Conceptos Basicos de Pruebas Digitales para Abogados

MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.

Documento de prueba para uso académico
Conceptos básicos de Pruebas Digitales para Abogados.
Documento confidencial

ADALID ABOGADOS
Nit. 9000955225
Cll 93 A No. 9 a- 07
Bogotá, Colombia
info@adalidabogados.com
Tel/Fax 571-6047536
www.adalidabogados.com
D.R.A. Andrés A. GUZMAN CABALLERO.
andres@adalidabogados.com
Prohibida su reproducción total o parcial sin autorización
Documento de propiedad única y exclusiva de Adalid abogados.

Que son las pruebas digitales?
Son todo tipo de archivos, rastros de conexiones, información, datos, como mensajes de texto,
correos electrónicos, grabaciones digitales de audio, fotografías digitales, conversaciones por
internet, datos de teléfonos móviles, entre otros, enviada, recibida, almacenada o comunicada
por medios electrónicos, ópticos o similares.
Son legales y se pueden presentar en proceso judiciales?
Si, la ley 527 de 1999 las integró al Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del
Código de Procedimiento Civil, este tipo de pruebas como pruebas documentales, sin perjuicio de
las que sean periciales y tengan que ver con estos equipos y requieran la participación de expertos
o equipo especializado o aquellas que sean por ejemplo la prueba de inspección judicial que verse
sobre documentos.
Qué requisito debe tener una prueba documental presentada en un proceso?
Los requisitos son comunes de conformidad, se deberá tener en cuenta lo preceptuado en los
artículos 6 a 10 de la ley 527 de 1999, es decir debe ser:
A) Escrito.
Este requisito se refiere no sólo a documentos que se encuentren en un lenguaje que se
pueda leer, también se incluyen los documentos que estén en lenguaje multimedia, es
decir en video y/o audio, sin importar su formato, pues ellos están escritos en un
protocolo que hace que un programa (software) lo haga visible a nosotros

B) Firmado.
• Firma electrónica.
• Firma Digital.
C) Original.
Al respecto cabe aclarar que todas las copias son digitalmente símiles, siempre que se
pueda corroborar que han sido conservadas de forma idónea.
D) Integra ….. “a permanecido completa e inalterada” para hacerlo es recomendable aplicar a
las pruebas:
• Estampas cronológicas de fecha y hora. ****
• firma electrónica, estampa cronológica de fecha y hora.
• La técnica del “timestamping”.
• Los algoritmos “hashing”, MD5 u otros sistemas de análogas características.
Nota: es recomendable decir a nuestros clientes que deben crear procesos de archivo digital en
las empresas archiven sus documentos aplicando estos protocolos.
Hoja introductoria especial para la charla en el Instituto Colombiano de Derecho Procesal, 27 de mayo de 2009.

RASTREANDO UNA DIRECCIÓN DE INTERNET.
Del mismo modo que una casa tiene una dirección, cada computador conectado a Internet
también la tiene. Se le conoce como dirección IP (Internet Protocol, en inglés). Este capítulo
explica cómo se asignan las direcciones IP y cómo rastrearla hasta la fuente.
El Abogado también estará expuesto a otros tipos de direcciones. Algunos ejemplos son las
direcciones de correo electrónico y las direcciones de los sitios web (del tipo www, World Wibe
Web, en inglés).
Tipo Ejemplo
Dirección de correo electrónico alguien@nist.gov
Dirección del sitio web www.nist.gov
Dirección IP 129.6.13.23
Todas pueden rastrearse con el fin de suministrar pistas a la investigación. Para más información
sobre las direcciones de correo electrónico o de sitios web refiérase, por favor, a los capítulos
específicos. Antes de rastrear una dirección IP, deberá comprender por complete los siguientes
conceptos.

Dirección IP (Internet Protocol)
Cualquier equipo que se emplee en comunicación sobre la plataforma de Internet requiere una
dirección IP 1. Una dirección IP es una serie de 4 números con un rango de 0 a 255 y separados por
puntos. La dirección identifica a la red específica y el equipo. Un ejemplo de dirección IP es
129.6.13.23
Una analogía muy común es comparar una dirección IP con la dirección de un apartamento (ver la
figura 1)
Proveedor Principal

Proveedor Local

Red
Dirección IP del equipo

129 6 13 23

Calle

Edificio
Piso
Dirección del Apartamento
Av Argentina No 22-18 AP 402

1
Los equipos pueden ser, por ejemplo, computadores, routers, agendas digitales (PDAs, en inglés), etc.

ALTO! La dirección IP no indica una ubicación física del equipo en el momento en que está
conectado en Internet.
Las direcciones emplean cuatro números separados por puntos que permiten un total de 256^4 o
1,099,511,627,776 direcciones únicas. Este esquema de direcciones se ha ido expandiendo para
permitir un mayor uso del Internet. Al parecer el método de rastreo de las direcciones IP, sin
importar el esquema de direcciones empleado, continuará siendo el mismo.
Dirección IP privada
Existen tres grupos de direcciones IP reservadas específicamente para ser usadas por cualquier red
privada y no se ven en el Internet público. Cualquier información respecto de estas direcciones IP
deberá obtenerse del dueño de la red. Los rangos son:
10.0.0.0 a 10.255.255.255
172.16.0.0 a 172.31.255.255
192.168.0.0 a 192.168.255.255
Proveedores de Servicios de Internet
Los Proveedores de Servicios de Internet (ISPs, en ingles) pueden ser agentes comerciales u
organizaciones, tales como negocios o entidades del gobierno. Ellos pueden reservar bloques de
direcciones IP que pueden asignar a sus usuarios.

