Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento de prueba para uso académico
Conceptos básicos de Pruebas Digitales para Abogados.
Documento confidencial
ADALID ABOGADOS
Nit. 9000955225
Cll 93 A No. 9 a- 07
Bogotá, Colombia
info@adalidabogados.com
Tel/Fax 571-6047536
www.adalidabogados.com
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Que son las pruebas digitales?
Son todo tipo de archivos, rastros de conexiones, información, datos, como mensajes de texto,
correos electrónicos, grabaciones digitales de audio, fotografías digitales, conversaciones por
internet, datos de teléfonos móviles, entre otros, enviada, recibida, almacenada o comunicada
por medios electrónicos, ópticos o similares.
Son legales y se pueden presentar en proceso judiciales?
Si, la ley 527 de 1999 las integró al Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del
Código de Procedimiento Civil, este tipo de pruebas como pruebas documentales, sin perjuicio de
las que sean periciales y tengan que ver con estos equipos y requieran la participación de expertos
o equipo especializado o aquellas que sean por ejemplo la prueba de inspección judicial que verse
sobre documentos.
Qué requisito debe tener una prueba documental presentada en un proceso?
Los requisitos son comunes de conformidad, se deberá tener en cuenta lo preceptuado en los
artículos 6 a 10 de la ley 527 de 1999, es decir debe ser:
A) Escrito.
Este requisito se refiere no sólo a documentos que se encuentren en un lenguaje que se
pueda leer, también se incluyen los documentos que estén en lenguaje multimedia, es
decir en video y/o audio, sin importar su formato, pues ellos están escritos en un
protocolo que hace que un programa (software) lo haga visible a nosotros
B) Firmado.
• Firma electrónica.
• Firma Digital.
C) Original.
Al respecto cabe aclarar que todas las copias son digitalmente símiles, siempre que se
pueda corroborar que han sido conservadas de forma idónea.
D) Integra ….. “a permanecido completa e inalterada” para hacerlo es recomendable aplicar a
las pruebas:
• Estampas cronológicas de fecha y hora. ****
• firma electrónica, estampa cronológica de fecha y hora.
• La técnica del “timestamping”.
• Los algoritmos “hashing”, MD5 u otros sistemas de análogas características.
Nota: es recomendable decir a nuestros clientes que deben crear procesos de archivo digital en
las empresas archiven sus documentos aplicando estos protocolos.
Hoja introductoria especial para la charla en el Instituto Colombiano de Derecho Procesal, 27 de mayo de 2009.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
RASTREANDO UNA DIRECCIÓN DE INTERNET.
Del mismo modo que una casa tiene una dirección, cada computador conectado a Internet
también la tiene. Se le conoce como dirección IP (Internet Protocol, en inglés). Este capítulo
explica cómo se asignan las direcciones IP y cómo rastrearla hasta la fuente.
El Abogado también estará expuesto a otros tipos de direcciones. Algunos ejemplos son las
direcciones de correo electrónico y las direcciones de los sitios web (del tipo www, World Wibe
Web, en inglés).
Tipo Ejemplo
Dirección de correo electrónico alguien@nist.gov
Dirección del sitio web www.nist.gov
Dirección IP 129.6.13.23
Todas pueden rastrearse con el fin de suministrar pistas a la investigación. Para más información
sobre las direcciones de correo electrónico o de sitios web refiérase, por favor, a los capítulos
específicos. Antes de rastrear una dirección IP, deberá comprender por complete los siguientes
conceptos.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Dirección IP (Internet Protocol)
Cualquier equipo que se emplee en comunicación sobre la plataforma de Internet requiere una
dirección IP 1. Una dirección IP es una serie de 4 números con un rango de 0 a 255 y separados por
puntos. La dirección identifica a la red específica y el equipo. Un ejemplo de dirección IP es
129.6.13.23
Una analogía muy común es comparar una dirección IP con la dirección de un apartamento (ver la
figura 1)
Proveedor Principal
Proveedor Local
Red
129 6 13 23
Calle
Edificio
Piso
ALTO! La dirección IP no indica una ubicación física del equipo en el momento en que está
conectado en Internet.
