Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodologia Forense Procesos Judiciales PDF
Metodologia Forense Procesos Judiciales PDF
Aplicabilidad metodológica de la
informática forense en la
obtención de resultados eficientes
en procesos judiciales argentinos.
Trabajo de Investigación
Indice
Introducción ........................................................................................................................................ 4
Antecedentes .................................................................................................................................. 4
La informática forense. .................................................................................................................... 7
Definición de informática forense. ................................................................................................... 8
Seguridad Informática e Informática Forense ................................................................................... 9
Relación entre Hackers y Forenses. ................................................................................................ 10
Informática forense el Cybercrimen y la ley de los delitos informáticos ............................................. 11
Cadena de Custodia. ...................................................................................................................... 11
El Cybercrimen............................................................................................................................... 13
Delitos informáticos:...................................................................................................................... 15
Evidencia Digital: ........................................................................................................................... 17
Proceso Forense ................................................................................................................................ 19
Etapas de la informática forense: ................................................................................................... 19
Identificación y documentación de la evidencia: ............................................................................ 20
Adquisición de Datos ..................................................................................................................... 26
Validación y Preservación de la Información: ................................................................................. 32
Análisis y descubrimiento de evidencia .......................................................................................... 34
Confección del Informe Final.......................................................................................................... 40
Conclusiones ..................................................................................................................................... 43
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática
forense Argentina: ............................................................................................................................. 44
Anexo II – Modelo de Informe final .................................................................................................... 46
Referencias ........................................................................................................................................... 53
Mariano Messina 2
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Abstract
Además, se procede a abordar la metodología de forma tal que el lector pueda conocer
diferentes controles preventivos que utilizan los peritos experimentados en los procesos,
los cuales evitan acciones que podrían permitir que los distintos elementos probatorios,
involucrados en un proceso judicial, sean desestimados por alguna de las partes
intervinientes.
Mariano Messina 3
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Introducción
Antecedentes
Hoy en día vivimos en una sociedad dónde la gran mayoría de la población utilizamos un
medio informático (que puede ser una computadora con acceso a internet, una Tablet o un
teléfono) para poder realizar distintas operaciones que podrían abarcar desde las más sencillas
(como por ejemplo: revisar el estado del tránsito) hasta realizar algunas más complejas, (aquí se
podría considerar el pago de algún servicio mediante la utilización de nuestra cuenta bancaria y
un teléfono celular, mientras nos encontramos físicamente en la calle). Estas actividades no
solamente contribuyen al ámbito privado de cada uno de nosotros, sino que, analizando a la
informática desde un aspecto más amplio se puede notar que ésta se encuentra arraigada a
muchos otros ámbitos en los cuales podemos encontrar por ejemplo: la comunicación, la
investigación, la educación, los procesos industriales, seguridad, sanidad, etc… y que todos
estos dependen cada día más de una adecuada evolución y desarrollo de la tecnología.1
A su vez, conforme la tecnología avanza, va ejerciendo cada vez mas influencia en muchas
áreas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos
comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos
últimos aquellos que de manera genérica se han denominado en nuestra legislación como
“delitos informáticos”.2
Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han
conllevado a distintas ciencias a tratar de no sólo describir e interpretar el proceder de los
encargados de ejecutarlos, sino que además, han orientado a poder desarrollar métodos con el
fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o
mediante) diferentes medios informáticos.3
1
Bocanegra C, Carlo A.: Impacto de la tecnología informática en los individuos,
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html
2
Aguilar Avilés, D.: Impacto del Desarrollo socioeconómico en la resolución de investigaciones forenses, en
Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm
3
Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012,
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas
Mariano Messina 4
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Hace meses atrás se dio a conocer cómo miembros de un estado han podido vulnerar
diferentes sistemas informáticos, de alto peligro, correspondientes a una planta nuclear iraní,
que tuvo como principal objetivo el de sabotear los planes nucleares que allí se desarrollaban.
