurdica del delito, pero en este campo estas teoras tan
bsicas en el comn, ofrecen en la nueva dimensin ciertos matices
que es forzoso considerar muchas veces con un espritu totalmente
nuevo, por responder a presupuestos extraos, genuinamente
internacionalistas. La dificultad mxima existente en la edificacin de
una teora del delito, es la de no contar con la siempre inexcusable
referencia a un orden positivo dado que ofrezca caractersticas de un
todo con estructura armnica.
Los retazos de normativismo, consuetudinario, contractual o

legislativo existentes, presentan demasiada poca consistencia para
tan ambiciosa labor, ardua ya en lo interno para serlo muchsimo ms
an en lo internacional. No es de extraar, en consecuencia, la
constante apelacin a conceptos extrajurdicos, ni ello debe
interpretarse como una desercin de principios penales comunes,
que por gratos que sean, resultan inoperantes en el estado actual de
su fase internacionalista.
Una consecuencia inmediata de lo dicho es el gran papel que aun

desempea en el Derecho Penal la visin material del delito como
lesin o riesgo de bienes jurdicos, no estructurados formalmente,
pero consagrados en el complejo natural-cultural de la comunidad.
Esta prevalencia de lo material sobre lo formal, presenta en lo penal
graves discrepancias con las doctrinas del estricto clasicismo
aferrados a la nocin formalista de la tipicidad, en que solo es delito
el acto previo. Cobra en cambio alta significacin en la materia la
18
visin de delito natural de Garfalo, como la precursora de la

antijuridicidad de normas de Jimnez de Asa, etc.
Es imposible la trascripcin al Derecho Penal, la simplista versin del

delito como infraccin de la ley del Estado. Esta definicin es
nicamente valedera para los delitos contra el orden internacional,
previstos y sancionados en los sistemas positivos nacionales.
Encuadrado
en
normas
eventuales
legales,
primarias
secundarias, lo cierto es que el delito precisa morfolgicamente un

campo de normatividad en que vivir; En lo Internacional la diversidad
parece inexcusable, siendo adems de triple dimensin, por cuanto
que entran en juego no ya solamente lo cultural y lo positivo legal,
sino la de orden nacional e internacional, a veces acordes pero
posiblemente en discrepancias.
Comparando las definiciones dogmticas-formalistas y material de

delito propuesta por Jimnez de Asa como acto imputable a un
hombre que por suponer injusto y culpable describen tpicamente las
leyes y sancionan con una pena y como Conducta considerada
como contraria a una norma de cultura reconocida por el Estado y
lesiva de los bienes jurdicamente protegidos, procedente de un
hombre que manifiesta con su agresin peligrosidad social, es claro
concluir que la segunda de las definiciones es la que resulta ms
aplicable a lo internacional. En lo particular a tal definicin le
sustituira el trmino de Estado por el de comunidad y el de hombre
por el de persona. Sin embargo, an haciendo tales cambios no esta
exenta de imprecisiones conceptuales y a pesar de la extensa
literatura que existe en torno al tema y a los fines de precisar tal
punto por efectos de esta investigacin, seguir a tal efecto dicha
definicin con los cambios ya mencionados.
19
2.
LA INVESTIGACIN DEL DELITO

La investigacin del delito no se realiza simplemente efectuando
las diligencias de instructivas, preventivas, confrontaciones,
testimoniales, sino que adems de diligenciar hay que seguir una
serie de pasos metodolgicos que le permitan aplicar una
investigacin cientfica del delito, los mtodos de la investigacin
del delito son los siguientes:
a.
La Observacin. En esta primera etapa se utilizan los cinco

sentidos, a fin de obtener informacin indiciaria que sea til
para buscar la razn de lo que se pretende discutir. La accin
de la observacin se puede considerar como una informacin
sistemtica y dirigida hacia un objetivo firme y definido siendo
apoyada por instrumental cientfico.
b.
Planteamiento del Problema. Se circunscribe a interrogantes

establecidos de los hechos fenmenos o cosas observadas. El
investigador del delito en su desempeo por reconocer lo que
observa, se formula varias preguntas encaminadas a plantear
objetivamente el problema. Esas preguntas el profesor Dr.
Hand Gross las denomino: El catecismo de la criminalistica y
son las siguientes:
QUE SUCEDI? , QUIN LO COMETIO? , CUANDO SE

COMETIO?,
DNDE
SE
COMETI?,
COMO
SE
COMETIO?, CON QUE SE COMETIO?, POR QU SE

COMETIO?.
A ello debemos agregar, que se deben hacer estas preguntas

en el escenario del delito para tener una apreciacin
reconstructiva de lo que probablemente pudo haber ocurrido.
20
Recordando que para que se hable de una investigacin

cientfica del delito tiene que existir problemas e hiptesis, si
falta alguno de ellos la investigacin es emprica.
Adems se debe en el escenario del delito, perennizar la

escena, para poder tener una mejor apreciacin de los
hechos, y realizar hiptesis adecuadas.
c.
Formulacin de hiptesis. Las respuestas a las siete

preguntas del planteamiento del problema es una explicacin
condicional que trata de predecir el desarrollo del hecho
ocurrido. Cada pregunta del planteamiento del problema
puede tener varias respuestas que son las hiptesis y estas
respuestas son simplemente probables porque tendrn que
ser sometidas a una profunda investigacin de carcter
cientfico.
d.
Experimentacin. Es el medio de reproducir o provocar

deliberadamente los hechos o fenmenos cuantas veces sea
necesario, a fin de observarlos, comprenderlos y coordinarlos
con las experiencias y con las hiptesis establecidas.
e.
La teora. Es el resultado final de la investigacin del delito.

Para llegar a esta etapa es porque se han realizado los
cuatros anteriores; en esta etapa recin se puede afirmar que
probablemente ocurri tal o cual cosa respecto de la
investigacin del delito que se realizo.
Algo ms a tener en cuenta, es que no hay crimen ni delito

perfecto, lo que sucede es que la investigacin del delito es
inadecuada.
21
3.
EL DELITO INFORMTICO
Segn el ilustre penalista Cuello Caln, los elementos integrantes
del delito son:
a)
El delito es un acto humano, es una accin (accin u omisin)
b)
Dicho acto humano ha de ser antijurdico, debe lesionar o

poner en peligro un inters jurdicamente protegido.
c)
Debe corresponder a un tipo legal (figura de delito), definido

por La Ley, ha de ser un acto tpico.
d)
El acto ha de ser culpable, imputable a dolo (intencin) o a

culpa (negligencia), y una accin es imputable cuando puede
ponerse a cargo de una determinada persona
e)
La ejecucin u omisin del acto debe estar sancionada por

una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser
humano, tipificado, culpable y sancionado por una pena.
Se podra definir el delito informtico como: toda accin (accin
u omisin) culpable realizada por un ser humano, que cause un
perjuicio a personas sin que necesariamente se beneficie el autor o
que, por el contrario, produzca un beneficio ilcito a su autor
aunque no perjudique de forma directa o indirecta a la vctima,
tipificado por La Ley, que se realiza en el entorno informtico y
est sancionado con una pena.
De esta manera, el autor mexicano Julio Tellez Valdez seala que
los delitos informticos son "actitudes ilcitas en que se tienen a las
computadoras como instrumento o fin (concepto atpico) o las
conductas tpicas, antijurdicas y culpables en que se tienen a las
computadoras como instrumento o fin (concepto tpico)". Por su
parte, el tratadista penal italiano Carlos Sarzana, sostiene que los
delitos informticos son "cualquier comportamiento criminal en que
22
la computadora est involucrada como material, objeto o mero

smbolo".
El Delito Informtico es toda accin consciente y voluntaria
que provoca un perjuicio a persona natural o jurdica sin que
necesariamente conlleve a un beneficio material para su autor,
o que por el contrario produce un beneficio ilcito para su
autor aun cuando no perjudique de forma directa o inmediata
a
la
vctima,
en
cuya
comisin
interviene
indispensablemente de forma activa dispositivos normalmente

utilizados en las actividades informticas.
a. FORMAS
Los delitos informticos se manifiestan en dos sentidos: como
delitos de resultado y como delitos de medio.
El primer grupo se refiere a conductas que vulneran los

sistemas que utilizan tecnologas de informacin, es decir, que
lesionan el bien jurdico constituido por la informacin que los
sistemas contienen, procesan, resguardan y transmiten, puesto
que la informacin no es ms que el bien que subyace en ellos.
El segundo grupo, correspondiente a los delitos informticos de

medio, recoge las conductas que se valen del uso de las
tecnologas de informacin para atentar contra bienes jurdicos
distintos de la informacin contenida y tratada en sistemas
automatizados, esto es, bienes como la propiedad, la
privacidad de las personas o el orden econmico. Lo que
distingue a este grupo de delitos informticos es la utilizacin
de las tecnologas de informacin como nico medio de
comisin posible -o como medio extremadamente ventajoso en
relacin con cualquier otro- para vulnerar el bien jurdico objeto
de proteccin penal.
23
b. TIPOLOGA DEL ILCITO PENAL INFORMTICO

Las diferentes formas que pueda adoptar el delito informtico
son de tal dimensin que para un profano prcticamente seran
inimaginables limitados quizs nicamente por la astucia del
autor, su capacidad tcnica y las deficiencias de control
existentes en la instalacin invadida.
Para darnos una idea del mbito del problema conozcamos las
diversas formas en las que el delito informtico puede
producirse sin que ello suponga de ninguna manera que
estamos ante una lista cerrada sino tan slo de una relacin
enumerativa de las situaciones ms frecuentes. Veamos
algunas de ellas:
(1)
Introduccin de datos falsos o data diddling Consiste en manipular las transacciones de entrada al
computador con el fin de ingresar movimientos falsos
total o parcialmente, o eliminar transacciones verdaderas
que deberan haberse introducido. Es un mtodo al
alcance de muchas personas que desarrollan tareas en
los servicios informticos para lo cual no es necesario
poseer conocimientos tcnicos especiales sino tan slo
haber percibido las deficiencias de control que muestre
un determinado sistema.
(2)
El
Caballo
de
Troya
Trojan
Horse
La
denominacin Caballo de Troya se aplica a algo que en

apariencia es inofensivo para tranquilidad de la vctima,
pero cuando desencadena su daino potencial causa
verdaderos estragos. Este mtodo consiste en la
inclusin de instrucciones dentro del programa de uso
habitual una rutina para que realice un conjunto de
funciones desde luego, no autorizadas, para que dicho
24
programa ejecute en ciertos casos de una forma distinta

a como estaba previsto.
(3)
El salame, redondeo de cuentas o rounding down Es tal vez la tcnica ms sencilla de realizar y la que
menos probabilidades tiene de ser descubierta. La
modalidad consiste en introducir o modificar unas pocas
instrucciones
de
los
programas
para
reducir
sistemticamente una cantidad transfirindola a una

cuenta distinta o proveedor ficticio que se abre con
nombre supuesto y que obviamente la controla el
defraudador.
(4)
Uso indebido de programas o superzapping - Es el

uso no autorizado de un programa de utilidad para
alterar, borrar, copiar, insertar o utilizar cualquier forma
no permitida los datos almacenados en el computador o
en los soportes magnticos. El nombre proviene de un
programa llamado Superzap y es una especie de llave
que permite abrir cualquier rincn de una computadora
por ms protegida que pueda estar.
Estos programas pertenecen al grupo de los llamados
Programas de Acceso Universal de uso imprescindible
en cualquier instalacin de ciertas dimensiones cuando
fallan los procedimientos normales para recuperar o
reiniciar el sistema.
Efectivamente, cuando un sistema informtico almacena
gran cantidad de informacin se hace necesario disponer
de un mecanismo de emergencia que permita entrar a
cualquier punto del sistema en caso que se produzca
alguna avera o lo que normalmente se ha denominado
cada del sistema.
Es por esta razn que se justifica la existencia de los
llamados
Programa
de
Acceso
Universal
(PAU)
25
herramientas imprescindibles en cualquier instalacin de

ciertas proporciones cuando fallan los procedimientos
normales para recuperar o reiniciar el sistema.
Los programas de utilidad son una herramienta valiosa y
muchas veces imprescindible en los casos de cada del
sistema pero igualmente un arma peligrossima cuando
se encuentra al alcance de personas que lo utilizarn con
otras intenciones.
(5)
Puertas falsas o Traps Doors - Es una costumbre en

el
desarrollo
de
aplicaciones
complejas
que
los
programas permitan introducir interrupciones en la lgica

de los desarrollos del mismo, con el objeto de chequear
por medio de los procesos informticos si los resultados
intermedios
son
correctos,
producir
salidas
de
emergencia y de control a fin de guardar resultados

parciales en ciertas reas del sistema para comprobarlos
despus. Inclusive algunas veces este procedimiento se
enlaza con rutinas del sistema operativo para facilitar una
"puerta de entrada al programa que no estaba prevista,
pero de esta manera facilitan la labor de desarrollo y
prueba de programas.
El problema radica en tener la seguridad de que cuando
los programas entran en proceso de produccin normal
todas esas puertas falsas hayan desaparecido.
Y aunque parezca mentira, las puertas creadas no se

eliminan, permitiendo a su paso puertas de acceso al
programa con el agravante que por ser elementos
temporales creados por la computadora no constan en la
documentacin del sistema.
Es de uso frecuente para posibles recuperaciones en
caso de Cada del Sistema a mitad de un proceso ir
26
grabando en cinta resultados intermedios o copia de las

transacciones procesadas, o incluso ciertas reas de
memoria para la recuperacin ms rpida y sencilla.
Las puertas falsas son: Por personas que no las crearon,
pero que una vez descubiertas se aprovechan de ella sin
necesidad de poseer una formacin informtica profunda.
(6)
Bombas lgicas o logic bombs - Previamente debe

sealarse que este tipo de delito se ejecuta para producir
daos sin otro beneficio que el placer de perjudicar. El
mtodo consiste en introducir en un programa un
conjunto de instrucciones no autorizadas para que en una
fecha o
circunstancia
predeterminada
se
ejecuten
automticamente desencadenando el borrado o la

destruccin
de
informacin
computador,
distorsionando
almacenada
el
en
funcionamiento
el
del
sistema o paralizaciones intermitentes.