Las direcciones emplean cuatro números separados por puntos que permiten un total de 256^4 o
1,099,511,627,776 direcciones únicas. Este esquema de direcciones se ha ido expandiendo para
permitir un mayor uso del Internet. Al parecer el método de rastreo de las direcciones IP, sin
importar el esquema de direcciones empleado, continuará siendo el mismo.
Dirección IP privada
Existen tres grupos de direcciones IP reservadas específicamente para ser usadas por cualquier red
privada y no se ven en el Internet público. Cualquier información respecto de estas direcciones IP
deberá obtenerse del dueño de la red. Los rangos son:
10.0.0.0 a 10.255.255.255
Proveedores de Servicios de Internet
Los Proveedores de Servicios de Internet (ISPs, en ingles) pueden ser agentes comerciales u
organizaciones, tales como negocios o entidades del gobierno. Ellos pueden reservar bloques de
direcciones IP que pueden asignar a sus usuarios.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Los ISPs pueden registrar la fecha, hora, información del usuario de la cuenta y el ANI (Automatic
Number Identification, en inglés; Número Automático de Identificación) o la identificación de la
línea de quien llama al momento de la conexión. Si se conservan los registros, ellos pueden
mantenerse por un tiempo limitado dependiendo de la política establecida por el ISP.
Actualmente, no existe algún requisito legal general para conservar los registros; por consiguiente,
algunos ISP no los guardan. Se hace importante, entonces, elaborar y enviar una carta de
preservación, de acuerdo con lo descrito en el capítulo 9, para el evento en que se requiera algún
registro en particular, para una investigación.
Direcciones IP estáticas y dinámicas
Las direcciones IP “Dinámicas” se asignan temporalmente de un conjunto de direcciones
disponibles registradas a un ISP en particular. Estas direcciones se asignan al equipo cuando el
usuario abre una sesión en línea. Como resultado la dirección IP del equipo puede variar de una
sesión a otra.
Las direcciones IP “Estáticas” se asignan de forma permanente a equipos configurados para tener
siempre la misma dirección IP. Una persona, negocio u organización que mantenga una presencia
constante en Internet, como por ejemplo un sitio web, por lo general necesita una dirección IP
estática.
Nota: Para poder ligar una dirección IP a un equipo o cuenta de usuario en particular, debe
determinarse la fecha y hora en que se le asignó dicha dirección IP. El ISP podrá mantener un
histórico de archivos de registro donde se relacionen estas direcciones IP dinámicas asignadas a un
suscriptor o usuario específico y el momento particular en el que se hizo.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Paquetes
Los datos enviados por Internet se fraccionan en paquetes que son luego reensamblados en su
destino. Cuando la información como archivos, mensajes de correo electrónico, documentos en
HTML (HyperText Markup Language, en inglés) o las páginas web se envían de un lugar a otro por
una red, el sistema operativo de la red divide la información en pedazos para poder transportarlos
de forma eficiente. Cada uno de estos paquetes de información enviada pueden viajar por
diferentes caminos a través de la red. Cuando todos llegan son reensamblados para conformar el
archivo original.
Nota: Capturar los paquetes está más allá del alcance del presente reporte especial. Sin embargo,
los registros de la transmisión de dichos paquetes a través de la red quedan grabados en los
registros del equipo. Puede llegar a ser necesario trabajar con el administrador de la red para
obtener esos archivos de registro.
Dispositivos y servicios de la red
Los dispositivos y servicios de la red incluyen routers2, firewalls3, servidores proxy/gateways4, NAT
(Network Address Translation)5 y el Protocolo Dinámico de Configuración del Host –DCHP, por su
2
Un router es un equipo que determina el siguiente punto de red al cual el paquete de datos debe ser enviado
para llegar a su destino. El router se conecta por lo menos a dos redes y determina la ruta por la cual enviar el paquete de
datos, con base en su actual entendimiento del estado de las redes a las cuales se encuentra conectado.