Los ISPs pueden registrar la fecha, hora, información del usuario de la cuenta y el ANI (Automatic
Number Identification, en inglés; Número Automático de Identificación) o la identificación de la
línea de quien llama al momento de la conexión. Si se conservan los registros, ellos pueden
mantenerse por un tiempo limitado dependiendo de la política establecida por el ISP.
Actualmente, no existe algún requisito legal general para conservar los registros; por consiguiente,
algunos ISP no los guardan. Se hace importante, entonces, elaborar y enviar una carta de
preservación, de acuerdo con lo descrito en el capítulo 9, para el evento en que se requiera algún
registro en particular, para una investigación.
Direcciones IP estáticas y dinámicas
Las direcciones IP “Dinámicas” se asignan temporalmente de un conjunto de direcciones
disponibles registradas a un ISP en particular. Estas direcciones se asignan al equipo cuando el
usuario abre una sesión en línea. Como resultado la dirección IP del equipo puede variar de una
sesión a otra.
Las direcciones IP “Estáticas” se asignan de forma permanente a equipos configurados para tener
siempre la misma dirección IP. Una persona, negocio u organización que mantenga una presencia
constante en Internet, como por ejemplo un sitio web, por lo general necesita una dirección IP
estática.
Nota: Para poder ligar una dirección IP a un equipo o cuenta de usuario en particular, debe
determinarse la fecha y hora en que se le asignó dicha dirección IP. El ISP podrá mantener un
histórico de archivos de registro donde se relacionen estas direcciones IP dinámicas asignadas a un
suscriptor o usuario específico y el momento particular en el que se hizo.

Paquetes
Los datos enviados por Internet se fraccionan en paquetes que son luego reensamblados en su
destino. Cuando la información como archivos, mensajes de correo electrónico, documentos en
HTML (HyperText Markup Language, en inglés) o las páginas web se envían de un lugar a otro por
una red, el sistema operativo de la red divide la información en pedazos para poder transportarlos
de forma eficiente. Cada uno de estos paquetes de información enviada pueden viajar por
diferentes caminos a través de la red. Cuando todos llegan son reensamblados para conformar el
archivo original.
Nota: Capturar los paquetes está más allá del alcance del presente reporte especial. Sin embargo,
los registros de la transmisión de dichos paquetes a través de la red quedan grabados en los
registros del equipo. Puede llegar a ser necesario trabajar con el administrador de la red para
obtener esos archivos de registro.
Dispositivos y servicios de la red
Los dispositivos y servicios de la red incluyen routers2, firewalls3, servidores proxy/gateways4, NAT
(Network Address Translation)5 y el Protocolo Dinámico de Configuración del Host –DCHP, por su

2
Un router es un equipo que determina el siguiente punto de red al cual el paquete de datos debe ser enviado
para llegar a su destino. El router se conecta por lo menos a dos redes y determina la ruta por la cual enviar el paquete de
datos, con base en su actual entendimiento del estado de las redes a las cuales se encuentra conectado.
3
Un firewall es un conjunto de programas relacionados que protege de usuarios no autorizados los recursos de
una red privada. Un firewall filtra todos los paquetes de la red con el fin de determinar si reenviarlos a su destino o no.

sigla en ingles.6 Por cuestiones de diseño, estos equipos y servicios pueden o no tener la capacidad
de generar un registro que capture la fuente y el destino de la información IP, el nombre del
registro de entrada (login) de un usuario y la fecha y tiempo de los registros de entrada (logins).
Algunos o todos estos equipos y servicios de red pueden alterar o encubrir la verdadera fuente de
una dirección IP de destino. Puede ser necesario trabajar con el administrador de la red para
determinar la verdadera dirección IP de origen o de destino.
Servidores del Sistema de Nombres de Dominio
Los servidores del Sistema de Nombres de Dominio (DNS) son las “libretas telefónicas” de la
Internet. Ellos mantienen los directorios que hace coincidir las direcciones IP con los dominios
registrados y resuelven el texto que las personas entienden (el nombre de dominio) en un formato
que los equipos entienden (la dirección IP).

4
Un servidor proxy/gateway es un equipo que permite el tráfico entre las redes. Típicamente, un gateway se
instala físicamente en el perímetro de una red interna para la Internet. Un servidor proxy puede contener páginas duplicadas
(en cache) de sitios web visitados con anterioridad.
5
Network Address Translation (NAT) es un servicio que permite a los computadores de una red privada acceder a
la Internet transladando una dirección IP privada (reservada) a una dirección IP pública (enrutable por Internet). La NAT
modifica los paquetes salientes de la red de forma que la dirección de retorno es un host válido de Internet, protegiendo,
así, la dirección privada de ser vista por el público.
6
El Protocolo Dinámico de Configuración del Host –DCHP es un servicio que automatiza la asignación de una
dirección IP a una red. El DHCP asigna una dirección IP cada vez que el computador se conecta a la red. El DHCP usa el
concepto de “arriendo” o tiempo durante el cual la dirección IP asignada será válida para un computador específico. El
DHCP puede reasignar las direcciones IP de forma dinámica a redes que que requieran más direcciones IP de las que
estén a disposición.