(7)
Recojo de informacin residual o scavenging - Este

procedimiento se basa en aprovechar los descuidos de
los usuarios ya que la informacin ha sido abandonada
sin ninguna proteccin como residuo de un trabajo real
efectuado con la debida autorizacin.
Tiene dos formas bien definidas:
a)
El Scavenging Fsico: Consiste en recoger el

material de desecho que se abandona en las
papeleras, encima de las mesas, en el suelo, etc., y
que frecuentemente incluye listados de pruebas de
programas, documentos conteniendo informacin de
entrada a un programa de la computadora, copias
de apoyo que no han sido repartidas, etc.
b)
El
Scavenging
Electrnico:
Consiste
en
aprovechar las finalizaciones de las ejecuciones de

los programas realizados en el computador para
27
obtener la informacin residual que ha quedado en

la memoria o en soportes magnticos.
Una de las formas ms simples del scavenging
electrnico es cuando se ordena la impresin diferida ya
que en la computadora queda preparada la informacin
que posteriormente se imprimir sin ningn tipo de
proteccin,
siendo
sumamente
fcil
recuperar
la
informacin sin la necesidad de utilizar ningn tipo de

clave o cualquier procedimiento de seguridad.
(8)
Divulgacin no autorizada de datos o data leakage Consiste
en
sustraer
informacin
confidencial
almacenada en un computador central desde un punto

remoto, accediendo a ella, recuperndola y finalmente
envindola a una unidad de computador personal,
copindola
simultneamente.
La
sustraccin
de
informacin confidencial es quizs uno de los cnceres

que con mayor peligro acechan a los grandes sistemas
informticos.
Se ha empleado tambin bajo la denominacin de
espionaje industrial, pues sera particularmente dbiles al
sustraerse aspectos claves de su actividad empresarial,
como por ejemplo estrategias de mercado, nuevos
productos, frmulas de produccin, etc. Inclusive hay
cierto tipo de empresas que dependen de la privacidad
de su informacin como las empresas de publicidad
directa en donde tiene ficheros completos de su pblico
objetivo.
(9)
Acceso a reas no autorizadas o piggyn baking Pese a no tener una traduccin especfica consiste en
acceder a reas restringidas dentro de la computadora o
de sus dispositivos perifricos como consecuencia de
puertas abiertas o dispositivos desconectados. Se da
28
tambin cuando el usuario que est trabajando en un

Terminal en un nivel autorizado que le permite realizar
ciertas funciones reservadas deja el Terminal conectado,
con lo que cualquier otra persona puede continuar
trabajando sin necesidad de identificarse pudiendo
efectuar operaciones que en condiciones normales no le
estaran permitidas.
(10) Suplantacin de la personalidad o impersonation Puede
ser
entendida
como
la
suplantacin
de
personalidad fingiendo ser una persona que no es

imitndola e inclusive remedndola. Algunos sistemas
requieren la identificacin con una clave para acceder al
sistema.
Ms adelante se ha requerido la posesin de algo
pudiendo ser una llave o tarjeta magntica. Y an
podramos
complicarlo
dispositivos
de
aun
ms
reconocimiento
si
adicionamos
biomtrico
como
identificacin con la palma de la mano o dactilogrfica,

scanners de retina o del iris, reconocimiento de voz, etc.
Un caso muy frecuente de Impersonation o suplantacin
de personalidad se da en el robo de las tarjetas de
crdito y de cajeros automticos.
(11) Pinchado de lneas informticas wiretapping - Se trata
de pinchar o interferir lneas de transmisin de datos y
recuperar
la
informacin
que
circula
en
ellas,
generalmente se produce en el mismo origen de la

transmisin. No es necesario tener equipo sofisticado,
slo se requerir un pequeo cassette, una grabadora,
una radio porttil AM-FM, un mdem para demodular las
seales telefnicas analgicas y convertirlas en digitales,
y una pequea impresora para listar la informacin que
29
se hubiera captado. La forma de realizarlo depende del

sujeto que lo ejecuta.
(12) Hurto de tiempo - Se da cuando los empleados utilizan
sin autorizacin las horas de la mquina del empleador
por ejemplo para realizar trabajos particulares hurtando el
tiempo del computador o del servicio de procesamiento
de datos y por tanto incrimina un uso no autorizado.
(13) Simulacin e imitacin de modelos o simulation and
Modeling - Se trata del uso de la computadora para
simular y planificar la comisin de un delito antes de
realizarlo. La utilizacin de la computadora se realiza de
forma mediata para conseguir un fin ilcito como ejemplos
podemos sealar desde la simulacin del robo de una
bveda de un banco hasta el contador que contrat los
servicios contables de una empresa para estudiar
detenidamente
las
repercusiones
de
los
asientos
fraudulentos que pensaba realizar para sustraer una

cantidad importante de dinero.
Aqu se difiere de los anteriores tipos de delitos
informticos pues el computador que puede ser usado
para simular situaciones previsibles o efectuar modelos
que representen el comportamiento previsible de una
empresa, una fbrica, una inversin, es utilizado
equivocadamente con fines delictivos.
(14) Piratas o hackers - Conocido tambin como Pirateo
Informtico, consiste en entrar sin autorizacin a una
computadora
explorar
su
interior.
No
existe
aparentemente lmite pudiendo acceder por va remota a

servicios de noticias, servicios financieros, informacin
financiera, instalaciones universitarias, correo electrnico,
computadoras oficiales.
30
(15) Crackers - Es el tpico Hacker que no ingresa al sistema

por curiosidad o porque le represente un reto para
entender el funcionamiento de cualquier sistema. En
realidad nos referimos a la persona que conscientemente
ingresa a un sistema con la finalidad de destruir
informacin.
Existen dos vertientes:
a)
El que ingresa en un sistema informtico y roba

informacin produciendo destrozos en el mismo.
b)
El que se dedica a desproteger todo tipo de

programas,
tanto
para
hacerlas
plenamente
operativas como para los programas que presentan

anticopias.
(16) Phreakers - Es el especialista en telefona. Se le podra
llamar el pirata de los telfonos, sobre todo emplea sus
conocimientos para poder utilizar las telecomunicaciones
gratuitamente. Los principales perjudicados son los
usuarios nacionales e internacionales y las compaas
telefnicas.
(17) Virus - Son una serie de claves programticas que
pueden adherirse a otros programas, propagarse a otros
sistemas informticos. Un virus puede ingresar por una
pieza de soporte lgico que se encuentre infectado desde
una forma remota ingresando al programa.
(18) Gusanos - Se fabrica en forma anloga al virus con
miras
infiltrarlo
en
programas
normales
de
procesamiento de datos o para modificar o destruir la

informacin, pero se diferencia del virus porque no puede
regenerarse. Si se asimilara a la medicina podra decirse
que es una especie de tumor benigno. Ahora las
consecuencias del ataque de un gusano pueden ser tan
peligrosas como el de un virus.
31
(19) Delitos de connotacin sexual por Internet - De la

misma manera deben considerarse las conductas que
ponen a disposicin de menores de edad imgenes de
contenido altamente sexual explcito y que ponen en
riesgo su formacin integral ocasionando trastornos en
normal desenvolvimiento de su personalidad. Se debera
controlar esto mediante el acceso a estas pginas Web
con doble clave. As mismo evitar casos de prostitucin
infantil por esta va.
4.
TIPIFICACIN DEL DELITO INFORMTICO EN EL CDIGO

PENAL PERUANO
El 17 de julio del ao 2000 se public en el Diario Oficial El
Peruano la Ley N 27309, que incorpor al Cdigo Penal los
delitos informticos dentro de la figura genrica de los Delitos
Contra el Patrimonio.
Debido a la importancia del caso, y a pesar del tiempo transcurrido

desde su promulgacin, es bueno saber sobre los delitos
informticos y la trascendencia de la ley que los reprime, pues
compromete la participacin de la Polica Nacional del Per en las
tareas de prevencin e investigacin de los mismos, lo que
requiere
de
una
adecuada
preparacin,
especializacin
capacitacin del personal policial en este aspecto.
As, hasta antes de la promulgacin de la mencionada ley, el

Cdigo Penal haca alusin a una modalidad de hurto agravado,
tipificado en el Art. 186, inciso 6. O, que poda catalogarse como
una figura de delito informtico, configurado cuando el hurto se
cometa mediante la utilizacin de sistemas de transferencia
electrnica de fondos; de la telemtica, en general; o, se violaban
claves secretas.
32
El Cdigo Penal Peruano, al incorporar la figura del delito

informtico, no establece una definicin genrica del mismo, ergo,
lo conceptualiza en forma tpica como: las conductas tpicas,
antijurdicas y culpables, en que se tiene a las computadoras como
instrumento o fin; y, atpica, entendiendo que los delitos
informticos son las actitudes ilcitas en que se tiene a las
computadoras como instrumento o fin.
La ley que incorpora los delitos informticos al Cdigo Penal ha

considerado nicamente dos tipos genricos, de los que se
desprende una serie de modalidades. Para ello, el legislador se ha
basado en el criterio del uso de la computadora como instrumento
o medio y en el de su utilizacin como fin u objetivo.
El primer tipo genrico lo encontramos en el Art. 207-A, que

describe una conducta crimingena que se vale de la computadora
para la comisin del ilcito penal. Un ejemplo de ello lo constituyen
los fraudes cometidos en perjuicio de las instituciones bancarias o
de cualquier empresa por personal del rea de sistemas que tiene
acceso a los tipos de registros y programas utilizados. Tambin se
encuadra el fraude efectuado por manipulacin informtica, es
decir, cuando se accede a los programas establecidos en un
sistema de informacin y se les manipula para obtener una
ganancia monetaria.
Otras modalidades son la falsificacin informtica, que consiste en

la manipulacin de la informacin arrojada por una operacin de
consulta en una base de datos; el acceso no autorizado a sistemas
o
servicios;
la
reproduccin no autorizada
de programas
informticos de proteccin legal, conocida como piratera; entre

otras.
33
El segundo tipo genrico lo encontramos en el Art. 207-B, donde

se enmarcan las conductas crimingenas dirigidas a la utilizacin,
interferencia o ingreso indebido a una base de datos con el fin de
alterarla, daarla o destruirla.
A continuacin se detalla la lista de algunos de los delitos

informticos y el artculo de Cdigo Penal Peruano que se aplica.
Art. 207A, Acceso no autorizado a servicios y sistemas

informticos y telemticos y Base de datos pblico y privado.
Art. 207-B y 207-C, Manipulacin de programas informticos.
Art. 186, Manipulacin de los datos bancarios personales (uso

indebido de tarjetas de crdito y de cajeros automticos).
5.
Art. 427, Falsificacin electrnica de documentos.
Art. 161, Suplantacin (e-mail)
Art. 183-A, Pornografa infantil.
Art. 216, 217, 218, 219 y 220, Propiedad intelectual.
Art. 222, 223 y 224, Propiedad industrial: marcas, patentes.
Art. 249, Pnico financiero.
Art. 316, Apologa.
Art. 132, Difamacin.
Art. 331, Espionaje.
Art.427, Manipulacin y/o falsificacin de datos
PROCEDIMIENTOS
INFORMTICOS
DE
INVESTIGACIN
EN
DELITOS
A. Proteccin de la escena del delito

Una escena del delito es caracterizada frecuentemente con un
espacio fsico delimitado de alguna manera, por paredes, por
un rea ms extensa o simplemente delimitadas por el suelo.
34
En funcin de estas caractersticas, se dice, que la escena es

cerrada, abierta o mixta.
Un componente electrnico puede hallarse en cualquiera de

estas escenas; cuando se encuentra en escena abierta, se
puede asumir que el dispositivo electrnico se halla en una
escena virtual cerrada. Con esa misma lgica de los opuestos
complementarios, cuando la escena fsica es cerrada por
ejemplo, delimitada por un edificio u oficina, se puede asumir
que la escena virtual ser abierta o mixta en el supuesto de que
exista algn tipo de red.
Si en una escena fsica se procede con el acordonamiento del

lugar, en casos de escenas que comprendan ordenadores, se
debe tomar en cuenta que stos pueden estar conectados a
redes, por ello se los deber aislar de la forma ms eficiente.
Una de las mejores maneras de aislar la escena electrnica del
hecho es quitar la alimentacin de forma inmediata. En caso de
ordenadores personales se quitar la energa elctrica sin
apagar, va sistema operativo. En caso de un ordenador porttil
se apagar quitando la batera o en su defecto por el botn de
energa. Se debe tomar en cuenta que lo que se llega a perder,
es poco comparado con la proteccin que se logra. Tambin se
debe tomar en cuenta que, por el principio de administracin de
memoria RAM, gran parte de lo que existe en ella est tambin
en el disco duro, en espacio de memoria virtual.
La escena del delito informtica es idntica a la fsica en los

cuidados requeridos, no se deben utilizar, encender o apagar
los dispositivos dado que estara contaminando las evidencias.
Tener en cuenta que con el solo hecho de conectar una
35
memoria flash, modifica la escena del delito introduciendo

elementos ajenos al hecho.
B. Evaluacin de la escena del delito
Esta etapa consiste en tomar conocimiento del hecho ocurrido;
el responsable de la investigacin debe realizar la observacin
de la escena y decidir acerca de la presencia de los peritos o
especialistas que deben participar en la investigacin y
planificar el procedimiento a seguir.
La inspeccin debe contemplar toda la informacin relativa al
hecho acontecido:
a) Anlisis de esquemas de conexin: Se deber determinar si
existen medios visibles que indiquen presencia de redes de
comunicaciones.
b) Determinacin de los dispositivos y medios comprometidos:
Se debe observar qu existe en el lugar que pueda contener
evidencia digital.
c) Determinacin del escenario: La escena del delito tiene
mucha similitud virtual en su determinacin con la escena
del delito fsica. Si en la escena fsica est determinada por
los componentes: piso, pared y techo. En la escena virtual
tiene que ver con la propiedad del medio fsico o canal por
el cual se transmiten los datos.
Cerrado - PCs sin conexin a redes
Abierto - PCs con conexin a Internet va ISP
Mixto - PCs en LAN/MAN/WAN.
C. Fijacin de la escena del delito
Todo proceso de investigacin requiere de un registro confiable

del o de los hechos producidos, plasmados de una manera ms
36
adecuada en un acta, con todas las formalidades de rigor; de

forma tal que permita su estudio posterior, as como su
reconstruccin si es necesario, con las garantas necesarias
para que pueda ser utilizada en un proceso judicial.
Narracin y Fijacin con fotografa o videograbacin.

Procurar que el medio a utilizar sea en un formato estndar:
MP3 por ejemplo.
Marcado: Utilizar la ubicacin de marcas numeradas que

nos permitan reconstruir con exactitud la ubicacin fsica de
cada objeto, con detalle de la cantidad de evidencias
recogidas.
Fijacin planimtrica, en sus formas de planta o abatimiento.

