Trabajo de Criminalistica

FACULTAD DE DERECHO Y CIENCIAS POLÍTICAS
ESCUELA PROFESIONAL DE DERECHO

TEMA:
“Informática Forense”
CURSO:
Criminalística
CICLO:
IV – B
DOCENTE:
Abog.
INTEGRANTES:
Blas Salazar, Milagros

Cosme Herrera ,Sonia
Garcia Bautista , Diana
Maguiña Herrera, Jessika
Mampis Yanac Edelia
Ramírez Tamara, Corina
Huaraz – Perú
1 INFORMÁTICA FORENSE
INTRODUCCIÓN
El constante reporte de vulnerabilidades en sistemas de información, el aprovechamiento
de fallas bien sea humanas, procedimentales o tecnológicas sobre infraestructuras de
computación en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias
relacionadas con intrusos informáticos. Estos intrusos poseen diferentes motivaciones,
alcances y estrategias pues sus modalidades de ataque y penetración de sistemas varían
de un caso a otro.
A pesar del escenario anterior, la criminalística nos ofrece un espacio de análisis y
estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican
en el lugar donde se llevaron a cabo las acciones catalogadas como criminales. En este
momento, es preciso establecer un nuevo conjunto de herramientas, estrategias y acciones
para descubrir en los medios informáticos, la evidencia digital que sustente y verifique
las afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo
estudio.
La informática forense hace entonces su aparición como una disciplina auxiliar de la
justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así
como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un
proceso.
La informática forense está adquiriendo una gran importancia dentro del área de la
información electrónica, esto debido al aumento del valor de la información y/o al uso
que se le da a ésta y al extenso uso de computadores por parte de las compañías de
negocios tradicionales.
Es por esto que cuando se realiza un crimen muchas veces la información queda
almacenada en forma digital, sin embargo, existe un gran problema debido a que los
computadores guardan la información de forma tal que no puede ser recolectada o usada
como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales, es de aquí que surge el estudio de la computación forense como una ciencia
relativamente nueva. La informática forense, aplicando procedimientos estrictos y
rigurosos puede ayudar a resolver grandes crímenes apoyándose en el método científico
con el cual se puede recolectar, analizar y validar todo tipo de pruebas digitales.
ÍNDICE
INTRODUCCIÓN....................................................................................................................... 2
1. ALGUNOS ANTECEDENTES HISTÓRICOS ............................................................... 5
2. DEFENICIÓN ..................................................................................................................... 5
3. DEFINICIÓN DE INFORMÁTICA FORENSE.............................................................. 6
4. PRINCIPIOS FORENSES ................................................................................................. 7
5. IMPORTANCIA ................................................................................................................. 9
6. OBJETIVOS ........................................................................................................................ 9
7. USO DE LA INFORMÁTICA FORENSE ..................................................................... 10
8. CIENCIA FORENSE........................................................................................................ 11
9. EVIDENCIA DIGITAL .................................................................................................... 14
10. GESTIÓN DE LA EVIDENCIA DIGITAL ............................................................... 19
11. GUÍAS MEJORES PRÁCTICAS................................................................................ 19
12. EVALUACIÓN DE LA ESCENA DEL CRIMEN .................................................... 21
13. DETERMINACIÓN DEL ESCENARIO .................................................................... 22
14. DOCUMENTACIÓN DE LA ESCENA DEL CRIMEN ........................................... 25
15. PASOS PARA LA RECOLECCIÓN DE EVIDENCIA ............................................ 31
16. CADENA DE CUSTODIA ........................................................................................... 33
17. FACTORES QUE INTERVIENEN EN UNA ESCENA DEL CRIMEN ................ 33
18. ROLES EN LA INVESTIGACIÓN ............................................................................ 35
CONCLUSINES ........................................................................................................................ 43
BIBLIOGRAFÍA ....................................................................................................................... 45
ANEXOS .................................................................................................................................... 46
1. ALGUNOS ANTECEDENTES HISTÓRICOS
Es difícil precisar el inicio de la informática forense o el comienzo del campo para el
caso, pero la mayoría de los expertos coincide en que la informática forense comenzó
a desarrollarse hace más de 30 años en los Estados Unidos, cuando la policía y los
investigadores militares comenzaron a ver que los delincuentes obtenían ayudas
técnicas en la comisión de sus delitos.
El campo de la informática forense se inició en la década de 1980, poco después que
las computadoras personales se convirtieran en una opción viable para los
consumidores.
A comienzo de los años 90, el FBI (Federal Bureau of Investigation observó que las
pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de
prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la
identificación por ADN. Para ello, mantuvo reuniones en su ámbito y a finales de
los años 90 se creó la IOCE (International Organization of Computer Evidence con
la intención de compartir información sobre las prácticas de informática forense en
todo el mundo.
2. DEFENICIÓN
Comencemos con algunas definiciones sobre Informática y Forense:
Informática: Según el libro Introducción a la Informática “Es la ciencia que estudia
el procesamiento automático de la información”
Según Carlos Gispert “es la ciencia de la información automatizada, todo aquello
que tiene relación con el procesamiento de datos, utilizando las computadoras y/o los
equipos de procesos automáticos de información”.
Forense: Es la aplicación de prácticas científicas dentro del proceso legal,
esencialmente esto se traduce en investigadores altamente especializados o
criminalistas, que localizan evidencias que sólo proporcionan prueba concluyente al
ser sometidas a pruebas en laboratorios.
Según el Glosario de la Enciclopedia CCI (Criminalística, Criminología e
Investigación) Se dice de todo aquello que está relacionado con juzgados y tribunales,
y en general con asuntos jurídicos y de derecho.
Informática Forense: Un proceso metodológico para la recogida y análisis de los
datos digitales de un sistema de dispositivos de forma que pueda ser presentado y
admitido ante los tribunales.
Disciplina auxiliar de la justicia moderna para enfrentar los desafíos y técnicas de los
intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital
que se pudiese aportar en un proceso.
En conclusión, diremos que la Informática Forense, es una disciplina auxiliar de la
justicia que a través de un proceso metodológico se encarga de la recolección y
análisis de la evidencia digital.
3. DEFINICIÓN DE INFORMÁTICA FORENSE
Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura
tecnológica que permiten identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal.
Por tal razón la Informática Forense es una disciplina auxiliar de la justicia, ya que
por medio de ella se puede determinar mediante técnicas científicas y analíticas todo
lo relacionado a la informática en busca de la evidencia digital.
4. PRINCIPIOS FORENSES
El documento titulado como Informática Forense, nos hace mención sobre algunos
principios forenses de la evidencia digital a la hora de ser localizada. Existe un gran
número de principios básicos que son necesarios independientemente si está
examinando un ordenador o un cadáver, estos principios son:
 evitar la contaminación: la esterilidad de los medios es una condición
fundamental para el inicio de cualquier procedimiento forense en informática,
pues al igual que en la medicina forense un instrumento contaminado puede
ser causa de una interpretación o análisis erróneo en la causa de la muerte del
paciente.
 actuar metódicamente: el investigador debe ser el custodio de su propio
proceso, por lo tanto, cada uno de los pasos realizados, los instrumentos
utilizados y los resultados obtenidos del análisis deben estar claramente
documentados, de tal manera que cualquier persona externa pueda validar y
revisar los mismos.
 controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha
manipulado la evidencia: este punto es complemento del anterior; quién la
entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido
acceso a ella, cómo se ha efectuado su custodia, entre otras son las preguntas
que deben estar claramente resueltas para poder dar cuenta de la adecuada
administración de las pruebas a su cargo.
En el documento titulado la Informática Forense: el rastro digital del crimen,
también nos hace referencia de algunos principios forenses los cuales fueron
desarrollados por la IOCE (International Organization of Computer
Evidence) con una serie de principios y procedimientos para actuaciones
sobre pruebas digitales estos principios son:
 Todos los principios generales de procedimientos y técnicas forenses deben
ser aplicados cuando se manipulen pruebas digitales: cualquier institución
con atribuciones en la búsqueda, recolección, y análisis de pruebas debe tener
una metodología o unos principios generales definidos con el objetivo de
proteger los intereses de todas las partes.
 En la manipulación de pruebas digitales, las acciones que se lleven a cabo no
deben alterar dicha prueba: en caso de que se tenga que actuar de tal forma
que se altere la prueba, las acciones deberán ser completamente
documentadas.
 Cuando sea necesario que una persona tenga acceso a una prueba digital
original, dicha persona debe estar formada para ese propósito: la mejor
práctica es realizar una imagen digital de la prueba a analizar y actuar sobre
la copia para no alterar la original.
 Toda actividad relativa a la recogida, acceso, almacenamiento, o transferencia
de pruebas digitales debe ser completamente documentada, conservada y
disponible para su estudio: todas las manipulaciones que se lleven a cabo
deben ser documentadas de tal forma que sea comprensible, de manera que
las acciones que se están registrando puedan ser reproducidas si fuera
necesario, es vital mantener la cadena de custodia.
 Cada persona es responsable de todas las acciones tomadas con respecto a la
prueba digital mientras dicha prueba esté a su cargo: dicha responsabilidad es
personal y no corporativa.
 Cualquier institución o grupo, que sea responsable de la recogida, acceso,
almacenamiento, o transferencia de una prueba digital, es responsable de
cumplir y hacer cumplir estos principios: las instituciones con atribuciones en
la recolección y manipulación de pruebas digitales, velarán para que estos
principios se lleven a cabo como un marco de referencia y trasladando éstos
a los procedimientos de actuación que se desarrollen en dichas instituciones.
Con estos principios nos podemos dar cuenta que, lo primordial es evitar la
contaminación a la hora de efectuar cualquier procedimiento forense en informática
y que todo el proceso debe de estar totalmente documentado, otra anotación
importante es la cadena de custodia la cual nos permite visualizar el adecuado manejo
de la evidencia. La persona que realiza este tipo análisis debe estar totalmente
capacitada en el área de informática forense.
5. IMPORTANCIA
La informática forense nace en vista de la necesidad del personal del derecho en
poder afrontar nuevas tareas probatorias, esta necesidad crea el nacimiento de los
llamados detectives digitales o peritos informáticos. Los informáticos forenses