En la figura 2, Mi PC envía la solicitud para la ubicación de www.nist.gov. El servidor DNS responde
con la dirección IP asignada, “129.6.13.23”. Mi PC luego solicita mostrar los datos de la dirección IP
129.6.13.23, que corresponde al computador en la Internet que hospeda la página de nist.gov.
Figura 2. Sistema de Nombre del Dominio (DNS)
Ir a
129 6 13 23
¿Quién es
i t ?
www.nist.gov es
129.6.13.23
Mi PC
Registrando nombres de dominio
Cualquier persona u organización puede registrar un nombre de dominio mientras éste no se
encuentre ya registrado. Los nombres de dominio están registrados en la Corporación de Internet
para los Nombres y Números Asignados (ICANN, por su sigla en inglés), una organización sin ánimo
de lucro responsable de la asignación por la asignación de las direcciones de Internet y la
administración del sistema de nombres de dominio.
Dentro de la información requerida para registrar un dominio se incluye el nombre, la dirección, el
número telefónico, la información de cobro, la dirección de correo electrónico y los datos de

contacto técnico y administrativo. Adicionalmente a esta información, la fecha en que se registró
el dominio puede estar disponible con el registrador. A pesar que esta información pueda entregar
pistas a la investigación, el Abogado deberá estar consciente que la información se origina de la
persona que registra el nombre del dominio y este puede resultar ser ficticio.
Burla, encubrimiento (Spoofing, masking) y redireccionamiento
Algunos métodos avanzadas para encubrir las acciones en la Internet incluyen esconder la
dirección IP, pretender ser alguien más, y enviar tráfico a través de otra dirección IP. A estos
métodos se refiere más comúnmente como masking o encubrimiento7, spoofing o burla8, y
redireccionamiento9. Se requiere entrenamiento avanzado para investigar o identificar el
momento en que se tomó alguna de estas tres acciones. Por consiguiente, aún después de
completar el proceso legal podrá ser necesario emplear los métodos tradicionales de investigación
para identificar al usuario final. En algunos casos, encubrir, burlar o redireccionar la IP puede
dificultar o impedir la identificación del usuario.
Rastreando una dirección IP o un nombre de dominio
Escenario
Un ciudadano presenta una reclamación respecto a que mientras estaba navegando en Internet,
se encontró con un sitio web que considera debiera ser investigado por las autoridades. La
dirección del sitio en mención que el ciudadano entrega es www.nist.gov.

7
Encubrir la IP consiste en esconder o tapar la verdadera dirección IP fuente.
8
Burlar una IP consiste en hacerla pasar por otra dirección IP del sistema.
9
Redireccionar una IP consiste en enrutar o dirigir tráfico de Internet a través de una dirección IP encubierta.

Paso 1. Convierta nombre del dominio
El primer paso es convertir el dominio www.nist.gov a una dirección IP. Existen en el comercio
muchas aplicaciones de software que ayudan al Abogado a efectuar esta conversión.
Adicionalmente, muchos sitios web disponibles al público permiten averiguar la dirección IP de un
dominio específico. Entre los más usados están:
www.network‐tools.com
www.samspade.org
www.dnsstuff.com
www.geektools.com
Nota: Los sitios que arriba se mencionan contienen más de una herramienta.
Las características y el nivel de detalle de cada uno de esos sitios varían de uno a otro. Las
utilidades comunes para ellos incluyen:
whois Es una utilidad que busca en una base datos conteniendo nombres de
dominio, direcciones IP y puntos de contacto incluyendo nombres,

domicilios y números de teléfono.
nslookup Es una utilidad que busca un nombre en particular en un servidor de
nombres de dominio y devuelve la dirección IP de un dominio en
particular. Cuidado: La dirección IP puede no ser devuelta de una fuente
válida y puede resultar errónea.
traceroute Es una utilidad que procura rastrear la ruta que toma un paquete de datos
mientras viaja de un equipo a otro. Traceroute puede ayudarle a reducir el
área de la ubicación geográfica de un equipo en particular.
Nota: El Abogado deberá ser consciente que las búsquedas hechas en estos sitios deberán
registrarse y monitorearse. Es importante efectuar búsquedas sensibles en computadores que no
serán rastreables de vuelta a la tarea de investigación.
Paso 2. Establezca y anote el registro del nombre del dominio
El siguiente paso es establecer y anotar la información de registro del nombre del dominio. Los
siguientes recursos en línea le servirán para obtener la información de registro:
www.network‐tools.com
www.samspade.org
www.geektools.com

www.apnic.net (Asia)
www.checkdomain.com
www.lacnic.net
www.ripe.net (Europe)
www.whois.com
www.dnsstuff.com

Capítulo 3. Procesos que involucran el correo electrónico
Es de aclarar que el 90% de las pruebas presentadas en los procesos judiciales son
correos electrónicos, así es de relevante atención este tema en todos los tipos de litigios.
El correo electrónico puede ser un punto de inicio o un elemento clave para el desarrollo
de muchas investigaciones. El e-mail o correo electrónico es, como lo dice su nombre, el
equivalente electrónico de una carta o un memorando y puede incluir documentos
adjuntos. Tal como lo hace el correo postal o en papel, el correo electrónico se constituye
en evidencia para muchos tipos de investigaciones. El e-mail ya no es exclusivo de los
computadores y se le puede intercambiar ahora usando muchos equipos portátiles como
teléfonos celulares, agendas digitales (PDAs) y buscapersonas.
Cómo funciona el correo electrónico
El correo electrónico puede generarse de diferentes formas y equipos, aunque la forma
más común es cuando un usuario compone un mensaje en su propio computador y luego
lo envía a su servidor de correo. En este punto el computador del usuario ya no participa
más en el proceso, pero el servidor de correo aún debe enviar el mensaje. El servidor de
correo funciona como si fuese una oficina de correos pero electrónica –envía y recibe el
correo Electrónico. La mayoría del tiempo, el servidor de correo es un equipo diferente del
computador en el que se escribió dicho mensaje de correo. (Ver la figura 5)

Figura 5. Generando correo electrónico
Servidor de correo
Paso 1
Paso 2
El servidor de correo del remitente envía el mensaje buscando y encontrando el servidor
de correo del destinatario y remite el mensaje a esa ubicación. El mensaje luego se
almacena en ese segundo servidor de correo y queda a disposición del destinatario. Por
e-mail client se entiende el software usado para redactar y leer el mensaje de correo
electrónico. Dependiendo de cómo se configure el e-mail client se podrá encontrar una
copia del mensaje en el computador del destinatario, otro aparato electrónico como un
teléfono muy equipado o una PDA y/o el servidor de correo o sus cintas de backup (copia
de respaldo. También podrá encontrarse una copia del e-mail en el computador del
remitente (en la bandeja de elementos enviados o en la papelera) o en el servidor de
correo del remitente o sus cintas de backup (copia de respaldo). Ver la Figura 6.