Utilizar la forma de croquis de red a mano alzada para
identificar los posibles puntos.
D. Rastreo de evidencias o indicios
Concluida la etapa de las fijaciones que nos impedan tocar la

escena, en esta fase, podemos alterar la escena del hecho en
busca de las evidencias o algn rastro, mover todo tipo de
objetos en busca de huellas digitales o de indicios de otro tipo.
Y en ese caso volver a fotografiar y marcar los nuevos
descubrimientos, utilizando diferentes mtodos:
Mtodo espiral, cuadrantes, triangulacin, etc.
Los dispositivos fsicos y medios removibles se rastrean

siguiendo los mtodos tradicionales.
En funcin de los esquemas de red o croquis se rastrean los

elementos remotos o lgicos, se consideran: datos,
aplicaciones, tecnologa, personas e infraestructura. En
funcin de la Topologa se van identificando los elementos
37
que deben ser tomados en cuenta como fuente de evidencia

digital. En escenas mixtas y abiertas se entender que esta
etapa requiere de ms personas y especialistas, dada la
complejidad de entornos informticos y redes actuales.
E. Reconocimiento del dispositivo comprometido
Se debe tomar en cuenta que los delitos informticos o los

delitos comunes que involucran dispositivos electrnicos como
medio o fin, pueden involucrar un sin fin de elementos,
entonces se torna complejo determinar cual fue el objetivo
principal, asumiendo teoras como la Estrategia del TERO (ave
que cacarea en lugar distinto al que puso sus huevos) que
sugiere la posibilidad de estar enfocado en un punto cuando en
realidad la gravedad radica en otro.
Examen del activo afectado: Un sistema, un dispositivo, un

medio removible. Algo que inicialmente pueda ser identificado
como hardware y posteriormente en su software si aplica.
Por ejemplo, si el ataque se ha producido sobre los datos de un

sistema, fsicamente tendremos el servidor, pero lgicamente
se compromete la base de datos. Ahora el ataque puede ser
va sistema, entonces se compromete el aplicativo mismo o
directamente sobre la base de datos donde se compromete
cada una de las tablas que hacen la Base misma.
F. Recogida y embalaje de evidencias
Antes de empezar esta etapa hay que disponer de todos los

elementos necesarios, no se debe utilizar material de la misma
escena del delito.
38
Se recomienda tener en cuenta lo siguiente:

a) Recoger todos los medios mviles y removibles, teniendo
en cuenta su rol en el esquema tecnolgico.
b) Levantamiento de actas escritas, grabadas y/o filmadas.
c)
Registro de los nmeros de serie y dems caractersticas

de los equipos, si no tiene nmero de serie mrquelo y
frmelo con un rotulador indeleble. Deje constancia de la
marca en el acta del levantamiento.
6.
LA CADENA DE CUSTODIA
La cadena de custodia de la prueba es el procedimiento controlado
que se aplica a los indicios materiales relacionados con el delito,
desde su localizacin hasta su valoracin por los encargados de
administrar justicia y que tiene como fin no viciar el manejo de que
ellos
se
haga
as
evitar
alteraciones,
sustituciones,
contaminaciones o destrucciones.
La Cadena de custodia es el procedimiento destinado a garantizar

la individualizacin, seguridad y preservacin de los elementos
materiales y evidencias, recolectados de acuerdo a su naturaleza o
incorporados en toda investigacin de un hecho punible,
destinados a garantizar su autenticidad, para los efectos del
proceso, las actas, formularios y embalajes forman parte de la
cadena de custodia. Para tal efecto, se ha diseado un formulario
en el cual se consignaran todos los datos que permitan identificar a
los funcionarios que han tenido bajo su cuidado el material
recolectado, y cuales son las pruebas o pericias a las que ha sido
sometido, de tal suerte que al llegar a juicio no exista la menor
posibilidad de duda con respecto a su autenticidad.
39
As, la Cadena de Custodia se inicia con el aseguramiento,

inmovilizacin o recojo de los elementos materiales y evidencias
en el lugar de los hechos, durante las primeras diligencias o
incorporados en el curso de la investigacin preparatoria y
concluye con la disposicin o resolucin que establezca su destino
final. Es necesario que la Polica Nacional tenga a su disposicin el
recurso de intervenir ms activa y decisoriamente en el proceso de
la investigacin del delito de manera conjunta con el Fiscal, habida
cuenta que dicha Institucin acta directamente desde el primer
momento en que toma conocimiento del hecho y est en contacto
ntimo con las circunstancias de su realizacin, as como del
imputado y de la vctima, por lo que la Polica Nacional posee
vastos conocimientos de causa sobre el acto punible, sus mviles,
las modalidades, los efectos del delito, los partcipes, los
cmplices, los encubridores, los receptadores, los autores
intelectuales, los testigos, los informantes, los confidentes, las
redes del crimen organizado, etc. que en muchos casos el
Ministerio Pblico desconoce o no domina a cabalidad.
La cadena de custodia involucra la aplicacin de una serie de

normas tendientes a asegurar, embalar y proteger cada elemento
material probatorio para evitar su destruccin, suplantacin o
contaminacin, lo que podra implicar serios tropiezos en la
investigacin de una conducta punible.
Comienza, la cadena de custodia, cuando el Polica embala y

rotula el elemento material probatorio y evidencia fsica (huellas,
rastros,
manchas,
residuos,
armas,
instrumentos,
dinero,
documentos, grabaciones en audio y video). Tal procedimiento

inicia en el sitio donde se descubren, recauden o encuentren
elementos materiales probatorios y finaliza por orden de autoridad
competente.
40
Para demostrar la autenticidad del material, la cadena de custodia

se aplica teniendo en cuenta tanto los factores de identidad, estado
original, condiciones de recoleccin, preservacin, embalaje y
envo; como los lugares y fechas de permanencia y cambios que
cada custodio haga. El nombre y la identificacin de todas las
personas que hayan estado en contacto con esos elementos
quedarn registrados.
El funcionario que recoja, embale y rotule el elemento material

probatorio
evidencia
fsica
la
trasladar
al
laboratorio
correspondiente, donde la entregar bajo el recibo que figura en el

formato de cadena de custodia. A su turno, el servidor pblico que
reciba dicho material lo entregar, segn la especialidad, al perito
correspondiente.
Ese dejar constancia del estado en que se encuentra el material y

proceder a las investigaciones y anlisis en el menor tiempo
posible, para que su informe pericial pueda ser oportunamente
remitido al fiscal correspondiente. El servidor que tenga el material
probatorio o la evidencia fsica ser responsable de que ese
material no sea destruido, suplantado, alterado o deteriorado.
Tanto la polica judicial, como los peritos certificarn la cadena de

custodia. Tal certificacin es la afirmacin de que el elemento
hallado en el lugar, fecha y hora indicada en el rtulo es el que fue
recolectado por la polica judicial y es el mismo que fue llevado al
laboratorio para ser examinado por el perito. Por ltimo, los
remanentes del material analizado se guardarn en el almacn
destinado para ese fin en el laboratorio, tras previa identificacin
para su pronta ubicacin si las investigaciones lo requieren.
41
a.
IMPORTANCIA DE LA CADENA DE CUSTODIA.
La cadena de custodia juega un papel importante en el nuevo

proceso penal tal como seala el Dr. Manuel Restro que indica
sobre los elementos materiales del delito y la evidencia fsica
radica en que estas pueden probar la comisin de un delito,
relacionar al sospechoso con la vctima o con la escena del
crimen, establecer las personas asociadas con el delito,
corroborar el testimonio de una vctima, definir el modo de
operacin del agresor y relacionar casos entre si o exonerar a
un inocente. Adems, es ms confiable y objetiva que la
prueba testimonial, y el desarrollo de la ciencia le ha hecho
ms importante. Pero se debe de seguir el procedimiento
establecido por el nuevo cdigo procesal penal para que los
elementos materiales y evidencias fsicas que se recoja en la
escena del delito que actan como elemento de conviccin
sean evaluadas, las mismas que debern de ser incorporadas
en la investigacin preparatoria, admitidas en la etapa
intermedia y valoradas en el juicio oral, para efectos de
acreditar los hechos delictivos materia de la investigacin, ya
que es precisamente la cadena de custodia la que garantizara
que aquello que es incorporado al proceso es lo mismo que se
encontr en la escena del delito.
b.
PRINCIPIOS DE LA CADENA DE CUSTODIA
La cadena de custodia al iniciarse en la escena del delito en

donde se descubran, recauden o encuentren los elementos
materiales probatorios y evidencia fsica, se rige con los
siguientes principios, tal como lo prev el artculo 4 del
reglamento
de
cadena
de
custodia
que
estable
los
42
procedimientos previstos en el presente reglamento, se rigen

por los siguientes principios:
EL CONTROL de todas las etapas desde la recoleccin o

incorporacin de los elementos materiales, evidencias y
bienes incautados hasta su destino final, as como del actuar
de los responsables de la custodia de aquellos.
LA
PRESERVACIN
de
los
elementos
materiales
evidencias, as como de los bienes incautados para garantizar

su
inalterabilidad, evitar confusiones o dao de su estado
original, as como un indebido tratamiento o incorrecto

almacenamiento.
LA SEGURIDAD de los elementos materiales y evidencias as

como de los bienes incautados con el empleo de medios y
tcnicas adecuadas de custodia y almacenamiento en
ambientes idneos, de acuerdo a su naturaleza. que
garanticen la integridad, continuidad, autenticidad, identidad y
registro, de acuerdo a su clase y naturaleza,
LA MNIMA INTERVENCIN de funcionarios y personas

responsables en cada uno de los procedimientos, registrando
siempre su identificacin.
LA DESCRIPCIN DETALLADA de las caractersticas de los

elementos materiales y evidencias adems de los bienes
incautados o incorporados en la investigacin de un hecho
punible, del medio en el que se hallaron, de las tcnicas
utilizadas, de las pericias, de las modificaciones o alteraciones
que se generen en aquellos entre otros.
43
Dichos principios son importantes para efecto de demostrar

que los elementos materiales probatorios y la evidencia fsica
han
sido
detectados,
fijados,
recogidos,
obtenidos
embalados tcnicamente, observando lo prescrito por la

Constitucin Poltica, los Tratados Internacionales sobre
derechos humanos vigentes.
c.
SUPERVISIN DE LA CADENA DE CUSTODIA.
El Artculo IV del Titulo Preliminar del NCPP impone al

Ministerio Publico el deber de la carga de la prueba y si bien
es cierto el NCPP no lo establece de manera expresa que es
el Ministerio Pblico la entidad encargada de la conservacin
de los elementos materiales y evidencias fsicas recogidas en
la escena del delito, la norma le impone el deber de garantizar
la autenticidad de estos elementos materiales y evidencias
fsicas, para lo cual tendr que habilitar ambientes adecuados
y adoptar las medidas necesarias para evitar que se alteren de
cualquier forma con el apoyo de la Polica Nacional del Per
por ello la tarea de cuidar la cadena de custodia resulta mas
relevante, por que debe formar conviccin en el Juzgador, de
manera que cualquier duda de sospecha respecto de la
indemnidad o integridad de la evidencia, o su manejo
adecuado, puede repercutir negativamente en la presentacin
de su caso.
d.
PROCEDIMIENTO DE LA CADENA DE CUSTODIA.
La cadena de custodia debe de ser constante en todos los

procedimientos que se usan en la tcnica criminalstica, en la
medicina legal y en las ciencias forenses y no nicamente
unas reglas que se utilizan al explorar la escena de los
44
homicidios, como se piensa usualmente. En todo caso, las

escenas del delito son tan diversas como la misma tipicidad
del cdigo penal lo permite, por lo que en cada escena del
delito los niveles adoptar son los siguientes:
PRIMER NIVEL: Cuando se produce un hecho delictuoso, por

lo general los primeros en constituirse al lugar de la escena
del delito son los efectivos policiales locales, los mismos que
verificaran y confirmaran la noticia criminal para que procedan
a comunicar al fiscal para que se constituya al lugar de la
escena del delito conjuntamente con efectivos especializados
de la PNP, y procedan a asegurar y fijar el rea a ser aislada y
acordonaran el lugar utilizando una barrera fsica (cuerdas,
cintas, etc.), a fin de evitar la perdida o alteracin de los
elementos materiales o evidencias fsicas que se puedan
encontrar.
SEGUNDO NIVEL: Cuando llegan a la escena del delito, el

fiscal y los efectivos especializados de la PNP, solicitaran
informacin previa de la persona que dio a conocer el hecho y
realizaran un registro cronolgico de todo lo que van hacer
para proceder a la bsqueda de los elementos materiales y
evidencias
fsicas
utilizando
un
mtodo
de
bsqueda
dependiendo de las caractersticas del lugar y circunstancias

de la escena del delito, quienes registraran la informacin
obtenida de toda sus actividades.
TERCER NIVEL: Una vez encontrando los elementos

materiales y evidencias fsicas en la escena del delito se
proceder a perennizarlo antes, durante y despus de
recolectar, embalar, rotular y etiquetar por medio de fotografa,
video o topogrficamente de forma adecuada clasificndolo de
45
acuerdo a su clase, naturaleza y estado, observando las

condiciones de bioseguridad y proteccin como por ejemplo
uso de guantes, tapabocas, gorros, gafas, caretas y equipos,
entre otros, segn la naturaleza del elemento material o
evidencia fsica que se hayan encontrado o aportado, pero
observando las condiciones de preservacin y seguridad
radica en que estas pueden probar la comisin de un delito,
relacionar al sospechoso con la vctima o con la escena del
crimen, establecer las personas asociadas con el delito,
corroborar el testimonio de una vctima, definir el modo de
operacin del agresor y relacionar casos entre si o exonerar a
un inocente. Adems, es ms confiable y objetiva que la
prueba testimonial, y el desarrollo de la ciencia le ha hecho
ms importante. Pero se debe de seguir el procedimiento
establecido por el nuevo cdigo procesal penal para que los
elementos materiales y evidencias fsicas que se recoja en la
escena del delito que actan como elemento de conviccin
sean evaluadas, las mismas que debern de ser incorporadas
en la investigacin preparatoria, admitidas en la etapa
intermedia y valoradas en el juicio oral, para efectos de
acreditar los hechos delictivos materia de la investigacin, ya
que es precisamente la cadena de custodia la que garantizara
que aquello que es incorporado al proceso es lo mismo que se
encontr en la escena del delito.
CUARTO NIVEL: Una vez obtenido los elementos materiales

y evidencias fsicas el fiscal determinara la remisin a los
correspondientes laboratorios para que sea analizado en los
laboratorios criminalisticos, quienes realizaran los estudios o
anlisis solicitados y emitirn el informe pericial, pero en caso
que no requiera de anlisis o estudio inmediato se proceder a
enviarlo al almacn de evidencias, pero en uno u otro caso se
46
deber prever para que quede un remanente con la finalidad

de que en el futuro puedan constatar ciertos anlisis o
estudios sobre dichos elementos materiales o evidencias
fsicas y todo personal que se encuentre en contacto con los
elementos materiales y evidencias fsicas deber de sealar
en el formato de cadena de custodia el lugar, la fecha y la
hora.
Este procedimiento se sigue debido a que este sistema de

cadena de custodia, debe nacer a la luz del proceso penal en
sus diferentes fases, y quedar establecidas a las pautas que
debern seguir las personas que reglamenten, desarrollen,
apliquen y controlen el sistema de cadena de custodia.
e.
DISPOSICIN FINAL DE LA CADENA DE CUSTODIA.