Gracias a la adecuada aplicación de la Informática forense se ha logrado el análisis del malware
utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5
En nuestro país se han identificado múltiples antecedentes en diversos procesos judiciales que
han resultado en una invalidación de la evidencia debido a falencias en la aplicación de las
prácticas forenses.
Uno de los más recientes casos de invalidación judicial es el famoso caso Ricardo Jaime, en
dónde se ha responsabilizado a la Policía Federal Argentina por no respetar la cadena de
custodia, mediante la aplicación de una metodología que asegure que los elementos
contenedores de información que van a ser presentados como evidencia ante el tribunal de
justicia, no sean contaminados durante las diferentes fases que comprenden al proceso
forense.6
“Teniendo en cuenta el reciente caso Jaime, se ha probado que por más que se tenga el mejor
software de informática forense, si no se tiene la idoneidad necesaria para utilizarlo, los
resultados serán desastrosos y la prue-ba [SIC] nula.” (Arellano G., 2012)
Debido a que dichas falencias podrían permitir el desvío del proceso judicial en su búsqueda
de la verdad7, el propósito del presente trabajo es el de ampliar y proponer la adecuada
aplicación metodológica de las mejores prácticas forenses en la Argentina, en las cuales se debe
considerar prestar especial atención a diversos puntos críticos que podrían poner en riesgo la
investigación o auditoría. La finalidad es de brindar a la justicia una herramienta que sea eficaz
a la hora de realizar los procesos judiciales.
4
Aguirre, Alessio: Informática Forense, 2012, http://alessioaguirre.com/informatica_forense.html
5
Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012,
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
6
Cappiello, Hernán: La invisibilidad de las pruebas de corrupción, 23 de Febrero 2012,
http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion
7
Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012,
http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-
Jaime.html
Mariano Messina 5
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Por otra parte, una vez definida la base teórica, se ha procedido a realizar una entrevista
personal a un reconocido perito forense con fuerte presencia nacional e internacional.8
8
Diario Clarín: La sugestiva y misteriosa acción de un espía privado, 22 de Diciembre 2011,
http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html
Mariano Messina 6
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La informática forense.
Tomemos como ejemplo a un sistema financiero informático (que lo podríamos conocer bajo
el nombre de Home Banking) que fue creado como un servicio que brinda una institución
financiera a sus clientes, cuyo fin sería el de que una persona pueda administrar el dinero que
tiene a su disposición. Ahora bien, supongamos además a un individuo que anhele vulnerar el
sistema informático financiero con el fin de obtener alguna retribución económica (aunque
también se podría considerar el hecho de generar perjuicio sobre el servicio brindado por la
institución, como por ejemplo, realizar ataques de denegación de servicio). Siguiendo el hilo
hipotético, imaginemos que un usuario malicioso logre no sólo el acceso no autorizado a dicho
servicio sino que además él logre, mediante la aplicación de herramientas informáticas, la
sustracción de dinero desde varias cuentas bancarias. Dicha acción resultaría en un perjuicio no
sólo a la institución que se encargue de brindar el servicio a sus clientes sino que además
impactaría de forma directa sobre la economía de cada uno de los titulares de las cuentas
afectadas (claro que también se podría mencionar el daño a la imagen que le produce a la
entidad, si el hecho tomara conocimiento público) Ante un escenario como el planteado (de
forma hipotética pero que muchas veces no escapa a la realidad) sería necesario un proceso
por el cuál se pueda identificar quién fue el responsable de las acciones ilícitas que fueron
realizadas, teniendo en consideración diferentes aspectos, tales como: en qué momento se
realizaron, en qué lugar, cuál fue el impacto que tuvo, de qué forma se realizaron, si aún
quedan restos remanentes del acto y cuales fueron las personas (jurídicas o físicas)
damnificadas.10
9
Stuart, Keith: PlayStation 3 hack – how it happened and what it means, 07 de Enero 2011,
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
10
La Nación: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia
Mariano Messina 7
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del
85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de
seguridad.12
11
Ec-Council: http://www.eccouncil.org/
12
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 8
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante los actos públicos o privados, y durante las diferentes etapas que comprenden al
proceso forense, es mandataria la existencia de una figura que ejerza un control y una