Figura 6. Enviando el correo electrónico
Red que emplea el

Servidor de correo Tío Roberto
Transmisión Trans-misión
Empleado
Servidor de e-
mail
A medida que el mensaje viaja a través de la red de comunicaciones, en un área del
mensaje denominada encabezado (header, en inglés) queda un registro abreviado del
recorrido del correo electrónico. A medida que el mensaje se enruta a través de uno o
más servidores de correo, cada servidor incluye en el encabezado del mensaje su propia
información. El Abogado debe ser capaz de identificar las direcciones IP (Internet
Protocol del encabezado y emplear esta información para establecer el remitente
del mensaje, usando las técnicas discutidas en el capítulo 2.
Componentes básicos de un correo electrónico
Existen varios métodos para crear y enviar correos electrónicos. La apariencia de un
correo electrónico depende del dispositivo o del software usado. Sin embargo, típicamente
un mensaje tiene un encabezado y un cuerpo (body, en ingles) y puede ir acompañado de
documentos adjuntos. El encabezado del correo electrónico contiene la información de
envío y la ruta que el e-mail debe tomar desde el remitente hasta el destinatario. El cuerpo

contiene el contenido de la comunicación. Los documentos adjuntos pueden ser de
cualquier tipo de archivo como por ejemplo fotos, documentos, archivos de sonido y de
video.
La primera vez que se ve un mensaje de correo electrónico, se despliega sólo una
pequeña porción del encabezado. Por lo general, esta información la escribe el remitente,
tal como se muestra en la figura 7.

Figura 7. Componentes de los correos electrónicos
Encabezado
Attachment (documentos adjuntos)
Cuerpo
Sin embargo, el e-mail que se muestra arriba no muestra toda la información disponible.
La información adicional del correo puede obtenerse mirando el encabezado con más
detalle, lo cual puede hacerse de varias formas dependiendo del programa que se esté
usando. Refiérase al apéndice C para instruirse sobre cómo ver información más
detallada del encabezado de los e-mail clients más comunes. Tenga en cuenta que no
todos los e-mail clients están en la lista y que las actualizaciones a estas aplicaciones
pueden modificar el método para obtener información detallada del encabezado.
Usualmente, el recorrido del mensaje puede reconstruirse leyendo el encabezado del
correo desde arriba hacia abajo. A medida que el mensaje pasa a través de servidores de
correo adicionales, cada uno añade su información por encima de la información anterior
en el encabezado. Una de las más importantes partes de la información que el
Abogado debe obtener del encabezado detallada es la dirección IP de origen. La
dirección del ejemplo en la figura 8 es [165.247.94.223]

Figura 8. Encabezado del correo electrónico
Abajo se describe el encabezado línea por línea con el fin de entender las partes que lo
componen de acuerdo con la figura 8. Observe que el encabezado del e-mail lo
componen dos áreas generales: el encabezado del sobre encabezado del sobre y el
encabezado del mensaje.
El encabezado del sobre contiene información que han añadido al encabezado los
servidores de correo que reciben el mensaje durante su recorrido. Las líneas “Recibido:” y
la línea Message-ID son los componentes principales del encabezado del sobre y, por lo
general, son más difíciles de burlar. En el siguiente ejemplo, las líneas 9 a 12 son parte
del encabezado del sobre.

El encabezado del mensaje contiene información que el e-mail client del usuario añade al
encabezado. Generalmente, esta información es creada por el usuario y es la más fácil de
burlar. Contiene el Para:, De:, Ruta de retorno: (Return-Path, en ingles), Asunto:, Tipo de
contenido: (Content-Type, en inglés) y la primera fecha y hora. En el siguiente ejemplo las
líneas 2 a 8 forman parte del encabezado del mensaje.
12. X-Message-Info: JGTYoYF78jEv6iDU7aTDV/xX2xdjzKcH
Los X-headers son encabezadas inusuales y no son esenciales para el envío del
correo. Para poder obtener alguna utilidad de los x-header será necesario explorarse
con el ISP (Internet Service Provided, en ingles).
11. Received: from web11603.mail.yahoo.com ([216.136.172.55]) by mc4-f4 with
Microsoft SMTPSVC(5.0.2195.5600);
Mon, 8 Sep 2003 18:53:07 -0700
Recibido:
La línea “Recibido” es la última que se pega en el encabezado. El último servidor de
correo que recibe el mensaje la coloca allí e identifica el servidor de correo del cual se
recibe el e-mail. Note que la fecha y la hora la genera el servidor de correo que recibe e
indica un ajuste de la UTC (-0700). En este ejemplo se indica el nombre del servidor de
correo. Esto se puede obtener cuando el servidor que recibe descifra la dirección IP del
último servidor de correo o por que el servidor de correo transmite su propio nombre.

10. Message-ID: 20030909015303.27404.qmail@web11603.mail.yahoo.com
Message-ID: (dientificación del mensaje)
Es un identificador único asignado a cada mensaje. Usualmente lo asigna el primer
servidor de correo y es pieza clave de información para el Abogado. A diferencia de la
dirección IP de origen (abajo), la cual puede suministrar información del suscriptor, la
message-id puede conectar el mensaje con el remitente si es que se logra contar con los
registros pertinentes.
9. Received: from [165.247.94.223] by web11603.mail.yahoo.com via HTTP; Mon,
08 Sep 2003 18:53:03 PDT
Recibido:
La línea “Recibido” de abajo identifica la dirección IP del servidor de correo de origen.
Puede indicar el nombre del servidor, el protocolo empleado y la configuración de fecha y
hora del servidor. Note que se reporta información de la zona horaria.
CUIDADO: Si la fecha y hora relacionada con el e-mail llegan a ser importantes para la
investigación deberá tener en cuenta que la hora registrada en esta línea “Recibido”, en el
encabezado del correo, proviene del servidor de correo y puede no ser muy precisa.

