PROYECTO DISEO DEL LABORATORIO DE

INFORMATICA FORENSE PNP

I.

INFORMATICA FORENSE
La informtica forense, tambin llamado computacin forense, anlisis
forense digital o examinacin forense digital es la aplicacin de tcnicas
cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean vlidos
dentro de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso
aplicado a los datos y bienes informticos.
Como la definicin anterior lo indica, esta disciplina hace uso no solo de
tecnologa de punta para poder mantener la integridad de los datos y del
procesamiento de los mismos; sino que tambin requiere de una
especializacin y conocimientos avanzados en materia de informtica y
sistemas para poder detectar dentro de cualquier dispositivo electrnico lo
que ha sucedido. El conocimiento del informtico forense abarca el
conocimiento no solamente del software sino tambin de hardware, redes,
seguridad, hacking, cracking, recuperacin de informacin.
La informtica forense ayuda a detectar pistas sobre ataques informticos,
robo de informacin, conversaciones o pistas de emails, chats.
La importancia de stos y el poder mantener su integridad se basa en que
la evidencia digital o electrnica es sumamente frgil. El simple hecho de
darle doble clic a un archivo modificara la ltima fecha de acceso del
mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del
cmputo forense puede llegar a recuperar informacin que haya sido
borrada desde el sistema operativo.
Es muy importante mencionar que la informtica forense o cmputo forense
no tiene parte preventiva, es decir, la informtica forense no se encarga de
prevenir delitos, para ello que encarga la seguridad informtica, es
importante tener claro el marco de actuacin entre la informtica forense, la
seguridad informtica y la auditora informtica.
DISPOSITIVOS A ANALIZAR

La infraestructura informtica que puede ser analizada puede ser toda

aquella que tenga una Memoria (informtica), por lo que se pueden analizar
los siguientes dispositivos:

Disco duro de una Computadora o Servidor

Documentacin referida del caso.
Tipo de Sistema de Telecomunicaciones
Informacin Electronica MAC address
Logs de seguridad.
Informacin de Firewalls
IP, redes Proxy. lmhost, host, Crossover, pasarelas
Software de monitoreo y seguridad
Credenciales de autentificacin
Trazo de paquetes de red.
Telfono Mvil o Celular, parte de la telefona celular,
Agendas Electrnicas (PDA)
Dispositivos de GPS.
Impresora
Memoria USB
Bios

HERRAMIENTAS DE INFORMATICA FORENSE

Sleuth Kit (Forensics Kit)

Py-Flag (Forensics Browser)
Autopsy (Forensics Browser for Sleuth Kit)
Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
dcfldd (DD Imaging Tool command line tool and also works with AIR)
foremost (Data Carver command line tool)
Air (Forensics Imaging GUI)
md5deep (MD5 Hashing Program)
netcat (Command Line)
cryptcat (Command Line)
NTFS-Tools
Hetman software (Recuperador de datos borrados por los criminales)
qtparted (GUI Partitioning Tool)
regviewer (Windows Registry)
Viewer
X-Ways WinTrace
X-Ways WinHex
X-Ways Forensics
R-Studio Emergency (Bootable Recovery media Maker)
R-Studio Network Edtion
R-Studio RS Agent
Net resident
Faces
Encase
Snort
Helix
NetFlow
Deep Freeze
hirens boot
Canaima 3.1

Mini XP

HERRAMIENTAS PARA ANALISIS DE DISCOS DUROS

AccessData Forensic ToolKit (FTK)

Guidance Software EnCase
Kit Electronico de Transferencia de datos

HERRAMIENTAS PARA ANALISIS DE CORREOS ELECTRONICOS

Paraben
AccessData Forensic ToolKit (FTK)

HERRAMIENTAS PARA ANALISIS DE DISPOSITIVOS MVILES

AccessData Mobile Phone Examiner Plus (MPE+)

HERRAMIENTAS PARA EL ANLISIS DE REDES

E-Detective - Decision Computer Group

SilentRunner - AccessData

HERRAMIENTAS PARA FILTRAR Y MONITOREAR EL TRFICO DE UNA

RED TANTO INTERNA COMO A INTERNET

II.