3
Un firewall es un conjunto de programas relacionados que protege de usuarios no autorizados los recursos de
una red privada. Un firewall filtra todos los paquetes de la red con el fin de determinar si reenviarlos a su destino o no.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
sigla en ingles.6 Por cuestiones de diseño, estos equipos y servicios pueden o no tener la capacidad
de generar un registro que capture la fuente y el destino de la información IP, el nombre del
registro de entrada (login) de un usuario y la fecha y tiempo de los registros de entrada (logins).
Algunos o todos estos equipos y servicios de red pueden alterar o encubrir la verdadera fuente de
una dirección IP de destino. Puede ser necesario trabajar con el administrador de la red para
determinar la verdadera dirección IP de origen o de destino.
Servidores del Sistema de Nombres de Dominio
Los servidores del Sistema de Nombres de Dominio (DNS) son las “libretas telefónicas” de la
Internet. Ellos mantienen los directorios que hace coincidir las direcciones IP con los dominios
registrados y resuelven el texto que las personas entienden (el nombre de dominio) en un formato
que los equipos entienden (la dirección IP).
4
Un servidor proxy/gateway es un equipo que permite el tráfico entre las redes. Típicamente, un gateway se
instala físicamente en el perímetro de una red interna para la Internet. Un servidor proxy puede contener páginas duplicadas
5
Network Address Translation (NAT) es un servicio que permite a los computadores de una red privada acceder a
la Internet transladando una dirección IP privada (reservada) a una dirección IP pública (enrutable por Internet). La NAT
modifica los paquetes salientes de la red de forma que la dirección de retorno es un host válido de Internet, protegiendo,
6
El Protocolo Dinámico de Configuración del Host –DCHP es un servicio que automatiza la asignación de una
dirección IP a una red. El DHCP asigna una dirección IP cada vez que el computador se conecta a la red. El DHCP usa el
concepto de “arriendo” o tiempo durante el cual la dirección IP asignada será válida para un computador específico. El
DHCP puede reasignar las direcciones IP de forma dinámica a redes que que requieran más direcciones IP de las que
estén a disposición.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
En la figura 2, Mi PC envía la solicitud para la ubicación de www.nist.gov. El servidor DNS responde
con la dirección IP asignada, “129.6.13.23”. Mi PC luego solicita mostrar los datos de la dirección IP
129.6.13.23, que corresponde al computador en la Internet que hospeda la página de nist.gov.
Figura 2. Sistema de Nombre del Dominio (DNS)
Ir a
129 6 13 23
¿Quién es
i t ?
www.nist.gov es
129.6.13.23
Mi PC
Registrando nombres de dominio
Cualquier persona u organización puede registrar un nombre de dominio mientras éste no se
encuentre ya registrado. Los nombres de dominio están registrados en la Corporación de Internet
para los Nombres y Números Asignados (ICANN, por su sigla en inglés), una organización sin ánimo
de lucro responsable de la asignación por la asignación de las direcciones de Internet y la
administración del sistema de nombres de dominio.
Dentro de la información requerida para registrar un dominio se incluye el nombre, la dirección, el
número telefónico, la información de cobro, la dirección de correo electrónico y los datos de
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
contacto técnico y administrativo. Adicionalmente a esta información, la fecha en que se registró
el dominio puede estar disponible con el registrador. A pesar que esta información pueda entregar
pistas a la investigación, el Abogado deberá estar consciente que la información se origina de la
persona que registra el nombre del dominio y este puede resultar ser ficticio.