tienen la ardua labor de realizar investigaciones en busca de evidencia digital.
6. OBJETIVOS
El objetivo de la informática forense es recobrar los registros y mensajes de datos
existentes dentro de un equipo informático, de tal manera que toda esa información
digital pueda ser utilizada como prueba ante un tribunal. 12 En el documento
Informativa Forense: Generalidades, Aspectos Técnicos y Herramientas13 nos hacen
referencia sobre 3 objetivos:
 La compensación de los daños causados por los criminales o intrusos.
 La persecución y procesamiento judicial de los criminales.
 La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas entre ellas la principal, la recolección
de evidencia. Concluimos que el objetivo de la informática forense es muy preciso,
el cual se fija en la recolección de todos aquellos datos dentro de un equipo
informático, así como presentar la evidencia ante un tribunal, el cual también tiene
una finalidad preventiva.
7. USO DE LA INFORMÁTICA FORENSE
El documento Informática Forense, generalidades, aspectos técnicos y herramientas,
nos indica la temática siguiente:
 Prosecución criminal: evidencia incriminatoria puede ser usada para procesar
una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico
y venta de drogas, evasión de impuestos o pornografía infantil.
 Temas corporativos: la información puede ser recolectada en casos sobre
acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.
 Mantenimiento de la ley: la Informática Forense puede ser usada en la
búsqueda de información, una vez que se tenga orden judicial. Como nos
podemos dar cuenta la Informática Forense tiene muchos usos y es de gran
utilidad en cada uno de ellos, por ser una ciencia que utiliza la aplicación de
técnicas científicas en la infraestructura tecnológica para el proceso de
identificar hasta presentar los datos ante un tribunal.
8. CIENCIA FORENSE
La ciencia forense nos proporciona los principios y técnicas que facilitan la
investigación del delito criminal, en otras palabras: cualquier principio o técnica que
puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia
durante una investigación criminal forma parte de la ciencia forense. Los principios
científicos que hay detrás del procesamiento de una evidencia son reconocidos y
usados en procedimientos como:
• Recoger y examinar huellas dactilares y ADN.
• Recuperar documentos de un dispositivo dañado.
• Hacer una copia exacta de una evidencia digital.
• Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para
asegurar que este no se ha modificado.
• Firmar digitalmente un documento para poder afirmar que es auténtico y preservar
la cadena de evidencias.
ESCENA DEL CRIMEN
EVIDENCIA
SOSPECHOSO VICTIMA
Figura 1: Principio de transferencia de Locard.
Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra
en la escena del crimen deja un rastro en la escena o en la víctima y vice-versa (se
lleva consigo), en otras palabras: “cada contacto deja un rastro”. En el mundo real
significa que si piso la escena del crimen con toda seguridad dejaré algo mío ahí,
pelo, sudor, huellas, etc. Pero también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc. Con algunas de estas evidencias,
los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal
estuviera en la escena del crimen.
En este ejemplo hemos hablado de evidencias físicas, en la ciencia forense tradicional
hay varios tipos de evidencias físicas:
• Evidencia transitoria: como su nombre indica es temporal por naturaleza, por
ejemplo, un olor, la temperatura, o unas letras sobre la arena o nieve (un objeto
blando o cambiante).
• Evidencia curso o patrón: producidas por contacto, por ejemplo, la trayectoria de
una bala, un patrón de rotura de un cristal, patrones de posicionamiento de muebles,
etc.
• Evidencia condicional: causadas por una acción o un evento en la escena del crimen,
por ejemplo, la localización de una evidencia en relación con el cuerpo, una ventana
abierta o cerrada, una radio encendida o apagada, dirección del humo, etc.
• Evidencia transferida: generalmente producidas por contacto entre personas, entre
objetos o entre personas y objetos. Aquí descubrimos el concepto de relación.
En la práctica las evidencias transferidas se dividen en dos tipos, conocidas como:
• Transferencia por rastro: aquí entra la sangre, semen, pelo, etc.
• Transferencia por huella: huellas de zapato, dactilares, etc. Aunque en la realidad,
estas últimas suelen mezclarse, por ejemplo, una huella de zapato sobre un charco de
sangre.
El principio de intercambio de Locard se puede resumir así:
1. El sospechoso se llevará lejos algún rastro de la escena y de la víctima.
2. La víctima retendrá restos del sospechoso y puede dejar rastros de sí mismo en el
sospechoso.
3. El sospechoso dejará algún rastro en la escena.
El objetivo es establecer una relación entre los diferentes componentes:
• La escena del crimen
• La víctima
• la evidencia física
• el sospechoso
Para la correcta resolución del caso, todos estos componentes deben estar
relacionados. Esto se conoce como el concepto de relación, que es lo que nos faltaba
para completar el principio de intercambio de Locard.
Las evidencias pueden, a su vez, ser transferidas de dos formas distintas:
1. Transferencia directa: cuando es transferida desde su origen a otra persona u objeto
de forma directa.
2. Transferencia indirecta: cuando es transferida directamente a una localización y,
de nuevo, es transferida a otro lugar.
Importante resaltar que cualquier cosa y todo puede ser una evidencia. Brevemente,
la ciencia forense facilita las herramientas, técnicas y métodos sistemáticos (pero
científicos) que pueden ser usados para analizar una evidencia digital y usar dicha
evidencia para reconstruir qué ocurrió durante la realización del crimen con el último
propósito de relacionar al autor, a la víctima y la escena del crimen.
Network Forensics Forensia en redes, es un escenario aún más complejo, pues es
necesario comprender la manera como los protocolos, configuraciones e
infraestructuras de comunicaciones se conjugan para dar como resultado un momento
específico en el tiempo y un comportamiento particular. Esta conjunción de palabras
establece un profesional que, entendiendo las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formación criminalística, de
establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para
concluir su acción. A diferencia de la definición de computación forense, este
contexto exige capacidad de correlación de evento, muchas veces disyuntos y
aleatorios, que, en equipos particulares, es poco frecuente [Acis06]. Es la captura,
almacenamiento y análisis de los eventos de una red, para descubrir el origen de un
ataque o un posible incidente.
9. EVIDENCIA DIGITAL
Casey define la evidencia de digital como “cualquier dato que puede establecer que
un crimen se ha ejecutado (comité) o puede proporcionar un enlace (link) entre un
crimen y su víctima o un crimen y su autor”. “Cualquier información, que sujeta a
una intervención humana u otra semejante, ha sido extraída de un medio informático”
A diferencia de la documentación en papel, la evidencia computacional es frágil y
una copia de un documento almacenado en un archivo es idéntica al original. Otro
aspecto único de la evidencia computacional es el potencial de realizar copias no
autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación
crea problemas concernientes a la investigación del robo de secretos comerciales,
como listas de clientes, material de investigación, archivos de diseño asistidos por
computador, fórmulas y software propietario. Debe tenerse en cuenta que los datos
digitales adquiridos de copias no se deben alterar de los originales del disco, porque
esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia
que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias
tecnologías, como por ejemplo checksums o hash MD5. Cuando ha sucedido un
incidente, generalmente, las personas involucradas en el crimen intentan manipular
y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar
muestras del daño. Sin embargo, este problema es mitigado con algunas
características que posee la evidencia digital.
• La evidencia de Digital puede ser duplicada de forma exacta y se puede
sacar una copia para ser examinada como si fuera la original. Esto se hace
comúnmente para no manejar los originales y evitar el riesgo de dañarlos.
• Actualmente, con las herramientas existentes, es muy fácil comparar la
evidencia digital con su original, y determinar si la evidencia digital ha sido
alterada.
• La evidencia de Digital es muy difícil de eliminar. Aun cuando un registro
es borrado del disco duro del computador, y éste ha sido formateado, es
posible recuperarlo.
• Cuando los individuos involucrados en un crimen tratan de destruir la
evidencia, existen copias que permanecen en otros sitios.
Clasificación de la evidencia digital Cano clasifica la evidencia digital que
contiene texto en 3 categorías:
Registros generados por computador: Estos registros son aquellos, que como dice su
nombre, son generados como efecto de la programación de un computador. Los
registros generados por computador son inalterables por una persona. Estos registros
son llamados registros de eventos de seguridad (logs) y sirven como prueba tras
demostrar el correcto y adecuado funcionamiento del sistema o computador que
generó el registro. Registros no generados sino simplemente almacenados por o en
computadores: Estos registros son aquellos generados por una persona, y que son
almacenados en el computador, por ejemplo, un documento realizado con un
procesador de palabras. En estos registros es importante lograr demostrar la identidad
del generador, y probar hechos o afirmaciones contenidas en la evidencia misma.
Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones
humanas contenidas en la evidencia son reales. Registros híbridos que incluyen tanto
registros generados por computador como almacenados en los mismos: Los registros
híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos
registros sirvan como prueba deben cumplir los dos requisitos anteriores. Criterios
de admisibilidad En legislaciones modernas existen cuatro criterios que se deben
tener en cuenta para analizar al momento de decidir sobre la admisibilidad de la
evidencia: la autenticidad, la confiabilidad, la completitud o suficiencia, y el apego y
respeto por las leyes y reglas del poder judicial [AdmEvi03].
Autenticidad: Una evidencia digital será autentica siempre y cuando se cumplan dos
elementos: • El primero, demostrar que dicha evidencia ha sido generada y registrada
en el lugar de los hechos
• La segunda, la evidencia digital debe mostrar que los medios originales no
han sido modificados, es decir, que la los registros corresponden
efectivamente a la realidad y que son un fiel reflejo de la misma.
A diferencia de los medios no digitales, en los digitales se presenta gran volatilidad
y alta capacidad de manipulación. Por esta razón es importante aclarar que es
indispensable verificar la autenticidad de las pruebas presentadas en medios digitales
contrario a los no digitales, en las que aplica que la autenticidad de las pruebas
aportadas no será refutada, de acuerdo por lo dispuesto por el artículo 11 de la ley
446 de 1998: “Autenticidad de documentos. En todos los procesos, los documentos
privados presentados por las partes para ser incorporados a un expediente judicial
con fines probatorios, se reputarán auténticos, sin necesidad de presentación personal
ni autenticación. Todo ello sin perjuicio de lo dispuesto en relación con los
documentos emanados de terceros” [Ley446]. Para asegurar el cumplimiento de la
autenticidad se requiere que una arquitectura exhiba mecanismos que certifiquen la
integridad de los archivos y el control de cambios de los mismos. Confiabilidad: Se
dice que los registros de eventos de seguridad son confiables si provienen de fuentes
que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura
de computación en correcto funcionamiento, la cual demuestre que los logs que
genera tienen una forma confiable de ser identificados, recolectados, almacenados y
verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido

violado y estaba en correcto funcionamiento al momento de recibir, almacenar o
generar la prueba”. La arquitectura de computación del sistema logrará tener un
funcionamiento correcto siempre que tenga algún mecanismo de sincronización del
registro de las acciones de los usuarios del sistema y que a posea con un registro
centralizado e íntegro de los mismos registros. Suficiencia o completitud de las
pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia
debe estar completa. Para asegurar esto es necesario “contar con mecanismos que
proporcionen integridad, sincronización y centralización” para lograr tener una vista
completa de la situación. Para lograr lo anterior es necesario hacer una verdadera
correlación de eventos, la cual puede ser manual o sistematizada.
Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se refiere a
que la evidencia digital debe cumplir con los códigos de procedimientos y
disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las
normas legales vigentes en el sistema jurídico. Manipulación de la evidencia digital
Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto
a la manipulación de la evidencia digital.
• Hacer uso de medios forenses estériles (para copias de información)
• Mantener y controlar la integridad del medio original. Esto significa, que a
la hora de recolectar la evidencia digital, las acciones realizadas no deben
cambiar nunca esta evidencia.
• Cuando sea necesario que una persona tenga acceso a evidencia digital
forense, esa persona debe ser un profesional forense.
• Las copias de los datos obtenidas, deben estar correctamente marcadas,
controladas y preservadas. Y al igual que los resultados de la investigación,
deben estar disponibles para su revisión.
• Siempre que la evidencia digital este en poder de algún individuo, éste será
responsable de todas las acciones tomadas con respecto a ella, mientras esté
en su poder.
• Las agencias responsables de llevar el proceso de recolección y análisis de
la evidencia digital, serán quienes deben garantizar el cumplimiento de los
principios anteriores.
10. GESTIÓN DE LA EVIDENCIA DIGITAL
Existen gran cantidad de guías y buenas prácticas que nos muestran cómo llevar
acabo la ges10ión de la evidencia digital Las guías que se utilizan tienen como
objetivo identificar evidencia digital con el fin de que pueda ser usada dentro de una
investigación. Estas guías se basan en el método científico para concluir o deducir
algo acerca de la información. Presentan una serie de etapas para recuperar la mayor
cantidad de fuentes digitales con el fin de asistir en la reconstrucción posterior de
eventos. Existen diferentes tipos de planteamientos, estos varían dependiendo del
criterio de la institución y/o personas que definen la guía, como se define a
continuación.
11. GUÍAS MEJORES PRÁCTICAS
A continuación, se enuncian siete guías existentes a nivel mundial de mejores
prácticas en computación forense. RFC 3227 El “RFC 3227: Guía Para Recolectar y
Archivar Evidencia” (Guidelines for Evidence Collection and Archiving)
[GuEvCo02], escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea,
ingenieros del Network Working Group. Es un documento que provee una guía de
alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las
mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar,
desarrollar la recolección y determinar cómo almacenar y documentar los datos.
También explica algunos conceptos relacionados a la parte legal. Su estructura es:
a) Principios durante la recolección de evidencia: orden de volatilidad de los
datos, cosas para evitar, consideraciones de privacidad y legales.
b) El proceso de recolección: transparencia y pasos de recolección.
c) El proceso de archivo: la cadena de custodia y donde y como archivar. Guía
de la IOCE La IOCE [IOCE06], publico “Guía para las mejores practicas en
el examen forense de tecnología digital” (Guidelines for the best practices in
the forensic examination of digital technology) [IOCE02].
El documento provee una serie de estándares, principios de calidad y aproximaciones
para la detección prevención, recuperación, examinación y uso de la evidencia digital
para fines forenses.
Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad
que se necesitan para todo el proceso forense de evidencia digital, desde examinar la
escena del crimen hasta la presentación en la corte.
Su estructura es:
a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de
aptitud del personal, documentación, herramientas y validación de las mismas
y espacio de trabajo).
b) Determinación de los requisitos de examen del caso.
c) Principios generales que se aplican a la recuperación de la evidencia digital
(recomendaciones generales, documentación y responsabilidad).
d) Prácticas aplicables al examen de la evidencia de digital.
e) Localización y recuperación de la evidencia de digital en la escena:
precauciones, búsqueda en la escena, recolección de la evidencia y
empaquetado, etiquetando y documentación.
f) Priorización de la evidencia.
g) Examinar la evidencia: protocolos de análisis y expedientes de caso.
h) Evaluación e interpretación de la evidencia
i) Presentación de resultados (informe escrito).
j) Revisión del archivo del caso: Revisión técnica y revisión administrativa.
k) Presentación oral de la evidencia.
12. EVALUACIÓN DE LA ESCENA DEL CRIMEN
Es importante clarificar los conceptos y describir la terminología adecuada que nos
señale el rol que tiene un sistema informático dentro del Inter criminis o camino del
delito, esto a fin de encaminar correctamente el tipo de investigación, la obtención
de indicios y posteriormente los elementos probatorios necesarios. De esta misma
manera diseñar los procedimientos adecuados para tratar cada tipo de evidencia, ya
sea convencional o digital.
En esta etapa de la investigación se desarrollan los fundamentos básicos de la
administración, organización y logística, la evaluación comienza cuando se toma
conciencia de que el lugar ha sido totalmente asegurado y protegido. La evaluación
es el paso más importante ya que promueve un plan organizado de acción y evita la
actividad física impensada que destruiría la evidencia pertinente.
Una vez comenzada la evaluación de la escena del crimen no debe interrumpirse,
salvo que se den circunstancias que impliquen peligro físico para el personal o daño
para los objetos que se pudiesen localizar en la escena del crimen.
13. DETERMINACIÓN DEL ESCENARIO
Si la escena física está determinada por los componentes: piso, pared y techo, en la
escena virtual tiene que ver con la propiedad del medio físico o canal por el cual se
transmiten los datos.
cerrado – PCs sin conexión a redes
abierto – PCs con conexión a Internet vía ISP (proveedor de servicio de
internet)
mixto – PCs en LAN/MAN/WAN.
A fin de establecer que los investigadores forenses tengan una idea de dónde buscar
la evidencia digital, éstos deben de identificar las fuentes más comunes de evidencia,
situación que brindará al investigador el método más adecuando para su posterior
recolección y preservación. Las fuentes de evidencia digital pueden ser clasificadas
en tres grandes grupos:
 Sistemas de computación abierto; son aquellos que están compuestos de las
llamadas computadores personales y todos sus periféricos como teclados,
ratones y monitores, las computadoras portátiles, y los servidores.
Actualmente estos computadores tienen la capacidad de guardar gran
cantidad de información dentro de sus discos duros, lo que los convierte en
una gran fuente de evidencia digital.
 Sistemas de comunicación; estos están compuestos por las redes de
telecomunicaciones, la comunicación inalámbrica y el Internet. Son también
una gran fuente de información y de evidencia digital.
 Sistemas convergentes de computación; son los que están formados por los
teléfonos celulares llamados inteligentes o Smartphone, los asistentes
personales digitales PDAs, las tarjetas inteligentes y cualquier otro aparato
electrónico que posea convergencia digital y que puede contener evidencia
digital.
Dada la ubicuidad de la evidencia digital, es raro el delito que no esté asociado a un
