Está en la página 1de 57

Universidad del Salvador

Facultad de Ciencias de la Administracin

Aplicabilidad metodolgica de la
informtica forense en la
obtencin de resultados eficientes
en procesos judiciales argentinos.

Trabajo de Investigacin

07 de Diciembre del 2012

Carrera: Ingeniera en Sistemas


Alumno: Mariano Messina
Correo: Mariano.Messina@gmail.com
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Indice
Introduccin ........................................................................................................................................ 4
Antecedentes .................................................................................................................................. 4
La informtica forense. .................................................................................................................... 7
Definicin de informtica forense. ................................................................................................... 8
Seguridad Informtica e Informtica Forense ................................................................................... 9
Relacin entre Hackers y Forenses. ................................................................................................ 10
Informtica forense el Cybercrimen y la ley de los delitos informticos ............................................. 11
Cadena de Custodia. ...................................................................................................................... 11
El Cybercrimen............................................................................................................................... 13
Delitos informticos:...................................................................................................................... 15
Evidencia Digital: ........................................................................................................................... 17
Proceso Forense ................................................................................................................................ 19
Etapas de la informtica forense: ................................................................................................... 19
Identificacin y documentacin de la evidencia: ............................................................................ 20
Adquisicin de Datos ..................................................................................................................... 26
Validacin y Preservacin de la Informacin: ................................................................................. 32
Anlisis y descubrimiento de evidencia .......................................................................................... 34
Confeccin del Informe Final.......................................................................................................... 40
Conclusiones ..................................................................................................................................... 43
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situacin actual de la informtica
forense Argentina: ............................................................................................................................. 44
Anexo II Modelo de Informe final .................................................................................................... 46
Referencias ........................................................................................................................................... 53

Mariano Messina 2
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Abstract

El presente trabajo de investigacin procede a estudiar, analizar y exponer en qu


consiste la informtica forense, los conceptos que la definen, cul es su metodologa y
tambin, cuales son las mejores prcticas que permiten llevar a cabo una investigacin
forense digital de forma tal que sea posible la identificacin de los diferentes riesgos que
constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un
tribunal de justicia.

Adems, se procede a abordar la metodologa de forma tal que el lector pueda conocer
diferentes controles preventivos que utilizan los peritos experimentados en los procesos,
los cuales evitan acciones que podran permitir que los distintos elementos probatorios,
involucrados en un proceso judicial, sean desestimados por alguna de las partes
intervinientes.

El objetivo principal del presente trabajo consiste en demostrar y concientizar que el


cumplimiento de la aplicacin metodolgica, de los estndares y de las mejores prcticas
de procesos forenses mitiga el riesgo de guiar a una investigacin hacia su invalidacin.

Mariano Messina 3
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Introduccin

Antecedentes

Se observa la enorme influencia que ha alcanzado la informtica en la vida cotidiana de cada


uno de nosotros y, tambin, en el mbito de las organizaciones, de tal forma que hasta se
podra llegar a considerar que la informtica es una ciencia que contribuye directamente en el
desarrollo de un pas.

Hoy en da vivimos en una sociedad dnde la gran mayora de la poblacin utilizamos un


medio informtico (que puede ser una computadora con acceso a internet, una Tablet o un
telfono) para poder realizar distintas operaciones que podran abarcar desde las ms sencillas
(como por ejemplo: revisar el estado del trnsito) hasta realizar algunas ms complejas, (aqu se
podra considerar el pago de algn servicio mediante la utilizacin de nuestra cuenta bancaria y
un telfono celular, mientras nos encontramos fsicamente en la calle). Estas actividades no
solamente contribuyen al mbito privado de cada uno de nosotros, sino que, analizando a la
informtica desde un aspecto ms amplio se puede notar que sta se encuentra arraigada a
muchos otros mbitos en los cuales podemos encontrar por ejemplo: la comunicacin, la
investigacin, la educacin, los procesos industriales, seguridad, sanidad, etc y que todos
estos dependen cada da ms de una adecuada evolucin y desarrollo de la tecnologa.1

A su vez, conforme la tecnologa avanza, va ejerciendo cada vez mas influencia en muchas
reas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos
comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos
ltimos aquellos que de manera genrica se han denominado en nuestra legislacin como
delitos informticos.2

Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han
conllevado a distintas ciencias a tratar de no slo describir e interpretar el proceder de los
encargados de ejecutarlos, sino que adems, han orientado a poder desarrollar mtodos con el
fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o
mediante) diferentes medios informticos.3

1
Bocanegra C, Carlo A.: Impacto de la tecnologa informtica en los individuos,
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html
2
Aguilar Avils, D.: Impacto del Desarrollo socioeconmico en la resolucin de investigaciones forenses, en
Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm
3
Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012,
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas

Mariano Messina 4
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

La ciencia que se encarga de analizar cualquier contenedor informtico de datos (entindase:


notebook, celular, discos duros, memorias, etc) con el objetivo de encontrar informacin que
pueda ser relevante en una investigacin o auditoria es la Informtica Forense.4

Hace meses atrs se dio a conocer cmo miembros de un estado han podido vulnerar
diferentes sistemas informticos, de alto peligro, correspondientes a una planta nuclear iran,
que tuvo como principal objetivo el de sabotear los planes nucleares que all se desarrollaban.
Gracias a la adecuada aplicacin de la Informtica forense se ha logrado el anlisis del malware
utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5

En nuestro pas se han identificado mltiples antecedentes en diversos procesos judiciales que
han resultado en una invalidacin de la evidencia debido a falencias en la aplicacin de las
prcticas forenses.

Uno de los ms recientes casos de invalidacin judicial es el famoso caso Ricardo Jaime, en
dnde se ha responsabilizado a la Polica Federal Argentina por no respetar la cadena de
custodia, mediante la aplicacin de una metodologa que asegure que los elementos
contenedores de informacin que van a ser presentados como evidencia ante el tribunal de
justicia, no sean contaminados durante las diferentes fases que comprenden al proceso
forense.6

Teniendo en cuenta el reciente caso Jaime, se ha probado que por ms que se tenga el mejor
software de informtica forense, si no se tiene la idoneidad necesaria para utilizarlo, los
resultados sern desastrosos y la prue-ba [SIC] nula. (Arellano G., 2012)

Debido a que dichas falencias podran permitir el desvo del proceso judicial en su bsqueda
de la verdad7, el propsito del presente trabajo es el de ampliar y proponer la adecuada
aplicacin metodolgica de las mejores prcticas forenses en la Argentina, en las cuales se debe
considerar prestar especial atencin a diversos puntos crticos que podran poner en riesgo la
investigacin o auditora. La finalidad es de brindar a la justicia una herramienta que sea eficaz
a la hora de realizar los procesos judiciales.

Con el fin de lograr el mencionado objetivo, se ha trabajado de manera de obtener un


procedimiento metodolgico con aportes de diversas fuentes, nacionales e internacionales, de
informacin bibliogrfica que incluyen: artculos periodsticos disponibles en internet, libros de

4
Aguirre, Alessio: Informtica Forense, 2012, http://alessioaguirre.com/informatica_forense.html
5
Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012,
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
6
Cappiello, Hernn: La invisibilidad de las pruebas de corrupcin, 23 de Febrero 2012,
http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion
7
Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012,
http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-
Jaime.html

Mariano Messina 5
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

informtica forense, manuales de cursos especializados, fallos judiciales argentinos y sitios


relacionados al objeto de estudio. Adems, se ha tenido la suerte de recibir una invitacin para
formar parte de un foro de informtica forense dnde se realizan consultas, se comparte
informacin y dnde existe mucha documentacin relacionada al objeto de estudio. El espacio
se encuentra conformado por diversos profesionales que incluyen abogados, peritos forenses,
especialistas informticos y estudiantes de diversas carreras.

Por otra parte, una vez definida la base terica, se ha procedido a realizar una entrevista
personal a un reconocido perito forense con fuerte presencia nacional e internacional.8

Por ltimo, adems de lo expuesto anteriormente, se ha trabajado en la aplicacin de


conocimientos adquiridos mediante la experiencia personal que se ha logrado a travs de
diferentes cursos especficos en la materia y gracias al hbito que se ha adquirido al participar
de numerosos proyectos en grandes empresas y de distinta ndole.

8
Diario Clarn: La sugestiva y misteriosa accin de un espa privado, 22 de Diciembre 2011,
http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html

Mariano Messina 6
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

La informtica forense.

El gobierno, las grandes organizaciones y las personas, de la mano de sistemas informticos,


han logrado hoy en da exponer una gran cantidad de productos y servicios que podemos
consumir para satisfacer muchas de nuestras necesidades. Dichos productos o servicios fueron
creados con un fin que subsana muchas de nuestras necesidades cotidianas y que cada vez ms
se encuentran arraigadas en nuestra vida, sin embargo, existen inconvenientes cuando se
origina una accin ilcita que va en contra de los objetivos por los cuales los objetos
mencionados, han sido construidos.9

Tomemos como ejemplo a un sistema financiero informtico (que lo podramos conocer bajo
el nombre de Home Banking) que fue creado como un servicio que brinda una institucin
financiera a sus clientes, cuyo fin sera el de que una persona pueda administrar el dinero que
tiene a su disposicin. Ahora bien, supongamos adems a un individuo que anhele vulnerar el
sistema informtico financiero con el fin de obtener alguna retribucin econmica (aunque
tambin se podra considerar el hecho de generar perjuicio sobre el servicio brindado por la
institucin, como por ejemplo, realizar ataques de denegacin de servicio). Siguiendo el hilo
hipottico, imaginemos que un usuario malicioso logre no slo el acceso no autorizado a dicho
servicio sino que adems l logre, mediante la aplicacin de herramientas informticas, la
sustraccin de dinero desde varias cuentas bancarias. Dicha accin resultara en un perjuicio no
slo a la institucin que se encargue de brindar el servicio a sus clientes sino que adems
impactara de forma directa sobre la economa de cada uno de los titulares de las cuentas
afectadas (claro que tambin se podra mencionar el dao a la imagen que le produce a la
entidad, si el hecho tomara conocimiento pblico) Ante un escenario como el planteado (de
forma hipottica pero que muchas veces no escapa a la realidad) sera necesario un proceso
por el cul se pueda identificar quin fue el responsable de las acciones ilcitas que fueron
realizadas, teniendo en consideracin diferentes aspectos, tales como: en qu momento se
realizaron, en qu lugar, cul fue el impacto que tuvo, de qu forma se realizaron, si an
quedan restos remanentes del acto y cuales fueron las personas (jurdicas o fsicas)
damnificadas.10

9
Stuart, Keith: PlayStation 3 hack how it happened and what it means, 07 de Enero 2011,
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
10
La Nacin: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia

Mariano Messina 7
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del
85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de
seguridad.12

Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar


informacin relevante a una investigacin de cualquier ndole, encontrndose ubicado en un
escenario en dnde se haya planteado un interrogante que debiera ser esclarecido. Un forense
informtico entonces, debe cumplir el mismo rol que un forense tradicional cundo el mbito
de una investigacin incluya medios digitales o elementos informticos cmo medio
contenedor de informacin.