Son aquellas actividades que se desarrollan para precisar el
destino final de los elementos materiales o evidencias fsicas
encontrados por parte de la fiscala o juez competente quien
una vez dependiendo de la etapa que se encuentre el proceso
dispondr su destino final, que consistir en la conservacin o
custodia definitiva, devolucin, destruccin o incineracin, libre
disposicin o remate del elemento material o evidencias
fsicas encontrado en la escena del delito.
7.
LA EVIDENCIA DIGITAL
La evidencia es el aspecto ms importante en cualquier disputa

legal o extrajudicial y dentro de un delito donde est involucrado
directa o indirectamente un equipo informtico es imprescindible la
bsqueda de evidencia digital.
47
Podemos decir que la evidencia digital son los datos que genera
por un equipo informtico, todo lo que se realice en estos equipos
ya sea un computador, celular o una palm, etc., queda registrado
pudiendo ser recuperados y procesados de forma correcta para
que sea presentado como evidencia dentro de un procesos legal.
Tomemos en cuenta que los datos eliminados normalmente o
despus de una formateada del disco pueden ser recuperados y
ser prueba fundamental dentro de un proceso.
Uno de los pasos a tener en cuenta en toda investigacin, sea la
que sea, consiste en la captura de la/s evidencia/s. Por evidencia
entendemos toda informacin que podamos procesar en un
anlisis. Por supuesto que el nico fin del anlisis de la/s
evidencia/s es saber con la mayor exactitud qu fue lo que ocurri.
Podemos entender evidencia como:
El ltimo acceso a un fichero o aplicacin (unidad de tiempo)
Un Log en un fichero
Una cookie en un disco duro
El uptime de un sistema (Time to live o tiempo encendido)
Un fichero en disco
Un proceso en ejecucin
Archivos temporales
Restos de instalacin
Un disco duro, pen-drive, etc...
RFC3227. Recoleccin y manejo de evidencias

El propsito de este documento (RFC3227) no es otro que proveer
a los administradores de sistemas unas pautas a seguir en el
aspecto de recoleccin de evidencias, si se diese el caso de un
48
incidente
de
seguridad.
En este RFC se trata los siguientes aspectos:
Principios para la recoleccin de evidencias
Orden de volatilidad
Cosas a evitar
Consideraciones relativas a la privacidad de los datos
Consideraciones legales
Procedimiento de recoleccin
Transparencia
Pasos de la recoleccin
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento de

stas
Algunos de los principios que rige el documento para la recoleccin

de evidencias son:
Comprometer al personal de aplicacin de la ley y manejo de

incidentes apropiados
Capturar la imagen tan exacta del sistema como sea posible
Anotar todo lo que se vaya investigando
Recolectar las evidencias en funcin de la volatilidad de la

misma. Primero se recogern las de mayor volatilidad
El orden de volatilidad que recoge el RFC es el siguiente:
Registros, Cache
Tabla de ruta. ARP Cache, Tabla de Proceso, Ncleo de

estadsticas, memoria
Sistema de Archivo temporales
Disco
49
Datos de monitoreo y Log's remotos relativos al caso
Configuracin fsica, topologa de red
Medio de Archivos
La evidencia digital es frgil y voltil. La informacin residente en

los medios de almacenamiento electrnico puede ser borrada,
cambiada o eliminada sin dejar rastro, lo cual limita la labor del
investigador forense en informtica para identificar y encontrar
elementos claves para esclarecer los hechos relevantes de una
investigacin.
En este sentido, la evidencia es pieza probatoria bsica que
requiere una revisin detallada sobre cmo se crea, cmo se
recolecta, cmo se asegura y finalmente cmo se presenta en la
corte, con el fin de aportar con claridad y precisin factores que
orienten las decisiones sobre casos donde sta evidencia sea
parte fundamental del mismo.
As mismo, la evidencia digital al ser un objeto relativamente fcil
de manipular, generado por dispositivos electrnicos, de los cuales
no sabemos nada sobre su funcionamiento, la susceptibilidad a las
fallas, entre otras caractersticas, nos advierte que estamos
entrando en un campo de investigacin delicado y formal donde el
conocimiento tcnico es tan fundamental como el conocimiento
forense y de tcnicas probatorias.
En razn a lo anterior, es preciso indagar sobre estrategias que
permitan establecer reglas mnimas que le permitan a la corte
validar pruebas digitales o no. Si bien esta labor requiere un
entendimiento tcnico de los medios electrnicos, tambin
establece un reto a los policas, fiscales y jueces para involucrarse
en los cambios que establece una sociedad digital, donde la
50
delincuencia tambin ha evolucionado en
sus tcnicas
estrategias delictivas.
Luego, al aportar elementos digitales en un caso, es preciso que el
aparato judicial cuente con una base formal y clara sobre la
admisibilidad de la evidencia digital presentada. Es decir, que la
justicia pueda contar con caractersticas bsicas de sta evidencia,
estableciendo procedimientos bsicos que le permitan verificar su
autenticidad, confiabilidad, suficiencia (completa) y conformidad
con las leyes establecidas.
FALLAS Y PRDIDA DE EVIDENCIA DIGITAL
De
acuerdo
con
Casey
(2002)
la
evidencia
digital
est
frecuentemente sometida a errores, fallas y prdidas, eventos que

hay que analizar y profundizar para tratar de disminuir el nivel de
incertidumbre relativo a las mismas. Mientras mayor sea la
incertidumbre alrededor de la evidencia digital identificada,
recolectada y aportada a un proceso, menor ser la fortaleza de su
admisibilidad y capacidad probatoria sobre los hechos presentados
en la corte.
Los errores asociados con los medios de almacenamiento y
configuraciones de los sistemas de cmputo son frecuentes.
Generalmente se encuentra que los diskettes, discos duros, cintas,
CD-Roms, DVD (Digital Video Disk), entre otros, (MORGAN, C.
2002) tienen errores de fbrica, los cuales no son identificables
previo su uso, haciendo que las posibles evidencias all residentes,
no cuenten con caractersticas confiables y verificables dada las
condiciones defectuosas del medio inicial. Sin embargo, importante
aclarar que, aunque ms adelante se revisarn aspectos sobre
tcnicas anti-forenses, muchas veces los atacantes o intrusos en
los sistemas (MILLER, T. 2001) con amplios conocimientos de los
51
sistemas de almacenamiento de archivos pueden manipular las

estructuras de datos de dichos sistemas y esconder informacin
valiosa en sectores de los discos que aparentemente reflejen fallas
del medio de almacenamiento.
De otra parte y complementario a las fallas de los medios de
almacenamiento, la fallas del software base (sistema operacional)
o del software de aplicacin pueden generar inconsistencias o
imprecisiones sobre los archivos generados. En este sentido, el
afinamiento
de
la
instalacin
del
sistema
operacional,
la
sincronizacin de tiempo de las mquinas e instalacin de

actualizaciones del software se convierten en actividades crticas
para disminuir la posibilidad de funcionamientos inadecuados del
software base y por ende, de las aplicaciones que se ejecuten en
las mquinas.
Al no contar con una adecuada sincronizacin de tiempo en las
mquinas, los eventos registrados no corresponden a la realidad
de los mismos, abriendo la posibilidad de mayor incertidumbre
alrededor de los hechos, favoreciendo la posicin del posible
intruso y generando una duda razonable sobre las acusaciones
efectuadas. De manera complementaria al presentarse una falla en
el sistema operacional, la cual puede ser provocada por el
atacante o producto del sistema mismo, puede involucrar
elementos tcnicos de admisibilidad de las pruebas, que no
favorezcan la veracidad de las mismas, desviando el proceso
judicial normal, a concentrarnos en la validez de la Evidencia
Digital aportada.
Como hemos revisado hasta el momento la evidencia digital est
soportada en medios electrnicos que si bien, fsicamente pueden
presentar fallas y que lgicamente pueden ser manipulados, son la
52
va requerida para presentar las pruebas de los hechos ocurridos

en sistemas o dispositivos electrnicos.
No obstante lo anterior, existe una disciplina cientfica denominada
computacin forense (ALLGEIER, M. 2000, FARMER, D y
VENEMA, W. 2000, ARMSTRONG, I. 2001), que ofrece un marco
de accin para disminuir las imprecisiones e incertidumbre, no
sobre los medios de almacenamiento y sus fallas, sino sobre las
estrategias de identificacin, recoleccin, aseguramiento, anlisis y
presentacin de evidencia digital, que permitan a las partes
involucradas
al
aparato
judicial,
obtener
una
visin
medianamente certera de los acontecimientos identificados en los

registros digitales involucrados los sistemas o dispositivos
electrnicos.
ESTRATEGIAS EVASIVAS: ELIMINANDO LOS RASTROS
Dadas las caractersticas de los investigadores forenses en
informtica y sus mtodos de trabajo, los cuales deben cumplir
entre otros, tres requisitos bsicos: (CANO 2001)
1.
Uso de medios forenses estriles (para copias de informacin)
2.
Mantenimiento y control de la integridad del medio original
3.
Etiquetar, controlar y transmitir adecuadamente las copias de

los datos, impresiones y resultado de la investigacin
No siempre logran avanzar e identificar los posibles mviles de los

hechos o mejor an, no pueden aportar las evidencias suficientes
para establecer las relaciones entre la vctima, el sospechoso y la
escena del crimen que permitan validar el principio de intercambio
de Locard (CASEY 2000, pg.4). Si esto ocurre, el esfuerzo
adelantado alrededor de la evidencia digital presente en el caso
podra no rendir los frutos esperados.
53
En este sentido, la experiencia del investigador, sus calificaciones

y
herramientas
importantes
en
utilizadas
el
(CANO
levantamiento
2001),
de
son
elementos
informacin
digital
(BREZINSKI, D. y KILLALEA, T. 2002, BROWN, C. 2002,

FARMER, D y VENEMA, W. 2000) involucrado en el caso. Sin
embargo, pese a contar con un profesional en computacin
forense de las ms altas calidades, si la organizacin no se
encuentra preparada para atender un incidente, es decir, no cuente
con estrategias mnimas de registro, control y anlisis de registros
de auditoria, la labor del investigador ser ms demorada y con
mayores limitantes para aportar la evidencia digital requerida en un
proceso judicial.
Pese a contar con esta medidas referenciadas en el prrafo
anterior, los atacantes constantemente estn actualizando sus
estrategias de ataque para causar mayor dao y dificultar la labor
del investigador (CERT 2002), es decir, cubrir sus rastros o mejor,
an invalidar el trabajo de las herramientas forenses generando
falsas pistas o manipulaciones lgicas que confundan dichos
programas. Esta tendencia, denominada como estrategias antiforenses, revelan la necesidad de que los profesionales e
investigadores en computacin forense avancen en un estudio ms
detallado de las caractersticas de los sistemas operacionales y los
sistemas de archivo presentes en cada uno de ellos.
Un caso relativamente sencillo de implementacin de stas
tcnicas anti-forenses, es la de tratar de esconder informacin en
los discos flexibles o diskettes. Dicha tcnica consiste en identificar
los espacios lgicos dejados por el sistema operacional al efectuar
el formato de un diskette el cual no es detectado a simple vista por
el usuario final. En dichos espacios lgicos un intruso puede
esconder archivos o informacin sensible que pasa desapercibido
54
por el sistema de archivos utilizado, dado que sta no se encuentra

registrada en el espacio establecido por el sistema operacional
para identificacin de los mismos. Para lograr la identificacin de
esta informacin, es necesario recorrer fsicamente la superficie
del disco, pista a pista con el fin de analizar los mencionados
espacios lgicos.
De otra parte, existen en el mercado herramientas que buscan
sanear los medios magnticos para su disposicin final. Es decir,
una vez los dispositivos magnticos como cintas, CD-ROM,
diskettes, discos zip, magneto-pticos, discos duros, entre otros,
han cumplido su ciclo de funcionamiento y no se usen ms, bien
sea, por dao o donacin a terceros, es preciso eliminar de
manera permanente la informacin all residente. En este sentido,
Gutmann (1996) desarrolla una serie de caractersticas requeridas
para que los medios magnticos puedan ser saneados,
eliminando la posibilidad de recuperacin posterior de la
informacin previamente registrada en ellos.
En este sentido, se requiere que los medios mencionados sean
sometidos
tcnicas
de
borrado
seguro,
bien
sea
por
sobreescritura del medio de manera aleatoria, que dificulte y limite

la
extraccin
de
informacin,
por
la
utilizacin
de
desmagnetizadores o degaussers. Estos ltimos dispositivos

hardware que tcnicamente cambian la polaridad de los campos
magnticos presentes en el medio. Un desmagnetizador emite un
campo magntico lo suficientemente fuerte para generar un
cambio de direccin del trazado magntico del medio dejndolo
semejante a cuando lo cre el fabricante (GUTMANN, P. 1996).
Despus de este procedimiento, es prcticamente imposible
recuperar la informacin all residente, pues ha ocurrido un cambio
fsico del medio mismo.
55
Estas tcnicas mencionadas, son tiles para las organizaciones

cuando de disponer de medios magnticos se tratan, sin embargo
en manos equivocadas o por fallas en los procedimientos de uso,
pueden desaperecer de manera permanente informacin sensible
de las organizaciones.
ELEMENTOS
BSICOS
PARA
LA
ADMISIBILIDAD
DE
EVIDENCIA DIGITAL
Caractersticas legales de la Evidencia Digital
Con
las
consideraciones
anteriores,
la
evidencia
digital,
representada en todas las formas de registro magntico u ptico