mensaje de datos guardado y trasmitido por medios informáticos, un investigador
capacitado puede usar el contenido de ese mensaje de datos para descubrir la
conducta del infractor, también puede realizar un perfil de su actuación, de sus
actividades individuales y relacionarlas con sus víctimas.
Ejemplos de algunos aparatos electrónicos e informáticos que puedan poseer y
almacenar la evidencia digital:
 Computador de escritorio: es una computadora personal que es diseñada para
ser usada en una ubicación fija, la computadora de escritorio es la herramienta
de trabajo por excelencia, el uso que se le da está relacionado normalmente con
las tareas productivas y administrativas.
 Computador portátil: es un ordenador personal móvil o transportable, los
ordenadores portátiles son capaces de realizar la mayor parte de las tareas que
realizan los ordenadores de escritorio, con similar capacidad y con la ventaja
de su peso y tamaño reducidos, sumado también a que tienen la capacidad de
operar por un período determinado sin estar conectadas a una red eléctrica.
 Estación de trabajo: en informática una estación de trabajo es un
minicomputador de altas prestaciones destinado para trabajo técnico o
científico, que facilita a los usuarios el acceso a los servidores y periféricos de
la red.
 Hardware de red: normalmente se refiere a los equipos que facilitan el uso de
una red informática, el tipo más común de hardware de red en la actualidad son
los adaptadores Ethernet, ayudados en gran medida por su inclusión en la
mayoría de los sistemas informáticos modernos.
 Servidor: aparato que almacena o transfiere datos electrónicos por el Internet
 Teléfono celular: es un dispositivo inalámbrico con el cual se puede acceder y
utilizar los servicios de la red de la telefonía celular o móvil, en el mismo
también se pueden almacenar datos.
 Para identificar llamadas: es un aparato que se utiliza para la identificación de
números telefónicos, el cual también almacena un historial de datos.
 Localizador – beeper: es un dispositivo de telecomunicaciones muy simple que
recibe mensajes de texto corto.
 “GPS” (sistema de posicionamiento global): es un sistema global de
navegación por satélite que permite ubicar geográficamente la posición de un
objeto, una persona o un vehículo.
 Cámaras: dispositivos capaces de captar y almacenar imágenes y audio.
 Memoria “flash” (USB): Pequeño dispositivo que puede conservar hasta 4
gigabytes de datos o 4,000,000,000 bytes de información.
 Palm: asistente personal electrónico que almacena datos y posiblemente tiene
conectividad inalámbrica con el Internet.
 Discos, disquetes, cintas magnéticas: medios de almacenamiento de datos.
14. DOCUMENTACIÓN DE LA ESCENA DEL CRIMEN
La documentación de la escena del crimen es la etapa siguiente a la evaluación,
mediante la cual se detectó la presencia de indicios relacionados al hecho investigado,
la documentación debe tener un orden establecido con el fin de que los distintos
procedimientos se realicen sin alterar los indicios.
Los métodos de documentación más usuales son: la descripción escrita, el croquis, la
fotografía, y el video, los cuales a continuación se detallan:
 Descripción escrita: la descripción escrita o acta, consiste en la narración por
escrito de lo que se encuentra en la escena del crimen, es decir de lo general
a lo particular, de lo particular al detalle y del detalle al detalle mínimo. La
descripción del lugar de la escena del crimen, características, ubicación
geográfica, orientación, dimensiones y formas, elementos y su distribución,
descripción y ubicación precisa de cada elemento, rastro o indicio que se
observe y todo lo relacionado con el hecho investigado. Así mismo, registrar
las condiciones climáticas (temperatura, estado del tiempo) y de visibilidad.
 Croquis: el croquis es un dibujo a mano alzada de la escena del crimen,
esquemático, orientado, con leyenda explicativa, utilizando medidas reales a
escala y/o referencial sin usar las medidas reales. En el croquis se deben
considerar algunos puntos importantes:
Reflejar dimensiones del lugar, distribución del escenario y localización de
víctima o víctimas, objetos y rastros del hecho investigado susceptibles de
registro.
Indicar la dirección del Norte.
Incorporar a la escena del crimen y anotar cualquier circunstancia que pueda
tener relación con el hecho que se investiga.
Relacionar los elementos físicos de la escena del crimen y numerarlos.
Anotar, previo a su levantamiento y traslado, la ubicación de los indicios
localizados.
Registrar la distancia de los edificios aledaños, si los hubiera.
Todo croquis debe contar con una leyenda explicativa o referencia.
 Fotografía: la fotografía registra y fija una visión total y detallada del lugar del
hecho o escena del crimen, que permite acreditar fehacientemente el estado
en que se encontraban las evidencias físicas, como las operaciones realizadas
al momento de la recolección de los elementos, rastros o indicios. Para el
efecto se deben utilizar las técnicas adecuadas debiendo captar fotografías
panorámicas, de mediana distancia y de detalle.
Para a fotografía se debe considerar:
a) los puntos de referencia, a efecto de permitir situar objetos, cadáveres y
vehículos entre otros en la escena del crimen.
b) específicamente aquello que es necesario resaltar, para lo cual la fotografía
deberá efectuarse con aproximación al detalle mínimo.
c) anexar siempre un testigo métrico como un elemento de referencia a las
fotografías que lo consideren.
d) la aplicación del ángulo adecuado en cada fotografía.
e) iluminación adecuada y necesaria.
 video: el video al igual que la fotografía registra el lugar del hecho o escena del
crimen, se debe procurar que el medio a utilizar sea en un formato estándar
MP3 por ejemplo. Para el video se debe considerar:
a) la aplicación del ángulo adecuado
b) la utilización del testigo métrico
c) iluminación adecuada y necesaria.
Búsqueda:
Concluida la etapa de la documentación que nos impedían tocar la escena del crimen,
en esta fase podemos alterar la escena en busca de algún rastro, mover todo tipo de
objetos en busca de posibles indicios, huellas digitales, así como evidencia digital.
El investigador es autónomo para el empleo de los sistemas de búsqueda y los
utilizará de acuerdo con el lugar sujeto a análisis, utilizando diferentes métodos:
 Método punto a punto: consiste en movilizarse de un objeto a otro sin ningún
orden establecido, desplazándose como lo considere el fiscal o el
investigador.
 Método espiral o circular: se trata de ir dando círculos en forma de espiral,
partiendo desde el punto focal de la escena hasta el más distante seleccionado,
se utiliza igualmente en forma invertida.
 Método por franjas: se divide la escena en franjas y los investigadores
encargados de la búsqueda se dirigen en línea recta por la zona que les
corresponde, haciendo una búsqueda minuciosa. Este método es aplicable a
espacios abiertos y grandes.
 Método cuadriculado o de rejilla: es una variante del método de las franjas,
pero permite que cada sector sea revisado dos veces dando mayor certeza
sobre la calidad de la búsqueda.
 Método de zonas o sectores: la escena se divide en zonas o sectores,
asignando cada sector a un investigador, pudiéndose revisar varios sectores
en forma simultánea.
 Método en forma de rueda: la escena se considera en forma circular a la cual
se le trazan líneas como los radios de una rueda, cada investigador recorre la
zona asignada. Este método presenta el inconveniente de que a medida que
uno se va alejando de la zona central, el área se hace más amplia.
Fijación:
Ubicados los indicios en la escena del crimen, se les asigna un número respectivo
que será el que los distinga entre sí y que sirva para identificarlos durante toda la
investigación incluso en el debate, siempre y cuando siguiendo un orden lógico de
fijación de los indicios con relación al método de búsqueda establecido.
Manipulación:
El manejo inadecuado de los indicios conduce a su contaminación, deterioro o
destrucción, siendo ésta la causa más frecuente que impide su posterior examen en el