Burla, encubrimiento (Spoofing, masking) y redireccionamiento
Algunos métodos avanzadas para encubrir las acciones en la Internet incluyen esconder la
dirección IP, pretender ser alguien más, y enviar tráfico a través de otra dirección IP. A estos
métodos se refiere más comúnmente como masking o encubrimiento7, spoofing o burla8, y
momento en que se tomó alguna de estas tres acciones. Por consiguiente, aún después de
completar el proceso legal podrá ser necesario emplear los métodos tradicionales de investigación
para identificar al usuario final. En algunos casos, encubrir, burlar o redireccionar la IP puede
dificultar o impedir la identificación del usuario.
Rastreando una dirección IP o un nombre de dominio
Escenario
Un ciudadano presenta una reclamación respecto a que mientras estaba navegando en Internet,
se encontró con un sitio web que considera debiera ser investigado por las autoridades. La
dirección del sitio en mención que el ciudadano entrega es www.nist.gov.
7
Encubrir la IP consiste en esconder o tapar la verdadera dirección IP fuente.
8
Burlar una IP consiste en hacerla pasar por otra dirección IP del sistema.
9
Redireccionar una IP consiste en enrutar o dirigir tráfico de Internet a través de una dirección IP encubierta.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Paso 1. Convierta nombre del dominio
El primer paso es convertir el dominio www.nist.gov a una dirección IP. Existen en el comercio
muchas aplicaciones de software que ayudan al Abogado a efectuar esta conversión.
Adicionalmente, muchos sitios web disponibles al público permiten averiguar la dirección IP de un
dominio específico. Entre los más usados están:
www.network‐tools.com
www.samspade.org
www.dnsstuff.com
www.geektools.com
Nota: Los sitios que arriba se mencionan contienen más de una herramienta.
Las características y el nivel de detalle de cada uno de esos sitios varían de uno a otro. Las
utilidades comunes para ellos incluyen:
whois Es una utilidad que busca en una base datos conteniendo nombres de
dominio, direcciones IP y puntos de contacto incluyendo nombres,
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
domicilios y números de teléfono.
nslookup Es una utilidad que busca un nombre en particular en un servidor de
nombres de dominio y devuelve la dirección IP de un dominio en
particular. Cuidado: La dirección IP puede no ser devuelta de una fuente
válida y puede resultar errónea.
traceroute Es una utilidad que procura rastrear la ruta que toma un paquete de datos
mientras viaja de un equipo a otro. Traceroute puede ayudarle a reducir el
área de la ubicación geográfica de un equipo en particular.
Nota: El Abogado deberá ser consciente que las búsquedas hechas en estos sitios deberán
registrarse y monitorearse. Es importante efectuar búsquedas sensibles en computadores que no
serán rastreables de vuelta a la tarea de investigación.
Paso 2. Establezca y anote el registro del nombre del dominio
El siguiente paso es establecer y anotar la información de registro del nombre del dominio. Los
siguientes recursos en línea le servirán para obtener la información de registro:
www.network‐tools.com
www.samspade.org
www.geektools.com
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
www.apnic.net (Asia)
www.checkdomain.com
www.lacnic.net
www.ripe.net (Europe)
www.whois.com
www.dnsstuff.com
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Es de aclarar que el 90% de las pruebas presentadas en los procesos judiciales son
correos electrónicos, así es de relevante atención este tema en todos los tipos de litigios.
El correo electrónico puede ser un punto de inicio o un elemento clave para el desarrollo
adjuntos. Tal como lo hace el correo postal o en papel, el correo electrónico se constituye
más en el proceso, pero el servidor de correo aún debe enviar el mensaje. El servidor de
correo funciona como si fuese una oficina de correos pero electrónica –envía y recibe el
correo Electrónico. La mayoría del tiempo, el servidor de correo es un equipo diferente del
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 5. Generando correo electrónico
Servidor de correo
Paso 1
Paso 2
almacena en ese segundo servidor de correo y queda a disposición del destinatario. Por
e-mail client se entiende el software usado para redactar y leer el mensaje de correo
copia del mensaje en el computador del destinatario, otro aparato electrónico como un
teléfono muy equipado o una PDA y/o el servidor de correo o sus cintas de backup (copia
de respaldo. También podrá encontrarse una copia del e-mail en el computador del
correo del remitente o sus cintas de backup (copia de respaldo). Ver la Figura 6.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 6. Enviando el correo electrónico
Transmisión Trans-misión
Empleado
Servidor de e-
mail
recorrido del correo electrónico. A medida que el mensaje se enruta a través de uno o
más servidores de correo, cada servidor incluye en el encabezado del mensaje su propia
correo electrónico depende del dispositivo o del software usado. Sin embargo, típicamente
envío y la ruta que el e-mail debe tomar desde el remitente hasta el destinatario. El cuerpo
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
contiene el contenido de la comunicación. Los documentos adjuntos pueden ser de
cualquier tipo de archivo como por ejemplo fotos, documentos, archivos de sonido y de
video.