USBDeview
SilentRunner - AccessData

EVIDENCIA DIGITAL
Es una denominacin usada de manera amplia para describir cualquier
registro generado o almacenado en un sistema computacional que puede
ser utilizado como prueba en un proceso legal. De acuerdo con el HB: 171
2003 Guideline for the Management of IT Evidence, la evidencia digital es
cualquier informacin que, sujeta a una intervencin humana u otra
semejante ha sido extraida de un medio informtico. El documento
mencionado establece tambin que la evidencia digital puede dividirse en
tres categoras:

Registros almacenados en el equipo de tecnologa informtica (por

ejemplo, correos electrnicos, archivos de aplicacin ofimtica,
imgenes, etc.)
Registros generados por los equipos de tecnologa informtica
(registros de auditora, registro de transacciones, registros de
eventos, etc.)

Registros que parcialmente han sido generados y almacenados en

los equipos de tecnologa informtica (hojas de clculo financieras,
consultas especializadas en base de datos, vistas parciales de datos,
etc.)

La evidencia digital es nica, cuando se le compara con otras formas de

evidencia. A diferencia de la evidencia fsica, la evidencia digital es frgil y
una copia de un documento almacenado en un archivo es idntica al
original. Otro aspecto nico es su potencial de realizar copias no
autorizadas de archivos, sin dejar rastro alguno. La evidencia digital posee,
entre otras, las siguientes caractersticas:

Es voltil
Es annima
Es duplicable
Es alterable y modificable
Es eliminable

Con el fin de garantizar la validez probatoria de la evidencia digital, los

documentos deben cumplir con algunos requerimientos, estos son:

III.

Autenticidad: satisfacer a una corte en que: los contenidos de la

evidencia no han sido modificados; la informacin proviene de la
fuente identificada; la informacin externa es precisa (p.e. la fecha).

Precisin: debe ser posible relacionarla positivamente con el

incidente. No debe haber ninguna duda sobre los procedimientos
seguidos y las herramientas utilizadas para su recoleccin, manejo,
anlisis y posterior presentacin en una corte. Adicionalmente, los
procedimientos deben ser seguidos por alguien que pueda explicar,
en trminos entendibles, cmo fueron realizados y con qu tipo de
herramientas se llevaron a cabo.

Suficiencia (completa): debe por si misma y en sus propios trminos

mostrar el escenario completo, y no una perspectiva de un conjunto
particular de circunstancias o eventos.

PROCEDIMIENTO
INVESTIGACIONES

FORENSE

PARA

EL

MANEJO

DE

Dado que no existen investigaciones iguales, no es posible definir un

procedimiento nico para adelantar un anlisis en Informtica forense. Pero,
si es posible definir una aproximacin metodolgica que permita el manejo
adecuado de la evidencia digital, minimice la posibilidad de cometer errores
en su manejo y que en alguna medida garantice la admisibilidad de la
misma en situaciones jurdicas. Dicha aproximacin incluye cinco etapas:
planeacin, recoleccin, aseguramiento, anlisis y presentacin de la
Evidencia Digital.

1. Planeacin
Se espera que en esta etapa se detecte el incidente, el investigador se
familiarice con dicho incidente y con el entorno en el que ocurri y
determine el proceso para la recoleccin de evidencia.
El primer paso consiste en determinar los presuntos actores
involucrados, (mquinas y/o usuarios), identificar el problema aparente e
indagar qu tanto contacto tuvieron los usuarios con el sistema
involucrado en el incidente, para darse una idea de la contaminacin de
la escena.
Como segundo paso, el investigador se debe familiarizar con el entorno
informtico y con el incidente en cuestin. Para ello se sugiere el
desarrollo de entrevistas al personal de la organizacin que tenga algn
tipo de relacin con el entorno informtico, se busca determinar: Qu
tipo de sistemas informticos se usan, qu tipo de registros generan, si
se cuenta con polticas de seguridad o no y quines son responsables
del funcionamiento de los equipos y los servicios de la organizacin, etc.
[6].
El investigador debe describir con detalle la escena. Incluyendo nombres
de usuarios y roles, ubicacin fsica de usuarios, equipos, puntos de red,
etc. Si es posible, se debe registrar informacin grfica del lugar (fotos y
videos), ya que muchas veces en ellos se encontrarn detalles que
posteriormente pueden ser de utilidad en de la investigacin, y que
tambin pueden convertirse en evidencia digital: Sern documentos
todas aquellas formas de expresin producto del desarrollo de las
tcnicas de la comunicacin y la informtica [15], incluyendo, por
ejemplo: videos y fotografas.
2. Recoleccin
Es la etapa ms crtica pues se debe recoger la informacin relevante y
conservarla garantizando los requisitos de admisibilidad fijados por la
Ley: Para valorar la fuerza probatoria de la informacin digital habr
de tenerse en cuenta la confiabilidad en la forma en la que se haya
generado, archivado o comunicado la informacin.
Como muchas veces no es posible presentar los sistemas involucrados
en una audiencia o tenerlos durante la investigacin, se recomienda
tomar una copia idntica -Bit a Bit- de su contenido. Copia que
representar al sistema en cuestin y que adems ser sobre la que se
trabaje. Este tipo de copia es realizada por medio de herramientas que
permiten copiar el contenido visible del dispositivo de almacenamiento,
y el contenido invisible, es decir, la informacin de las reas del disco
que no estn siendo utilizadas, esto incluye los sectores que se
encuentran disponibles para escritura, los que no estn siendo utilizados
por ninguna particin y el espacio sobrante cuando la informacin que se
escribe en un bloque es menor que el tamao de este.