laboratorio. Por esta razón, cuando se llegue al momento de proceder a su
manipulación se realizará con la debida técnica a fin de evitar inconvenientes, a
continuación, se recomienda tomar en cuenta y seguir los siguientes aspectos:
 Manipular lo menos posible, para evitar la contaminación o destrucción.
 Evitar contaminarla con los instrumentos que se utilizan para su
levantamiento.
 Levantarla por separado, evitando que se mezclen.
 Marcarla en aquellos sitios que no ameriten estudio ulterior.
 Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.
Es recomendable que el embalador sea la misma persona que buscó y fijó, a cada
indicio debe anotarle en un lugar que no altere la forma ni contenido del mismo, una
seña particular con la cual lo pueda identificar.
Recolección y Embalaje:
Antes de empezar esta etapa hay que disponer de todos los elementos necesarios, no
se debe utilizar material de la misma escena del delito. Las guías del FBI36
recomiendan contar con dispositivos confiables, pero pueden ser sustituidos por otros
basados en el principio físico de la evidencia digital, se recomienda tener en cuenta
lo siguiente:
 Recoger todos los medios móviles y removibles, teniendo en cuenta su rol en
el esquema tecnológico.
 Levantamiento del acta respectiva, documentación por medio de fotografía y
video.
 Registro de los números de serie y demás características de los equipos, si no
tiene número de serie márquelo y fírmelo con un rotulador indeleble. Deje
constancia de la marca en el acta del levantamiento.
El objetivo de esta fase en el ciclo de vida de la administración de la evidencia
digital, es localizar todo tipo de evidencia y asegurar que todos los registros
electrónicos originales no han sido alterados. Se establecen algunos elementos a
considerar como:
o Establecer buenas prácticas y estándares para recolección de evidencia
digital.
o Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro.
o Mantener y verificar la cadena de custodia.
o Respetar y validar las regulaciones y normativas alrededor de la recolección
de la evidencia digital.
o Desarrollar criterios para establecer la relevancia o no de la evidencia
recolectada.
Algunos Puntos a Considerar:
 Establecer un criterio de recolección de evidencia digital según su volatilidad,
de la más volátil a la menos volátil.
 Archivos temporales.
 Almacenamiento de datos en memorias USB, CD, DVD.
 Documentar todas las actividades que el profesional a cargo de la recolección
ha efectuado durante el proceso, de tal manera que se pueda auditar.
 Asegurar el área donde ocurrió el siniestro, con el fin de custodiar el área o
escena del delito y así fortalecer la cadena de custodia y recolección de la
evidencia.
 Registrar en medio fotográfico y video la escena del posible ilícito, detallando
los elementos informáticos allí involucrados.
 Levantar un croquis o diagrama de conexiones de los elementos informáticos
involucrados, los cuales deberán ser parte del reporte del levantamiento de
información en la escena del posible ilícito.
15. PASOS PARA LA RECOLECCIÓN DE EVIDENCIA
Para el procedimiento de recolección de evidencia digital podemos mencionar tres
requisitos muy importantes:
 Utilizar medios forenses estériles.
 Mantenimiento y control de la integridad del medio original.
 Etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigación.
Existen también algunas guías básicas, las cuales mencionan aspectos muy
importantes que pueden ayudar a cualquier investigador forense en el trabajo que esté
realizando, entre las cuales podemos mencionar:
Forensic Examination on Digital Evidence: A Guide for Law Enforcement37 (El
examen forense de la Evidencia Digital: Una Guía para Aplicación de la ley), nos
indica que existen tres principios generales para el manejo de la evidencia digital:
 Las acciones tomadas para recoger la evidencia digital no deben afectar nunca
la integridad de la misma.
 Las personas encargadas de manejar y recoger evidencia digital deben ser
capacitadas para tal fin.
 Las actividades dirigidas a examinar, conservar o transferir evidencia digital
deben ser documentadas y reservadas para una futura revisión.
La importancia radica en que estos principios se han convertido en guías
interdisciplinarias y estándares para la recuperación, preservación y examen de la
evidencia digital, incluyendo audio, imágenes y dispositivos electrónicos para que
los investigadores tengan una formación profesional uniforme, que promueva la
cooperación y haga posible la interacción entre jurisdicciones en los casos en que se
presenten delitos que abarquen varias de ellas.
Hardware
El hardware es uno de los elementos que se deben tener en cuenta a la hora de la
recolección de evidencia, debido a que puede ser usado como instrumento, como
objetivo del crimen, o como producto del crimen. Lo primero que se debe preguntar
el investigador es en qué partes se deben buscar o investigar, para posteriormente
comenzar con la recolección y el embalaje respectivo.
Cuidados en la Recolección de Evidencia
La recolección de la evidencia digital es un aspecto frágil de la computación
forense, especialmente porque requiere de prácticas y cuidados adicionales que no
se tienen en la recolección de evidencia convencional, es por esto que:
 Se debe proteger los equipos del daño.
 Se debe proteger la información contenida dentro de los sistemas de
almacenamiento de información (muchas veces, estos pueden ser alterados
fácilmente por causas ambientales, o por un simple campo magnético).
 Algunas veces, será imposible reconstruir la evidencia (o el equipo que la
contiene), si no se tiene cuidado de recolectar todas las piezas que se
necesiten.
Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en
la captura de la/s evidencia/s. Por evidencia entendemos toda información que
podamos procesar en un análisis, por supuesto que el único fin del análisis de la/s
evidencia/s es saber con la mayor exactitud qué fue lo que ocurrió.
16. CADENA DE CUSTODIA
La cadena de custodia es el mecanismo que garantiza la autenticidad de los elementos
probatorios recogidos y examinados, esto significa que las pruebas correspondan al
caso investigado sin que se dé lugar a confusión, adulteración, pérdida, ni sustracción
alguna. Por lo tanto, toda persona que participe en el proceso de cadena de custodia
debe velar por la seguridad, integridad y conservación de dichos elementos.
Es un procedimiento de seguridad para garantizar que el perito informático reciba
del responsable de la investigación, los elementos de prueba en el mismo estado en
que fueron reunidos en el lugar del hecho, igualmente que sean devueltos al
responsable de la investigación en la misma situación, de forma que al ser
presentados ante el tribunal se pueda comprobar su autenticidad y no existan dudas
sobre la misma. Toda transferencia de custodia debe quedar consignada en las hojas
del registro de la cadena de custodia, indicando fecha, hora, nombre y firma de quien
recibe y de quien entrega.
17. FACTORES QUE INTERVIENEN EN UNA ESCENA DEL CRIMEN
Cuando en una escena del crimen se tiene que trabajar en condiciones adversas, como
en incendios, inundaciones, derrames de gasolina o químicos peligrosos, es
indispensable que el investigador tome las medidas de seguridad necesarias para
asegurar en primer lugar su integridad física, luego deberá implementar el
procedimiento más adecuado para incrementar las posibilidades de recuperar las
evidencias de la manera más completa. El investigador forense nunca tendrá la
oportunidad de revisar una escena del crimen en su estado original, siempre habrá
algún factor que haga que la escena del crimen presente algunas anomalías o
discrepancias. Con la finalidad de dar una mejor explicación, a continuación, se
expondrán algunas de las posibles situaciones en donde se ve afectada la evidencia
dentro de una escena del crimen:
 Equipos de emergencias: en el caso de un incendio, los sistemas informáticos
pueden ser afectados por el fuego y el humo, posteriormente sometidos a una
gran presión de agua al tratar de apagar este. Esto provoca que los técnicos
