Modelo y procedimiento para

la investigación forense de TI
Informática Forense 5720
Alencastro Ruiz Bryan Miguel
07 de julio del 2019
Contenido
● Esquema de Ecuador (diapo. 4-11)
● Descripción del esquema ecuatoriano (diapo. 12)
● Esquema de Argentina (diapo. 14-20)
● Descripción del esquema argentino (diapo. 21)
● Cuadro de elementos comunes (diapo. 23)
● Análisis del cuadro comparativo de elementos comunes (diapo. 24)
● Cuadro de diferencias (diapo. 26)
● Análisis de cuadro comparativo de diferencias (diapo. 27)
● Bibliografía (diapo. 29)

2
Esquema y descripción del modelo y
procedimiento para la investigación
forense de TI en Ecuador

3
Esquema de Ecuador
● El Manual de Catálogo de especialidades periciales del Consejo de la
Judicatura, definiendo como Área o Profesión CRIMINALÍSTICA y Especialidad
INFORMÁTICA FORENSE, indica que el perito informático tiene como alcance,
actividades y competencias los siguientes puntos:
○ Análisis de servidores de correo.
○ Adquisición de evidencias de dispositivos móviles.
○ Recuperación de información de dispositivos de almacenamiento.
○ Investigar delitos, faltas o incidencias en sistemas de comunicación y/o sistemas embebidos.
○ Su alcance se extiende a todas las investigaciones en las en las que existan equipos
informáticos y/o datos digitales.
● Teniendo esto en cuenta, se procede según lo indicado por la Fiscalía General
del Estado.
4
Esquema de Ecuador
● La Dirección de Investigaciones de la Fiscalía General del Estado tiene como
misión gestionar y coordinar la ejecución del proceso de investigación del
delito en las etapas pre procesal y procesal penal, con la finalidad de proveer
pruebas que fundamenten la existencia de la infracción penal y la
responsabilidad de los procesados.

5
Esquema de Ecuador
● En su apartado de Gestión de Investigaciones Especializadas en Temas
Estratégicos está el módulo de Investigaciones Informáticas, que indica sus
responsabilidades:
○ Recabar información de páginas web, correos electrónicos y con dominio de Microsoft, datos
de conectividad de redes sociales.
○ Análisis de información con software especializado.
○ Informática Forense.
● Para conseguir exitosamente con estas responsabilidades, se utiliza la
Resolución 73 de la Fiscalía General del Estado.

6
Esquema de Ecuador
● La Resolución 73 de la FGE con el título “MANUALES, PROTOCOLOS,
INSTRUCTIVOS Y FORMATOS DEL SISTEMA ESPECIALIZADO INTEGRAL DE
INVESTIGACIÓN MEDICINA LEGAL Y CIENCIAS FORENSES”, indica el
procedimiento que se debe seguir cuando se encuentran involucradas
evidencias digitales.

7
Esquema de Ecuador
● PROCEDIMIENTO EN INDICIOS Y/O EVIDENCIAS DIGITALES, a continuación
se indica los puntos más importantes (1 de 3):
○ Previo al procesamiento de los dispositivos informáticos se debe realizar el levantamiento de
indicios biológicos (ADN, huellas dactilares, etc).
○ La intercepción de comunicaciones será conservada con carácter de secreto, y será
almacenada en un centro de acopio especializado.
○ La evidencia digital será entregada a un centro de acopio hasta ser requerido por la autoridad
competente.
○ Mantener el dispositivo en el mismo estado en el que se encuentre.
○ Verificar si el equipo está encendido y documentar lo que presente la pantalla.
○ Si el equipo está conectado a un sistema de red o internet, desconectarlo para impedir el
acceso remoto.
○ Fijar, embalar, sellar y rotular el equipo en la escena.

8
Esquema de Ecuador
● PROCEDIMIENTO EN INDICIOS Y/O EVIDENCIAS DIGITALES, a continuación
se indica los puntos más importantes (2 de 3):
○ Documentar los dispositivos y cables conectados al equipo, incluir fotografías.
○ Colocar cinta de seguridad en dispositivos de almacenamiento externo.
○ Registrar modelo, marca, número de serie y distintivos del equipo.
○ Sellar con cinta de seguridad puertos y conectores de energía.
○ De ser necesario solicitar personal especializado en captura y preservación de información
volátil.