Definicin de informtica forense.

A fin de ampliar el concepto establecido en la introduccin, se puede definir a la Informtica


Forense como una ciencia relativamente nueva que mediante la aplicacin de una metodologa
estructurada de investigacin, se encarga de analizar diferentes medios de almacenamiento de
datos informticos, como por ejemplo: discos pticos, memorias, celulares, impresoras, discos
rgidos, etc con el fin de encontrar informacin que pudiera ser til en un proceso de
investigacin o auditora. La metodologa que se aplica en el proceso de recoleccin de datos, y
durante las distintas fases que comprenden al proceso de identificacin, creacin, cuidado y
presentacin de evidencia debe garantizar que la misma no sea alterada en el transcurso del
proceso, as como tambin, que dichos datos sean solamente accesibles por aquellas personas
que tienen autorizacin para tal fin, mediante el resguardo de la evidencia en una ubicacin
que no permita que ningn factor altere su contenido.

Si bien existen mltiples herramientas utilizadas en las investigaciones por diferentes


informticos forenses, algunas gratuitas y de cdigo abierto, otras protegidas por derecho de
autor, la aplicacin de cualquiera de ellas en las diversas etapas que comprenden al proceso
deben asegurar que la informacin obtenida sea exactamente la misma a la que se encuentra
en su contenedor original, es decir, que si bien existe libre eleccin o preferencia de las
herramientas a utilizar teniendo en consideracin el tiempo disponible para desarrollar el

11
Ec-Council: http://www.eccouncil.org/
12
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 8
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

proceso (entre otros aspectos), cualquiera debe ratificar la autenticidad de la informacin


obtenida.13

Durante los actos pblicos o privados, y durante las diferentes etapas que comprenden al
proceso forense, es mandataria la existencia de una figura que ejerza un control y una
validacin al procedimiento que se est llevando a cabo por los peritos informticos, con el fin
de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los
mismos no afectaron la integridad de la informacin obtenida.14 En nuestro pas, un escribano
es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un
especialista en materia informtica, de lo que estara limitado en dar fe es de que lo que
realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como
evidencia.15

En un curso realizado en el ao 2010, en el Instituto Universitario de la Polica Federal


Argentina (IUPFA), al cual se ha asistido, el seor Alessio Aguirre Piemetel ha manifestado la
importancia de que una vez que la informacin relevante al caso ha sido claramente
identificada y duplicada, y luego de haber establecido un fuerte mecanismo de control y
proteccin de los datos, se debe proceder a confeccionar un informe final prestando especial
atencin al lenguaje utilizado con el fin de presentar la evidencia a las autoridades encargadas
de emitir un juicio sobre los hechos, y de cmo este lenguaje tiene una influencia directa sobre
la interpretacin de los actos no slo por parte del jurado, sino adems por las dems partes
intervinientes.

Seguridad Informtica e Informtica Forense

Se define a la seguridad informtica como a la rama de la informtica en dnde se tiene como


objetivo la proteccin de la infraestructura computacional, la informacin que se encuentra
almacenada en algn medio informtico y a los usuarios que deban interactuar con ella

13
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
14
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
15
Zygier, Anala: En la era de Internet, los jueces no cazan una, 2012,
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html

Mariano Messina 9
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

mediante la aplicacin de diferentes estndares, reglas, procedimientos, leyes y herramientas


que aseguren la disponibilidad, la confidencialidad y la integridad de la informacin.

Como se ha mencionado anteriormente, la informtica forense, mediante el cumplimiento de


distintas etapas, se encarga de recabar informacin, de poder procesarla para crear evidencia,
de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han
logrado acceso a la misma. La diferencia entre ambas ramas de la informtica, radica en que la
informtica forense entra en escena cuando se produce algn incidente en alguna institucin
(en el mbito privado o tambin el pblico) y se deba buscar una respuesta al mismo,
ubicndola as bajo uno de los tems principales de la seguridad computacional: el tringulo
consiste en el anlisis de vulnerabilidades, deteccin de intrusos en la red y la respuesta ante
incidentes, siendo esta ltima dnde se encuentra ubicada nuestro objeto de estudio.

Relacin entre Hackers y Forenses.

Profesionalmente, se ha encontrado frente a la necesidad de definir a un Hacker en


numerosas oportunidades pudiendo notar que la gran mayora de las personas cree en la
concepcin de que la actitud de dicha figura es netamente delictiva, o que se trata de alguien
dotado puramente de fines malignos, cuando en realidad, la esencia de un verdadero Hacker es
simplemente, la curiosidad. Un Hacker pretende conocer cmo los diferentes elementos
informticos fueron construidos, cmo interactan entre s, cmo optimizar su funcionamiento,
cmo protegerlos y tambin, ellos tienen como deseo el compartir sus amplios conocimientos
con la comunidad.

El nacimiento del trmino Hacker (o Hacking) tiene un significado totalmente venerable y se


remonta a la dcada de los 60, dnde la memoria disponible en las diferentes computadoras de
esa poca era extremadamente escasa en comparacin a la modernidad y dnde los
programadores, dotados de altos conocimientos tcnicos, deban realizar arduas
modificaciones a los archivos fuente con la finalidad de recortar la cantidad total de lneas de
cdigo, logrando as, la optimizacin de la ejecucin del software.

Cuando la curiosidad y los elevados conocimientos tcnicos se combinan con un hecho


delictivo, o alguna accin maligna, en dnde se utilice elemento informtico como medio y que

Mariano Messina 10
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

adems tenga como resultado un acceso no autorizado, o la violacin de alguna ley, se hace
presente el concepto de Cracker, distinguindolo efusivamente al trmino Hacker.16

Creo entonces que, al considerar a un forense informtico como a una persona que se
encarga de realizar un proceso metdico, en dnde debe utilizar sus elevados conocimientos
tcnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no
existe una diferenciacin entre un Hacker y un Forense informtico sino que por el contrario,
creo que ambos comparten la misma esencia, la curiosidad.

Informtica forense el Cybercrimen y la ley de los delitos informticos

Cadena de Custodia.

La cadena de custodia en el proceso del anlisis forense consiste en controlar y limitar el


acceso a la evidencia que debe ser recabada de los diferentes medios informticos, cuidndola
celosamente, mediante la utilizacin de buenas prcticas. Dicho control es utilizado para
asegurar que la informacin no ha sido daada, alterada, contaminada o destruida durante
todo el desarrollo de la prctica forense, permitiendo demostrar que los diferentes elementos
de prueba, obtenidos en las diferentes etapas que comprenden al procedimiento, son los
mismos que fueron recolectados en el lugar de los hechos.17

El ingeniero Gustavo D. Presman define en un artculo periodstico a la cadena de custodia


como:

un registro minucioso de las personas que han tomado contacto con la evidencia,
indicando claramente los intervalos de posesin. La idea es simple pero muy efectiva: Conocer
en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las
actividades que se efectuaron con relacin a la misma y conocer quien es el responsable por las
mismas. (Presman, 2009, pg. 2)

16
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
17
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigacin Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf

Mariano Messina 11
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Si bien la cadena de custodia proviene de las ciencias criminolgicas y su implementacin es


imperativa en procesos a cargo de fuerzas de la ley o en marcos de pericias judiciales, muchos
expertos en materia forense Argentina recomiendan alinear la misma metodologa en las
investigaciones corporativas debido a que si en un futuro se decide llevar a la justicia algn
hecho que requiera esclarecimiento, se debe asegurar que la evidencia fue recabada teniendo
en cuenta los mismos principios utilizados ante un proceso judicial, tratando de asegurar de
que la misma no sea descalificada por ninguna de las partes intervinientes en el proceso.18

Si en algn momento de todo el proceso, se especula con la idea de que la cadena de custodia
no ha sido realizada conforme a las mejores prcticas forenses, se podra solicitar la
invalidacin de la evidencia presentada ante las autoridades.19

y si resultara posteriormente que la evidencia no se obtuvo a travs de procedimientos


vlidos y no se mantuvo la cadena de custodia, no tendr mayor sentido aportar la misma ya
que podra ser fcilmente descalificada por alguna de las partes. (Presman, 2009, pg. 2)

Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe
entre la informacin que se encuentra almacenada dentro de un contenedor informtico
(comnmente llamada Evidencia digital) con el medio mismo dnde se encuentra almacenada
(Evidencia Electrnica). Cada uno de los tems debe ser claramente identificado, rotulados,
custodiados y tratados de forma idnea segn las mejores prcticas forenses.20

La cadena de custodia posee diferentes etapas en el proceso forense informtico y en cada


una de ellas debe asegurarse la autenticidad, confidencialidad y disponibilidad de la evidencia21:

1. Extraccin o recoleccin de la prueba.

2. Preservacin y embalaje de la prueba.

3. Transporte o traslado de la prueba.

18
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
19
Poder Judicial de la Nacin: Sala V, en autos V. C. W. E. s/infraccin ley 11723 (causa n 39.803), 22 de
Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
20
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informticos. Versin 2.0, 7 de
Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
21
Ministerio Pblico de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia,
http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf

Mariano Messina 12
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

4. Traspaso de la misma, ya sea a los laboratorios para su anlisis, o a las diferentes fiscalas
para su custodia.

5. Custodia y preservacin final hasta que se realice el debate.

El Cybercrimen

Si bien en la introduccin se hace mencin a la premisa que establece que la constante


evolucin de la tecnologa va modificando a la sociedad y que uno de los resultados de este
proceso es el poder observar el origen de nuevas conductas o comportamientos, no es el
objetivo del presente trabajo abordar de forma especfica cada uno de ellos sino mas bien se
procede a definirlos como para generar un marco terico.