forenses no puedan determinar a ciencia cierta si los sistemas informáticos
encontrados en la escena estuvieron comprometidos, fueron atacados o
usados indebidamente, en otras ocasiones los equipos de emergencia
manipulan la escena cuando es necesario para salvar la vida de una persona.
 Personal de criminalística: En algunas ocasiones el personal de criminalística
por accidente cambia, reubica, o altera la evidencia, por ejemplo, en el caso
de que se quiera sacar una muestra de sangre de una gota precipitada sobre
un disco compacto, una memoria etc. mediante el uso de un escarpelo, esto
puede accidentalmente comprometer los datos e información almacenada en
dichos soportes.
 El sospechoso o el imputado tratando de cubrir sus rastros: cuando el
sospechoso o el imputado deliberadamente borra o altera los datos, registros
u otros mensajes de datos considerados como evidencia dentro de un disco
duro.
 Acciones de la víctima: la víctima de un delito, puede borrar correos
electrónicos que le causen aflicción o le provoquen alguna situación
embarazosa.
 Transferencia secundaria: en algunas ocasiones, los sistemas informáticos
usados en el acometimiento de un delito, son usados posteriormente por
alguna persona de forma inocente, causando con ello la destrucción y
alteración de evidencia.
 Testigos: un administrador del sistema puede borrar cuentas de usuarios
sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir
su acceso y utilización futura.
 El clima y la naturaleza: los campos electromagnéticos pueden corromper la
información guardada en discos magnéticos.
 Descomposición: en algunos casos la información almacenada en discos
magnéticos, o en otros soportes puede perderse o tornarse ilegible para los
sistemas de información, a causa del tiempo y de las malas condiciones de
almacenamiento.
En resumen el investigador forense debe entender como los factores humanos, de la
naturaleza y de los propios equipos informáticos pueden alterar, borrar o destruir la
evidencia, se debe comprender como dichas variables actúan sobre la escena misma
del delito, por lo tanto se debe encaminar la investigación desde su etapa más
temprana tomando en cuenta estos cambios, a fin de adecuar el mejor método para
adquirir, preservar y luego analizar las pistas obtenidas, y así reducir de manera
considerable los posibles efectos de la dinámica de la evidencia.
18. ROLES EN LA INVESTIGACIÓN
La investigación científica de una escena del crimen es un proceso formal donde el
investigador forense, documenta y adquiere toda clase de evidencias, usa su
conocimiento científico y sus técnicas para identificarla y generar indicios suficientes
probatorios. Es, por tanto, dejar en claro cuáles son los roles y la participación que
tiene ciertas personas dentro de una escena del crimen de carácter informático o
digital, estas personas son:
 Técnicos en escenas del crimen: son los primeros en llegar a la escena del
crimen, son los encargados de recolectar las evidencias que ahí se encuentran,
tienen una formación básica en el manejo de evidencia y documentación, al
igual que en reconstrucción del delito, y la localización de elementos de
convicción.
 Examinadores de la evidencia digital o informática: son los responsables de
procesar toda la evidencia digital o informática obtenida por los Técnicos en
Escenas del Crimen, para este punto las personas requieren tener un alto grado
de especialización en el área de sistemas e informática.
 Investigadores de delitos informáticos: son los responsables de realizar la
investigación y la reconstrucción de los hechos de los delitos informáticos de
manera general, son personas que tiene una capacitación en cuestiones de
informática forense, son profesionales en seguridad informática, abogados,
policías, y examinadores forenses.
-Peritos Informáticos
Por otro lado, se hace indispensable para la valoración de las pruebas o elementos
de convicción la intervención de personas que tengan conocimientos en materias
especiales, en este caso de la materia informática, los cuales prestan un servicio
especial al fiscal y al juez al momento de ilustrar sobre las materias, técnicas o artes
que son de su conocimiento.
Peritos son las personas que por disposición legal aportan con sus conocimientos los
datos necesarios para que el juez o el fiscal adquieran un grado de conocimiento para
determinar las circunstancias en que se cometió una infracción, en otras palabras el
conocimiento del perito suple al del juez y el fiscal en cierta área del conocimiento
del cual estos no son expertos, por tanto el perito entrega los elementos de convicción
que permita al operador de justicia crear un razonamiento que desemboque en la
resolución del caso propuesto, en fin aportan elementos que tanto el fiscal como el
juez valoraran al emitir su resolución.
Jeimy Cano llama a los peritos informáticos forenses: investigadores en informática
y los define como “profesionales que contando con un conocimiento de los
fenómenos técnicos en informática, son personas preparadas para aplicar
procedimientos legales y técnicamente válidos para establecer evidencias en
situaciones donde se vulneran o comprometen sistemas, utilizando métodos y
procedimientos científicamente probados y claros que permitan establecer posibles
hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas
hipótesis”. La pericia es un medio de prueba específicamente mencionado por la ley
procesal, “con el cual se intenta obtener para el proceso, un dictamen fundado en
especiales conocimientos científicos, técnicos o artísticos, útil para el descubrimiento
o valoración de un elemento de prueba”.
Un informe pericial, sus conclusiones u observaciones no son definitivos ni
concluyentes, la valoración jurídica del informe pericial queda a criterio del fiscal o
del juez, quienes pueden aceptarlo o no con el debido sustento o motivación. Se
fundamenta en la necesidad de suplir la falta de conocimiento del juez o del fiscal,
porque una persona no puede saberlo todo, sobre todo en un mundo tan globalizado
donde las ciencias se han multiplicado y diversificado, así como los actos delictivos.
El Perito debe regirse por los siguientes principios:
 Objetividad: el perito debe ser objetivo, debe observar los códigos de ética
profesional.
 Autenticidad y conservación: durante la investigación, se debe conservar la
autenticidad e integridad de los medios probatorios.
 Legalidad: el perito debe ser preciso en sus observaciones, opiniones y
resultados, conocer la legislación respecto de sus actividades periciales y
cumplir con los requisitos establecidos por ella.
 Idoneidad: los medios probatorios deben ser auténticos, ser relevantes y
suficientes para el caso.
 Inalterabilidad: en todos los casos, existirá una cadena de custodia
debidamente asegurada que demuestre que los medios no han sido
modificados durante la pericia.
 Documentación: deberá establecerse por escrito los pasos dados en el
procedimiento pericial.
Estos principios deben cumplirse en todos los procedimientos y por todos los peritos
involucrados.
- Informe Forense :
El último paso que se debe realizar en el proceso de investigación es la presentación
de la información recopilada como evidencia, esta consiste en la elaboración del
informe con los resultados obtenidos en cada una de las etapas de la investigación.
El informe que presentemos debe ser totalmente imparcial sin mostrar una sentencia
de conducta del acusado, esto puede llevar a que su trabajo sea descalificado.
El informe es el documento redactado por el perito informático, en el que se exponen
las conclusiones obtenidas por el experto, tras la investigación.
Expuesta esta situación debemos tener muy en cuenta cómo debemos presentar un
informe sobre la investigación de tal manera que sea, objetiva, precisa y que contenga
suficientes argumentos que determinen la fiabilidad de la investigación.
En el informe forense debemos incluir:
 Los datos de persona o institución.
 Los objetivos de la investigación.
 La declaración previa del perito informático, en la que se establecen los