El segundo enfoque toma medidas pasivas que, aunque no corrigen los

problemas inmediatamente, permiten analizar el estado del sistema.
Adems, este esquema permite utilizar otras herramientas, tales como
sniffers y honeypots, para recolectar nuevas pruebas que permitan o
bien identificar al autor del delito o tener ms evidencia.
Es importante mencionar, que no se espera que toda la informacin que
se examine y/o recolecte deba ser admisible como evidencia. Mucha de
esta informacin ser utilizada para, a travs de ella, descubrir evidencia
admisible.
La cantidad de informacin que se debe recolectar deber ser decidida
por el investigador durante la etapa de planeacin, teniendo en cuenta
las hiptesis planteadas, las evidencias registradas y los elementos
recolectados en los testimonios de los involucrados.
Independientemente del camino tomado para realizar el proceso de
recoleccin, la evidencia siempre debe ser recolectada de lo ms a lo
menos voltil. A continuacin se presenta una posible clasificacin
segn el orden de volatilidad:

Caractersticas de las herramientas de recoleccin forenses

Las caractersticas tcnicas mnimas que deben cumplir las
herramientas forenses para que la evidencia recolectada y/o analizada
por ellas sea confiable son las siguientes:

Manejar diferentes niveles de abstraccin: dado que el formato de la

informacin en su nivel ms bajo es difcil de leer, la herramienta
debe interpretar la informacin y ofrecer acceso en diferentes niveles.

Deben tener la capacidad de extraer una imagen bit a bit de la

informacin. Todo byte debe ser copiado de la fuente, desde el
comienzo hasta el final de ella sin importar si hay fragmentos en
blanco.

Deben tener un manejo robusto de errores de lectura. Si el proceso

de copia falla al leer un sector del medio fuente, se debe marcar en el
medio destino un sector del mismo tamao y en la misma ubicacin
que identifique el sector que no pudo leerse, adicionalmente estas
fallas deben ser documentadas.

La aplicacin no debe cambiar de ninguna manera el medio original.

La aplicacin debe tener la habilidad de realizar pruebas y anlisis de

una manera cientfica. Estos resultados deben poder ser
reproducibles y verificables por una tercera persona.

Teniendo en cuenta estas consideraciones acerca de las herramientas,

el investigador debe estar en capacidad de [3]:

Examinar el estado general del sistema: la memoria RAM de un

computador, la lista de procesos en ejecucin y el estado de la red.

Realizar duplicados forenses.

Desarrollar scripts y aplicaciones para automatizar la recoleccin.

Queda a criterio del investigador determinar si es correcto apagar y/o

reiniciar el sistema relacionado con el delito que se investiga, ya que, al
hacer esto se perder informacin que puede ser valiosa en el momento
de correlacionar la evidencia recolectada (el contenido de la memoria,
qu archivos estn abiertos, el estado de las conexiones de red, los
procesos que se estn ejecutando, los usuarios que estn dentro del
sistema, etc.), por esta razn se recomienda, mientras sea posible,
generar una imagen del estado del sistema previa a que este sea
apagado.
3. Preservacin y aseguramiento de la evidencia digital
En esta etapa se busca garantizar uno ms de los requisitos de
admisibilidad fijados por la Ley: Para valorar la fuerza probatoria de la
informacin digital habr de tenerse en cuenta la confiabilidad en la
forma en la que se haya conservado la integridad de la informacin y la
forma en la que se identifique a su iniciador.
Durante el proceso de recoleccin y de anlisis de la evidencia digital, es
deber del investigador utilizar algn mtodo para mantener y verificar su
integridad, ya que un punto clave en la preservacin de evidencia digital
es que se recolecte sin alterarla y evitar su manipulacin futura. En el
Per se cuenta con las entidades de certificacin quienes expiden
certificados de firma digital que pueden ser tiles para estos procesos.