8. Date: Mon, 8 Sep 2003 18:53:03 -0700 (PDT)
Fecha:
Esta fecha la asigna la máquina del remitente y puede no coincidir con la indicación de
fecha y hora del servidor de correo. Si la fecha y hora de creación del mensaje llega a ser
importante para la investigación, tenga en cuenta que la hora registrada en el encabezado
del e-mail viene de la máquina del remitente y puede no ser precisa.
7. From: John Sender <sendersname2003@yahoo.com>
De:
Por lo general, ésta información la configura el usuario en la aplicación (e-mail client) y
puede no ser muy confiable.
6. Subject:The Plan!
Asunto:
Esta información la ingresa el usuario.
5. To: RecipientName_1@hotmail.com
Para:
Esta información la ingresa el usuario.

4. MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”0-2041413029-
1063072383=:26811”
El propósito de estas dos líneas es dar información al e-mail client del destinatario sobre
cómo interpretar el contenido del mensaje.
3. Return-Path: sendersname2003@yahoo.com
Trayecto de retorno:
Por lo general, esta información la configura el usuario en su aplicación (e.mail client) y
por consiguiente, puede no ser muy confiable.
2. X-OriginalArrivalTime: 09 Sep 2003 01:53:07.0873 (UTC)
FILETIME=[1DBDB910:01C37675]
Los X-headers son encabezados poco comunes y no son necesarios para el envío del
correo. La utilidad de los X-header deberá establecerse con el ISP.
1. --0-2041413029-1063072383=:26811
Información de la aplicación; no relevante para la investigación.
Una vez se identifiquen las direcciones IP en el encabezado, podrán usarse los
procedimientos descritos en el capítulo 2 para rastrear el recorrido del e-mail.


Tenga en cuenta que las direcciones IP pueden ser creadas o burladas en un
intento por esconder la verdadera identidad del remitente.
Inclusiones de Tiempo
Al examinar los encabezados de los correos electrónicos los Abogadoes deberán tener en
cuenta que el tiempo puede no resultar consistente. Las inclusiones de fecha y hora en el
encabezado deben examinarse como se estos tiempos pudiesen ser incluidos por
diferentes servidores en diferentes partes del mundo con diferentes zonas horarias y
pueden no resultar consistentes. Adicionalmente los relojes de los sistemas del
computador y que además funcionan con baterías –especialmente en los computadores
personales- pueden haber sido mal configurados o ajustados o estar manteniendo la hora
de forma incorrecta, lo cual da como resultado un cálculo incorrecto del tiempo. Deberá
tenerse especial consideración en la información de la zona horaria.
La figura 9 muestra una secuencia cronológica de las acciones con diferentes tiempos en
los que se transmite un e-mail.

Figura 9. Secuencia de tiempo del correo electrónico
Tiempo incorrecto Hora del este UTC Hora de las montañas Hora del Pacífico
Portátil del Servidor del Servidor de correo Servidor de correo Computador del
Remitente remitente del ISP local Destinatario

Temas a tener en cuenta
Encabezados burlados de e-mail. Cualquier cosa en el encabezado de un mensaje
hasta la última línea “Recibido:” (que es la más de todas), puede ser burlado o falseado.
Compare la información en el encabezado del mensaje con aquella en el encabezado del
sobre. Si las dos no coinciden, existe la posibilidad de que el correo haya sido burlado.
Generadores de Anónimos. Los generadores de anónimos son servidores de correo que
desmonta información de identificación del mensaje antes de reenviarlo. Aunque existen
razones válidas para usar un servicio de generadores de anónimos, muchos individuos
usan este servicio para ocultar su identidad. Si se usa un generador de anónimos el
Abogado podrá no ser capaz de rastrear el correo electrónico hasta su origen ya que
suele ocurrir que estos servicios no mantengan los registros.
Ubicaciones remotas. Advierta que existen muchos lugares públicos de acceso remoto a
Internet como bibliotecas, colegios, aeropuertos, hoteles y cafés Internet. Si se envía un
mensaje de correo electrónico desde alguno de estos sitios resultará muy difícil
determinar el remitente real de dicho mensaje.
Posponer el envío. Muchos proveedores y aplicaciones (e-mail clients) tienen la
funcionalidad para programar el momento en que se enviará el e-mail. De igual manera,
algunos servidores envían el mensaje en ciertos momentos preprogramados. Cualquiera
de estas situaciones podrá permitir a los individuos estar en otro lugar al momento en que
el correo sea enviado.

Ubicación del e-mail. Sin importar el tipo de correo electrónico que se use, el mensaje
puede almacenarse en múltiples ubicaciones. Considere obtenerlo de tantas fuentes
como sea posible. Por ejemplo, si el mensaje es de tipo web y un proveedor de servicios
(p.e. Hotmail®, Yahoo!®) lo tiene almacenado, el tiempo es crucial pues muchas de estas
compañías tienen políticas de purga o limpieza de información después de un cierto
periodo de tiempo. Será necesario, entonces, emitir una carta de preservación, dirigida al
proveedor para evitir, precisamente, la purga de datos. En el capítulo 9 encontrará más
información sobre órdenes de preservación.
Inspección forense
¡ALTO! Un Abogado no debe tratar de examinar un computador si no ha recibido
entrenamiento especial en inspección forense de computadores.
El Abogado deberá cumplir con las políticas de la tarea o contactar una tarea que
cuente con la capacidad de realizar una inspección forense.
La investigación forense de un sistema de cómputo puede revelar información adicional
como:
Otros mensajes de correo electrónico relacionados con la investigación.
Otras direcciones de correo electrónico.
Información del remitente.
Contenido de la comunicación.