principios de profesionalidad, veracidad e independencia.
 Documentación sobre el proceso de adquisición de pruebas.
 Detalle de las acciones que el perito informático lleva a cabo durante la
investigación.
 Resultados de la investigación informática y conclusiones.
- La elaboración del informe consta a su vez de tres fases:
1. fase de adquisición de las pruebas: La documentación del proceso de
adquisición de las pruebas es una información que debe formar parte del
informe pericial.
2. fase de la investigación: Constarán en el informe todas las acciones
realizadas durante la fase de investigación, como las herramientas empleadas
para la adquisición de la evidencia electrónica y el detalle y resultado de los
procesos efectuados sobre el dispositivo o unidad que se está analizando.
3. fase de elaboración de la memoria: En esta última fase, el perito
informático recopila la información que ha obtenido durante todo el proceso
de investigación y redacta el informe que se presentará ante los tribunales.
-Principios teóricos generales, para la propuesta del protocolo de acción de la
escena del crimen
El protocolo es un conjunto de procedimientos específicos establecidos en un plan
de ejecución, siendo éste una serie de lineamientos que paso a paso nos explica el
procedimiento a seguir. En esta oportunidad se propone un protocolo de acción
como un instrumento técnico que establece los parámetros de las actividades
relacionadas con la aplicación adecuada de las técnicas forenses y de criminalística
en el procesamiento de una escena del crimen.
Es muy importante tener en cuenta y seguir éste protocolo para la manipulación y
recolección de las evidencias digitales, con lo cual se reduce la posibilidad de que
estas se alteren o destruyan.
El protocolo tiene como objetivo, transformar la idea inicial en un verdadero plan de
acción respetando las diferentes fases; también facilita la discusión previa para tomar
una estrategia adecuada de trabajo, sirve como un marco referencial y proporciona
una buena comunicación para desarrollar el trabajo más eficiente. Las características
que garanticen la eficacia del protocolo de acción son; una directriz completa seria y
legible para desarrollar de la mejor manera las fases que este conlleve.
A continuación, se presenta en detalle los pasos a seguir:
1. Asegurar la Escena del Crimen
La primera persona en llegar a la escena del crimen, tiene como objetivo asegurarla,
utilizando cinta de acordonamiento o cualquier otro medio, evitando la aglomeración
de personas y dejando un espacio prudente para que el personal de escena del crimen
pueda trabajar de la mejor manera. Al momento de llegar al lugar de los hechos el
personal técnico deberá ponerse en contacto con la primera autoridad que se presentó
a dicho lugar para obtener la información preliminar relacionada con el caso.
2. Manejar la Escena del Crimen
En cualquier escena del crimen hay varias personas caminando a su alrededor
desempeñando diferentes tareas. Es imperativo que la persona a cargo de la
investigación maneje la logística en la escena, y de esta manera, definir el plan de
procesamiento y emitir las directrices necesarias a todo el personal técnico.
3. Observar la Escena del Crimen
En esta fase, la persona encargada de la investigación conjuntamente con el personal
de escena del crimen tiene como objetivo, observar todo el lugar de los hechos a fin
de establecer hipótesis y crear teorías de lo que pudo haber sucedido, es importante
no tomar decisiones rápidas, hay que ser muy metódico en lo que se observa.
4. Documentar la Escena del Crimen
La documentación en la escena del crimen es muy importante y debe desarrollarse
de la mejor manera, ya que sirve como un registro para una evaluación posterior, de
esta manera la documentación debe realizarse por medio de la descripción escrita,
fotografías, video y el croquis. Cada aspecto con sus propias técnicas para un mejor
resultado. Cada persona documentará la escena del crimen según el rol que se le
haya asignado.
5. Búsqueda
Con base en lo que se pudo determinar en la fase de observación y el método de
procesamiento establecido se comienza con la búsqueda de todos aquellos indicios
que se pudiesen localizar en la escena del crimen, estableciendo un orden lógico en
el que se va a recolectar dichos indicios.
6. Recolección
Se designará a la persona encargada de la recolección de los indicios, debiendo ésta
preservar los mismos evitando que se contaminen o se pierdan. Cada indicio debe
ser manipulado cuidadosamente para que no se altere o se pierda algún rastro
importante; el mismo debe ser marcado por la persona que lo recolecta y embalado
con las técnicas necesarias para evitar su destrucción y comenzar con la cadena de
custodia.
CONCLUSINES
 Nuestro presente trabajo nos da a conocer la importancia de la informática forense
debido a que la ciencia va avanzando y de tal modo se va integrando a otros
campos como es la auditoria, ingeniería inversa y también en son los aspectos
legales del derecho y así preparándonos como buenos profesionales conociendo
nuevas ramas para nuestro buen desenvolvimiento profesional.
 La Informática Forense en la actualidad ha tomado gran importancia porque
permite encontrar las evidencias necesarias y suficientes de un siniestro,
evidencia que pueden ser de gran valor en el momento de resolver un caso,
en muchos de estos casos puede ser la única evidencia disponible es por ello
que nos va a permitir la solución de conflictos tecnológicos relacionados con
seguridad informática y protección de datos.
 La Informática Forense al final de una investigación nos puede ayudarnos a
plantear recomendaciones, ya que permite establecer los principales controles y
seguridades informáticas.
 Si bien en estos últimos tiempos en nuestro país se ha empezado a hablar de
Informática Forense todavía falta mucho camino por recorrer, en especial si se
compara con otros países de la región en donde ya se habla incluso de la
profesionalización de esta rama.
 La informática forense está adquiriendo una gran importancia dentro del área de
la información electrónica, esto debido al aumento del valor de la información y/o
al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada y al
extenso uso de computadores por parte de las compañías de negocios
tradicionales.
 La ciencia forense proporciona técnicas que facilitan la investigación del delito
criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada
para identificar, recuperar, reconstruir o analizar la evidencia.
 la evidencia digital como cualquier dato que puede establecer que un crimen se ha
ejecutado (commit) o puede proporcionar un enlace (link) entre un crimen y su
víctima o un crimen y su autor.
 La evidencia de Digital es muy difícil de eliminar. Aun cuando un registro es
borrado del disco duro del computador, y éste ha sido formateado, es posible
recuperarlo.
BIBLIOGRAFÍA
AMAYA, H. (01 de Noviembre de 2018). Informática forense: generalidades, aspectos
técnicos y herramientas. Obtenido de Informática forense: generalidades,
aspectos técnicos y herramientas: http://www.forensics-intl.com/def3.html
[BueAdm06].
CANO, J. (2005). Estado del Arte del Peritaje Informático en Latinoamérica. Colombia:
ALFA-REDI.
CANO, M. (2009). Computación Forense, descubriendo los rastros informáticos.
México: Alfaomega.
CASTILLO, J. (s/a). El delito informático. España: Universidad de Zaragoza.
LÓPEZ, O. (s/a). Informática forense: Generalidades, Aspectos Técnicos y
Herramientas. Bogotá: Universidad los Andes de Bogotá.
MICHAEL, G. (01 de Noviembre de 2018). Recovering and Examining Computer
Forensic Evidence. Obtenido de Recovering and Examining Computer Forensic
Evidence: http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
NÚÑEZ, J. (1996). Derecho Informático. Perú: Marsol.
PARKER, D. (1987). Poder Informático y Seguridad Jurídica. Madrid : Fundesco.
S/N. (01 de Noviembre de 2018). Scientific Working Group on Digital Evidence.
Obtenido de Scientific Working Group on Digital Evidence:
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm [InfFor01] Óscar
López,
ANEXOS