Cuando una firma digital haya sido fijada en un mensaje de datos se

presume que el suscriptor de aquella tena la intencin de acreditar ese
mensaje de datos y de ser vinculado con el contenido del mismo. ()
El uso de una firma digital tendr la misma fuerza y efectos que el uso
de una firma manuscrita, si aqulla incorpora los siguientes atributos:

Es nica a la persona que la usa.

Es susceptible de ser verificada.

Est bajo el control exclusivo de la persona que la usa.

Est ligada a la informacin o mensaje, de tal manera que si stos

son cambiados, la firma digital es invalidada.

Est conforme a las reglamentaciones adoptadas por el Gobierno

Nacional.

4. El anlisis de la evidencia digital

Es utpico pretender que el investigador sea experto en todas las reas
necesarias para el anlisis de la evidencia. Por el contrario, el valor del
investigador se fundamenta en su conocimiento y percepcin del entorno
tecnolgico actual, incluyendo su funcionamiento, sus lmites y sus reas
vulnerables. A partir de este conocimiento, debe apoyarse en
especialistas que lo asistan en las labores tcnicas especficas.
Para adelantar las tareas de anlisis se sugiere realizar dos copias de
seguridad (Backups) de los medios originales y trabajar sobre tales
copias. As, si se comete un error que altere la informacin en una de las
copias, se pueda minimizar el impacto en la investigacin realizando de
nuevo un duplicado a partir de la otra copia y no se perder la validez e
integridad de la evidencia.
La tarea de recuperacin y reconstruccin de la evidencia digital,
requiere que se busque eficientemente sobre el contenido de diferentes
medios de almacenamiento, con el fin de identificar evidencia relevante.
Adems, el investigador siempre debe suponer que puede existir
informacin no visible dentro del medio, pero teniendo en cuenta que
este no es siempre el caso y que es parte de su labor determinar la
realidad en cuanto a este aspecto.
Un gran obstculo que se puede presentar durante la investigacin, es
encontrarse con informacin cifrada, ya que en muchos casos slo ser
posible tener acceso a ella si se dispone de la contrasea o llave que
permite visualizarla. Una vez se ha recuperado o se ha encontrado
informacin que podra ser relevante, es necesario realizar un proceso
de filtrado que permita extraer la informacin directamente relacionada
con el incidente. Se debe realizar un procedimiento de limpieza que por

un lado conserve la integridad de la informacin recolectada y que por

otro represente en su totalidad el escenario analizado. Por ejemplo, un
sistema de logs puede registrar miles de eventos, de los cuales, de
acuerdo con la evidencia obtenida, es necesario extraer solamente los
relacionados con un equipo en particular.
Una vez se han descartado los datos que no tienen ninguna relevancia
con la investigacin, se debe iniciar el proceso de clasificacin,
comparacin e individualizacin de la evidencia. La clasificacin de la
evidencia digital, es el proceso por el cual se buscan caractersticas que
pueden ser utilizadas para describirla en trminos generales y
distinguirla de especimenes similares. La clasificacin de la evidencia
digital es til al reconstruir un delito porque puede proveer detalles
adicionales, es decir, cuando se combinan estos detalles pueden guiar al
investigador hacia evidencia adicional, e inclusive hacia el mismo
sospechoso del hecho en cuestin. La evidencia digital puede ser
clasificada, comparada e individualizada de diferentes maneras, las
cuales deben ser utilizadas a criterio del investigador basado en la
evidencia que se haya recolectado hasta el momento:

Contenido: Un e-mail, por ejemplo, puede ser clasificado por su

contenido como SPAM, y puede ser individualizado a partir del
contenido de sus encabezados, informacin que por lo general no
es visible para el usuario. Por ejemplo, por su direccin de origen.

Funcin: El investigador puede examinar cmo funciona un

programa para clasificarlo y algunas veces individualizarlo. Por
ejemplo, un programa que inesperadamente transfiere
informacin valiosa desde un computador confiable a una
locacin remota podra ser clasificado como un caballo de Troya y
puede ser individualizado por la localizacin remota a la que
transfiere la informacin.