generadas por las organizaciones, debe avanzar hacia una
estrategia de formalizacin que ofrezca un cuerpo formal de
evaluacin y anlisis que deba ser observado por el ordenamiento
judicial de un pas. En general las legislaciones y las instituciones
judiciales han fundado sus reflexiones sobre la admisibilidad de la
evidencia en cuatro (4) conceptos (SOMMER, P. 1995, IOCE 2000,
CASEY 2001, cap.6):
1.
Autenticidad.
2.
Confiabilidad.
3.
Completitud o suficiencia
4.
Conformidad con las leyes y reglas del Poder Judicial
Autenticidad
La autenticidad de la evidencia nos sugiere ilustrar a las partes que
dicha evidencia ha sido generada y registrada en los lugares o
sitios relacionados con el caso, particularmente en la escena del
posible ilcito o lugares establecidos en la diligencia de
56
levantamiento de evidencia. As mismo, la autenticidad, entendida

como aquella caracterstica que muestra la no alterabilidad de los
medios originales, busca confirmar que los registros aportados
corresponden a la realidad evidenciada en la fase de identificacin
y recoleccin de evidencia.
En este sentido verificar la autenticidad de los registros digitales
requiere, de manera complementaria a la directriz general
establecida por la organizacin sobre stos registros, el desarrollo
y configuracin de mecanismos de control de integridad de
archivos. Es decir, que satisfacer la caracterstica de autenticidad
se requiere que una arquitectura exhiba mecanismos que
aseguren la integridad de los archivos y el control de cambios de
los mismos.
Luego, al establecer una arquitectura de cmputo donde se
fortalezca la proteccin de los medios digitales de registro y el
procedimiento
asociado
para
su
verificacin,
aumenta
sustancialmente la autenticidad y veracidad de las pruebas

recolectadas y aportadas. En consecuencia, la informacin que se
identifique en una arquitectura con stas caractersticas, tendr
mayor fuerza y solidez, no slo por lo que su contenido ofrezca,
sino por las condiciones de generacin, control y revisin de los
registros electrnicos.
En otras palabras, al contar con mecanismos y procedimientos de
control de integridad se disminuye la incertidumbre sobre la
manipulacin
no
autorizada
de
la
evidencia
aportada,
concentrndose el proceso en los hechos y no en errores tcnicos

de control de la evidencia digital bajo anlisis.
57
Confiabilidad
De otro lado la confiabilidad de la evidencia, es otro factor
relevante para asegurar la admisibilidad de la misma. La
confiabilidad nos dice si efectivamente los elementos probatorios
aportados vienen de fuentes que son crebles y verificables, y
que sustentan elementos de la defensa o del fiscal en el proceso
que se sigue.
En medios digitales, podramos relacionar el concepto de
confiabilidad
con
la
configuracin
de
la
arquitectura
de
computacin. Cmo se dise la estrategia de registro? Cmo se

dise su almacenamiento? Cmo se protegen? Cmo se
registran y se sincronizan? Cmo se recogen y analizan? Son
preguntas, cuyas respuestas buscan demostrar que los registros
electrnicos poseen una manera confiable para ser identificados,
recolectados y verificados.
Cuando logramos que una arquitectura de cmputo ofrezca
mecanismos de sincronizacin de eventos y una centralizacin de
registros
de
sus
actividades,
los
cuales
de
manera
complementaria, soportan estrategias de control de integridad,

hemos avanzado en la formalizacin de la confiabilidad de la
evidencia digital. As mismo, en el desarrollo de software o diseo
de programas es necesario incluir desde las primeras fases de la
creacin de aplicaciones un momento para la configuracin de los
logs o registros de auditora del sistema, ya que de no hacerlo, se
corre el riesgo de perder trazabilidad de las acciones de los
usuarios en el sistema y por tanto, crear un terreno frtil para la
ocurrencia de acciones no autorizadas.
En otras palabras, se sugiere que la confiabilidad de la evidencia
en una arquitectura de cmputo estar en funcin de la manera
58
como se sincronice el registro de las acciones de los usuarios y de

un registro centralizado e ntegro de los mismos. Lo cual reitera la
necesidad de un control de integridad de los registros del sistema,
para mantener la autenticidad de los mismos.
Suficiencia
La completitud o suficiencia de la evidencia o ms bien, la
presencia de toda la evidencia necesaria para adelantar el caso.
Esta es una caracterstica, que igual que las anteriores, es factor
crtico de xito en las investigaciones adelantadas en procesos
judiciales. Frecuentemente la falta de pruebas o insuficiencia de
elementos probatorios ocasiona la dilacin o terminacin de
procesos que podran haberse resuelto. En este sentido, los
abogados reconocen que mientras mayores fuentes de anlisis y
pruebas se tengan, habr posibilidades de avanzar en la defensa o
acusacin en un proceso judicial.
Desarrollar estas caractersticas en arquitecturas de cmputo
requiere afianzar y manejar destrezas de correlacin de eventos en
registros de auditora. Es decir, contando con una arquitectura con
mecanismos de integridad, sincronizacin y centralizacin, es
posible establecer patrones de anlisis que muestren la imagen
completa de la situacin bajo revisin.
La correlacin de eventos, definida como el establecimiento de
relaciones coherentes y consistentes entre diferentes fuentes de
datos para establecer y conocer eventos ocurridos en una
arquitectura o procesos, sugiere una manera de probar y verificar
la suficiencia de los datos entregados en un juicio. Si analizamos
esta posibilidad, es viable establecer relaciones entre los datos y
eventos presentados, canalizando las inquietudes y afirmaciones
de las partes sobre comportamientos y acciones de los
59
involucrados, sustentando dichas relaciones con hechos o

registros que previamente han sido asegurados y sincronizados.
Con esto en mente, la correlacin se convierte en factor
aglutinante de las caractersticas anteriores referenciadas para
integridad y confiabilidad de la evidencia, sugiriendo un panorama
bsico requerido en las arquitecturas de cmputo para validar las
condiciones solicitadas por la ley con relacin a la evidencia.
Es decir, que la correlacin de eventos como una funcin entre la
centralizacin del registro de eventos y el debido control de
integridad de los mismos, se soporta en una sincronizacin formal
de tiempo y eventos en el tiempo, que deben estar disponibles por
la arquitectura de cmputo para asegurar la suficiencia del anlisis
de la informacin presente en una arquitectura de cmputo.
Conformidad con las leyes y reglas del Poder Judicial.
Finalmente, lo relacionado con la conformidad de las leyes y reglas
de
la
justicia,
hace
referencia
los
procedimientos
internacionalmente aceptados para recoleccin, aseguramiento,

anlisis y reporte de la evidencia digital. Si bien esta previsto en los
cdigos de procedimiento civil y penal las actividades mnimas
requeridas para aportar evidencia a los procesos, en medios
digitales existen iniciativas internacionales como las de IOCE
(International Organization of Computer Evidence), la convencin
de cybercrimen presentada por la comunidad europea, el digital
forensic reseach workshop, entre otros donde se establecen
lineamiento de accin y parmetros que cobijan el tratamiento de
la evidencia en medios electrnicos, los cuales deben ser
revisados y analizados en cada uno de los contextos nacionales
para su posible incorporacin.
60
Cuando se tiene acceso a evidencia digital por medios no

autorizados y no existen medios para probar su autenticidad,
confiabilidad y suficiencia, los elementos aportados carecern de la
validez requerida y sern tachados de ilegales. Esta evidencia
obtenida de esta manera, no ofrece maneras para comprobar las
posibles hiptesis que sobre el caso se hayan efectuado, dadas la
irregularidades que enmarcan su presentacin.
Buenas prcticas a la hora de la recogida y anlisis de los
datos
Estudio Preeliminar
Es el primer paso de cualquier anlisis forense. Nos deben explicar
con la mayor exactitud posible qu ha ocurrido, qu se llevaron o
intentaron llevar y cundo ocurri. Tambin se tendr que recoger
informacin sobre la organizacin, ya sea organizacin, casa, etc.
Se recoger informacin sobre la tipologa de red y de gente
directa
indirectamente
implicada.
Tambin
se
recoger
informacin sobre el tipo de escenario y el/los sistema/s

afectado/s.
Apagamos el equipo?
Se pueden presentar dos casos. El primero es el de no apagar el
equipo. Si no se apaga el equipo, se podr ver todos los procesos
en ejecucin, los consumos de memoria, las conexiones de red,
los puertos abiertos, los servicios que corren en el sistema, etc.
Tambin se presenta el problema de que si apagamos el equipo,
se perder informacin voltil que puede ser esencial para el curso
de la investigacin.
61
La parte mala de esta situacin es que el sistema, al poder estar

contaminado, ste puede ocultar la informacin. Tambin se
presenta el problema de que si se apaga el sistema, ste puede
comprometer a toda la red.
Si no se apaga el sistema se tendr que controlar este aspecto de
la seguridad, y aislarlo completamente de la red, lo cual llega a ser
prcticamente imposible en determinados escenarios.
Tipo de Herramientas
Una de las cosas ms importantes a la hora de realizar un anlisis
forense es la de no alterar el escenario a analizar. Esta es una
tarea prcticamente imposible, porque como mnimo, alteraremos
la memoria del sistema al utilizar cualquier herramienta. Las
herramientas que se utilicen deben de ser lo menos intrusivas en el
sistema, de ah que se huya de las herramientas grficas, las que
requieren instalacin, las que escriben en el registro, etc.
Lo normal y lgico sera utilizar herramientas ajenas al sistema
comprometido, ya sean herramientas guardadas en cualquier
soporte (CD-ROM, USB, etc.). Esto se hace para no tener que
utilizar las herramientas del sistema, ya que pueden estar
manipuladas y arrojar falsos positivos, lecturas errneas, etc.
Tipo de Copia del Sistema
En el caso de que se pueda realizar, lo ideal sera hacer ms de
una copia de seguridad. Una de ellas se podra guardar
hermticamente junto con algn sistema de fechado digital y una
copia se destinara a trabajar sobre ella.
En el caso que sea posible, la imagen obtenida podremos montarla
sobre un hardware similar al de la mquina afectada.
62
Destacar los siguientes aspectos:
La copia que se realice debera ser lo ms exacta posible
Si es posible, hacer varias copias de seguridad
Una de ellas se guardar hermticamente, para aislarla de todo

tipo de agente exterior
A ser posible se fecharn digitalmente y sobre el papel
En el caso que sea posible, la imagen obtenida montarla sobre

hardware similar
Cuentas de usuario y perfiles de usuario

Dejando a un lado si se accede legtima o ilegtimamente, un
usuario no es ms que cualquier persona que pueda acceder al
sistema.
En una cuenta de usuario se almacena informacin acerca del
usuario. Algunos datos que se guardan son:
Nombre de usuario: Nombre con el que se identifica en el

sistema
Nombre completo: Nombre completo del usuario (Siempre que

se rellene)
Contrasea: Palabra cifrada para autenticarse en el sistema
SID: Cdigo de identificacin de seguridad
Directorio: Es el lugar donde en un principio se guardar toda

informacin relevante al usuario.
8.
LA DIVINDAT DIRINCRI PNP
a. Misin
La Divisin de Investigacin de Delitos de Alta Tecnologa, es el
rgano de ejecucin de la Direccin de Investigacin Criminal
que tiene como misin, investigar, denunciar y combatir el
63
crimen organizado transnacional (Globalizado) y otros hechos

trascendentes a nivel nacional en el campo de los Delitos
Contra la Libertad, Contra el Patrimonio, Seguridad Pblica,
Tranquilidad Pblica, Contra la Defensa y Seguridad Nacional,
Contra la Propiedad Industrial y otros, cometidos mediante el
uso de la tecnologa de la informacin y comunicacin,
aprehendiendo los indicios, evidencias y pruebas, identificando,
ubicando y deteniendo a los autores con la finalidad de
ponerlos a disposicin de la autoridad competente.
b. Funciones
1.
Investigar y Denunciar la Comisin de los Delitos Contra el

Patrimonio (hurto agravado) mediante la utilizacin de
sistemas de transferencias electrnicas de fondos, de la
telemtica en general, o la violacin del empleo de claves
secretas, identificando, ubicando y capturando a los
autores y cmplices, ponindolos a disposicin de la
autoridad competente.
2.
Investigar y Denunciar la Comisin de los Delitos

Informticos en la modalidad de interferencia, acceso,
copia ilcita, alteracin, dao o destruccin contenida en
base de datos y otras que ponga en peligro la seguridad
nacional, identificando, ubicando y capturando a los
autores y cmplices, ponindolos a disposicin de la
autoridad competente.
3.
Investigar y Denunciar la Comisin de los delitos contra la

libertad (ofensas al pudor pblico-pornografa infantil),
ubicando y capturando a los autores y cmplices,
ponindolos a disposicin de la autoridad competente.
64
4.
Solicitar las Requisitorias de las Personas plenamente

identificadas, no habidas a quienes se les ha probado
responsabilidad en la comisin de los delitos investigados.
5.
Transcribir a las Unidades Especializadas los Delitos que

no son de su competencia y de cuya comisin se tenga
conocimiento.
6.
Colaborar con la Defensa Interior del Territorio.
7.
Participar en las Acciones de Defensa Civil.
8.
Contribuir en el Desarrollo Socio-Econmico Nacional.
9.
Cumplir con las Funciones que le asigne el Comando

Institucional.
10. Tambin investiga aquellos Delitos que son cometidos

mediante el uso de TIC's.
C.
BASE LEGAL
MARCO NORMATIVO NACIONAL
1. Constitucin Poltica del Per, art. 166 y 171

2. Cdigo Penal, Decreto Legislativo 635 promulgado el 03 de Abril de
1991.
Art. 207A, Acceso no autorizado a servicios y sistemas

informticos y telemticos y Base de datos pblico y privado.
Art. 207-B y 207-C, Manipulacin de programas informticos.
Art. 186, Manipulacin de los datos bancarios personales (uso

indebido de tarjetas de crdito y de cajeros automticos).
Art. 427, Falsificacin electrnica de documentos.
Art. 161, Suplantacin (e-mail)
65
Art. 183-A, Pornografa infantil.
Art. 216, 217, 218, 219 y 220, Propiedad intelectual.
Art. 222, 223 y 224, Propiedad industrial: marcas, patentes.
Art. 249, Pnico financiero.
Art. 316, Apologa.
Art. 132, Difamacin.
Art. 331, Espionaje.
Art.427, Manipulacin y/o falsificacin de datos
3. Decreto Legislativo N 957, promulgado el 29 de julio de 2004, art.