Herramientas Hackers se encuentran fcilmente disponibles en la Red y, una vez


descargadas, pueden ser utilizadas inclusive por un novato usuario de computadoras. (The
Cybercitizen Awareness Program)

El departamento de justicia de los Estados Unidos categoriza a los crmenes computacionales


en tres diferentes formas22:

- La computadora como objetivo: resulta de atacar las computadoras de otras personas (la
propagacin de un virus es un ejemplo).

- La computadora como un arma: utilizar la computadora para cometer algn crimen


tradicional que vemos en el mundo fsico (como por ejemplo el fraude o los juegos ilegales).

- La computadora como accesorio: utilizar la computadora como un extravagante medio de


almacenamiento capaz de contener informacin ilegal o robada.

En el dcimo Congreso Nacional de las Naciones Unidas en la Prevencin del Crimen y en el


Tratamiento de Delincuentes, en un taller dedicado a cuestiones de crmenes relacionados a
redes computacionales realizado en el ao 2000, desglosan al cybercrimen en dos categoras y
las definen como:

22
The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html

Mariano Messina 13
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

a. CyberCrimen desde un sentido estrecho (crimen de computadoras): Cualquier


comportamiento ilegal mediante operaciones electrnicas que tiene como objetivo la
seguridad de las computadoras y la informacin procesada en ellas.
b. CyberCrimen desde un aspecto ms amplio (crimen relacionado a computadoras):
Cualquier comportamiento ilegal realizado por medio de, o en relacin a sistemas
computacionales o redes, incluyendo dichos crmenes como posesin ilegal,
distribucin u ofrecimiento de informacin mediante un sistema de computadoras o
redes.23

En la legislacin argentina se encuentran modificaciones al cdigo penal con el fin de


establecer cuales son las actividades ilcitas que merecen una pena o sancin en nuestra
sociedad.24

La legislacin actual contempla los siguientes casos, teniendo en consideracin que los
diferentes ataques pueden ocurrir por una persona dentro de la empresa, como tambin desde
el exterior de la misma:

Atentados a la propiedad intelectual: actos que permiten acceder a patentes,


desarrollos de software, etc..25
El dao a redes informticas organizacionales: por ejemplo cuando se implanta un
Trojan Horse, conductas de Denial of Service o la instalacin de Back Doors con el fin de
ganar acceso remoto a los sistemas.
Fraude financiero: cualquier accin fraudulenta que se realice con el fin de obtener una
retribucin monetaria.
Acceso no autorizado a servicios informticos: mediante la utilizacin de sniffers,
rootkits, explotacin de vulnerabilidades y otras tcnicas que puedan tomar ventaja de
las vulnerabilidades de seguridad de los sistemas o software.
Distribucin y ejecucin de virus y gusanos informticos.
Espionaje.

23
Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002.
24
InfoLeg: Informacin Legislativa: Ley Delitos Informticos:
http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio
2008.
25
InfoLeg: Rgimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/40000-
44999/42755/texact.htm.

Mariano Messina 14
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Produccin, comercializacin, financiamiento, publicacin, divulgacin o distribucin de


pornografa infantil.

Delitos informticos:

Una primera idea respecto al delito informtico la seala Tllez Valds, quien lo conceptualiza
desde dos pticas. Nos dice que desde un punto de vista atpico son actitudes ilcitas en que
se tiene al computador como instrumento o fin, y desde uno tpico son conductas tpicas,
antijurdicas y culpables en que se tiene a las computadoras como medio o fin.26

La ley 26.388 de delitos informticos argentina tipifica27 cuales son las conductas ilcitas en las
cuales se utiliza algn elemento informtico para causar una accin que requiera una sancin.
Establece adems la pena que debe cumplir la persona tras desarrollar tales acciones.

La falta de tipificacin penal de muchas conductas delictivas an hoy en da produce que las
mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las ms
discutidas son: el grooming, phishing y la suplantacin de la identidad.

26
Tllez Valds, J. Derecho Informtico, Ed. McGraw-Hill, Mxico, 1996, p. 104
27
Muoz Conde, Francisco (2002). Teora General del Delito. Temis. 2 Edicin. Bogot. Pg. 31

Mariano Messina 15
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Figura 1: Figuras contempladas en la ley de delitos informticos.

Si bien es verdad que se encuentran tipificados muchos de los delitos informticos en nuestra
legislacin y que el campo de accin se podra pensar que se encuentra circunscripto a la
informtica, la prctica forense se debe extender y considerar como un proceso mandatario
cuando se produce algn otro delito con el fin de lograr un entendimiento de los hechos que

Mariano Messina 16
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

han sucedido. Varios ejemplos comprenden: casos de homicidio, extorsin, suicidio,


violaciones, estafa, etc28

Evidencia Digital:

Casey define en su libro a la evidencia digital como:

un tipo de evidencia fsica que est construida de campos magnticos y pulsos electrnicos
que pueden ser recolectados y analizados con herramientas y tcnicas especiales. (Casey,
2000).

Adems de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los
procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida
mediante la aplicacin de rigurosos y metodolgicos procesos que aseguren su validez.

La evidencia digital puede ser dividida en tres grandes categoras:

1. Registros almacenados en el equipo de tecnologa informtica (correos electrnicos,


archivos de aplicaciones de ofimtica, imgenes, etc.)

2. Registros generados por los equipos de tecnologa informtica (registros de auditora,


registros de transacciones, registros de eventos, etc.).

3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa
informtica. (hojas de clculo financieras, consultas especializadas en bases de datos, vistas
parciales de datos, etc.). (Bolvar Pinzn Olmedo, 2007)

Existen varias diferencias entre la evidencia digital y la fsica. Una particularidad es que la
evidencia digital es sumamente frgil: la informacin digital se puede crear, alterar, copiar y
borrar muy fcilmente. Otra particularidad es que la duplicacin de la informacin digital no
establece per se forma alguna de poder identificar qu datos son originales y cules son
resultantes de haber realizado un proceso de copiado de informacin, por lo tanto, y como

28
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.

Mariano Messina 17
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

veremos ms adelante en el desarrollo del presente trabajo, la informtica forense debe contar
con un proceso metodolgico lo suficientemente slido como para evitar cometer errores que
afecten a la evidencia y a su integridad. 29

Otras consideraciones a tener en cuenta de la evidencia digital son:

Es voltil
Es annima
Duplicable
Alterable y modificable
Eliminable
Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.
Es malo para los Juristas ya que el concepto de original carece de sentido.

La evidencia que se puede necesitar en un proceso de investigacin puede comprender30:

Toda la evidencia fsica disponible: computadoras, celulares, cmaras de fotos,


dispositivos perifricos, documentacin, anotaciones, etc
Datos visuales que se encuentren representados en un monitor encendido.
Evidencia impresa en una impresora.
Evidencia impresa en un plotter.
Representaciones magnticas de grabaciones.

El departamento de Justicia de los Estados Unidos provee un documento en el cul se centra


en la asistencia y conciencia hacia los peritos informticos en cuanto a buenas prcticas
forenses que deben seguir en la adquisicin y preservacin de los diferentes dispositivos
electrnicos que fueron encontrados en la escena del crimen.

En el documento que se encuentra publicado en la web, se hace hincapi en que la evidencia


pertinente a un caso puede encontrarse en lugares inusuales y que sta podra tener
informacin de suma importancia para el investigador de la escena del crimen. Adems

29
Bolvar Pinzn Olmedo, F.: Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de incidentes,
Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
30
Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving
Evidence of Computer Crimes, 2002.

Mariano Messina 18
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

establece la importancia de no slo recolectar informacin digital, sino que, el perito debe
observar el ambiente en su totalidad, realizando una bsqueda de hojas con contraseas,
anotaciones escritas a puo y letra, manuales de herramientas o dispositivos informticos
(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos
lineamientos que la evidencia digital.31

Proceso Forense

Etapas de la informtica forense:

Anteriormente se ha hecho mencin que el proceso forense consta de diversas etapas para
lograr su objetivo, ellas comprenden: la Identificacin de la evidencia, adquisicin de datos,
validacin y preservacin de la informacin adquirida, anlisis y descubrimiento de la evidencia
y como ltima etapa, se encuentra la confeccin del informe que debe ser presentado a las
autoridades correspondientes.

Se debe destacar que resulta de gran importancia realizar la documentacin de todas las
acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del
proceso forense. Adems, es tambin es de gran importancia mantener una adecuada cadena
de custodia durante todas las etapas de la investigacin.32

31
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
32
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 19
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Figura 2: Etapas del proceso forense.

Identificacin y documentacin de la evidencia:

Debido a que la adquisicin de datos puede involucrar un amplio abanico de dispositivos


contenedores de informacin, que pueden abarcar desde un disquette o un disco rgido de una
computadora hasta un conjunto de discos de un servidor, un juego de cintas, varias
computadoras de una organizacin o un conjunto de dispositivos mviles (entre otros), es que
antes de comenzar con el proceso de adquisicin de datos es necesario realizar un
reconocimiento y una correcta documentacin de los diferentes tipos de evidencia que se debe
adquirir, del sistema informtico que se pretende analizar y tambin, se debe tener en cuenta
cul es el camino del delito, ya que no es lo mismo analizar un caso de homicidio que uno de
fraude, por las caractersticas inherentes a cada uno de ellos.33 En un caso de fraude se podra
considerar el anlisis de diferentes componentes perimetrales que no sean computadoras,

33
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informticos v 2.0, 7 de Julio
2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf

Mariano Messina 20
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

como por ejemplo, tarjetas de crdito, informes, impresoras, scanners, etc, sin embargo, en
casos como la pornografa infantil, se debe establecer nfasis en otros objetos, cmo por
ejemplo, en las cmaras digitales.34 Tambin es necesario, antes de comenzar con el proceso de
adquisicin de datos, tener en cuenta cul va a ser la informacin que se debe recolectar, ya
que si se decide copiar la totalidad de los datos cuando en realidad slo se necesita una porcin
del conjunto, se podra incurrir en una prdida innecesaria de tiempo, adems de aumentar el
riesgo a contaminar la evidencia.35

Los diferentes elementos que van a ser analizados, y que son material probatorio en un
proceso judicial, deben encontrarse claramente identificados con el fin de evitar la prdida de
la informacin. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir
los elementos que son copia de lo que es evidencia original as como tambin permite llevar un
registro de la ubicacin de cada uno de ellos. Es posible evitar este tipo de inconvenientes
mediante la realizacin de un proceso que asegure que todos los dispositivos se encuentren
correctamente etiquetados y que todos incluyan firmas para lograr identificar cules son los
diferentes elementos que componen el caso.36

Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,
incluya tambin en el etiquetado la fecha y hora de creacin de la copia, nombre cada copia,
por ejemplo COPIA A, COPIA B para distinguirlas claramente del original. Traslade estos
datos a otra etiqueta y pguela en la caja contenedora del soporte, incluso sera conveniente
precintar el original para evitar su manipulacin inadecuada. (Delgado L., 2007)

Durante el desarrollo de un curso de Identificacin y Adquisicin de Evidencia Digital, en el


que se ha tenido el agrado de participar hace algunos meses, varios consultores en materia
forense han manifestado la importancia de fotografiar la escena dnde se haya cometido el
delito para poder, en caso que se requiera, reconstruir su estado original una vez que el
proceso forense haya concluido. Adicionalmente, a lo largo de la jornada han manifestado que
es una buena prctica utilizar elementos de diversos colores para identificar claramente cada
una de las piezas relevantes al caso. Por ejemplo, han hecho mencin que les ha resultado muy

34
Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,
http://nij.gov/nij/pubs-sum/199408.htm
35
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
36
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigacin Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf

Mariano Messina 21
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

prctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fcilmente
diversos dispositivos y cables conectores durante todo el proceso.

Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la


escena, existe la posibilidad de que de forma accidental se desconecte algn conector
provocando la prdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la
alteracin de la informacin almacenada en un contenedor digital. Durante el curso, han
demostrado cun relevante es forrar de manera completa los diversos conectores de los
dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de
desconexiones accidentales.

Figura 2: Ejemplo otorgado en el curso de etiquetado de conectores.

Mariano Messina 22
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Antes de proceder a realizar un anlisis de la evidencia identificada se podra responder a


algunas preguntas tales como37:

1- Qu evidencia se tiene para poder determinar que un acceso no autorizado ha


ocurrido?
2- Cul es la cronologa del acceso o de los cambios ocasionados en la informacin?
3- Cul es el dao estimado?
4- Quin podra ser el responsable del incidente?
5- Por qu se sospecha de esta persona?
6- Cul es el impacto en el negocio?
7- Los sistemas y las computadoras afectadas, forman parte de procesos crticos de
negocio?
8- Qu accin fue que ocasion un alerta del incidente?
9- Cuando ocurri el incidente?
10- Cuando fue el incidente descubierto por primera vez?
11- Quin ha investigado el incidente y qu acciones han sido tenidas en cuenta con el
fin de identificar, recolectar y analizar la informacin y los dispositivos involucrados?

Adems, se deben tener en cuenta recaudos especiales sobre la computadora encargada de


realizar el proceso con el fin de evitar acciones inadvertidas que atenten contra el proceso de
duplicacin de datos.

En la misma charla de Identificacin y Adquisicin de Evidencia Digital mencionado


anteriormente, los peritos forenses han hecho hincapi en el hecho de desactivar de forma
completa las actualizaciones automticas de Microsoft Windows debido a que si por algn
motivo particular se tuviese acceso a internet, podran ocasionar un reinicio del sistema
operativo justo cuando se encuentra en pleno proceso de copiado de datos, logrando que la
integridad de la informacin se vea comprometida y provocando demoras en el proceso.

Adems, se ha concientizado sobre tener especial recaudo en las opciones de energa y del
uso horario del dispositivo encargado de la clonacin. Las consideraciones a tener en cuenta
fueron:

37
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf

Mariano Messina 23
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Evitar opacar o apagar la pantalla de la computadora encargada de la copia de datos


luego del transcurso de prolongadas horas de trabajo.
Desactivar opciones de hibernacin o sleep mode.
Configurar los discos duros de forma tal que eviten su apagado o desconexin.
Revisar la fecha, zona y el uso horario teniendo en consideracin la ubicacin y el pas
dnde se encuentre realizando el proceso de duplicacin de datos.

Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexin de
algn medio que contenga evidencia segn corresponda, se debe realizar una preparacin del
ambiente de trabajo, mediante la creacin de una estructura de directorios en medios de
almacenamiento separados, en dnde se pueda extraer o recuperar archivos o informacin que
requieran ser analizadas y que resulte relevantes al caso.38

En esta etapa se comienza con la confeccin de la cadena de custodia y se debe prestar


especial atencin y cuidado a lo largo de todo el proceso forense de llevar un detallado registro
de movimiento, posesin y resguardo de evidencia.

38
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Mariano Messina 24
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Figura 3: Formulario ejemplo de Cadena de Custodia otorgado durante el curso

Mariano Messina 25
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Adquisicin de Datos

Luego de establecer los lmites de la adquisicin y de tener en claro cul debe ser el objetivo
de la investigacin forense, se procede a la segunda etapa del proceso, la cul se denomina
Adquisicin de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar
de forma especial el contenido de la informacin almacenada en el sistema que se encuentra
en observacin hacia un medio dnde se pueda realizar un anlisis y manipulacin del
contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptogrficos (Hash)
para determinar si la informacin copiada es un reflejo exacto de la original. Luego del clculo,
se debe trabajar sobre la informacin duplicada dejando intacto el contenedor original,
resguardndolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando
toda actividad en la cadena de custodia.

Si bien las situaciones que involucran componentes informticos podran resultar diferentes
segn la investigacin que se deba realizar, se debe tener ciertos recaudos para lograr proteger
la integridad de la informacin a recolectar. Si el perito forense se encuentra frente a un
escenario dnde el medio a analizar se encuentra encendido, resulta una buena prctica
documentar las acciones realizadas teniendo en consideracin lineamientos tales como:39

Documentar si originalmente el sistema se encontraba encendido o apagado.


Si se encontraba encendido, documentar o tomar fotografas de la informacin que se
encontraba visible en la pantalla, considerando que podran existir mltiples monitores
conectados a la misma computadora.
Documentar si se guard algn archivo.
Determinar el sistema operativo, si es posible.
Si se encuentra encendido, considerar recolectar informacin voltil.
Determinar el mtodo de apagado teniendo en cuenta si se va a realizar siguiendo el
mecanismo de apagado seguro provisto por el sistema operativo o desconectando el
cable de alimentacin, segn corresponda.
Documentar quin realiz el apague que sistema, el horario, el da y qu mtodo de
apague fue utilizado.

39
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 26
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Existen sistemas operativos que si se los apaga mediante la desconexin de la alimentacin de


energa podran resultar daados, comprometiendo la integridad de la informacin
almacenada.

La siguiente tabla fue expuesta durante el curso de Adquisicin de datos e ilustra cules de los
diferentes sistemas operativos pueden ser apagados mediante la desconexin de la energa
elctrica sin ocasionar daos, mientras que a otros deben aplicarse mecanismos de apagado
seguro:

Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.

Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque
(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un telfono
celular) y que los mismos podran producir diferentes tipos de modificaciones en cuanto a
fechas y tambin en cuanto al contenido de por lo menos algunos archivos del sistema;
tambin, las diferentes etapas de los procesos de arranque pueden producir una variacin en la

Mariano Messina 27
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden
originar otras consecuencias dependiendo del medio en observacin. Los mismos resultados se
pueden observar cuando se realiza la apertura de un archivo, aunque su nico propsito no sea
otro que el de slo su propia lectura o impresin.

Debido a estas particulares caractersticas de cmo se realizan modificaciones en los sistemas


por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma
inadvertida podra realizar modificaciones a los datos almacenados, en esta etapa se debe
prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes
dispositivos informticos involucrados en el anlisis de forma convencional, sino que se deben
implementar tcnicas de acceso a los volmenes que slo operen en modo de slo lectura.
Estas tcnicas o acciones deben asegurar que ni siquiera un byte de informacin sufra
alteraciones (Data Spoliation) desde el momento en que comienza la intervencin forense y
adems, deben lograr mantener la integridad de la informacin almacenada durante todo el
proceso de anlisis forense.40

Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software,


sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo
de escritura a nivel de Hardware mediante por ejemplo, la utilizacin de dispositivos
bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas
modificaciones al Registro de Windows que podran permitir impedir la alteracin de la
informacin en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo,
Linux) que permiten montar de cierta forma los volmenes que aseguren que la informacin
solamente pueda ser accedida como slo lectura, estas tcnicas, a nivel Software, se les deben
realizar una validacin continua teniendo en consideracin la metodologa a aplicar, el caso
particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del
proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de
recoleccin.

Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear
la escritura en dispositivos USB mediante la creacin de la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies

40
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 28
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Al modificar el valor hexadecimal a 0x00000001, y luego de reiniciar la computadora, se


podra acceder a los volmenes USB de forma de slo lectura.41

Figura 5: Implementacin de Hardware Bloqueadores de Escritura.

Existe otra consideracin a tener en cuenta cuando se debe realizar una adquisicin de
informacin de un dispositivo. Si se encuentra en un escenario dnde se debe reutilizar un
medio de almacenamiento que anteriormente fue empleado como parte de un proceso
forense, se debe aplicar con especial cuidado una metodologa slida con el fin de esterilizar los
contenedores que van a almacenar la informacin duplicada, si es que la copia forense no se va
a realizar bit a bit. La omisin de la esterilizacin del medio puede provocar que exista una
contaminacin de la evidencia y podra provocar que la misma sea descalificada por alguna de
las partes intervinientes.

Existe Hardware forense y herramientas de duplicacin de datos que esterilizan la informacin


en conjunto a la adquisicin de datos. Dichos equipos o herramientas generan Hashes de los
datos almacenados y luego escriben ceros (u algn otro carcter aleatorio) en el espacio
sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para
determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el
riesgo de tener que dar explicaciones al Jurado por la contaminacin de la evidencia.42

41
EC-Council: Investigating Wireless Networks and Devices, 2010.
42
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 29
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Existen dos fases diferentes de extraccin de informacin: la lgica y la fsica. La diferencia


radica en que la extraccin fsica descarta los ficheros de sistema (File System). La fase de
extraccin lgica, sin embargo, tiene en consideracin la totalidad de los archivos del sistema,
incluyendo: archivos de sistema operativo, ficheros de sistema y archivos de las diferentes
aplicaciones disponibles.

Fase de extraccin de informacin fsica:

Durante esta etapa se realiza la extraccin de informacin del disco a nivel fsico sin
considerar los archivos de sistema que se encuentren presentes. Las acciones que se podran
llevar a cabo son: la bsqueda de palabras claves, bsqueda de archivos y la extraccin de la
tabla de particiones y de espacio del disco fsico no utilizado.