Caractersticas: los nombres de archivo, extensiones e inclusive

los encabezados internos que identifican los diferentes formatos
de archivo que existen pueden ser de utilidad en la clasificacin
de la evidencia digital.

Para finalizar, es necesario reconstruir el escenario en el que ocurrieron

los hechos a partir de la correlacin de los diferentes elementos
recolectados como evidencia. Es importante tener en cuenta, en lo
posible, informacin diferente de la evidencia digital al reconstruir la
escena.
Como se mencion anteriormente, una de las caractersticas de los
delitos informticos es que la escena del crimen puede estar distribuida
en diferentes sistemas con diferentes horarios (fechas y horas), que por
supuesto, pueden estar localizados fsicamente en jurisdicciones
diferentes, lo que en muchos casos dificulta y/o termina prematuramente
una investigacin ya que no es posible tener acceso a evidencia que

podra ser clave para conocer el cundo, cmo, dnde y por qu del
incidente.
Segn algunos investigadores, ste es uno de los mayores obstculos
que se presentan al realizar una investigacin, adicionalmente, muchos
de los delitos de alta tecnologa, a pesar de ser cometidos desde
sistemas locales, se realizan desde Cabinas de Internet, en los cuales,
debido a la falta de regulacin, el alto grado de anonimato y la alta
actividad que presentan estos sistemas hacen que la evidencia digital
que se encuentra en stos tenga un tiempo de vida muy corto y por
consiguiente la investigacin solo pueda llegar hasta ese punto.
5. Presentacin de la Evidencia Digital
Hasta este punto se ha tratado a la evidencia digital en su forma
electrnica, sin embargo, es necesario convertirla en algo que pueda ser
revisado e interpretado en una corte. Pero, cmo se puede garantizar
la neutralidad de este tipo de presentacin?, a pesar de que no existe
una respuesta nica a esta pregunta, debido a las enormes diferencias
que existen entre cada incidente, Sommers, en el documento
Downloads, Logs and Captures: Evidence from Cyberspace, especifica
que en la mayora de los casos puede ser apropiado ofrecer 2
posibilidades. Una de bajo nivel en la que se muestre la informacin tal
como es sin ningn tipo de anotacin y modificacin. Y otra editada, en
la que se encuentre solo la informacin relevante y que explique que se
hizo con ella y por qu. Con este enfoque, es posible realizar una
inspeccin cruzada en la que la copia de bajo nivel es la encargada de
sustentar tcnicamente los argumentos presentados en la parte editada
y comentada.
Adems es recomendable clasificar la evidencia para su presentacin
ante una corte, identificando si los datos:
Verifican los datos y teoras existentes (Evidencia que inculpa).
Contradicen los datos y teoras existentes (Evidencia que exculpa).
Muestran signos de manipulaciones para esconder otros datos.
Actualmente la legislacin peruana, no ofrece pautas generales en los
cdigos de procedimientos sobre cmo debe ser presentada la evidencia
recolectada de un sistema de cmputo, lo cual es una de las razones
que dificultan condenar las conductas relacionadas con incidentes
informticos y/o relacionados con la informtica, adicionalmente, el
desconocimiento de los aspectos tcnicos bsicos y del lenguaje
utilizado en este tipo de casos por parte de los funcionarios judiciales,
dificulta an ms la penalizacin de estos hechos.

IV.

RECURSOS HUMANOS

Para una efectiva labor forense, el personal tcnico policial, debe tener una
formacin y especializacin determinada que permita garantizar el valor
probatorio de la evidencia digital. Es necesario que este personal se
encuentre calificado y certificado por los fabricantes de las herramientas de
informtica forense que utilizar la PNP. El proceso de investigacin sugiere
tres grupos distintos, con diferentes niveles de conocimiento y formacin.
1. Tcnicos digital de la escena del crimen: Las personas responsables
de la recopilacin de datos en la escena del delito deben tener una
formacin bsica en el manejo de pruebas y documentacin, as como
en la reconstruccin bsica del crimen para ayudar a localizar todas las
fuentes de datos sobre una red.
2. Examinadores de la evidencia digital: Los individuos responsables de
procesar determinados tipos de pruebas digitales requieren formacin
especializada y la certificacin en su rea.
3. Investigadores digitales: Las personas responsables de la
investigacin en general deben recibir una formacin general, pero no
necesitan una formacin muy especializada o certificacin. Los
investigadores tambin tienen la responsabilidad de la reconstruccin de
las acciones relativas a un delito utilizando la informacin de los
primeros interventores y examinadores forenses para crear una imagen
ms completa de investigadores y abogados.