IV, VIII, 220, inciso 2 y 221.
4. Reglamento de la Cadena de Custodia de Elementos materiales,
evidencias y Administracin de bienes incautados, aprobado por
Resolucin No.729-2006-MP-FN del 15 de junio del 2006, art. 4, 7, 8,
11, 12, 13, 14, 15 y 36.
5. Ley No. 27238, Ley de la Polica Nacional del Per.
6. Ley No. 27379, promulgada el 20 diciembre.2000 y publicada el 21
de diciembre del 2000. Ley de procedimiento para adoptar medidas
excepcionales
de
limitacin
de
derechos
en
investigaciones
preliminares
7. Ley No.27934, establece la intervencin de la Polica en la
investigacin preliminar en aquellos casos que por motivos de
distancia u otros, el Fiscal no puede asistir de manera inmediata al
lugar donde la Polica realiza su intervencin.
8. Ley No. 27697, que otorga facultad al Fiscal para intervencin y
control de comunicaciones y documentos privados en caso
excepcional.
9. Ley N 27808, Ley de Transparencia y acceso a la Informacin
Pblica.
10. Resolucin Directoral N 1695-2005-DIRGEN/EMG del 08AGO2005.
se crea la Divisin de Investigacin de Delitos de Alta Tecnologa
- DIVINDAT dentro de la estructura orgnica de la DIRINCRI y se le
66
asigna la misin de: Investigar, denunciar y combatir el crimen

organizado y otros hechos trascendentes a nivel nacional en el
campo del Delito Contra el Patrimonio (Hurto Agravado de fondos
mediante sistemas de transferencias electrnicas de la telemtica en
general) y Delito Contra la Libertad - Ofensas al Pudor Pblico
(Pornografa Infantil), en sus diversas modalidades.
D.
DEFINICIN DE TRMINOS
1. Antivirus: Programa que busca y eventualmente elimina los virus
informticos que pueden haber infectado un disco rgido o disquette.
2. Botnets: Asociacin en red (nets) de mquinas autnomas (robots)
que forman un grupo de equipos que ejecutan una aplicacin
controlada y manipulada por el artfice del botnet, que controla todos
los ordenadores/servidores infectados de forma remota y que pueden
emplearse para robar datos o apagar un sistema.
3. Cadena de Custodia: La cadena de custodia de la prueba es el
procedimiento controlado que se aplica a los indicios materiales
relacionados con el delito, desde su localizacin hasta su valoracin
por los encargados de administrar justicia y que tiene como fin no
viciar el manejo de que ellos se haga y as evitar alteraciones,
sustituciones, contaminaciones o destrucciones.
4. Carding: consiste en la obtencin de los nmeros secretos de la
tarjeta de crdito, a travs de tcnicas de phishing, para realizar
compras a travs Internet.
5. Cracker: Es alguien que viola la seguridad de un sistema informtico
de forma similar a como lo hara un hacker, slo que a diferencia de
este ltimo, el cracker realiza la intrusin con fines de beneficio
personal o para hacer dao.
6. Delito: Es una accin antijurdica realizada por un ser humano,
tipificado, culpable y sancionado por una pena
7. Delito Informtico: El Delito Informtico es toda accin consciente y
voluntaria que provoca un perjuicio a persona natural o jurdica sin
67
que necesariamente conlleve a un beneficio material para su autor, o

que por el contrario produce un beneficio ilcito para su autor aun
cuando no perjudique de forma directa o inmediata a la vctima, y en
cuya comisin interviene indispensablemente de forma activa
dispositivos normalmente utilizados en las actividades informticas.
8. Escena del delito: Una escena del delito es caracterizada
frecuentemente con un espacio fsico delimitado de alguna manera,
por paredes, por un rea ms extensa o simplemente delimitadas por
el suelo. En funcin de estas caractersticas, se dice, que la escena
es cerrada, abierta o mixta.
9. Evidencia digital: Son los datos que genera por un equipo
informtico, todo lo que se realice en estos equipos ya sea un
computador, celular o una palm, etc., queda registrado pudiendo ser
recuperados y procesados de forma correcta para que sea
presentado como evidencia dentro de un procesos legal. Tomemos
en cuenta que los datos eliminados normalmente o despus de una
formateada del disco pueden ser recuperados y ser prueba
fundamental dentro de un proceso.
10. Hacker: Persona que posee elevados conocimientos de sistemas y
seguridad informtica, los cuales pueden emplear en beneficio propio
y de la comunidad con que comparten intereses
11. Hoax: Del ingls, engao o bulo. Se trata de bulos e historias
inventadas, que no son ms que eso, mentiras solapadas en
narraciones cuyo fin ltimo es destapar el inters del lector o
destinatario. Dichas comunicaciones pueden tener como finalidad
ltima: Conseguir dinero o propagar un virus.
12. Keylogger: Programa o dispositivo que registra las combinaciones
de teclas pulsadas por los usuarios, y las almacena para obtener
datos confidenciales como contraseas, contenido de mensajes de
correo, etc. La informacin almacenada se suele publicar o enviar por
internet.
68
13. Malware: El trmino Malvare (Acrnimo en ingls de: "Malcious

software") engloba
(troyanos,
virus,
todos
gusanos,
aquellos programas
etc.)
que
pretenden
"maliciosos"
obtener
un
determinado beneficio, causando algn tipo de perjuicio al sistema

informtico o al usuario del mismo.
14. Pederastia: Segn la Real Academia Espaola se define como el
Abuso cometido con nios. El trmino abuso significa cualquier
uso excesivo del propio derecho que lesiona el derecho ajeno, en
tanto que agresin significa acometimiento, ataque; mientras que en
el abuso la violencia o intimidacin no parece significativa del
concepto, en la agresin es inequvoca. La consumacin del delito de
abuso se produce tan pronto se materialice el tocamiento ntimo o la
conducta de que se trate, aunque el sujeto activo no alcance la
satisfaccin buscada
15. Pedofilia: Atraccin ertica o sexual que una persona adulta siente
hacia nios o adolescente, sin que llegue a consumarse el abuso.
16. Pharming: Manipulacin de la resolucin de nombres de dominio
producido por un cdigo malicioso, normalmente en forma de
troyano, que se nos ha introducido en el ordenador mientras
realizbamos una descarga, y que permite que el usuario cuando
introduce la direccin de una pgina web, se le conduzca en realidad
a otra falsa, que simula ser la deseada. Con esta tcnica se intenta
obtener informacin confidencial de los usuarios, desde nmeros de
tarjetas de crdito hasta contraseas. De manera que si el usuario
accede a la web de su banco para realizar operaciones bancarias, en
realidad accede a una web que simula ser la del banco, casi a la
perfeccin, logrando los delincuentes, obtener los cdigos secretos
del usuario, pudiendo materializar el fraude con los mismos.
17. Phishing: Es la contraccin de "password harvesting fishing"
(cosecha y pesca de contraseas). Las tcnicas denominadas
"phishing" consisten en el envo de correos electrnicos, en los
cuales el usuario cree que el remitente se trata de una entidad
69
reconocida y seria (usualmente bancos), en los que se solicita al

mismo que por unos u otros motivos debe actualizar o verificar sus
datos de cliente a travs, normalmente, de un enlace a una pgina
que simula ser de la entidad suplantada. Una vez el usuario remite
sus datos, los delincuentes o estafadores pueden proceder a operar
con los mismos.
18. Pornografa infantil: Se define como toda representacin, por
cualquier medio, de un nio dedicado a actividades sexuales
explcitas, reales o simuladas, o toda representacin de las partes
genitales de un nio, con fines primordialmente sexuales
19. Spam o correo basura: Todo tipo de comunicacin no solicitada,
realizada por va electrnica. De este modo se entiende por Spam
cualquier mensaje no solicitado y que normalmente tiene el fin de
ofertar, comercializar o tratar de despertar el inters respecto de un
producto, servicio o empresa. Aunque se puede hacer por distintas
vas, la ms utilizada entre el pblico en general es mediante el
correo electrnico. Quienes se dedican a esta actividad reciben el
nombre de spammers.
20. Spoofing: Hace referencia al uso de tcnicas de suplantacin de
identidad generalmente con usos maliciosos o de investigacin.
Tipos: I
21. IP Spoofing: suplantacin de IP. Consiste bsicamente en sustituir la
direccin IP origen de un paquete TCP/IP por otra direccin IP a la
cual se desea suplantar.
22. Trfico de menores con fines de explotacin sexual: La conducta
consiste en favorecer la entrada, estancia o salida del territorio
nacional de personas menores de edad con el propsito de su
explotacin sexual empleando violencia, intimidacin o engao, o
abusando de una situacin de superioridad o de necesidad o
vulnerabilidad de la vctima o para iniciarla o mantenerla en una
situacin de prostitucin.
70
23. Virus informtico: Programa de ordenador que puede infectar otros

programas o modificarlos para incluir una copia de s mismo. Los
virus se propagan con distintos objetivos, normalmente con
finalidades fraudulentas y realizando daos en los equipos
informticos.
71
CAPITULO III
ANLISIS
A.
SISTEMATIZACIN DE LA INFORMACIN
1. El uso frecuente de computadoras y de la posibilidad de su
interconexin a nivel global da lugar a un verdadero fenmeno de
nuevas dimensiones denominado: el delito informtico; este delito,
implica actividades criminales que en un primer momento los pases
han tratado de encuadrar figuras tpicas de carcter tradicional, tales
como: hurto, fraude, falsificaciones, estafa, sabotaje, entre otros. Sin
embargo, debe destacarse que el uso de las tcnicas informticas
ha creado nuevas posibilidades del uso indebido de computadoras,
propiciando a su vez la necesidad de regulacin por parte del
derecho.
2. En nuestro pas los delitos informticos se encuentran previstos en

el Ttulo V: Delitos contra el Patrimonio, Captulo X: Delitos
Informticos del Cdigo Penal, contemplados por los artculos 207A, 207-B y 207-C, incorporados por la Ley No. 27309. El delito ms
utilizado por los criminales es el Hurto Telemtico, previsto y
sancionado en el artculo 186 del Cdigo Penal, pero esta figura no
est includa en el Captulo referido a los delitos informticos.
3. La informtica y la informacin, como valor econmico, no tienen
regulacin especfica en nuestro pas, a diferencia de lo que ocurre
en otros pases (Derecho Comparado). No obstante, existen normas
que de alguna u otra forma hacen referencia a ellas, as por ejemplo
en nuestro Cdigo Penal se encuentran tipificados implcitamente en
los delitos contra el honor (cuando el delito se comete por
comunicacin social internet, etc.), contra la libertad (Coaccin),
contra el patrimonio (estafa, extorsin, fraude de personas jurdicas,
72
etc.) y en normas no codificadas como la Ley de Derechos del Autor

(Decreto Legislativo N 822, en el que se dedica dos captulos
especficos a la proteccin de programas de ordenador (Ttulo VI
Disposiciones Especiales para ciertas obras, Captulo III de las
bases de datos, art. 78); en este caso la proteccin jurdica se centra
en los derechos intelectuales inmanentes a la creacin de estos, la
Ley de Propiedad Industrial, Decreto Legislativo N 823, que
constituye el fundamento de proteccin de la informacin se centra
en su confidencialidad de la misma, resguardndose tan slo la
revelacin, adquisicin o uso del secreto.
4. La Ley N 27808 (Ley de Transparencia y acceso a la Informacin

Pblica), que regula el derecho fundamental del acceso a la
informacin, consagrado en el numeral 5 del Art. 2 de la Constitucin
Poltica del Per, a la par que establece las excepciones al ejercicio
de dicho derecho (art. 15) prohibiendo taxativamente acceder a la
informacin expresamente, clasificada como estrictamente secreta,
materias cuyo conocimiento pblico pueden afectar los intereses del
pas en negociaciones o tratados internacionales, informacin
protegida por el secreto bancario, etc.; de modo que si alguien no
autorizado viola dicho precepto est sujeto a las responsabilidades
de ley sin que se tipifique expresamente la penalidad ni menos se le
califique como figura agravante.
5. La cadena de custodia de la prueba es el procedimiento controlado
que se aplica a los indicios materiales relacionados con el delito,
desde su localizacin hasta su valoracin por los operadores de
justicia (Polica, Ministerio Pblico y Poder Judicial) y que tiene como
fin no viciar el manejo que de ellos se haga y as evitar alteraciones,
sustituciones, contaminaciones o destrucciones. Es el procedimiento
destinado a garantizar la individualizacin, seguridad y preservacin
de los elementos materiales y evidencias, recolectados de acuerdo a
73
su naturaleza o incorporados en toda investigacin de un hecho

punible, destinados a garantizar su autenticidad, para los efectos del
proceso, las actas, formularios y embalajes forman parte de la
cadena de custodia.
6. Este procedimiento, en la investigacin de delitos informticos, se
inicia con el aseguramiento, inmovilizacin o recojo de los elementos
materiales y evidencias digitales en el lugar de los hechos, durante
las primeras diligencias o incorporados en el curso de la
investigacin preliminar o preparatoria y concluye con la disposicin
o resolucin judicial que establezca su destino final. En ese sentido,
la Polica Nacional en el cumplimiento de su misin y funciones
acta directamente desde el primer momento en que toma
conocimiento del hecho y est en contacto ntimo con las
circunstancias de su realizacin, as como del imputado y de la
vctima, por lo que posee vastos conocimientos de causa sobre el
acto punible, sus mviles, las modalidades, los efectos del delito, los
partcipes, los cmplices, los encubridores, los receptadores, los
autores intelectuales, los testigos, los informantes, los confidentes,
las redes del crimen organizado, etc. que en muchos casos el
Ministerio Pblico desconoce o no domina a cabalidad
7. En tal sentido, la evidencia digital son cada da ms recurrentes en
los procesos judiciales. Son las pruebas que sustentan los delitos
informticos y afines, son correos electrnicos, grabaciones
generadas y conservadas en formato digital, fotografas digitales,
mensajes de texto de celulares, llamadas reportadas en la base de
datos de los operadores de telefona mvil, entre otras; lo que pone
en la mira el deficiente conocimiento que sobre la gestin de ste
tipo de evidencias se debe asentar.
74
8. En ese contexto, la Divisin de Investigacin de Delitos de Alta