Direcciones IP.
Información de fechas y horas.
Información del usuario. Documentos adjuntos.
Contraseñas.
Registros de la aplicación que muestran evidencia de engaño.
Consideraciones Legales
Antes de acceder a cualquier correo electrónico deberá tener en cuenta varias consideraciones
legales, sobre privacidad, manejo de información, que me permito citar:

Figura 3. Registro del Nombre del Dominio
La figura 3 muestra la información de registro de www.nist.gov y ha descifrado la dirección IP
129.6.13.23. La información típica recibida incluye:
Nombre y dirección registrada del propietario.
Información de cobro. Contacto administrativo.
Rango de direcciones IP relacionadas con el dominio.
Información del contacto Técnico.

Los contactos de la lista podrán suministrar información adicional específica sobre el computador
que está siendo buscado incluyendo su ubicación y la persona señalada para ser procesada
legalmente.

Nota: El mismo procedimiento podrá emplearse para convertir una dirección IP en un nombre de
dominio con el fin de obtener información de contacto.
¿Dónde está la evidencia?
Podrá conseguir la información en muchos sitios, como por ejemplo:
El computador del usuario
El ISP del usuario.
El ISP de la víctima y/o del sospechoso.
Los archivos de registro existentes en los siguientes equipos de la víctima y/o del
sospechoso:
o Routers.
o Firewalls.
o Servidores Web.
o Servidores de correo electrónico.
o Otros dispositivos conectados.
Ver la Figura 4 en la que encontrará una representación gráfica del flujo de información.


Si cuenta con una dirección IP y la fecha y hora (incluyendo la zona horaria), la mayoría de los ISPs
podrán identificar el usuario registrado al que se asignó la dirección IP a una hora específica,
permitiendo así, al Abogado, solicitar información adicional. Sin embargo, el Abogado podrá
necesitar usar métodos de investigación tradicionales para identificar la persona que se
encontraba usando la cuenta en ese preciso momento.

Paso 3. Procesar legalmente
El tercer paso es determinar las partes respectivas a las que se contactará y/o procesará
legalmente, dependiendo de los hechos de la investigación, según lo que se discutirá en los
capítulos subsiguientes. Típicamente se requerirán órdenes de captura, órdenes de la
corte/juzgados o citaciones con el fin de entregar información del usuario final para aplicar la ley.
Muchos de estos requisitos se rigen por la Ley de Privacidad de las comunicaciones Electrónicas
(ECPA, por su sigla en ingles) y por otras leyes Federales y Estatales aplicables. Una carta de
conservación podrá ayudar a preservar la información hasta tanto se cumplan con los requisitos
legales pertinentes. Estas solicitudes deben especificar la dirección IP y la fecha y hora,
especificando, claro, la zona horaria. Deberá estar al corriente de la necesidad de contar con un
procesamiento ágil de las cartas de preservación en cumplimiento de la 18 USC § 2703(f)
(apéndice G). Refiérase al capítulo 9 para obtener más detalles sobre los requisitos legales y al
apéndice H para ver una muestra del lenguaje a emplear.
La información que se puede obtener del ISP incluye:

Información del suscriptor tal como propietario registrado, dirección y forma de pago.
Información de la transacción tal como horas de conexión, fechas y direcciones IP usadas.
Figura 4. Dónde encontrar la información
El
Contenido del tipo de los mensajes de correo electrónico, los archivos de datos y los programas
almacenados.

También puede obtener algo de la información usada para rastrear una dirección IP o el usuario
final de los administradores del ISP o de la red. Esta información típicamente incluye la
información de la cuenta, de las direcciones de correo electrónico, de la dirección IP y del nombre
del dominio. Ella podrá o no contener información sobre el propietario o el usuario. Con base en la
información que reciba podrá ser necesario investigar un poco más. Podrá ser necesario, además,
entregar citaciones, órdenes de captura, órdenes de la corte/juzgado y cartas de preservación
adicionales a las entidades identificadas en el proceso legal previo. Por ejemplo, si la dirección IP
original se descifra como “BIG‐ISP.com” ello generará un requerimiento legal en contra de BIG‐
ISP.com con el fin de identificar al usuario de una dirección IP en particular, a una hora y en un día
en particular. En retorno se identifica a “Medium‐ISP.com” como el usuario de esa dirección IP.
(Una práctica común entre los ISP pequeños es rentar bloques de direcciones IP a los grandes
ISPs). En este punto, deberá emitirse un requerimiento legal a “Medium‐ISP.com”. Este
procedimiento continuará hasta que se haya obtenido información que permita identificar el
usuario que se registró en esa dirección IP a una fecha y hora específicas, o hasta que todas las
pistas de la investigación se hayan agotado.
Lenguaje de muestra. A continuación se presenta un lenguaje de muestra que podrá ser útil
cuando se encuentre preparando un requerimiento legal. Sin embargo, el ISP podrá requerir otro
tipo específico de lenguaje.
Información de la cuenta del ISP: “Toda la información disponible del suscriptor en
relación a la cuenta de (Nombre del suscriptor) incluyendo pero sin limitarse a la identidad