V.

CADENA DE CUSTODIA
La cadena de custodia es el procedimiento de control documentado que se
aplica a la evidencia fsica, para garantizar y demostrar la identidad,
integridad, preservacin, seguridad, almacenamiento, continuidad y registro
de la misma. Esta comienza en el lugar donde se encuentra, obtenga o
recolecta la evidencia fsica y solo finaliza cuando la autoridad competente
lo ordene, durante este proceso se siguen varias etapas que presentamos a
continuacin:
1. Recoleccin, clasificacin y embalaje de la prueba. La cadena de
custodia empieza en la escena del delito por lo cual es fundamental el
aseguramiento de la misma con el fin de evitar la contaminacin de la
evidencia, es necesario seguir los siguientes pasos:
Aislar, identificar y registrar en un acta los equipos informticos y las
personas que trabajen en estos. Registrar y fotografiar todos los
elementos antes de moverlos o desconectarlos. Documentar la hora y la
fecha del sistema si se encontraran equipos encendidos antes de
proceder a apagarlos. Y si se encontraran apagados se procede
nicamente a desconectarlos desde la toma del equipo. Identificar y
clasificar la evidencia encontrada de acuerdo a su naturaleza, y llenar el
acta respectiva.

2. Embalaje de la evidencia. Se debe de registrar el nombre del oficial

encargado del embalaje, etiquetado y clasificacin de la evidencia
encontrada ya que l ser el encargado de su traslado hasta los
almacenes de custodia. En esta etapa se recomienda etiquetado y
rotulacin que permitan una fcil ubicacin e identificacin de la
evidencia.
3. Custodia y traslado de la evidencia. El oficial que realiz el embalaje,
clasificacin y etiquetado de la evidencia ser el encargado de
trasladarla al almacn del laboratorio, y este permanecer en el lugar
hasta que la evidencia sea aceptada e ingresada por la persona
encargada de la custodia de la misma. En caso contrario, se
documentar el cambio de custodia.
Una vez ingresada al Laboratorio de Ciencias Forenses Digitales, se
procede a realizar el registro de entrada de la evidencia digital
completando el formulario Ingreso de Evidencia. Posteriormente se
proceder a almacenar la evidencia en recipientes especiales, con
aislamiento y ser almacenada en una habitacin con seguridades
fsicas, a la cual solo podr acceder personal del laboratorio que cuente
con la debida autorizacin. Todo traslado de la evidencia dentro y fuera
del laboratorio ser registrado llenando el formulario de Entrada y Salida
de Evidencia del laboratorio.
4. Anlisis de la evidencia. Para realizar el o los anlisis el perito
encargado debe de solicitar al almacn del laboratorio la prueba a la
cual le va a efectuar los anlisis, procediendo al llenado de las actas
respectivas de entrega de evidencia que se encuentran en el almacn.
Previamente se debe de revisar el recipiente que contiene la evidencia y
registrar las condiciones en que se encuentra en el formato que maneja
el laboratorio. As mismo el perito encargado del anlisis de la evidencia
digital tiene la obligacin de obtener el nmero de copias idnticas de la
muestra, necesarias para realizar los anlisis respectivos y de llevar una
bitcora de anlisis, en la cual se registrar cada uno de los
procedimientos que se realizan sobre la evidencia, as como la
justificacin del anlisis, las observaciones o inconvenientes que se
presenten durante el anlisis.
Posterior a la finalizacin del anlisis, toda evidencia debe ser devuelta
al almacn del laboratorio para su almacenaje, el encargado del almacn
debe de registrar el ingreso de la evidencia y debe de etiquetarlas con
una codificacin para que sea posible su ubicacin para nuevos anlisis
o para su destruccin.
5. Custodia y preservacin final hasta que la Resolucin Judicial
quede firme y consentida. La evidencia tendr que ser recibida por el
personal encargado del almacn del laboratorio, el cual debe de registrar
la fecha y hora de recepcin del material as como el nombre del perito

que hace entrega de la misma y verificar el estado en que fue recibida y

almacenarla siguiendo cdigos que faciliten la localizacin para futuros
anlisis y/o destruccin segn sea el caso.

VI.