Se debe tener en cuenta que:

Realizar una bsqueda de palabras claves a lo largo del disco fsico podra ser de utilidad
al analista forense para extraer datos relevantes y para identificar archivos que no
pertenezcan al sistema operativo.
Utilizar herramientas en la bsqueda y extraccin de archivos tiene como finalidad el
encontrar ficheros que podran no ser tenidos en cuenta por el sistema operativo y que
podran resultar relevantes en la investigacin.
Por otra parte, analizar la estructura de particiones del disco es til para comprender e
identificar la composicin del sistema de archivo, pudiendo determinar si todo el
espacio fsico del disco duro se encuentra utilizado.

Fase de extraccin de informacin lgica:

Esta etapa de extraccin de informacin, desde un medio de almacenamiento, se encuentra


centrada en el sistema de archivos y podra incluir datos como por ejemplo: reas de archivos

Mariano Messina 30
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos
que existe desde el final de un archivo hasta el final del ltimo cluster que tiene asignado, en
otras palabras, el slack es considerado a la diferencia que existe cuando el tamao fsico de un
medio de almacenamiento supera a su tamao lgico)43 y el espacio en disco que an no ha
sido asignado.

Los pasos podran incluir:

Extraccin de informacin de archivos de sistemas que revelen caractersticas tales


como: la estructura de directorios, atributos de los archivos, nombre de archivos, fechas
y horas, tamao de archivos y ubicacin de los mismos.
La reduccin de datos podra permitir identificar y eliminar archivos conocidos mediante
la comparacin de Hashes de archivos pre calculados en relacin a los Hashes calculados
de los archivos presentes en el disco.
Extraccin de archivos pertinentes a la investigacin. Los mtodos que se utiliza para el
cumplimiento de esta tarea podran ser basados en la bsqueda de los nombres de
archivos y extensiones, revisin de los encabezados, el contenido del archivo y la
ubicacin de los mismos en el medio contenedor.
Recuperacin de archivos que fueron borrados.
Extraccin de archivos protegidos con contrasea, cifrados y con informacin
comprimida.
Extraccin del file slack.
Extraccin del espacio no asignado.

En los dispositivos de telefona mvil, adems de las caractersticas mencionadas


anteriormente se podran considerar algunas adicionales, tales como:44

Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.
Revisar los correos electrnicos almacenados en el dispositivo.
Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc)
Revisar el cach del dispositivo mvil.
Revisar las citas, notas y el calendario del dispositivo en bsqueda de eventos o de
informacin relevante a la investigacin.
43
Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-file-
slack.html
44
EC-Council: Investigating Wireless Networks and Devices, 2010.

Mariano Messina 31
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Revisar la agenda en bsqueda de nmeros telefnicos que guarden relacin con el


caso.
Analizar el historial de navegacin web.
Analizar los mapas y el sistema de navegacin gps.
Revisar las fotografas y los videos almacenados. Adicionalmente se deber revisar la
Metadata de los archivos en bsqueda de informacin relevante. Por ejemplo, revisar
las coordenadas podra resultar til a fin de establecer la ubicacin de dnde fueron
tomadas las capturas.

En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector pblico
y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector
pblico realizar la gestin de recursos para desarrollar la coleccin de datos, mientras que para
el privado, existen menos procesos burocrticos que evitan la demora en el comienzo de la
etapa.

Validacin y Preservacin de la Informacin:

La tercera etapa del proceso forense es la validacin y preservacin de la informacin


adquirida. En la presente etapa, luego de haber realizado la identificacin y documentacin de
los diferentes medios que deben ser analizados y luego de haber realizado el proceso de
duplicacin de los mismos, teniendo en cuenta las mejores prcticas forenses que eviten la
contaminacin de los datos, se debe llevar a cabo la aplicacin de diversos algoritmos
criptogrficos (conocidos como funciones Hash) para lograr el clculo de un cdigo nico y
exclusivo de identificacin correspondiente a la combinacin nica de bytes que constituye la
totalidad de la informacin almacenada en el medio en observacin.45

La generacin de los cdigos exclusivos deben ser lo suficientemente robustos para evitar
que los mismos sean generados de forma inversa con fines dolosos. Adems, deben
encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitindole
verificar la autenticidad de la informacin resultante del proceso de duplicacin de datos, que a
su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense.

45
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007

Mariano Messina 32
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Funciones Hash:

Las funciones Hash utilizan algoritmos criptogrficos para crear un mensaje de los datos a los
cuales fueron aplicados. Los Hashes representan grandes volmenes de informacin en una
relativamente pequea porcin de datos y debido a que su utilizacin no altera la informacin
analizada, sino que la representan de una forma ms pequea, se las utilizan en la informtica
forense para comparar la informacin original con aquella resultante de haber aplicado un
proceso de duplicacin. Cuando los Hashes coinciden, significa que tanto la informacin
original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulacin
y/o anlisis.46

A pesar de que se han encontrado mltiples fallas de seguridad en los Hashes tradicionales
MD5, CRC y SHA1, y hasta existen mtodos tericos prcticos de cmo vulnerarlos (en la
actualidad se encuentran disponibles en la web mltiples sitios que aducen realizar dicho
proceso de forma fcil y rpida), an se siguen utilizando como mtodo de control vlido en las
prcticas forenses, encontrndolos aceptados en los diferentes tribunales como mtodos de
validacin de la evidencia. 47 La razn por la cual an son vlidos dichos elementos es que al
utilizar la funcin hash como mtodo de reduccin de informacin a fines de lograr un control
efectivo, resultara imprctico poder modificar una porcin de un dato especfico de la
evidencia y aun as lograr generar el mismo hash de la evidencia original.48

Una vez que la informacin ha sido cotejada, se debe proceder a incluir la firma Hash en cada
uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita
a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez
duplicados para establecer copias de seguridad que permitan a los auditores realizar la
bsqueda de elementos probatorios.

46
EC Council: Computer Forensics Investigating Network intrusions & Cyber Crime, 2010.
47
Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,
http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/
48
Informtica Pericial: Consulta sobre colisiones MD5,
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobre-
colisiones-md5&catid=43:guias-para-peritos&Itemid=64

Mariano Messina 33
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

A continuacin se listan algunas precauciones que se deben tener en cuenta cuando se debe
preservar la evidencia:49
Mantener la evidencia en un lugar seguro.
Empaquetar la evidencia en un envoltorio sellado para restringir el acceso fsico.
Mantener la evidencia fuera de temperaturas extremas y de altas humedades.
Mantener la evidencia alejada de medios magnticos.
Mantener la evidencia alejada de ambientes con polvo o energa esttica.
Mantener la evidencia alejada de ambientes con excesivas vibraciones.
Mantener la evidencia con las etiquetas correspondientes.
No se debe doblar, plegar o rayar los diversos medios informticos, como por ejemplo,
los dvds.
Mantener siempre una cadena de custodia apropiada.

Anlisis y descubrimiento de evidencia

La cuarta etapa comprende al proceso de Anlisis y descubrimiento de evidencia y siempre


que sea posible, se refiere a examinar la informacin que ha sido recuperada del proceso de
adquisicin y duplicacin de datos para poder encontrar elementos probatorios
correspondientes al caso.

Anteriormente se ha hecho mencin que la forma en que se encuentran construidos los


diferentes sistemas operativos generan eventos que van produciendo modificaciones a los
datos almacenados. Por tal motivo, si en algn momento del proceso, teniendo en cuenta el
tipo de investigacin que debe analizarse y las pruebas que deben ser identificadas, es
necesario inicializar el sistema operativo almacenado en los contenedores duplicados hay que
emplear tcnicas que aseguren al perito que el acceso a la informacin contenida sea de forma
slo lectura, logrando mantener la integridad de la misma a lo largo del tratamiento forense.
Una tcnica aprobada de acceso slo lectura a sistemas operativos es la virtualizacin de las
imgenes forenses resultantes de la etapa de adquisicin de datos.50

Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la proteccin de
la integridad de la informacin, el perito podra encontrarse frente a un sistema protegido con
una contrasea que imposibilite el acceso a la informacin almacenada.
49
EC-Council: Investigating Wireless Networks and Devices, 2010.
50
Arnicelli, Crsitian: Virtualizacin de Imgenes Forense, 17 de Septiebre 2012,
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/

Mariano Messina 34
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Durante una charla de informtica forense en la 8va edicin de Eko Party51 realizada en
Argentina, el ingeniero Gustavo Presman ha hecho mencin sobre la importancia de utilizar
herramientas que posibiliten el descubrimiento de la contrasea administrador del equipo
relevante a la investigacin, siempre teniendo recaudos de no realizar la contaminacin del
medio. Tambin ha manifestado que dicha importancia se debe a que podra existir la
implementacin de mecanismos de autenticacin Single Sign-on (SSO)52 que permitan el
acceso a sistemas internos. Los cuales a su vez podran contener informacin relacionada a la
investigacin en proceso.

En un intercambio de correos electrnicos con el profesor Luis Enrique Arellano Gonzlez,


dnde se ha tenido el agrado de debatir el proceso adivinatorio de contraseas, ha logrado
ampliar lo citado por Pressman:

La adquisicin de datos especficamente reservados por su propietario (hecho que se hace


evidente, simplemente porque utiliz una clave para protegerla), utilizando herramientas
invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que slo puede
ordenar el Juez en uso de sus atribuciones de Magistrado. De ah que antes de hacer una cosa
por el estilo, se debe pedir autorizacin a S. Sa.. Este pedido por otra parte debe ser fundado y
preservando el resto de la informacin privada del propietario de los datos, en caso contrario
(siempre que el operador del derecho de turno y/o su consultor tcnico, se den cuenta) esa
prueba y toda la cadena probatoria subsiguiente es nula. (Arellano G., 2012)

Debido a que la persona que ha originado el incidente pudo haber considerado la eliminacin
de informacin que lo comprometa, o realizar alguna accin no convencional para lograr
ocultarla, se debe realizar un anlisis de los contenedores de informacin desde diferentes
niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas
consideraciones que pueden ser utilizados como lineamientos para realizar el anlisis de la
informacin adquirida.53 Las mismas comprenden:

51
Eko Party Security Conference 8va edicin: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/.
52
The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/
53
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Mariano Messina 35
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Anlisis de perodo de tiempo:

El anlisis del perodo de tiempo es til para determinar cuando ocurrieron los eventos sobre
un sistema informtico, con el fin de identificar y asociar quin ha utilizado el recurso en el
tiempo que han ocurrido los sucesos. Existen dos mtodos que se utilizan:

- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la ltima
modificacin, la ltima vez que se accedi al archivo o el cambio de estado). El resultado que se
busca es establecer una relacin entre los archivos de inters y los tiempos relevantes a la
investigacin.

- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podran ser
analizados comprenden, eventos de error, instalacin, de conexin, eventos de seguridad, etc..
Por ejemplo, el anlisis del registro de eventos de seguridad podra indicar cuando se utiliz un
usuario y una contrasea para autenticarse a un sistema.

Anlisis de datos ocultos:

La informacin puede encontrarse de forma oculta en un sistema informtico, como


consecuencia, un anlisis minucioso de la informacin permitira detectar y recuperar archivos
que podran indicar conocimiento, posesin o intencin de los sucesos realizados. Se puede
lograr mediante:

-La correlacin de los encabezados de los archivos con las extensiones asociadas a los mismos
para identificar si existen diferencias. La discrepancia entre ambos podra indicar que un
usuario ha escondido informacin de forma intencional en el archivo.

-Revisin de los archivos protegidos por contraseas y tambin aquellos que se encuentren
comprimidos o cifrados. Se debe considerar que la contrasea utilizada para proteger el archivo
podra ser tan relevante en la investigacin como el contenido del mismo.

54
National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm

Mariano Messina 36
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

-Revisin del contenido de archivos (por ejemplo, una fotografa) en bsqueda de informacin
oculta. Este proceso de anlisis es conocido como estenografa.

-Revisin de host-protected area (HPA). El HPA es una seccin del disco duro que se encuentra
oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de
discos duros para ocultar un sistema de mantenimiento y recuperacin. Sin embargo, esta
seccin puede ser alterable y utilizable para ocultar informacin.55

Anlisis de Aplicaciones y de Archivos:

Realizar un anlisis de las aplicaciones y de los archivos que contemplan al sistema podra
brindar al forense informacin relevante a la investigacin y adems, podra permitirle lograr
una comprensin de la capacidad de los mismos. Algunos ejemplos incluyen:

- Revisin de los nombres de los archivos y establecimiento de patrones.

- Revisin del contenido de los archivos.

- Identificacin de la cantidad y tipo de sistemas operativos.

- Correlacin de archivos de aplicaciones.

- Revisin de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del
navegador con archivos de correos o de cach.

- Identificacin de archivos desconocidos.

- Revisin de la configuracin de los usuarios.

- Revisin de las carpetas de los usuarios creadas por defecto.

- Revisin de metadata y de los archivos creados por los usuarios: generalmente se buscan
datos como: fechas de creacin, fecha de ltima modificacin, el autor del fichero y la ubicacin
de los mismos.

55
Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensic-
ediscovery-glossary/what-is-host-protected-area.html

Mariano Messina 37
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Durante la charla de Gustavo Pressman en la Eko Party tambin se ha hecho mencin que
podran existir volmenes TryeCrypt (software utilizado para el cifrado de informacin)
ubicados en el sistema que se encuentra siendo investigado, que podran contener informacin
relevante al caso. Adems, ha afirmado la dificultad en la que se encuentran los forenses para
reconocer dichos volmenes debido a que los mismos no poseen una extensin que los
identifique dentro del sistema operativo.

Hasta el momento, la nica caracterstica que podra guiar a un perito hacia la identificacin
de volmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamao de los
diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros
TrueCrypt.

Otra dificultad que se presenta, por cmo se encuentran cifrados y construidos los volmenes,
es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro
volumen cifrado.56

Hasta el momento se desconoce la existencia de herramientas que puedan identificar


volmenes dentro de volmenes TrueCrypt.

Posesin y propiedad:

Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a
archivos en el sistema debido a que puede resultar relevante en la investigacin. Tambin
podra ser relevante identificar el conocimiento y la posesin de dichos archivos teniendo en
cuenta los siguientes lineamientos:

- Analizar el nombre asignado a la computadora puede indicar fecha y hora de intervalos de


posesin o propiedad del sistema. (Ver Anlisis de intervalos de tiempo).

- Los archivos de inters pueden estar ubicados en carpetas que no son creadas por defecto
por el sistema operativo. (Ver anlisis de aplicaciones y de archivos).

56
TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume

Mariano Messina 38
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

-Los nombres de archivos podran indicar el contenido del archivo. (Ver anlisis de
aplicaciones y de archivos).

- Informacin oculta en el sistema podra dar indicios de alguna persona que evita ser
detectado. (Anlisis de datos ocultos)

- Cuando un archivo se encuentra protegido con contrasea y la misma ha podido ser


recuperada, podra indicar posesin o propiedad del archivo. (Ver posesin y propiedad)

- El contenido de un archivo podra indicar posesin o propiedad por contener informacin


especfica de un usuario. (Anlisis de aplicacin y de archivos)

Figura 2: Resumen del Proceso forense obtenido del grupo de informtica forense:
http://espanol.groups.yahoo.com/group/informatica-forense/

Mariano Messina 39
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Confeccin del Informe Final.

La quinta etapa representa uno de los aspectos ms cruciales en una investigacin forense y
corresponde la produccin de un informe que detalle el proceso que se ha desarrollado. El
documento debe ser escrito para comunicar el resultado del anlisis digital forense y deber
exponer una teora entendible de la investigacin de forma tal que, la persona encargada de
realizar un juicio sobre la misma cuente con la informacin necesaria de forma clara y concisa.57

La produccin de informes lgicos y bien estructurados aumenta la probabilidad de convencer


a un jurado de que se posee un entendimiento avanzado de lo que se est haciendo y de que la
evidencia presentada ante el tribunal, es vlida.

El propsito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque
exista evidencia que se considere que no resulta de apoyo a la investigacin, debe ser
mencionada de todas formas en el informe final. En el reporte adems, debe constar cul es el
objetivo principal de la investigacin que se ha realizado.

La confeccin del reporte debe ser escrito de forma lgica y ordenada, de manera tal que
pueda exponer cul es el interrogante que debe ser esclarecido, presentar los resultados de la
investigacin y adems, declare conclusiones y recomendaciones. Para lograr una estructura
lgica y centrarse en la narracin del proceso, se puede proceder a la utilizacin de apndices
que puedan incluir calendarios, tablas u otra informacin relevante.

Si el informe debe ser presentado a un pblico variado, se debera considerar la creacin de


un glosario que abarque la definicin de los conceptos tcnicos. El glosario sirve como
herramienta de apoyo a quin lo debe leer con el objetivo de subsanar dudas tcnicas.

Un buen informe debe responder a: quin, qu, cuando, dnde y por qu. Adems, debe
documentar qu acciones fueron realizadas durante el proceso y el porqu de las mismas. 58

Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba
en casos judiciales, deba prestar especial cuidado de evitar declarar conclusiones acerca de los
hechos sino que lo que en realidad deba hacer es centrarse en narrar los mismos mediante la

57
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
58
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Mariano Messina 40
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

eleccin cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara
que durante un juicio, se ha hecho mencin que un sonido provena de un hall de un hotel, a lo
que l siempre se ha preguntado cuales son las caractersticas acsticas que diferencian un hall
hotel, de una cancha de squash.

En el anexo II del presente documento se puede observar un modelo de informe final utilizado
por peritos argentinos. El material fue obtenido de un foro dnde diversos expertos en materia
forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,
al que se ha tenido el agrado de ser invitado a participar como miembro.

La experiencia personal en el mbito privado ha demostrado que la inclusin de imgenes,


grficos o diagramas en la confeccin de informes, que deben ser revisados por diferentes
personas con diferentes perfiles, generan un efecto de atraccin en el receptor. Adems,
permiten una mejor comprensin del tema que se debe tratar y brinda al encargado de
presentar la idea una herramienta en la cul puede sentirse ms confortable a la hora de
exponer su discurso.

Las tcnicas de visualizacin permiten generar grficos, mapas o redes que relacionan la
informacin de forma tal que problemas de alta complejidad puedan ser comprendidos por el
pblico sin la necesidad de utilizar un lenguaje especfico o enredado. 59

Creo que en la etapa de confeccin y presentacin del informe final, se podran utilizar
herramientas de visualizacin de informacin que permitan a los jueces de los tribunales, y las
diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr
un entendimiento ms claro de los resultados de la investigacin, relacionando por ejemplo los
diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60

Una vez finalizadas todas las etapas de la investigacin forense digital y, una vez concluido y
presentado el informe a las autoridades pertinentes se debera resguardar toda informacin en

59
Visualizing: http://www.visualizing.org/about
60
ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,
http://queue.acm.org/detail.cfm?id=1805128

Mariano Messina 41
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

un lugar seguro por si en algn momento futuro se decide volver a indagar en los elementos
intervinientes. 61

Se ha procedido a realizar una consulta en el foro de informtica forense solicitando


asesoramiento sobre las mejores prcticas de cmo almacenar los datos de forma tal que no se
perjudique con el transcurso del tiempo. En respuesta a mi pregunta, un perito forense de la
Polica Judicial de la ciudad de Crdoba comenta que ellos, por cuestiones de costos, realizan el
resguardo mediante la utilizacin de medios pticos, por duplicado. Adems, informa que lo
realizan mediante la utilizacin de envoltorios que permiten el sellado al vaco, teniendo en
consideracin el medio ambiente y evitando el roce entre los discos. El referente tambin
informa que dicho procedimiento le ha salvado decenas de veces, reflotando causas desde el
ao 2006.

Debatiendo dicha situacin con diversos peritos se ha logrado encontrar diversas opiniones,
algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de
pocos aos, el medio de almacenamiento ptico podra estropearse, por ms que se tengan
recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.

Otros especialistas en informtica forense han comentado que prefieren la utilizacin de


medios magnticos o electrnicos, pero que por cuestiones de elevados costos, la utilizacin
de estos ltimos resultan hoy en da poco frecuentes.

Investigando sobre la durabilidad y del resguardo en el tiempo de la informacin, se ha


logrado encontrar una investigacin realizada por NIST (National Institute of Standards and
Technology). En dicha investigacin logran concluir, luego de un par de aos de investigacin y
pruebas, que los discos pticos almacenados en ambientes con temperaturas de 25 C y con
una humedad del 50% pueden llegar a durar ms de 30 aos sin estropearse. Por tal motivo,
considero que si se tienen recaudos cautelosos para almacenar la informacin en medios de
almacenamiento pticos, se podra acceder a los datos luego del transcurso de varios aos.62

61
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
62
NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf

Mariano Messina 42
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.