pequeña porción del encabezado. Por lo general, esta información la escribe el remitente,
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 7. Componentes de los correos electrónicos
Encabezado
Cuerpo
Sin embargo, el e-mail que se muestra arriba no muestra toda la información disponible.
La información adicional del correo puede obtenerse mirando el encabezado con más
detalle, lo cual puede hacerse de varias formas dependiendo del programa que se esté
usando. Refiérase al apéndice C para instruirse sobre cómo ver información más
detallada del encabezado de los e-mail clients más comunes. Tenga en cuenta que no
todos los e-mail clients están en la lista y que las actualizaciones a estas aplicaciones
correo desde arriba hacia abajo. A medida que el mensaje pasa a través de servidores de
correo adicionales, cada uno añade su información por encima de la información anterior
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 8. Encabezado del correo electrónico
Abajo se describe el encabezado línea por línea con el fin de entender las partes que lo
componen dos áreas generales: el encabezado del sobre encabezado del sobre y el
El encabezado del sobre contiene información que han añadido al encabezado los
servidores de correo que reciben el mensaje durante su recorrido. Las líneas “Recibido:” y
la línea Message-ID son los componentes principales del encabezado del sobre y, por lo
general, son más difíciles de burlar. En el siguiente ejemplo, las líneas 9 a 12 son parte
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
El encabezado del mensaje contiene información que el e-mail client del usuario añade al
burlar. Contiene el Para:, De:, Ruta de retorno: (Return-Path, en ingles), Asunto:, Tipo de
Los X-headers son encabezadas inusuales y no son esenciales para el envío del
correo. Para poder obtener alguna utilidad de los x-header será necesario explorarse
Microsoft SMTPSVC(5.0.2195.5600);
Recibido:
correo que recibe el mensaje la coloca allí e identifica el servidor de correo del cual se
recibe el e-mail. Note que la fecha y la hora la genera el servidor de correo que recibe e
indica un ajuste de la UTC (-0700). En este ejemplo se indica el nombre del servidor de
correo. Esto se puede obtener cuando el servidor que recibe descifra la dirección IP del
último servidor de correo o por que el servidor de correo transmite su propio nombre.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
message-id puede conectar el mensaje con el remitente si es que se logra contar con los
registros pertinentes.
Recibido:
CUIDADO: Si la fecha y hora relacionada con el e-mail llegan a ser importantes para la
investigación deberá tener en cuenta que la hora registrada en esta línea “Recibido”, en el
encabezado del correo, proviene del servidor de correo y puede no ser muy precisa.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
8. Date: Mon, 8 Sep 2003 18:53:03 -0700 (PDT)
Fecha:
Esta fecha la asigna la máquina del remitente y puede no coincidir con la indicación de
fecha y hora del servidor de correo. Si la fecha y hora de creación del mensaje llega a ser
De:
6. Subject:The Plan!
Asunto:
5. To: RecipientName_1@hotmail.com
Para:
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
1063072383=:26811”
El propósito de estas dos líneas es dar información al e-mail client del destinatario sobre
3. Return-Path: sendersname2003@yahoo.com
Trayecto de retorno:
FILETIME=[1DBDB910:01C37675]
Los X-headers son encabezados poco comunes y no son necesarios para el envío del
1. --0-2041413029-1063072383=:26811
Inclusiones de Tiempo
Al examinar los encabezados de los correos electrónicos los Abogadoes deberán tener en
cuenta que el tiempo puede no resultar consistente. Las inclusiones de fecha y hora en el
encabezado deben examinarse como se estos tiempos pudiesen ser incluidos por
diferentes servidores en diferentes partes del mundo con diferentes zonas horarias y
personales- pueden haber sido mal configurados o ajustados o estar manteniendo la hora
de forma incorrecta, lo cual da como resultado un cálculo incorrecto del tiempo. Deberá
La figura 9 muestra una secuencia cronológica de las acciones con diferentes tiempos en
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 9. Secuencia de tiempo del correo electrónico
Tiempo incorrecto Hora del este UTC Hora de las montañas Hora del Pacífico
Portátil del Servidor del Servidor de correo Servidor de correo Computador del
Remitente remitente del ISP local Destinatario
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
hasta la última línea “Recibido:” (que es la más de todas), puede ser burlado o falseado.
sobre. Si las dos no coinciden, existe la posibilidad de que el correo haya sido burlado.
Abogado podrá no ser capaz de rastrear el correo electrónico hasta su origen ya que
Ubicaciones remotas. Advierta que existen muchos lugares públicos de acceso remoto a
mensaje de correo electrónico desde alguno de estos sitios resultará muy difícil
de estas situaciones podrá permitir a los individuos estar en otro lugar al momento en que
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Ubicación del e-mail. Sin importar el tipo de correo electrónico que se use, el mensaje
como sea posible. Por ejemplo, si el mensaje es de tipo web y un proveedor de servicios
(p.e. Hotmail®, Yahoo!®) lo tiene almacenado, el tiempo es crucial pues muchas de estas
periodo de tiempo. Será necesario, entonces, emitir una carta de preservación, dirigida al
Inspección forense
El Abogado deberá cumplir con las políticas de la tarea o contactar una tarea que
como:
Contenido de la comunicación.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Direcciones IP.
Contraseñas.
Consideraciones Legales
Antes de acceder a cualquier correo electrónico deberá tener en cuenta varias consideraciones
legales, sobre privacidad, manejo de información, que me permito citar:
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Figura 3. Registro del Nombre del Dominio
La figura 3 muestra la información de registro de www.nist.gov y ha descifrado la dirección IP
129.6.13.23. La información típica recibida incluye:
Nombre y dirección registrada del propietario.
Información de cobro. Contacto administrativo.
Rango de direcciones IP relacionadas con el dominio.
Información del contacto Técnico.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Los contactos de la lista podrán suministrar información adicional específica sobre el computador
que está siendo buscado incluyendo su ubicación y la persona señalada para ser procesada
legalmente.
Nota: El mismo procedimiento podrá emplearse para convertir una dirección IP en un nombre de
dominio con el fin de obtener información de contacto.
¿Dónde está la evidencia?
Podrá conseguir la información en muchos sitios, como por ejemplo:
El computador del usuario
El ISP del usuario.
El ISP de la víctima y/o del sospechoso.
Los archivos de registro existentes en los siguientes equipos de la víctima y/o del
sospechoso:
o Routers.
o Firewalls.
o Servidores Web.
o Servidores de correo electrónico.
o Otros dispositivos conectados.
Ver la Figura 4 en la que encontrará una representación gráfica del flujo de información.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Si cuenta con una dirección IP y la fecha y hora (incluyendo la zona horaria), la mayoría de los ISPs
podrán identificar el usuario registrado al que se asignó la dirección IP a una hora específica,
permitiendo así, al Abogado, solicitar información adicional. Sin embargo, el Abogado podrá
necesitar usar métodos de investigación tradicionales para identificar la persona que se
encontraba usando la cuenta en ese preciso momento.