9
Esquema de Ecuador
● PROCEDIMIENTO EN INDICIOS Y/O EVIDENCIAS DIGITALES, a continuación
se indica los puntos más importantes (3 de 3):
○ IMPORTANTE, desconectar de la alimentación o batería únicamente en los siguientes casos:
■ Si la pantalla indica que el equipo fue formateado.
■ Si observa que el equipo está en proceso de borrado o formateado.
○ IMPORTANTE, no desconectar de la alimentación o batería cuando:
■ La información presente en pantalla es trascendental para la investigación.
■ Cuando la pantalla presenta: Redes sociales, chats, almacenamiento remoto,
documentos encriptados, documentos abiertos, o cualquier otro considerado como
territorio digital en el Art. 460 numeral 8 del COIP.

10
Esquema de Ecuador
● EMBALAJE DE DISPOSITIVOS INFORMÁTICOS O ELECTRÓNICOS, a
continuación se indica los puntos más importantes:
○ El dispositivo debe embalarse en fundas y/o recipientes antiestáticos.
○ No usar fundas comunes, pueden provocar estática, paso de humedad o condensación.
○ El empaque debe prevenir: rayones y golpes derivados de movimientos en el transporte.

● Las demás actividades como rotulación, cadena de custodia, transporte,

almacenamiento,.., se hacen por parte del fiscal, y corresponden al Sistema
especializado integral de investigación, medicina legal y ciencias forenses, es
decir, no son procesos exclusivos de la Informática Forense.
11
Descripción del esquema ecuatoriano
● El esquema ecuatoriano para la investigación forense de TI en Ecuador es
responsabilidad de la Fiscalía General del Estado.
● En la Resolución 73 de la FGE se encuentran lineamientos para el manejo de
indicios y evidencias digitales, sin embargo el contenido es de carácter técnico
sin fundamento, haciendo necesaria una extensión del mismo, en donde se
presente una metodología real para el tratamiento de esta información.

12
Esquema y descripción del modelo y
procedimiento para la investigación
forense de TI en Argentina

13
Esquema de Argentina
● La organización internacional de estandarización ISO cuenta con normas
relacionadas a la investigación y análisis forense, por ejemplo la ISO/IEC
27037, Directrices para la identificación, recogida, adquisición y preservación
de evidencias electrónicas.
● La ejecución de pericias con dicha norma se hace cada vez con más
regularidad en Argentina.
● Existen varios protocolos, como:
○ Protocolo para la Actuación para Pericias Informáticas, Neuquén.
○ Guía de obtención, preservación y tratamiento de evidencia digital, UFECI.
○ Protocolo general de actuación para fuerzas policiales y de seguridad en la investigación y
procesos de recolección de pruebas en ciberdelitos, Ministerio de Seguridad de Argentina.

14
Esquema de Argentina
● Otras normas y estándares utilizados son:
○ RFC 3227. Directrices para la recopilación de evidencias y su almacenamiento.
○ UNE 71505-2. Guía para la identificación, recolección, adquisición y preservación de evidencias
digitales.
○ UNE 71506. Buenas prácticas en la gestión de evidencias electrónicas.
○ ISO/IEC 27041:2105. Metodología para el análisis forense de evidencias electrónicas.
○ ISO/IEC 27042:2015. Guidance on assuring suitability and adequacy of incident investigative
method.
○ UNE 197010:2015. Guidelines for the analysis and interpretation of digital evidence.
○ ISO/IEC WD 27044. Incident investigation principles and processes.

15
Esquema de Argentina
● Las tareas de investigación forense son realizadas por:
○ Policia Federal Argentina: con las áreas de Apoyo tecnológico Judicial, Delitos en Tecnología y
División de Informática Forense.
○ Policía de la Ciudad Autónoma de Buenos Aires: área de Cibercrimen.
○ Gendarmería de Argentina: Departamento de Ciberdelitos.
○ Prefectura Naval Argentina: Departamento de Cibercrimen.
○ Ministerio Público Fiscal de la Ciudad Autónoma de Buenos Aires.
○ Policía de Seguridad Aeroportuaria.

16
Esquema de Argentina
● Aplicación de herramientas y equipos forenses en la investigación.

Imagen tomada del documento referente al esquema argentino.