Conclusiones

A travs del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que
el cumplimiento de la aplicacin metodolgica de los estndares definidos, y de las mejores
prcticas en los procesos forenses, mitiga el riesgo de guiar una investigacin hacia su
invalidacin.

Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario


el cumplimiento metdico de las sucesivas fases que comprenden al proceso.

El marco metdico probado, utilizado y constantemente actualizado por forenses argentinos,


y tambin con la contribucin de peritos de diversos pases, ofrece en la evaluacin de
incidentes diversos mecanismos de mitigacin de riesgos. A su vez, logran prevenir la
invalidacin de los elementos probatorios a fin de brindar a las autoridades correspondientes
un instrumento til a la sociedad.

En lo que a la aplicacin metodolgica respecta, se concluye que para realizarla de forma


adecuada resulta imprescindible tener en cuenta la idoneidad del personal forense. Debido a
esto, se considera que la capacitacin constante y el mantener una amplia red de contactos
profesionales son puntos clave para mantenerse actualizado en materia forense digital.

Por otra parte, debido a que an hoy en da la informtica forense es considerada una ciencia
nueva, lo cul se considera que complica a personas fuera del mbito informtico en la
comprensin tcnica de diversos escenarios, se cree conveniente la utilizacin de diversas
tcnicas de capacitacin y de representacin de datos, como por ejemplo las de visualizacin de
informacin.

Las tcnicas de visualizacin resultan de gran utilidad al transmitir a las diferentes autoridades
un mensaje claro. Esto permite explicar problemas complejos mediante la abstraccin de
cuestiones tcnicas, logrando que dicha herramienta sea utilizada como base para el anlisis y
la toma de decisiones.

Por ltimo, destacar que el valor de utilidad que tiene la informtica forense radica en su
posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva
de incidentes en las diferentes organizaciones.

Mariano Messina 43
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situacin


actual de la informtica forense Argentina:

1. Alessio, en la actualidad, cul piensa que es el mayor desafo, o la mayor dificultad que
debe afrontar un perito forense a la hora de realizar una investigacin en la Argentina?

Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe
lo que hace a nivel tcnico, claro est). Si es estatal quiz el reto mayor ser logstico; el
almacenamiento y procesamiento de altos volmenes de datos requiere de forma dinmica una
cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas
veces destina recursos a los laboratorios forense de las distintas dependencias.

2. Segn su experiencia en la prctica forense, en qu partes del proceso piensa que se debe
hacer hincapi? Por qu?

En la documentacin de todos los pasos. Uno deber prestar testimonio aos despus de lo que
ocurri y si no est todo bien documentado puede perderse todo el trabajo realizado. (esto
tambin dando por sentado que se utiliza hardware y software forense as como los mtodos
forense)

3. Observando varios casos judiciales argentinos, de distinta ndole y dnde se involucran


diferentes elementos tecnolgicos como medio contenedor de datos, pude notar que existen muchos
que terminan en una invalidacin de la evidencia por alguna de las partes intervinientes en el
proceso. Por qu piensa usted que esto sucede?

Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los
trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)

4. En lo que a la metodologa forense respecta, y teniendo en consideracin su amplia


experiencia laboral, considera que existe alguna diferenciacin entre el mbito pblico y el privado,
a nivel procedimientos y estndares, que se deba tener en cuenta con el fin de tratar de asegurar el
xito de una investigacin?

No; ambas se deben llevar a cabo de igual manera. La informtica forense naci en el Estado, se
potenci por la lucha contra la pornografa infantil y luego creci exponencialmente de la mano del
sector privado cuando se comenz a aplicar a IF en investigaciones y auditoras.

Mariano Messina 44
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

5. A su parecer, en la actualidad, cmo considera que se encuentran los organismos pblicos


de seguridad en materia forense digital?

La ley que equipara los documentos digitales a los de papel tiene menos de diez aos. La justicia, y
el sistema judicial, tardarn un tiempo en adecuarse a la nueva normativa.
El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que
afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la
adquisicin de herramientas de ltima generacin y capacitacin.

6. Si bien muchos autores consideran a la informtica forense como una ciencia an nueva,
Considera que la aplicacin de la metodologa y de las buenas prcticas forenses existentes mitigan
el riesgo de que la evidencia sea susceptible a la invalidacin durante el proceso judicial?

Cuando naci la papiloscopa el perito se apersonaba en el lugar del hecho y levantaba las huellas;
terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el
comisario. La gente tard unos aos en comprender que la escena del crimen debe ser resguardada
y toda la comisara pasaba por el lugar de los hechos con la intencin de ayudar. . Lo mismo ocurrir
con la informtica forense. Sin duda que el perito deber tener el hardware, software y
capacitacin necesaria, pero hasta que no se capacite a todos los involucrados en la investigacin
de un delito, habr impugnaciones.

7. En su opinin y para concluir con la entrevista, Cules son los aspectos que se deben tener
en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades
correspondientes?

Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidar un informe que le en
Honduras, donde un perito de audio forense dice que en la grabacin se escucha una ampliacin
en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel.
Siempre me pregunt qu caractersticas acsticas tiene el hall de un hotel que no tenga el hall de
un museo, mansin, cancha de squash, etc.
Si el informe dice que se encontr una computadora cuyo sistema operativo indica como ltima
fecha de utilizacin medianoche de una fecha, quin lea el informe comprender las implicancias. Si
uno dice esta computadora fue encendida por ltima vez el X est asegurando algo que no tiene
manera de probar.

Mariano Messina 45
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

Anexo II Modelo de Informe final


Buenos Aires, 05 de Noviembre de 2005

AL

SR. JUEZ NACIONAL DE PRIMERA INSTANCIA EN LO

CRIMINAL DE INSTRUCCIN DR. JORGE LAGUNA.

SECRETARA NRO 17 DR. FIDEL PINTOS

S / D

El que suscribe Lic/Perito/Ing Nombre y Apellido; matrcula profesional Nro: ; Nro


de CUIT/CUIL: ; de nacionalidad argentina; de estado civil; de profesin ;
con domicilio particular en ; constituyendo domicilio legal en .; telfono
particular nmero: 1234-5678, fax nmero: 9101-1121; correo electrnico:
perito@consultora.com.ar; designado Perito en Informtica Forense en los autos
caratulados Snchez, Jorge s/averiguacin de defraudacin, identificado con el
nmero de expediente 13331/2005, tramitado ante el JUZGADO NACIONAL DE
PRIMERA INSANCIA EN LO CRIMINAL DE INSTRUCCIN Nro 14 del DR. JORGE
LAGUNA. SECRETARA NRO 17 DR. FIDEL PINTOS, acorde a lo determinado en el
Cdigo Procesal Penal de la Nacin, artculos 253, 254, en concordancia con lo
establecido en los artculos 255, 256, 257 y 258 de dicho Cdigo. Reconociendo el
conocimiento, alcance y penas establecidas en los artculos 275 y 276 del Cdigo
Penal de la Nacin y la restriccin del Artculo 266 del Cdigo Procesal Penal de la
Nacin (esta legislacin debe ajustarse a lo prescripto en cada Foro y Jurisdiccin,
incluyendo los cdigos de forma particulares y las acordadas correspondientes) se
constituye ante S SA (V SA, segn corresponda), a efectos de informarle los
resultados periciales alcanzados luego de las operaciones tcnicas, (cientficas,
tecnolgicas, etc.) realizadas sobre los elementos peritados (examinados,
peritados, sub_peritia).

Mariano Messina 46
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

I. OBJETO DE LA PERICIA:

La presente pericia tiene por objeto determinar si los archivos dubitados se


encontraban almacenados en: . . . . (textual) , obrando requisitoria pericial a foja
75 del cuerpo principal de los autos citados.

II. ELEMENTOS OFRECIDOS:

En relacin con la requisitoria pericial, de conformidad con el artculo 260 del


Cdigo Procesal Penal de la Nacin y en las condiciones sealadas en el art 261 del
precitado Cuerpo Legal, se recibieron los siguientes elementos sub peritia:

1. Documentos recibidos en custodia: Especialmente el expediente


principal entregado al perito por aplicacin del artculo 260 del CPPN (o su
equivalente jurisdiccional) y en caso de existir, los cuadernos de prueba
(correspondientes a los Juzgados Civiles).

2. Elementos dubitados: Disco- Computadora-Unidad de


almacenamiento Documento Impreso Software Hardware Recursos
Humanos o Expertos consultados Laboratorio consultado - Ver
ampliacin en el detalle tcnico.

3. Elementos de comparacin: Herramientas que no forman parte


de la prueba dubitada (descripcin estricta de las mismas, incluyendo
versin y procedencia, en caso de software libre indicar que se trata de
Licencias GNU, en caso contrario incluir el nmero de licencia del producto
y sus especificaciones tcnicas en un anexo)- Informe realizado por otro
tcnico, laboratorio, empresa, etc. Reconstruccin del hecho en entornos
simulados como mquinas virtuales (VPC VMWare).

III. OPERACIONES REALIZADAS:

(Consta de dos partes principales:

1. la primera secuencial, acorde al orden cronolgico de las actividades en su


totalidad, desde la recepcin del material o la inspeccin ocular, hasta las ltimas
operaciones de registro probatorio. Slo se describe la tarea con carcter
informativo y se la referencia al detalle tcnico de un anexo respectivo. Desde lo
metodolgico es la conversin metodolgica estricta de una proposicin -

Mariano Messina 47
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

proveniente de la variable definida-, en su correspondiente premisa, mediante una


serie de operaciones cientficamente vlidadas, tecnolgicamente fundamentadas y
tecnicamente correctas, que puedan ser repetidas en cualquier momento posterior
por otros expertos en el rea. En caso de necesidad o riesgo evidente de
destruccin total o parcial de la prueba indiciaria, como resultado de las tareas de
anlisis pericial efectuadas sobre la informacin sub peritia, debe solicitarse la
autorizacin escrita del Juzgado Interventor antes de proceder.