Tecnologa DIVINDAT PNP, que se encarga de la investigacin de
los delitos informticos, alimentndose de informacin de las
denuncias directas recibidas y del patrullaje virtual que efecta en el
desempeo de su funcin, para que las investigaciones que realiza
sean eficientes debe de contar con el personal profesional
especializado, los recursos logsticos necesarios y tener presente
que el valor de las pruebas y/o evidencias digitales obtenidas con el
mayor esmero y mejor conservadas puede perderse si no se
mantiene debidamente la cadena de custodia y asumir que este
sistema es el punto dbil de las investigaciones policiales y/o
judiciales. Pues debe de entender adems que la documentacin
cronolgica y minuciosa de las pruebas son vitales para establecer
su vinculacin con el presunto delito, desde el principio, es decir,
debe garantizar la trazabilidad y la continuidad de las pruebas desde
la escena del delito hasta su destino final en la sala del juzgado.
B.
ANLISIS DE LA INFORMACIN
1.
La presente investigacin se realiz en la Divisin de Investigacin

de Delitos Informticos DIVINDAT DIRINCRI PNP, Sub unidad
especializada encargada de investigar, denunciar y combatir el
crimen organizado y otros hechos trascendentes a nivel nacional los
Delitos Informticos, Contra la Libertad, Contra el Patrimonio,
Seguridad Pblica, Tranquilidad Pblica, Contra la Defensa y
Seguridad Nacional, Contra la Propiedad Industrial y otros,
cometidos mediante el uso de la tecnologa de la informacin y
comunicacin, durante el mes de Mayo 2010, con la finalidad de
evaluar el sistema de cadena de custodia de la evidencia digital en
las investigaciones que realiza esta dependencia policial; as como
determinar de que manera influye este procedimiento de tratamiento
de la prueba en la investigacin.
75
2.
Durante la presente investigacin, pese a las limitaciones por el

factor tiempo y otros precedentemente sealados, se ha acopiado
informacin
importante
respecto
de
los
procedimientos
implementados en esta Sub Unidad que utilizan para la obtencin y

custodia de la evidencia digital en la investigacin de delitos
informticos y del nivel de capacitacin del personal en la obtencin,
preservacin y custodia de la evidencia digital, para responder
eficientemente en el cumplimiento de su misin.
3.
Se realiz por que se debe de tener en cuenta el valor de las

pruebas y/o evidencias digitales obtenidas durante un proceso
investigatorio, que a pesar de haberse efectuado con el mayor
esmero y mejor conservadas puede perderse, alterarse o destruirse
si no se mantiene debidamente la cadena de custodia y asumir que
este aspecto es el punto dbil de las investigaciones policiales y/o
judiciales. Adems, que el tratamiento correcto de estas evidencias
son vitales para establecer su vinculacin con el presunto delito,
desde el principio, es decir, desde que son descubiertas en la
escena del delito hasta su destino final dispuesto por el Fiscal o
Juez competente.
4.
El objetivo del estudio realizado est orientado a determinar la

influencia del sistema de cadena de custodia de la evidencia digital
en la investigacin de los delitos informticos realizados por la
DIVINDAT PNP, establecindose de acuerdo a los resultados
obtenidos que si no se instituyen esquemas y/o procedimientos
apropiados y continuos con la evidencia digital, desde el inicio
(descubiertas) o incorporada durante la investigacin preliminar o
preparatoria hasta su destino final (Fiscala o Poder Judicial)
repercutir de manera negativa en la investigacin y acarrear
responsabilidades, pues se debe de tener en cuenta que la cadena
de custodia es un procedimiento establecido por la Ley (CPP) y su
76
aplicacin obliga a los operadores de justicia a actuar con la debida

diligencia a fin de que la prueba digital sea conservada para
garantizar su autenticidad, para los efectos del proceso y no sea
alterada, contaminada o destruida.
5.
A pesar que en la DIVINDAT PNP en la actualidad no exista un

Manual o Gua de procedimientos Operativos adecuado, oportuno y
actualizado para el tratamiento de la evidencia digital a travs del
sistema de cadena de custodia de la evidencia, as como a las
limitaciones existentes de ndole personal y logstica; en la labor
operativa que estn desempeando vienen dando resultados
eficientes en su lucha contra los delincuentes cibernautas y crimen
organizado, desbaratando bandas u organizaciones delictivas que
usan como medios o fines los sistemas y equipos informticos o
telemticos; no habindose presentado hechos o situaciones en las
que la evidencia digital obtenida haya sido daada, alterada o
contaminada y perjudicado la investigacin.
C.
ANLISIS DE RESULTADOS
Resultados de la variable investigacin de delitos informticos
Con la finalidad de presentar los resultados de la variable investigacin

de delitos informticos, sobre la base de los resultados obtenidos se
emple la tcnica de anlisis de los indicadores de seleccin, nivel de
capacitacin y logros alcanzados del personal PNP de la DIVINDAT PNP
1.
Seleccin de personal.
En la Polica Nacional del Per, en el proceso de seleccin de
personal policial que se lleva a cabo en la Direccin de Recursos
Humanos DIRREHUM, con motivo de los Cambios Generales
anuales, para el desempeo profesional de un efectivo PNP (Oficial
77
o Suboficial) en una determinada Unidad policial, no se toman en

cuenta la especialidad, nivel de capacitacin entre otros con el
objeto de mejorar la capacidad operativa de la Unidad. En la
DIVINDAT PNP, en el periodo 2010 se cuenta con el recurso
humano siguiente:
Tabla No. 1
Personal PNP que labora en la DIVINDAT PNP, por jerarquas, ao 2010
JERARQUAS
CANTIDAD
OFICIALES SUPERIORES
14
OFICIALES PNP
11
SUBOFICIALES PNP
24
TOTAL
49
Fuente: DIVINDAT PNP
OFICIALES
SUPERIORES
29%
SUBOFICIALE
S
49%
OFICIALES
SUPERIORES
OFICIALES
SUBOFICIALES
OFICIALES
22%
La tabulacin nos indica que existe en igual porcentaje Oficiales y

Suboficiales PNP, de los cuales, los Oficiales Superiores ejercen
cargos
de
Jefe
de
Unidad
Departamento,
dirigen
las
investigaciones que se llevan a cabo.
78
Los Oficiales PNP desempean cargos operativos en los Tres (03)

Departamentos existentes en la DIVINDAT PNP (Dpto. de Anlisis
Tcnico, Dpto. de Investigacin de pornografa infantil, Dpto. de
Investigaciones Especiales y Dpto. de delitos informticos), al igual
que los Suboficiales.
2. Nivel de capacitacin
Tabla No. 2
Nivel de instruccin y capacitacin del personal de la DIVINDAT PNP periodo
2010
INSTRUCCIN
CANTIDAD
PROFESIONALES EN INFORMTICA
03
ESTUDIANTES UNIVERSITARIOS DE
INFORMTICA
CURSO
DE
CAPACITACIN
EN
INFORMTICA
NO TIENEN CURSO DE INFORMTICA
06
TOTAL
49
08
32
Profesionales
6%
Estudiantes U
12%
No tienen
66%
Cursos Capac
16%
Profesionales
Estudiantes U
Cursos Capac
No tienen
79
De los resultados obtenidos se infiere que slo el 18% del personal

que labora en la DIVINDAT PNP son profesionales y con estudios
universitarios en informtica, quienes vienen a ser el soporte
profesional y tcnico de los anlisis forenses de la evidencia digital.
El 16% del personal cuenta con Curso de Capacitacin en

Informtica, quienes contribuyen de manera significativa en la
obtencin de la evidencia digital y manejo del sistema de custodia de
la misma; as como de las investigaciones policiales..
Existe un 66% del personal en la DIVINDAT PNP que podran poner

en riesgo los procedimientos para la obtencin y conservacin de la
evidencia digital, as como la investigacin propiamente dicha.
3. Logros alcanzados
Durante el periodo de Enero a Mayo 2010, en la DIVINDAT PNP se
han registrado un total de 685 denuncias, entre directas y
provenientes del Ministerio Pblico, por diferentes delitos, segn su
competencia
funcional
(delitos
informticos,
delito
Contra
el
Patrimonio Hurto agravado, estafa, pornografa infantil, etc.),

cometidos mediante el uso de la informtica o sistemas telemticos.
Tabla No. 3
Documentos policiales formulados en la DIVINDAT PNP en el periodo Enero
Mayo 2010
ATESTADOS
62
PARTES
183
INFORMES TECNICOS
150
INFORMES
67
Del cuadro que antecede se infiere que en la DIVINDAT PNP se han

resuelto el 35.77% del total de denuncias existentes, lo que
determina que pese a las limitaciones de ndole personal y logstica
que adolece esta Sub Unidad, los resultados son eficaces.
80
Asimismo, se tiene que mensualmente en la DIVINDAT PNP se

registran 137 denuncias, de cuyo aspecto se deduce que los delitos
cometidos mediante el uso de sistemas informtico o telemticos se
estaran incrementando en el pas.
Tabla No. 4
Atestados policiales formulados en la DIVINDAT PNP segn modalidad

delictiva en el periodo Enero Mayo 2010
DELITO
ATESTADOS
DCP HURTO AGRAVADO
39
DCP EXTORSIN
DCP ESTAFA
DCL COACCIN
DCL OFENSAS AL PUDOR
VIOLACIN SEXUAL DE MENOR
DELITOS INFORMTICOS
DERECHOS DE AUTOR
TOTAL
62
45
40
HURTO AGRAV
35
EXTORSION
30
ESTAFA
25
COACCION
20
OFENSA PUDOR
15
VIOL. SEXUAL MEN
10
DELITOS INFORM
DER AUTOR
5
0
1
81
De la tabulacin efectuada se infiere que los delitos contra el

patrimonio en la modalidad de Hurto agravado mediante el uso de
sistemas informticos o telemtica, son los que en mayor nmero se
registran e investigan.
Resultados de la variable Cadena de Custodia de la evidencia

digital
Con la finalidad de presentar los resultados de la variable Cadena de

Custodia de la evidencia digital, se emple la tcnica de anlisis de
contenido de las normas y procedimientos que regulan este sistema en
el proceso de la investigacin judicial.
1.
Anlisis documental de la Cadena de Custodia establecida en

el Ministerio Pblico
La Resolucin N 729-2006-MP-FN del 15.junio.2006, Reglamento

de la Cadena de Custodia de elementos materiales, evidencias y
administracin
de
bienes
incautados,
que
normaliza
el
procedimiento de Cadena de Custodia tanto de los elementos

materiales y evidencias, as como de los bienes incautados, a efecto
de garantizar la autenticidad y conservacin de los elementos
materiales y evidencias incorporados en toda investigacin de un
hecho punible, auxiliados por las ciencias forenses, la criminalstica,
entre otras disciplinas y tcnicas que sirvan a la investigacin
criminal; establece que los elementos materiales, evidencias y
bienes incautados se registrarn en el formato de la cadena de
custodia mediante una descripcin minuciosa y detallada de los
caracteres, medidas, peso, tamao, color, especie, estado, entre
otros datos del medio en el que se hallaron los elementos
materiales y evidencias, de las tcnicas utilizadas en el recojo y
pericias que se dispongan, en el cual no se admiten enmendaduras.
82
Y que los bienes materiales y las evidencias recolectadas o

incorporadas, debern ser debidamente rotuladas y etiquetadas
para su correcta identificacin y seguridad e inalterabilidad.
Estableciendo adems en esta Directiva el formato y supervisin de

la cadena de custodia, el procedimiento de recoleccin, embalaje y
traslado, el registro y la custodia de los elementos materiales,
evidencias y bienes incautados.
2.
Anlisis documental de la Cadena de Custodia en la DIVINDAT
En el Manual de Procedimientos Operativos de la DIVINDAT PNP,

vigente para el ao 2010, se establece los procedimientos
elementales, bsicos y especializados, que deben de adoptar los
efectivos de esa Unidad, cuando tomen conocimiento de la comisin
de un delito informtico o de la comisin de un delito con el empleo
de la informtica. Establecindose en dicho documento adems
algunas acciones o procedimientos operativos en la escena del
delito, comprendiendo: Llegada al lugar de los hechos, en el lugar
de los hechos, del traslado de equipos incautados; no sealndose
los procedimientos especficos para el aseguramiento de la
evidencia digital mediante la recoleccin, embalaje, registro y
custodia del mismo, acorde a lo establecido en el Reglamento de
Cadena de Custodia del Ministerio Pblico, a fin que la evidencia
obtenida no sufra alteracin, manipulacin o deterioro.
A pesar del procedimiento emprico desarrollado en la DIVINDAT

PNP respecto del sistema de cadena de custodia de la evidencia
digital, durante el presente estudio efectuado no se ha registrado
caso alguno en la que la evidencia digital se haya alterado,
contaminado o deteriorado y consecuentemente haya perjudicado
las investigaciones policiales.
83
CONCLUSIONES
A.
El personal de la DIVINDAT PNP que participa en intervenciones

policiales (allanamientos y secuestros) que involucra tecnologa, ha
demostrado que es necesario contar con un conjunto de acciones legales
y de informtica que deben ser ejecutadas sistemticamente con
procedimientos validos y adecuados a una legislacin propia e invariable
en el manejo de la evidencia digital. El material tecnolgico, en especial,
de informtica debe contar con manipulacin adecuada para evitar que se
viole la cadena de custodia, cuyo cometido es esencial para garantizar la
integridad de la evidencia, as como tambin otras fallas materiales y
procesales.
B.
La DIVINDAT PNP, debe de contar con recursos humanos calificados y/o

especializados, presupuestaria y tecnolgica, por ser esta la unidad
encargada de monitorear e investigar la criminalidad informtica
organizada en el Per y, para hacerlo de una manera efectiva, es
necesario contar con instrumentos informticos de ltima generacin y
personal altamente capacitado.
C.
Pese a que no se cuenta con un Manual o Gua de Procedimientos

adecuado, oportuno y actualizado para el tratamiento de la evidencia
digital a travs del sistema de cadena de custodia, no se han presentado
casos o situaciones en los que la evidencia digital haya sido alterada,
contaminada o destruida y perjudicado la investigacin de los delitos y/o
procesos penales por delitos informticos, por lo que urge la necesidad
de implementar la operatoria correspondiente en aras de garantizar la
autenticidad de la evidencia.
84
RECOMENDACIONES
A.
Aplicar de forma correcta por parte de la Direccin de Recursos