PERITO INFORMATICO
El anlisis forense digital debe ser realizado por el perito informtico que es
un profesional con conocimiento de fenmenos tcnicos en informtica,
preparado para aplicar procedimientos legales y tcnicamente vlidos para
establecer evidencias en situaciones donde se vulneran o comprometen
sistemas, el mismo debe cubrir las siguientes reas de conocimiento: rea
de tecnologas de informacin y electrnica, Fundamento de bases de
datos, rea de seguridad de la informacin, rea jurdica, rea de
criminalstica y ciencias forenses y rea de informtica forense.
Para ser perito se requiere una serie de requisitos. Sobre el particular, el
Cdigo Procesal Penal no establece taxativamente cules son; sin
embargo, ello puede inferirse de lo establecido en el Art. 173
(nombramiento) y en el 175 (impedimentos y subrogacin del perito). Las
condiciones que fundamentalmente debe contemplarse son los siguientes:
a. Edad. Este requisito asegura un juicio adecuado sobre el objeto
de la pericia, lo cual obviamente se consigue con una persona
mayor de edad;
b. Salud mental. Por la naturaleza misma de la pericia se requiere
de una persona que se encuentre en ptimas condiciones
intelectuales.
c. Condicin habilitante. Implica la necesidad de que los peritos
cuenten con el ttulo que acredite su ejercicio profesional, artstico
o tcnico.
d. Conducta. En este aspecto debe considerarse la trayectoria del
perito que lo desvincule de toda sospecha sobre su idoneidad
profesional, como por ejemplo que haya sido condenado por una
irregular actuacin sea en el ejercicio profesional o en el
desempeo de una labor pericial. Obviamente en estos casos le
corresponde a las partes un rol protagnico

VII.

DISEO DEL LABORATORIO DE CIENCIAS FORENSES DIGITALES

Analizaremos las condiciones fsicas, ambientales e infraestructura para la
adecuacin del Laboratorio, de la misma manera el hardware y software
necesarios para el anlisis forense digital.
1. Instalaciones

Las instalaciones deben de garantizar la integridad y la seguridad de la

evidencia, es por esto que contar con medidas de seguridad que
permitan el acceso solo a personal autorizado.
1.1. Seguridades fsicas. Acceso mediante sistema biomtrico, y
cerradura, previo a la identificacin de la persona que desea
ingresar. Tambin, contar con un sistema de video de circuito
cerrado en todas las reas, que grabar los acontecimientos dentro
del laboratorio durante las 24 horas, y se instalar un sistema de
alarma con sensor de movimientos que se encontrar
intercomunicado con el servicio de guardia de la Unidad policial
donde se instalar este laboratorio.
Todo el personal que labore dentro de las instalaciones deber de
portar la credencial otorgada por el laboratorio en todo momento y
en un lugar visible. Por lo general no se aceptan visitas al
laboratorio, pero en el caso de existir, esta deber presentar una
identificacin y ser anunciado con la persona con quien desea
comunicarse para luego ser atendido en el rea anexa de Control
de Acceso y Entrada.
1.2. Condiciones ambientales. El laboratorio debe poseer las
condiciones ambientales ideales para no invalidar el resultado de
los anlisis ni la calidad requerida, as mismo el estado de las
evidencias digitales originales.
Con respecto a la esterilidad biolgica se recomienda desinfectar la
superficie de trabajo con leja al 2%. Los dispositivos electrnicos
deben estar protegidos de la interferencia electromagntica, para lo
cual se recomienda el uso de jaulas de Faraday, y para evitar
saltos de voltaje se recomienda el uso de UPS y un generador
elctrico. El ruido y la vibracin son contaminantes que pueden
evitarse utilizando materiales aislantes en la construccin del
laboratorio.
El sistema de climatizacin e instalacin de filtros evita el paso de
polvo, la humedad, el sobrecalentamiento y deterioro de los
equipos de cmputo, es recomendable manejar un correcto
sistema de refrigeracin con una temperatura estable de 22C y
mantener un lmite de humedad mximo del 65% dentro de las
instalaciones.
Sistema de extincin de incendios que este adecuado al material
elctrico y magntico, que se va a manejar dentro de las
instalaciones, para tratar de causar el menor impacto en caso de su
uso, tales como polvo qumico seco o bixido de carbono ,
espuma, INERGEN, entre otras.
1.3. Despliegue de infraestructura en el interior del laboratorio. Las
instalaciones debern contar con elementos esenciales, tales