Trabajo de Criminalistica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo de Criminalistica

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE DERECHO Y CIENCIAS POLÍTICAS

ESCUELA PROFESIONAL DE DERECHO

Blas Salazar, Milagros

El constante reporte de vulnerabilidades en sistemas de información, el aprovechamiento

de fallas bien sea humanas, procedimentales o tecnológicas sobre infraestructuras de

computación en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias

relacionadas con intrusos informáticos. Estos intrusos poseen diferentes motivaciones,

alcances y estrategias pues sus modalidades de ataque y penetración de sistemas varían

A pesar del escenario anterior, la criminalística nos ofrece un espacio de análisis y

momento, es preciso establecer un nuevo conjunto de herramientas, estrategias y acciones

La informática forense hace entonces su aparición como una disciplina auxiliar de la

como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un

que se le da a ésta y al extenso uso de computadores por parte de las compañías de

relativamente nueva. La informática forense, aplicando procedimientos estrictos y

rigurosos puede ayudar a resolver grandes crímenes apoyándose en el método científico

Es difícil precisar el inicio de la informática forense o el comienzo del campo para el

investigadores militares comenzaron a ver que los delincuentes obtenían ayudas

técnicas en la comisión de sus delitos.

El campo de la informática forense se inició en la década de 1980, poco después que

las computadoras personales se convirtieran en una opción viable para los

pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de

prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la

identificación por ADN. Para ello, mantuvo reuniones en su ámbito y a finales de

los años 90 se creó la IOCE (International Organization of Computer Evidence con

la intención de compartir información sobre las prácticas de informática forense en

Comencemos con algunas definiciones sobre Informática y Forense:

Informática: Según el libro Introducción a la Informática “Es la ciencia que estudia

el procesamiento automático de la información”

Según Carlos Gispert “es la ciencia de la información automatizada, todo aquello

equipos de procesos automáticos de información”.

esencialmente esto se traduce en investigadores altamente especializados o

criminalistas, que localizan evidencias que sólo proporcionan prueba concluyente al

ser sometidas a pruebas en laboratorios.

Según el Glosario de la Enciclopedia CCI (Criminalística, Criminología e

y en general con asuntos jurídicos y de derecho.

Informática Forense: Un proceso metodológico para la recogida y análisis de los

datos digitales de un sistema de dispositivos de forma que pueda ser presentado y

admitido ante los tribunales.

intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital

que se pudiese aportar en un proceso.

En conclusión, diremos que la Informática Forense, es una disciplina auxiliar de la

justicia que a través de un proceso metodológico se encarga de la recolección y

análisis de la evidencia digital.

3. DEFINICIÓN DE INFORMÁTICA FORENSE

Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura

válidos dentro de un proceso legal.

lo relacionado a la informática en busca de la evidencia digital.

principios forenses de la evidencia digital a la hora de ser localizada. Existe un gran

número de principios básicos que son necesarios independientemente si está

examinando un ordenador o un cadáver, estos principios son:

 evitar la contaminación: la esterilidad de los medios es una condición

fundamental para el inicio de cualquier procedimiento forense en informática,

pues al igual que en la medicina forense un instrumento contaminado puede

ser causa de una interpretación o análisis erróneo en la causa de la muerte del

 actuar metódicamente: el investigador debe ser el custodio de su propio

utilizados y los resultados obtenidos del análisis deben estar claramente

documentados, de tal manera que cualquier persona externa pueda validar y

revisar los mismos.

 controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha

manipulado la evidencia: este punto es complemento del anterior; quién la

entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido

administración de las pruebas a su cargo.

desarrollados por la IOCE (International Organization of Computer