validación al procedimiento que se está llevando a cabo por los peritos informáticos, con el fin
de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los
mismos no afectaron la integridad de la información obtenida.14 En nuestro país, un escribano
es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un
especialista en materia informática, de lo que estaría limitado en dar fe es de que lo que
realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como
evidencia.15
13
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
14
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
15
Zygier, Analía: En la era de Internet, los jueces no cazan una, 2012,
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina 9
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Mariano Messina 10
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
además tenga como resultado un acceso no autorizado, o la violación de alguna ley, se hace
presente el concepto de Cracker, distinguiéndolo efusivamente al término Hacker.16
Creo entonces que, al considerar a un forense informático como a una persona que se
encarga de realizar un proceso metódico, en dónde debe utilizar sus elevados conocimientos
técnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no
existe una diferenciación entre un Hacker y un Forense informático sino que por el contrario,
creo que ambos comparten la misma esencia, la curiosidad.
Cadena de Custodia.
“… un registro minucioso de las personas que han tomado contacto con la evidencia,
indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer
en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las
actividades que se efectuaron con relación a la misma y conocer quien es el responsable por las
mismas.” (Presman, 2009, pág. 2)
16
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
17
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina 11
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Si en algún momento de todo el proceso, se especula con la idea de que la cadena de custodia
no ha sido realizada conforme a las mejores prácticas forenses, se podría solicitar la
invalidación de la evidencia presentada ante las autoridades.19
Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe
entre la información que se encuentra almacenada dentro de un contenedor informático
(comúnmente llamada Evidencia digital) con el medio mismo dónde se encuentra almacenada
(Evidencia Electrónica). Cada uno de los ítems debe ser claramente identificado, rotulados,
custodiados y tratados de forma idónea según las mejores prácticas forenses.20
18
Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
19
Poder Judicial de la Nación: Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n° 39.803), 22 de
Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
20
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0, 7 de
Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
21
Ministerio Público de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia,
http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Mariano Messina 12
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
4. Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías
para su custodia.
El Cybercrimen
- La computadora como objetivo: resulta de atacar las computadoras de otras personas (la
propagación de un virus es un ejemplo).
22
The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html
Mariano Messina 13
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La legislación actual contempla los siguientes casos, teniendo en consideración que los
diferentes ataques pueden ocurrir por una persona dentro de la empresa, como también desde
el exterior de la misma:
23
Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002.
24
InfoLeg: Información Legislativa: Ley Delitos Informáticos:
http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio
2008.
25
InfoLeg: Régimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/40000-
44999/42755/texact.htm.
Mariano Messina 14
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Delitos informáticos:
Una primera idea respecto al delito informático la señala Téllez Valdés, quien lo conceptualiza
desde dos ópticas. Nos dice que desde un punto de vista atípico son “actitudes ilícitas en que
se tiene al computador como instrumento o fin”, y desde uno típico son “conductas típicas,
antijurídicas y culpables en que se tiene a las computadoras como medio o fin”.26
La ley 26.388 de delitos informáticos argentina tipifica27 cuales son las conductas ilícitas en las
cuales se utiliza algún elemento informático para causar una acción que requiera una sanción.
Establece además la pena que debe cumplir la persona tras desarrollar tales acciones.
La falta de tipificación penal de muchas conductas delictivas aún hoy en día produce que las
mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las más
discutidas son: el grooming, phishing y la suplantación de la identidad.