2. Una segunda parte que se conforma fuera de la pericia construyendo un


arbol demostrativo silogstico estricto, que define, estrucrtura y organiza la
justificacin de las conclusiones. A partir de dicho arbol probatorio ver metologa
lgica demostrativa- se construye la redaccin argumentativa, acorde a las
capacidades del perito, asimismo se debe utilizar para conoformar un discurso
tcnico claro, conciso, breve, tecnolgicamente fundamentado, acorde al nivel del
destinatario y especialmente ameno ver tcnicas de redaccin y oratoria)

A efectos de cumplimentar la requisitoria pericial encomendada se procedi a


realizar las siguientes operaciones periciales:

Mariano Messina 48
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

TAREAS POR ORDEN CRONOLGICO

i. Tarea 1 Ver Anexo I


ii. Tarea 2 - Ver Anexo II
iii. Tarean n Ver Anexo m

ARGUMENTACIN DEMOSTRATIVA

Reorganizacin de las tareas, incorporndolas a una estructura demostrativa


estricta, en forma de rbol binario, que permita su anlisis lgico estricto y su
discusin silogstica formal. Este rbol, puede agregarse como anexo, pero en
general no es conveniente porque slo contribuye a esclarecer la demostracin a las
personas con una buena formacin en lgica, lo que no es comn, ni corriente entre
la mayora de los profesionales. No obstante ste rbol constituir la base de
nuestro discurso argumentativo. Con esta estructura, en base a su soporte y con el
agragado de nuestras capacidades de redaccin, se construir el argumento que
justifique las conclusiones alcanzadas.

Es imprescindible considerar adems que no podemos escapara el mtodo


cientfico en general y al mtodo criminalstico en particular, el anlisis desde lo
general a lo particular, debe conformar la estructura principal (el backbone)
subyacente al rbol binario demostrativo.

Recomendaciones: Una vez finalizada la demostracin argumentativa estricta,


puede suceder que aparezcan situacines particulares que impliquen nuevas
estructuras o pruebas que puedan ayudar a la causa, pero que no han sido
incluidas en la requisitoria pericial. En este punto surge una clara dualidad, el perito
no puede expedirse ms all de la requisitoria pericial (so pena de ser considerado
tendencioso o parcial), pero no puede dejar de decir lo que vi, porque el falso
testimonio establecido en el art. 275 del CPN, no slo consiste en afirmar una
falsedad, sino tambin en ocultar una verdad conocida.

Mariano Messina 49
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

Por lo tanto, no corresponde incluir estas apreciaciones en las conclusiones, que


nicamente deben referirse a la requisitoria pericial, sin embargo nada impide
incluirlas en este momento, explicitndolas y sugiriendo a S Sa, que en caso de
considerarlo necesario ordene la ejecucin de una ampliacin de pericia posterior.
De esta manera se salvan ambas situaciones y se eluden responsabilidades
innecesarias. Es conveniente sugerir asimismo los trminos estrictos de dicha
requisitoria, para evitar nuevas idas y vueltas por falta de claridad o definicin en
las mismas.

Ejemplo: Luego de examinados los archivos detectados, ha sido posible


determinar que los obrantes en el disco rgido correspondiente al servidor principal
de la red (identificado como Servidor A, en el apartado II del presente informe) de
la empresa R, son idnticos a los que obran la terminal J (identificada) de la
Sucursal T. No obstante esta caracterstica es sealada a ttulo informativo a S Sa y
en concordancia con el artculo 275 del CPN. Si S Sa, estima conveniente analizar
esta circunstancia es posible hacerlo mediante una ampliacin del presente informe
pericial orientada a: establecer si los archivos obrantes en el Servidor Princiapla de
la red de la empresa R, son los mismos que obran en la terminal J de la Sucursal
T.

En base a los estudios, experiencias y demostraciones realizadas, es posible


arribar a las siguientes:

IV. CONCLUSIONES:

Afirmacin, negacin o explicitacinde imposibilidad de expedirse (por falta de


elementos, por falta de tecnologa o por razones demostrativas insuficientes)
respecto de la requisitoria pericial analizada de forma estricta, acotada y restringida

Con el objeto de informar a S. Sa., sobre las tareas realizadas y el tiempo


demandado por las mismas, hago saber la siguiente distribucin horaria:

N Tarea Actividad Horas OBS

Mariano Messina 50
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

01 Gestin de expediente Administrativa 5 Sede Judicial

02 Inspeccin Judicial Tcnica/Pericial 8 Local Empresa

03 Reconocimiento Judicial Tcnica/Pericial 8 Gerencia

04 Anlisis de Laboratorio Tcnica/Pericial 13

05 Confeccin del Informe Pericial Administrativa 5

TOTAL 39

Se hace constar que la hora tcnico pericial vigente en el mercado para un


profesional universitario con ttulo de grado, se estima en CIENTO CINCUENTA
PESOS ($150), respecto de las horas de gestin administrativas, se estiman en un
tercio del costo anterior ($50), lo que en el presente caso prev un valor total
estimado de $4850.

El suscripto ruega a S. Sa. tener en cuenta estos valores, al momento de


determinar los honorarios profesionales que le pudieran corresponder, considerando
la complejidad del trabajo realizado y la capacitacin profesional que el mismo
requiere por parte de quien realiza la misma.

Sirva la presente de formal y atenta nota de cierre y elevacin del informe


pericial, constituyendo formal recibo de entrega y recepcin de conformidad de los
elementos detallados, a sus efectos legales.

Se adjunta en devolucin63 al presente informe pericial compuesto de cinco (5)


fojas tiles, (en 173 renglones) y, de 8 Anexos (en un total de treinta y dos fojas
tiles), el material descripto en el apartado II 1.

Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida
la tarea pericial encomendada y regule mis honorarios profesionales acorde a la
magnitud de los estudios experiencias y demostraciones tcnicas efectuadas.

Mariano Messina 51
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331

PROVEER DE CONFORMIDAD. SERA JUSTICIA.

Firma del perito auxiliar

(si lo hubo)

Aclaracin

Ttulo y cargo

Nro de CUIL O CUIT

Firma del perito Principal

Aclaracin

Ttulo y cargo

Nro de CUIL O CUIT

1
Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)
escrito por ambos lados y conste de un nmero par de paginas. De esta manera el sello de recepcin
queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de
responsabilidades, sobre la integridad o destino a posteriori de la prueba analizada

Mariano Messina 52
Referencias
Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage
Learning.

Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informticos.
Versin 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:
http://www.oas.org/juridico/english/cyb_pan_manual.pdf

Aguilar Avils, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde
www.eumed.net/rev/cccss/07/daa7.htm

Aldrovandi, M. G. (2012, Febrero). Accedido en Mayo 10, 2012, accedido desde


http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-
argentinas

Alessio, A. (2012). Informtica Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:
http://alessioaguirre.com/informatica_forense.html

Arellano G., L. E. (2012, Marzo 15). La accin penal, por delitos de accin pblica, en manos
exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community
LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ila-
accion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html

Arnicelli, C. (2012, Septiembre 17). Virtualizacin de Imgenes Forense. Accedido en Septiembre 23,
2012, accedido desde MKit - IT & Security Solutions:
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/

Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido
desde National Institute of Standards and Technology:
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf

Bocanegra C., C. A. (n.d.). Rincn del Vago. Accedido en Junio 12, 2012, accedido desde Rincn del Vago:
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-
individuos.html

Bolvar Pinzn Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Informacin. Accedido en Mayo 23,
2012, accedido desde Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de
incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip

Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley
Publishing INC.

Mariano Messina 53
Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido
desde La Relevancia De La Custodia De La Evidencia En La Investigacin Judicial:
http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf

Cappiello, H. (2012, Febrero 23). Diario La Nacin. Accedido en Mayo 23, 2012, accedido desde La
invisibilidad de las pruebas de corrupcin: http://www.lanacion.com.ar/1450864-la-
invisibilidad-de-las-pruebas-de-corrupcion

Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.

Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.
Academic Press.

Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,
NY: Cengage Learning.

Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido
desde Computer Forensics Procedures and Methods:
http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf

Delgado L., M. (2007, Junio). Anlisis forense digital. Accedido en Agosto 22, 2012, accedido desde
Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780-
analisisforenseed2-criminalistica.net.pdf

Diario Clarn. (2011, Diciembre 22). La sugestiva y misteriosa accin de un espa privado. Accedido en
Septiembre 01, 2012, accedido desde Clarn: http://www.clarin.com/politica/sugestiva-
misteriosa-accion-espia-privado_0_613738660.html

Dutra, E. G. (2012, marzo). Accedido en Mayo 10, 2012, accedido desde


http://seguridadit.blogspot.com.ar/2012/03/crisis-de-identidad-gestion-parte-3.html

Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.

Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde
Informtica Pericial:
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons
ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64

Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame
created by US and Israel to slow Iranian nuke program:
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/

Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,
accedido desde A Tour through the Visualization Zoo:
http://queue.acm.org/detail.cfm?id=1805128

Mariano Messina 54
Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.
Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431-
Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html

InfoLeg: Informacin Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos
Informticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000-
144999/141790/norma.htm

Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.

Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.
Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/199408.htm

Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido
en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/219941.htm

Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics
Investigators. Burlington, MA: Elsevier INC.

La Nacin, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de
pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nacin:
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-
acusado-de-pedofilia

Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:
Syngress Publishing, INC.

Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and
Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:
Auerbach Publications.

Ministerio Pblico Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de
Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Pblico Fiscal de
la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf

Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer
Science+Business Media.

Muoz Conde, F. (2002). Teora General del Delito Segunda Edicin. Bogot: Tirant Lo Blanch.

Nacin, P. J. (2010, Septiembre 22). Sala V, en autos V. C. W. E. s/infraccin ley 11723 (causa n
39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nacin:
http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100

Mariano Messina 55
National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and
Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm

Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,
2012, accedido desde Optical Disc Longevity Study.:
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf

Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The
McGraw-Hill Companies.

Presman, G. D. (2008). Validez tcnica de evidencia digital en la empresa. In C. Community, El rol del
oficial de seguridad. Buenos Aires, Arg.: CXO Community.

Presman, G. D. (2009, 09 28). Accedido en Mayo 21, 2012, accedido desde


http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.p
df

Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the
Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in
_courtroom.pdf

Stuart, K. (2011, Enero 07). PlayStation 3 hack how it happened and what it means. Accedido en Julio
22, 2012, accedido desde
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3

Tllez Valds, J. (1996). Derecho Informtico. Mxico: McGraw-Hill.

The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,
accedido desde The Cyber Citizen Partnership:
http://www.cybercitizenship.org/crime/crime.html

The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open
Group: http://www.opengroup.org/security/sso/

TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:
http://www.truecrypt.org/docs/?s=hidden-volume

Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,
accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscovery-
glossary/what-is-host-protected-area.html

Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,
accedido desde Diario Judicial:
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html

Mariano Messina 56
Mariano Messina 57