como: Cableado de red con puntos de red en todas las reas del
laboratorio, cableado telefnico, UPS o generador elctrico en caso
de falta de energa elctrica. Con respecto al lugar las habitaciones
deben ser en lo posible sin ventanas a la parte externa del
laboratorio y con divisiones con paneles mviles para las distintas
reas.
En el diseo que planteamos las instalaciones estarn divididas en
tres reas: almacenamiento, mecnica y anlisis. El rea de
almacenamiento contar con un cubculo previo con una puerta de
acceso, con seguridad multilock, a la ubicacin de los armarios de
evidencia, contar con un rea de Control de Acceso y Entrada,
que ser el lugar donde se atender a las personas que soliciten
alguna prueba para su anlisis, ningn personal sin autorizacin
podr acceder ms all del rea de Control de Acceso y Entrada.
Los armarios de almacenamiento de evidencia que llega al
laboratorio para el proceso de investigacin y para su almacenaje
posterior tendrn acceso restringido y se registrar la hora y el
nombre de quien acceda a ella.
Se tomarn precauciones para el correcto almacenamiento de la
evidencia dependiendo de la naturaleza de la misma, usando
contenedores antiestticos y/o esponja antiesttica, lo que ayudar
a aislar de fuentes elctricas y de campos magnticos, que puedan
corromper la informacin contenida en los dispositivos digitales
durante su almacenamiento y transporte.
En el rea mecnica, se realizar el desmontaje, ensamblaje y
manipulacin fsica de un computador, en caso de que se necesite
analizar un computador completo, esto es para que sus partes
puedan ser analizadas por separado si las circunstancias lo
ameritan. Para llevar a cabo la tarea de desmontaje, se dispondrn
de herramientas necesarias, as como de equipos especializados.
El rea de anlisis tendr tres puestos de trabajo cada uno con un
armario respectivo. Todas las reas sern de libre acceso, solo se
contar con una puerta de entrada principal a las instalaciones del
laboratorio.
Para llevar a cabo todas las tareas que estn incluidas en el
anlisis de la evidencia, esta rea contar con las herramientas de
anlisis forenses que se dispongan tanto hardware como software.
Existirn dos zonas, una de la cuales tendr acceso a internet en la
cual se podrn realizar investigaciones, que se necesiten dentro del
proceso de anlisis, y la otra zona no tendr acceso a internet para
evitar cualquier intervencin externa en el anlisis de la evidencia.

DISEO DEL LABORATORIO DE INFORMATICA FORENSE PNP

AREA DE
ALMACENAMIENTO

ARMARIOS DE
EVIDENCIAS

AREA DE CONTROL DE ACCESO

Y ENTRADA

PC FORENSE

AREA DE
ANALISIS

AREA MECANICA

SALA INTERNET
INTRANET

2. Equipos informticos
El conjunto de equipos de trabajo en el laboratorio de Ciencia Forense
Digital, integra herramientas especializadas, computadores de escritorio
y porttiles para llevar a cabo el proceso de anlisis forense.
Herramientas de duplicacin de discos con alta velocidad de copiado,
conectividad con las diferentes interfaces de discos duros, adaptadores,
portabilidad, esto permitir realizar copias de discos duros los cuales se
usarn para los anlisis de las pruebas de una manera fcil y rpida.
Adems se contar con dos tipos de equipo en las instalaciones el
equipo base que ser una desktop y un equipo porttil que ser una
laptop con similares caractersticas que el equipo base.
3. Software utilizado
Existen varios tipos de herramientas entre las cuales hemos escogido
dos, que son Deft-Exra (software libre) y Encase (software privado) las
cuales cumplen con caractersticas importantes como: Clonacin de
discos, comprobar integridad criptogrfica, dar informacin del sistema,
adquisicin en vivo, recuperacin de contraseas, anlisis forense en
redes, anlisis forense en navegadores, bsqueda de archivos, utilitarios
extras, entre otros. Se puede hacer uso de software complementario si
fuese necesario para las tareas que no puedan desempear estas dos
herramientas.
4. Posible ubicacin del Laboratorio Informtico Forense
La PNP ha destinado el local policial, ubicado en XXXXXXXX, para ser
utilizado en la implementacin del Nuevo Laboratorio Central de
Criminalstica de la PNP, en la que se encontrar considerado el
laboratorio de informtica forense PNP.
Por lo antes indicado se debe destinar un rea recomendada de 260 m 2,
para la construccin del laboratorio de Informtica forense, desde cero,
con todas las caractersticas que debe tener un centro de cmputo
estndar.

Detalle de costos de este proyecto, en archivo Excel adjunto