Humanos de la PNP el procedimiento de seleccin del personal, a fin de
escoger al personal ms idneo, capacitado y especializado para el
desempeo funcional operativo en la DIVINDAT PNP y otras Unidades
Especializadas de la PNP, a fin de coadyuvar a lograr la misin de la
institucin y prestar un servicio con eficiencia y calidad a favor de la
comunidad.
B.
Equipar con equipos de tecnologa de punta o de ltima generacin

(hardware y software) a la DIVINDAT PNP, as como implementar
laboratorios de informtica forense en la DIRCRI PNP, que coadyuven al
correcto manejo de la evidencia digital a travs de la cadena de custodia
de la evidencia, desde su obtencin, traslado, conservacin, registro,
anlisis y destino final de la misma, para beneficiar a que las
investigaciones por delito informtico o mediante el uso de sistemas
informticos o telemticos, pese a su complejidad sean eficaces.
C.
Desarrollar en el plazo ms breve un Manual o Gua de procedimientos

sobre la Cadena de Custodia de elementos materiales y evidencias
digitales a efecto de garantizar la autenticidad y conservacin de las
mismas en toda investigacin de un hecho punible vinculado o cometido
mediante el uso de computadoras o sistemas informticos y telemticos,
de alcance a todo el personal de las Unidades Especializadas.
85
BIBLIOGRAFIA
1.
Constitucin Poltica del Per
2.
Cdigo Penal Peruano.
3.
Resolucin N 729-2006-MP-FN del 15.junio.2006
4.
Manual de Procedimientos Operativos de la DIVINDAT PNP
5.
Ciberdelitos: Regulacin en el Per, Ministerio de Transportes y

comunicaciones, 2005
6.
Delitos Informticos, Dr. Luis Alberto Bramont-Arias Torres, Publicado en

Revista
Peruana
de
Derecho
de
la
Empresa
DERECHO
INFORMATICO Y TELEINFORMTICA JURDICA N 51

7.
Wikipedia, http://www.wikipedia.org/
8.
Delitos Informticos, Autor: Walter Purizaca Castro, ao 2007, I edicin.
9.
BLOSSIERS
MAZZINI,
Juan
Jos.
Descubriendo
los
Delitos
Informticos, En: Normas Legales, Legislacin, Jurisprudencia y

Doctrina. tomo 280, Setiembre 1,999.
10.
BLOSSIERS MAZZINI, Juan Jos. Delitos Informticos En: Diario Oficial

El Peruano, Mayo, 1998.
86
ANEXO 1
PROYECTO DE GUIA DE PROCEDIMIENTOS PARA EL MANEJO DE LA
EVIDENCIA DIGITAL EN LA INVESTIGACIN DE DELITOS
INFORMTICOS
En este proyecto se exponen los pasos esenciales para la identificacin y el
resguardo de la evidencia digital. Si bien es cierto que existen en la actualidad
guas de buenas prcticas, muchas de ellas estn orientadas a profesionales
informticos o no son totalmente operativas para ser aplicadas en
intervenciones policiales o allanamientos. Existen otras guas sobre manejo de
evidencia digital que abordan esta temtica, pero en el mbito local tambin
presentan inconvenientes por estar expuestas en otros idiomas, lo que las hace
inaccesibles a personas sin estos conocimientos. Todo ello hace que sea
necesario ofrecer en la siguiente gua, un conjunto ordenado de pasos que el
personal policial deber realizar durante un allanamiento por delito informtico,
a saber:
1.
Separar a las personas que trabajen sobre los equipos informticos lo

antes posible y no permitirles volver a utilizarlos. Si es una empresa, se
debe identificar al personal informtico interno (administradores de
sistemas, programadores, etc.) o a los usuarios de aplicaciones
especficas que deban someterse a peritaje. Dejar registrado el nombre
del dueo o usuarios del equipamiento informtico ya que luego pueden
ser de utilidad para la pericia. Siempre que sea posible obtener
contraseas de aplicaciones, dejarlas registradas en el acta de
allanamiento.
2.
Fotografiar todos los elementos antes de moverlos o desconectarlos.

Fotografiar una toma completa del lugar donde se encuentren los equipos
informticos, y fotos de las pantallas de las computadoras, si estn
encendidas. Si un especialista debe inspeccionar el uso de programas,
puede ser conveniente realizar una filmacin.
3.
Evitar tocar el material informtico sin uso de guantes

descartables. Dependiendo el objeto de la investigacin, el
teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden
ser utilizados para anlisis de huellas dactilares, ADN, etc. Si se
conoce que no se realizarn este tipo de pericias puede
procederse sin guantes.
4.
Si los equipos estn apagados deben quedar apagados, si estn

prendidos deben quedar prendidos. Si participa del procedimiento un
perito informtico y los equipos informticos estn encendidos, se debe
consultar o esperar que el profesional determine la modalidad de
apagado y desconexin de la red elctrica. Si los equipos estn
87
apagados, desconectarlos desde su respectiva toma elctrica y no del

enchufe de la pared. Si son notebooks es necesario quitarles la o las
bateras.
5.
Identificar si existen equipos que estn conectados a una lnea telefnica,

y en su caso el nmero telefnico para registrarlo en el acta de
allanamiento.
6.
Impedir que nadie excepto un perito informtico- realice bsquedas

sobre directorios o intente ver la informacin almacenada ya que se altera
y destruye la evidencia digital (esto incluye intentar hacer una copia sin
tener software forense especfico y sin que quede documentado en el
expediente judicial el procedimiento realizado). Slo un especialista
puede realizar una inspeccin en el lugar del hecho tendiente a
determinar si el equipamiento ser objeto del secuestro y de recolectar
en caso de ser necesario- datos voltiles que desaparecern al apagar el
equipo.
7.
Identificar correctamente toda la evidencia a secuestrar:

a.
Siempre debe preferirse secuestrar nicamente los dispositivos

informticos que almacenen grandes volmenes de informacin
digital (computadoras, notebooks y discos rgidos externos). Tambin
pueden secuestrarse DVD, CDs, diskettes, discos Zip, etc. pero
atento a que pueden encontrarse cantidades importantes, debe ser
consultado a un perito en informtica si es procedente o no realizar el
secuestro de este material. Los diskettes u otros medios de
almacenamiento (CDs, discos Zips, etc.) deben ser secuestrados
nicamente por indicacin de un perito informtico designado en la
causa o cuando lo especifique la orden de allanamiento.
b.
Rotular el hardware que se va a secuestrar con los siguientes datos:

(1) Para computadoras, notebooks, palmtops, celulares, etc.: N del
Expediente o caso, fecha y hora, nmero de serie, fabricante,
modelo.
(2)
(3)
Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en

conjunto en un sobre antiesttico, indicando N del Expediente
o caso, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y
Cantidad.
Cuando haya perifricos muy especficos conectados a los
equipos informticos y se deban secuestrar por indicacin de
un perito informtico designado en la causa- se deben
identificar con etiquetas con nmeros los cables para indicar
dnde se deben conectar. Fotografiar los equipos con sus
respectivos cables de conexin etiquetados.
88
8.
Usar bolsas especiales antiesttica para almacenar diskettes, discos

rgidos, y otros dispositivos de almacenamiento informticos que sean
electromagnticos (si no se cuenta, pueden utilizarse bolsas de papel
madera). Evitar el uso de bolsas plsticas, ya que pueden causar una
descarga de electricidad esttica que puede destruir los datos.
9.
Precintar cada equipo informtico en todas sus entradas elctricas y

todas las partes que puedan ser abiertas o removidas. Es responsabilidad
del personal policial que participa en el procedimiento el transporte sin
daos ni alteraciones de todo el material informtico hasta que sea
peritado.
10.
Resguardar el material informtico en un lugar limpio para evitar la

ruptura o falla de componentes. No debern exponerse los elementos
secuestrados a altas temperaturas o campos electromagnticos. Los
elementos informticos son frgiles y deben manipularse con cautela.
11.
Mantener la cadena de custodia del material informtico transportado. Es

responsabilidad del personal policial la alteracin de la evidencia antes de
que sea objeto de una pericia informtica en sede policial o judicial. No se
podr asegurar la integridad de la evidencia digital (por lo tanto se pierde
la posibilidad de utilizar el medio de prueba) si el material informtico
tiene rotos los precintos al momento de ser entregado, siempre que no
est descrita en el expediente la intervencin realizada utilizando una
metodologa y herramientas forenses por profesionales calificados.
89
ANEXO 2
MATRIZ DE CONSISTENCIA
Tema: EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIN DE

DELITOS INFORMTICOS EFECTUADOS EN LA DIVINDAT PNP
PROBLEMA
Principal
De qu manera el sistema de
cadena de custodia de la
evidencia digital influye en el
proceso de investigacin de
delitos informticos efectuados
en la DIVINDAT DIRINCRI
PNP?.
OBJETIVOS
General
VARIABLES
Variable Independiente
Delitos informticos.
Determinar si el sistema de cadena

de custodia influye en el proceso de
investigacin
de
delitos
informticos efectuados en la
Variable Dependiente
DIVINDAT DIRINCRI PNP.
INDICADORES
Seleccin personal.
Capacitacin.
Especializacin
Capacidad Operativa
Sistema de cadena de custodia

- Procedimientos
Especficos
de la evidencia digital
Especficos
- Norma legal
1.
Los
procedimientos 1. Determinar si los procedimientos
- Implementacin
de
implementados en la DIVINDAT
Sistemas
implementados
en
la
PNP garantizan la obtencin y
DIVINDAT DIRINCRI PNP
- Evaluacin de Desempeo
no garantizan la obtencin y
custodia de la evidencia digital
custodia de la evidencia
en la investigacin de delitos
informticos.
digital en la investigacin de
2. Establecer
el
nivel
de
delitos informticos.
2. El nivel de capacitacin del
capacitacin del personal de la
personal
PNP
de
la
DIVINDAT DIRINCRI PNP en la
DIVINDAT
PNP
no
obtencin,
preservacin
y
contribuye
sustancialmente
en las investigaciones por
en la investigacin de delitos
delitos informticos.
informticos.
el
nivel
de
3. El manejo incorrecto de la 3. Determinar
cadena de custodia de la
contribucin de la cadena de
evidencia digital no contribuye
a garantizar la autenticidad de
en la investigacin de los delitos
la misma.
informticos.
METODOLOGA
Tipo de
Investigacin
Bsica.
Diseo de
Investigacin
No experimental.
Nivel de
Investigacin
DescriptivaCorrelacional
90
ANEXO 2
ARBOL CAUSA EFECTOS
Tema: EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIN DE

DELITOS INFORMTICOS EFECTUADOS EN LA DIVINDAT PNP
91

Documents - MX Grupo 1 Cadena de Custodia de Evidencia Digital

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documents - MX Grupo 1 Cadena de Custodia de Evidencia Digital

Cargado por

Copyright:

Formatos disponibles

POLICA NACIONAL DEL PER

TRABAJO APLICATIVO DE INVESTIGACIN

: EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE

: Dr. MALCA CORONADO Hctor

JEFE DE EQUIPO: CMDTE. PNP YUI BOTERI Luis Enrique

POMA GUERRA Jess Arsedio

TTULO DEL TRABAJO DE INVESTIGACIN

EVALUACIN DEL SISTEMA DE CADENA DE CUSTODIA DE LA

Caracterizacin del problema

Formulacin del problema

Delimitacin de los objetivos

Justificacin del Estudio

Casi a diario somos testigos de un nuevo invento o producto tecnolgico que

En el mbito internacional se considera que no existe una definicin propia del

los sistemas informticos, generalmente por su situacin laboral se encuentran

Asimismo, las evidencias digitales son cada da ms recurrentes en los

Los procedimientos policiales complejos conllevan en muchos casos al

profesionales del derecho no cuentan con un nivel de lectura adecuado en

Siempre que se trate con personal no tcnico, es conveniente realizar -como

En ese contexto, el presente trabajo de investigacin pretende contribuir a que

Por su parte, la Polica Nacional del Per, cre la Divisin de Investigacin

Los mtodos o procedimientos de recoleccin y procesamiento de la

Dentro de la legislacin nacional, el Reglamento de la Cadena de Custodia

La cadena de custodia, es un procedimiento determinado por la

no es proteger la calidad ni la cantidad de la evidencia sino la identidad de

De qu manera el sistema de cadena de custodia de la evidencia

Los procedimientos implementados en la DIVINDAT DIRINCRI

El nivel de capacitacin del personal PNP de la DIVINDAT PNP

El manejo incorrecto de la cadena de custodia de la evidencia

Determinar si los procedimientos implementados en la DIVINDAT

Establecer la relacin entre el nivel de capacitacin del personal de

Determinar el nivel de contribucin de la cadena de custodia de la

D. JUSTIFICACIN DEL ESTUDIO

Debido a la sofisticacin de los instrumentos y mtodos empleados en

Asimismo, va a servir para establecer un criterio en la realizacin de

generalmente no se han hecho uso por la falta de su operativizacin.

De igual forma el presente trabajo va a servir para sentar el precedente

1. Ha existido Limitantes del factor tiempo, teniendo en consideracin la

investigacin en el peor de los casos cuentan con seis meses para su

elaboracin y recopilacin de informacin; sumado a esto que dicho

2. Por ltimo, la principal limitante para realizar sta investigacin es la

MUOZ COBEAS, Froiln Ral y otros, (2009), Polica Nacional del

TEORA DEL DELITO

abarque todos los hechos que merezcan la calificacin de delictuosos

En el Derecho Penal son aprovechadas las concepciones de la

Los retazos de normativismo, consuetudinario, contractual o

Una consecuencia inmediata de lo dicho es el gran papel que aun

visin de delito natural de Garfalo, como la precursora de la

Es imposible la trascripcin al Derecho Penal, la simplista versin del

secundarias, lo cierto es que el delito precisa morfolgicamente un

Comparando las definiciones dogmticas-formalistas y material de

LA INVESTIGACIN DEL DELITO

La Observacin. En esta primera etapa se utilizan los cinco

Planteamiento del Problema. Se circunscribe a interrogantes

QUE SUCEDI? , QUIN LO COMETIO? , CUANDO SE

COMETIO?, CON QUE SE COMETIO?, POR QU SE

A ello debemos agregar, que se deben hacer estas preguntas

Recordando que para que se hable de una investigacin

Adems se debe en el escenario del delito, perennizar la

Formulacin de hiptesis. Las respuestas a las siete

Experimentacin. Es el medio de reproducir o provocar

La teora. Es el resultado final de la investigacin del delito.

Algo ms a tener en cuenta, es que no hay crimen ni delito