del usuario, la información de la cuenta del usuario, nombres ficticios, estado de la cuenta,
registros de cobro detallados, información de la cuenta de correo electrónico,
identificación de la línea de conexión (ANI), notas históricas de mantenimiento de la
cuenta y la historia de la IP desde (escriba fecha) hasta la fecha.”
Información de la dirección de correo electrónico: “Toda la información disponible del
suscriptor relacionada con el individuo que registró y mantiene la cuenta de correo
electrónico de (juanperez@email.com) incluyendo pero sin limitarse a la identidad del
usuario, la información de la cuenta del usuario, los nombres ficticios, el estado de la
cuenta, los registros de cobro detallados, la información de la cuenta de correo
electrónico, la identificación de la línea de conexión (ANI), las notas históricas de
mantenimiento de la cuenta y la historia de la IP desde (escriba fecha) hasta la fecha.”
Información de la dirección IP: “Toda la información disponible del suscriptor relacionada
con la cuenta del individuo al que se le asignó la dirección IP de (escriba la dirección IP) el
día (escriba la fecha) a las (escriba la hora y la zona horaria) y la dirección IP de (escriba la
dirección IP) el día (escriba la fecha) a las (escriba la hora y la zona horaria) incluyendo
pero sin limitarse a la identidad del usuario, la información de la cuenta del usuario, los
nombres ficticios, el estado de la cuenta, los registros de cobro detallados, la información
de la cuenta de correo electrónico, la identificación de la línea de conexión (ANI), las notas
históricas de mantenimiento de la cuenta y la historia de la IP desde (escriba fecha) hasta
la fecha.”


Información del nombre del Dominio: “Toda la información disponible relacionada con la
identidad del individuo que registró y mantiene los nombres de dominio de
(www.xxxxxxxx.com) y (www.xxxxxxxx.org) incluyendo pero sin limitarse a toda la
información de la cuenta, los registros de cobro incluyendo el número de la tarjeta de
crédito o cualquier otra información de pago, la identidad del usuario, el historial de la IP y
la identificación de la línea de conexión”
Información de la página web: “Toda la información del individuo que creó y mantiene la
página web de (nombre de la página web) en (nombre del ISP), incluyendo pero sin
limitarse a la identidad del usuario, la información de la cuenta del usuario, los registros de
facturación, la información de la cuenta de correo electrónico, la identificación de la línea
de conexión, los registros de uso y el historial IP”
Proveedores de sesiones Telnet: “Todo el historial disponible de IP relacionado con el
tráfico de Internet de (xxxxx.net) y los registros de usuarios de las sesiones Telnet de
(xxxx.net’s) los días (escriba fechas) incluyendo pero sin limitarse a la identidad del
usuario, el nombre del usuario, los comandos del usuario enviados y la dirección del
usuario.”

Información del Punto de Presencia (POP): “Toda la información disponible relacionada
con la ubicación del Punto de Presencia (ANS.NET o algún otro ISP) que emitió la dirección
IP (escriba la dirección IP) el día (escriba la fecha) a las (escriba la hora y la zona horaria)

incluyendo pero sin limitarse al número telefónico del acceso conmutado, la dirección
física y la compañía de teléfonos (escriba el nombre de la compañía) a la cual se encuentra
suscrito el número de teléfono del acceso conmutado.”
Registros de la línea de teléfono saliente: “Toda la información disponible incluyendo
pero sin limitarse a la información del suscriptor así como la información de facturación de
la dirección (escribir la dirección del suscriptor). Toda la información que incluya pero sin
limitarse a la información del suscriptor y la información de cobro para la línea telefónica
número (escriba el número de la línea telefónica). Incluir un listado de todas las llamadas
locales salientes hechas desde la dirección arriba mencionada. Incluir la información de
arriba para todos los números de teléfono listados para la dirección arriba mencionada
para el periodo de (fecha y hora).”
Resumen
Todas las comunicaciones de Internet y a través de redes se apoyan en una dirección IP para llegar
a su destino. La clave para investigar los crímenes relacionados con la Internet y las redes consiste
en identificar la dirección IP en la que se originó y rastrearla hasta su fuente. Estas técnicas
permiten al Abogado localizar fuentes adicionales de evidencia, corroborar las declaraciones de las
víctimas y los testigos y tener el potencial de localizar al sospechoso.

Apéndice C. Accediendo a los Encabezados Detallados de los Mensajes de Correo
Electrónico
Sofware Cliente de Correo Desplegando la Información Detallada del
Electrónico Encabezado
AOL® Seleccione Mail (Correo), seleccione Mail Settings
(Configuración de Correo), seleccione Advanced
(Avanzado), luego seleccione Never Minimize
Headers (Nunca Minimizar los Encabezados).
En Mail (Correo), seleccione Show Long Headers

Claris Emailer®
(Mostrar Encabezados Largos).
Eudora® (before ver. 3x) Seleccione Tools (Herramientas), seleccione
Options (Opciones), seleccione Fonts & Display
(Fuentes y Vistas), luego selecciones Show all
headers (Mostrar todos los encabezados).
Eudora® (ver. 3.x to ver. 6x Seleccione el botón BLAH, BLAH, BLAH en el
IBM® or Macintosh®) mensaje de correo entrante
Haga clic en “actions (acciones)” y “delivery

GroupWise®
(envío).”
HotMail® Seleccione Options (Opciones) en la Barra de
Navegación ubicada en el lado izquierdo de la
página. En la página Options (Opciones) seleccione

Preferences (Preferencias). Desplácese hacia
abajo hasta Message Headers (Encabezados de
Mensajes), y seleccione Full (Completos).
En la barra menús seleccione Actions (Acciones),
Lotus Notes® 4.6.x luego seleccione Delivery Information (Información
de Envío).
Lotus Notes® R5 en la barra de menús seleccione Actions
(Acciones), selecciones Tools (Herramientas),
luego seleccione Delivery Information (Información
de Envío).
Haga doble clic en el mensaje de correo. Seleccione
Netscape® 4.xx View Headers (Ver Encabezado), luego seleccione
All (Todo).
Outlook® Haga doble clic en el mensaje de correo en su
bandeja de entrada para abrir el mensaje. Seleccione
View (Vista), luego seleccione Options (Opciones).
Outlook Express® Abra el mensaje de correo. En el menú desplegable
Archivo seleccione Properties (Propiedades), luego
selecciones la pestaña Details (Detalles).
Encienda la opción encabezado en la configuración,

PINE
luego presione la “h” para obtener los encabezados.