26
Téllez Valdés, J. Derecho Informático, Ed. McGraw-Hill, México, 1996, p. 104
27
Muñoz Conde, Francisco (2002). Teoría General del Delito. Temis. 2ª Edición. Bogotá. Pág. 31
Mariano Messina 15
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Si bien es verdad que se encuentran tipificados muchos de los delitos informáticos en nuestra
legislación y que el campo de acción se podría pensar que se encuentra circunscripto a la
informática, la práctica forense se debe extender y considerar como un proceso mandatario
cuando se produce algún otro delito con el fin de lograr un entendimiento de los hechos que
Mariano Messina 16
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Evidencia Digital:
“… un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos
que pueden ser recolectados y analizados con herramientas y técnicas especiales.” (Casey,
2000).
Además de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los
procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida
mediante la aplicación de rigurosos y metodológicos procesos que aseguren su validez.
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología
informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas
parciales de datos, etc.). “ (Bolívar Pinzón Olmedo, 2007)
Existen varias diferencias entre la evidencia digital y la física. Una particularidad es que la
evidencia digital es sumamente frágil: la información digital se puede crear, alterar, copiar y
borrar muy fácilmente. Otra particularidad es que la duplicación de la información digital no
establece per se forma alguna de poder identificar qué datos son originales y cuáles son
resultantes de haber realizado un proceso de copiado de información, por lo tanto, y como
28
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
Mariano Messina 17
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
veremos más adelante en el desarrollo del presente trabajo, la informática forense debe contar
con un proceso metodológico lo suficientemente sólido como para evitar cometer errores que
afecten a la evidencia y a su integridad. 29
• Es volátil
• Es anónima
• Duplicable
• Alterable y modificable
• Eliminable
• Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.
• Es malo para los Juristas ya que el concepto de “original” carece de sentido.
29
Bolívar Pinzón Olmedo, F.: Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes,
Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
30
Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving
Evidence of Computer Crimes, 2002.
Mariano Messina 18
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
establece la importancia de no sólo recolectar información digital, sino que, el perito debe
observar el ambiente en su totalidad, realizando una búsqueda de hojas con contraseñas,
anotaciones escritas a puño y letra, manuales de herramientas o dispositivos informáticos
(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos
lineamientos que la evidencia digital.31
Proceso Forense
Anteriormente se ha hecho mención que el proceso forense consta de diversas etapas para
lograr su objetivo, ellas comprenden: la Identificación de la evidencia, adquisición de datos,
validación y preservación de la información adquirida, análisis y descubrimiento de la evidencia
y como última etapa, se encuentra la confección del informe que debe ser presentado a las
autoridades correspondientes.
Se debe destacar que resulta de gran importancia realizar la documentación de todas las
acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del
proceso forense. Además, es también es de gran importancia mantener una adecuada cadena
de custodia durante todas las etapas de la investigación.32
31
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
32
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 19
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
33
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos v 2.0, 7 de Julio
2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Mariano Messina 20
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
como por ejemplo, tarjetas de crédito, informes, impresoras, scanners, etc…, sin embargo, en
casos como la pornografía infantil, se debe establecer énfasis en otros objetos, cómo por
ejemplo, en las cámaras digitales.34 También es necesario, antes de comenzar con el proceso de
adquisición de datos, tener en cuenta cuál va a ser la información que se debe recolectar, ya
que si se decide copiar la totalidad de los datos cuando en realidad sólo se necesita una porción
del conjunto, se podría incurrir en una pérdida innecesaria de tiempo, además de aumentar el
riesgo a contaminar la evidencia.35
Los diferentes elementos que van a ser analizados, y que son material probatorio en un
proceso judicial, deben encontrarse claramente identificados con el fin de evitar la pérdida de
la información. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir
los elementos que son copia de lo que es evidencia original así como también permite llevar un
registro de la ubicación de cada uno de ellos. Es posible evitar este tipo de inconvenientes
mediante la realización de un proceso que asegure que todos los dispositivos se encuentren
correctamente etiquetados y que todos incluyan firmas para lograr identificar cuáles son los
diferentes elementos que componen el caso.36
“Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,
incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia,
por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Traslade estos
datos a otra etiqueta y péguela en la caja contenedora del soporte, incluso sería conveniente
precintar el original para evitar su manipulación inadecuada.” (Delgado L., 2007)
34
Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,
http://nij.gov/nij/pubs-sum/199408.htm
35
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
36
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina 21
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
práctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fácilmente
diversos dispositivos y cables conectores durante todo el proceso.