Paso 3. Procesar legalmente
El tercer paso es determinar las partes respectivas a las que se contactará y/o procesará
legalmente, dependiendo de los hechos de la investigación, según lo que se discutirá en los
capítulos subsiguientes. Típicamente se requerirán órdenes de captura, órdenes de la
corte/juzgados o citaciones con el fin de entregar información del usuario final para aplicar la ley.
Muchos de estos requisitos se rigen por la Ley de Privacidad de las comunicaciones Electrónicas
(ECPA, por su sigla en ingles) y por otras leyes Federales y Estatales aplicables. Una carta de
conservación podrá ayudar a preservar la información hasta tanto se cumplan con los requisitos
legales pertinentes. Estas solicitudes deben especificar la dirección IP y la fecha y hora,
especificando, claro, la zona horaria. Deberá estar al corriente de la necesidad de contar con un
procesamiento ágil de las cartas de preservación en cumplimiento de la 18 USC § 2703(f)
(apéndice G). Refiérase al capítulo 9 para obtener más detalles sobre los requisitos legales y al
apéndice H para ver una muestra del lenguaje a emplear.
La información que se puede obtener del ISP incluye:
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Información del suscriptor tal como propietario registrado, dirección y forma de pago.
Información de la transacción tal como horas de conexión, fechas y direcciones IP usadas.
Figura 4. Dónde encontrar la información
El
Contenido del tipo de los mensajes de correo electrónico, los archivos de datos y los programas
almacenados.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
También puede obtener algo de la información usada para rastrear una dirección IP o el usuario
final de los administradores del ISP o de la red. Esta información típicamente incluye la
información de la cuenta, de las direcciones de correo electrónico, de la dirección IP y del nombre
del dominio. Ella podrá o no contener información sobre el propietario o el usuario. Con base en la
información que reciba podrá ser necesario investigar un poco más. Podrá ser necesario, además,
entregar citaciones, órdenes de captura, órdenes de la corte/juzgado y cartas de preservación
adicionales a las entidades identificadas en el proceso legal previo. Por ejemplo, si la dirección IP
original se descifra como “BIG‐ISP.com” ello generará un requerimiento legal en contra de BIG‐
ISP.com con el fin de identificar al usuario de una dirección IP en particular, a una hora y en un día
en particular. En retorno se identifica a “Medium‐ISP.com” como el usuario de esa dirección IP.
(Una práctica común entre los ISP pequeños es rentar bloques de direcciones IP a los grandes
ISPs). En este punto, deberá emitirse un requerimiento legal a “Medium‐ISP.com”. Este
procedimiento continuará hasta que se haya obtenido información que permita identificar el
pistas de la investigación se hayan agotado.
Lenguaje de muestra. A continuación se presenta un lenguaje de muestra que podrá ser útil
cuando se encuentre preparando un requerimiento legal. Sin embargo, el ISP podrá requerir otro
tipo específico de lenguaje.
Información de la cuenta del ISP: “Toda la información disponible del suscriptor en
relación a la cuenta de (Nombre del suscriptor) incluyendo pero sin limitarse a la identidad
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
del usuario, la información de la cuenta del usuario, nombres ficticios, estado de la cuenta,
registros de cobro detallados, información de la cuenta de correo electrónico,
identificación de la línea de conexión (ANI), notas históricas de mantenimiento de la
cuenta y la historia de la IP desde (escriba fecha) hasta la fecha.”
Información de la dirección de correo electrónico: “Toda la información disponible del
suscriptor relacionada con el individuo que registró y mantiene la cuenta de correo
electrónico de (juanperez@email.com) incluyendo pero sin limitarse a la identidad del
usuario, la información de la cuenta del usuario, los nombres ficticios, el estado de la
cuenta, los registros de cobro detallados, la información de la cuenta de correo
electrónico, la identificación de la línea de conexión (ANI), las notas históricas de
mantenimiento de la cuenta y la historia de la IP desde (escriba fecha) hasta la fecha.”