Algunos clientes de correo electrónico no cumplen con los estándares de Internet (p.e cc-
Mail, Beyond Mail, VAX VMS) y por consiguiente no mantienen la información detallada
de los encabezados. No será posible obtenerla de estos mensajes de correo electrónico.
Al investigar los mensajes de correo electrónico enviados por una intranet (red interna)
sepa que en muchos casos no se generan encabezados en los correos. America Online
(AOL) actúa como una intranet para los mensajes de correo electrónico enviados por un
miembro de AOL a otro miembro de AOL. Estos mensajes no contienen información
estándar del encabezado del e-mail. Sin embargo, la ID de un mensaje de correo
electrónico puede aún estar disponible.

Conceptos Basicos de Pruebas Digitales para Abogados

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Conceptos Basicos de Pruebas Digitales para Abogados

Cargado por

Copyright:

Formatos disponibles

MANUAL BASICO DE EVIDENCIA DIGITAL PARA ABOGADOS.

Dirección IP del equipo

Dirección del Apartamento

Av Argentina No 22-18 AP 402

172.16.0.0 a 172.31.255.255

192.168.0.0 a 192.168.255.255

(en cache) de sitios web visitados con anterioridad.

así, la dirección privada de ser vista por el público.

redireccionamiento9. Se requiere entrenamiento avanzado para investigar o identificar el

Capítulo 3. Procesos que involucran el correo electrónico

de muchas investigaciones. El e-mail o correo electrónico es, como lo dice su nombre, el

equivalente electrónico de una carta o un memorando y puede incluir documentos

en evidencia para muchos tipos de investigaciones. El e-mail ya no es exclusivo de los

computadores y se le puede intercambiar ahora usando muchos equipos portátiles como

teléfonos celulares, agendas digitales (PDAs) y buscapersonas.

Cómo funciona el correo electrónico

El correo electrónico puede generarse de diferentes formas y equipos, aunque la forma

más común es cuando un usuario compone un mensaje en su propio computador y luego

lo envía a su servidor de correo. En este punto el computador del usuario ya no participa

computador en el que se escribió dicho mensaje de correo. (Ver la figura 5)

El servidor de correo del remitente envía el mensaje buscando y encontrando el servidor

de correo del destinatario y remite el mensaje a esa ubicación. El mensaje luego se

electrónico. Dependiendo de cómo se configure el e-mail client se podrá encontrar una

remitente (en la bandeja de elementos enviados o en la papelera) o en el servidor de

Red que emplea el

A medida que el mensaje viaja a través de la red de comunicaciones, en un área del

mensaje denominada encabezado (header, en inglés) queda un registro abreviado del

información. El Abogado debe ser capaz de identificar las direcciones IP (Internet

Protocol del encabezado y emplear esta información para establecer el remitente

del mensaje, usando las técnicas discutidas en el capítulo 2.

Componentes básicos de un correo electrónico

Existen varios métodos para crear y enviar correos electrónicos. La apariencia de un

un mensaje tiene un encabezado y un cuerpo (body, en ingles) y puede ir acompañado de

documentos adjuntos. El encabezado del correo electrónico contiene la información de

La primera vez que se ve un mensaje de correo electrónico, se despliega sólo una

tal como se muestra en la figura 7.

Attachment (documentos adjuntos)

pueden modificar el método para obtener información detallada del encabezado.

Usualmente, el recorrido del mensaje puede reconstruirse leyendo el encabezado del

en el encabezado. Una de las más importantes partes de la información que el

Abogado debe obtener del encabezado detallada es la dirección IP de origen. La

dirección del ejemplo en la figura 8 es [165.247.94.223]

componen de acuerdo con la figura 8. Observe que el encabezado del e-mail lo

encabezado del mensaje.

del encabezado del sobre.

encabezado. Generalmente, esta información es creada por el usuario y es la más fácil de

contenido: (Content-Type, en inglés) y la primera fecha y hora. En el siguiente ejemplo las

líneas 2 a 8 forman parte del encabezado del mensaje.

12. X-Message-Info: JGTYoYF78jEv6iDU7aTDV/xX2xdjzKcH

con el ISP (Internet Service Provided, en ingles).

11. Received: from web11603.mail.yahoo.com ([216.136.172.55]) by mc4-f4 with

Mon, 8 Sep 2003 18:53:07 -0700

La línea “Recibido” es la última que se pega en el encabezado. El último servidor de

10. Message-ID: 20030909015303.27404.qmail@web11603.mail.yahoo.com

Message-ID: (dientificación del mensaje)

Es un identificador único asignado a cada mensaje. Usualmente lo asigna el primer

servidor de correo y es pieza clave de información para el Abogado. A diferencia de la

dirección IP de origen (abajo), la cual puede suministrar información del suscriptor, la

9. Received: from [165.247.94.223] by web11603.mail.yahoo.com via HTTP; Mon,

08 Sep 2003 18:53:03 PDT

La línea “Recibido” de abajo identifica la dirección IP del servidor de correo de origen.

Puede indicar el nombre del servidor, el protocolo empleado y la configuración de fecha y

hora del servidor. Note que se reporta información de la zona horaria.

Otros mensajes de correo electrónico relacionados con la investigación.

Otras direcciones de correo electrónico.

Información del remitente.

Información de fechas y horas.

Información del usuario. Documentos adjuntos.

Registros de la aplicación que muestran evidencia de engaño.