17
Esquema de Argentina
● FASES DEL ANÁLISIS FORENSE DIGITAL, se puede destacar las siguientes
fases:
○ Identificación del incidente.
○ Recopilación de evidencias.
○ Preservación de la evidencia.
○ Análisis de la evidencia.
○ Documentación y presentación de resultados.

18
Esquema de Argentina

Imagen tomada del documento referente al esquema argentino.

19
Esquema de Argentina
● El esquema argentino detalla herramientas software dependiendo de su
utilidad, por ejemplo herramientas para:
○ Montaje y virtualización de unidades.
○ Análisis y adquisición de la memoria.
○ Recuperación y tratamiento de discos.
○ Análisis de registros.
○ Análisis de redes.
○ Recuperación de contraseñas.
○ Análisis de dispositivos móviles Android y iPhone.
● Además de esto se presentan herramientas hardware, especificando marcas,
modelo y versión.
● Por último expone las características de un Laboratorio de Informática
Forense.
20
Descripción del esquema argentino
● El esquema ecuatoriano para la investigación forense de TI en Argentina es
responsabilidad de varias entidades relacionadas a la Policía.
● Además de usar protocolos creados en el país, la metodología usada está
fuertemente basada en normas y estándares internacionales.

21
Elementos comunes

22
Cuadro comparativo de elementos comunes.

Parámetro Ecuador Argentina

Estructura A pesar de no manejar normas internacionales, el esquema ecuatoriano es similar

al argentino en cuanto a la estructura que manejan: recopilación de evidencias,
preservación de la evidencia, análisis de la evidencia, documentación y
presentación de resultados.

23
Análisis
● La similitud en la estructura se da por su carácter de procedimiento estándar,
es decir que en cualquier manual se puede encontrar la misma secuencia.
● Considero que los procesos deben ser más detallados, o de ser necesario,
hacer referencia a normas o estándares internacionales.

24
Elementos diferentes

25
Cuadro comparativo de diferencias.
Parámetro Ecuador Argentina

Normas No especifica. Uso de varias normas internacionales.

Internacionales

Detalle en el Indica las actividades con un porcentaje Las actividades se detallan de manera
documento de detalle aceptable, todo en un solo superficial, por lo que es estrictamente
documento. necesario revisar las normas a las que
hace referencia.

Tecnicidad del Contenido técnico, sin embargo es poco Documento con contenido técnico que
contenido detallado y fundamentado para ser incluye herramientas HW y SW.
considerado una metodología o
procedimiento.

Entidad Fiscalía General del Estado. Entidades relacionadas a la policía y

responsable gendarmería con departamentos
especializados. 26
Análisis
● Además de las similitudes que se encuentran por ser procesos estrictamente
necesarios, el esquema ecuatoriano es de menor calidad en comparación al
argentino, no se le puede considerar una metodología óptima para realizar los
procesos de investigación forense a causa de su diseño con contenido técnico
con poco fundamento.
● Es necesaria la extensión que sea referenciada en documentos futuros de la
Fiscalía General del Estado.
● El documento debería contener procesos mejor detallados basados en normas
internacionales.

27
Bibliografía

28
Bibliografía
● Ecuador
○ Consejo de la Judicatura.
Funcionjudicial.gob.ec. (2018). [online]
Disponible en:
http://www.funcionjudicial.gob.ec/www/pdf/
MANUAL%20DE%20CATALOGO%20DE%2
0ESPECIALIDADES%20PERICIALES%20SE
PTIEMBRE%202018.pdf
○ Fiscalía General del Estado. Eempn.gob.ec.
(2014). [online] Disponible en:
https://www.eempn.gob.ec/documentos_2
017/FGE-Manual.pdf
○ Fiscalía.gob.ec. (2019). Fiscalía General del
Estado | Dirección de Investigaciones.
[online] Disponible en:
https://www.fiscalia.gob.ec/direccion-de-
investigaciones/
● Argentina
○ Presman, G. (2018). [online]
Adcdigital.org.ar. Disponible en:
https://adcdigital.org.ar/wp-
content/uploads/2018/04/Estado-de-la-
Investigacion-Forense-en-la-Argentina-
Presman.pdf
○ Pensamientopenal.com.ar. (2016). [online]
Disponible en:
http://www.pensamientopenal.com.ar/syste
m/files/2016/05/doctrina43429.pdf
29