Información de la dirección IP: “Toda la información disponible del suscriptor relacionada
con la cuenta del individuo al que se le asignó la dirección IP de (escriba la dirección IP) el
día (escriba la fecha) a las (escriba la hora y la zona horaria) y la dirección IP de (escriba la
dirección IP) el día (escriba la fecha) a las (escriba la hora y la zona horaria) incluyendo
pero sin limitarse a la identidad del usuario, la información de la cuenta del usuario, los
nombres ficticios, el estado de la cuenta, los registros de cobro detallados, la información
de la cuenta de correo electrónico, la identificación de la línea de conexión (ANI), las notas
históricas de mantenimiento de la cuenta y la historia de la IP desde (escriba fecha) hasta
la fecha.”
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Información del nombre del Dominio: “Toda la información disponible relacionada con la
identidad del individuo que registró y mantiene los nombres de dominio de
información de la cuenta, los registros de cobro incluyendo el número de la tarjeta de
crédito o cualquier otra información de pago, la identidad del usuario, el historial de la IP y
la identificación de la línea de conexión”
Información de la página web: “Toda la información del individuo que creó y mantiene la
página web de (nombre de la página web) en (nombre del ISP), incluyendo pero sin
limitarse a la identidad del usuario, la información de la cuenta del usuario, los registros de
facturación, la información de la cuenta de correo electrónico, la identificación de la línea
de conexión, los registros de uso y el historial IP”
Proveedores de sesiones Telnet: “Todo el historial disponible de IP relacionado con el
tráfico de Internet de (xxxxx.net) y los registros de usuarios de las sesiones Telnet de
(xxxx.net’s) los días (escriba fechas) incluyendo pero sin limitarse a la identidad del
usuario, el nombre del usuario, los comandos del usuario enviados y la dirección del
usuario.”
Información del Punto de Presencia (POP): “Toda la información disponible relacionada
con la ubicación del Punto de Presencia (ANS.NET o algún otro ISP) que emitió la dirección
IP (escriba la dirección IP) el día (escriba la fecha) a las (escriba la hora y la zona horaria)
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
incluyendo pero sin limitarse al número telefónico del acceso conmutado, la dirección
física y la compañía de teléfonos (escriba el nombre de la compañía) a la cual se encuentra
suscrito el número de teléfono del acceso conmutado.”
Registros de la línea de teléfono saliente: “Toda la información disponible incluyendo
pero sin limitarse a la información del suscriptor así como la información de facturación de
la dirección (escribir la dirección del suscriptor). Toda la información que incluya pero sin
limitarse a la información del suscriptor y la información de cobro para la línea telefónica
número (escriba el número de la línea telefónica). Incluir un listado de todas las llamadas
locales salientes hechas desde la dirección arriba mencionada. Incluir la información de
arriba para todos los números de teléfono listados para la dirección arriba mencionada
para el periodo de (fecha y hora).”
Resumen
Todas las comunicaciones de Internet y a través de redes se apoyan en una dirección IP para llegar
a su destino. La clave para investigar los crímenes relacionados con la Internet y las redes consiste
en identificar la dirección IP en la que se originó y rastrearla hasta su fuente. Estas técnicas
permiten al Abogado localizar fuentes adicionales de evidencia, corroborar las declaraciones de las
víctimas y los testigos y tener el potencial de localizar al sospechoso.
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Apéndice C. Accediendo a los Encabezados Detallados de los Mensajes de Correo
Electrónico
Electrónico Encabezado
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
de Envío).
de Envío).
All (Todo).
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.
MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.
Documento de prueba para uso académico
Algunos clientes de correo electrónico no cumplen con los estándares de Internet (p.e cc-
Mail, Beyond Mail, VAX VMS) y por consiguiente no mantienen la información detallada
Al investigar los mensajes de correo electrónico enviados por una intranet (red interna)
sepa que en muchos casos no se generan encabezados en los correos. America Online
(AOL) actúa como una intranet para los mensajes de correo electrónico enviados por un
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.