Mariano Messina 22
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Además, se ha concientizado sobre tener especial recaudo en las opciones de energía y del
uso horario del dispositivo encargado de la clonación. Las consideraciones a tener en cuenta
fueron:
37
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
Mariano Messina 23
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexión de
algún medio que contenga evidencia según corresponda, se debe realizar una preparación del
ambiente de trabajo, mediante la creación de una estructura de directorios en medios de
almacenamiento separados, en dónde se pueda extraer o recuperar archivos o información que
requieran ser analizadas y que resulte relevantes al caso.38
38
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina 24
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Mariano Messina 25
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Adquisición de Datos
Luego de establecer los límites de la adquisición y de tener en claro cuál debe ser el objetivo
de la investigación forense, se procede a la segunda etapa del proceso, la cuál se denomina
Adquisición de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar
de forma especial el contenido de la información almacenada en el sistema que se encuentra
en observación hacia un medio dónde se pueda realizar un análisis y manipulación del
contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptográficos (Hash)
para determinar si la información copiada es un reflejo exacto de la original. Luego del cálculo,
se debe trabajar sobre la información duplicada dejando intacto el contenedor original,
resguardándolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando
toda actividad en la cadena de custodia.
Si bien las situaciones que involucran componentes informáticos podrían resultar diferentes
según la investigación que se deba realizar, se debe tener ciertos recaudos para lograr proteger
la integridad de la información a recolectar. Si el perito forense se encuentra frente a un
escenario dónde el medio a analizar se encuentra encendido, resulta una buena práctica
documentar las acciones realizadas teniendo en consideración lineamientos tales como:39
39
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 26
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La siguiente tabla fue expuesta durante el curso de Adquisición de datos e ilustra cuáles de los
diferentes sistemas operativos pueden ser apagados mediante la desconexión de la energía
eléctrica sin ocasionar daños, mientras que a otros deben aplicarse mecanismos de apagado
seguro:
Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.
Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque
(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un teléfono
celular) y que los mismos podrían producir diferentes tipos de modificaciones en cuanto a
fechas y también en cuanto al contenido de por lo menos algunos archivos del sistema;
también, las diferentes etapas de los procesos de arranque pueden producir una variación en la
Mariano Messina 27
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden
originar otras consecuencias dependiendo del medio en observación. Los mismos resultados se
pueden observar cuando se realiza la apertura de un archivo, aunque su único propósito no sea
otro que el de sólo su propia lectura o impresión.
Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear
la escritura en dispositivos USB mediante la creación de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies
40
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 28
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Existe otra consideración a tener en cuenta cuando se debe realizar una adquisición de
información de un dispositivo. Si se encuentra en un escenario dónde se debe reutilizar un
medio de almacenamiento que anteriormente fue empleado como parte de un proceso
forense, se debe aplicar con especial cuidado una metodología sólida con el fin de esterilizar los
contenedores que van a almacenar la información duplicada, si es que la copia forense no se va
a realizar bit a bit. La omisión de la esterilización del medio puede provocar que exista una
contaminación de la evidencia y podría provocar que la misma sea descalificada por alguna de
las partes intervinientes.
41
EC-Council: Investigating Wireless Networks and Devices, 2010.
42
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 29
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante esta etapa se realiza la extracción de información del disco a nivel físico sin
considerar los archivos de sistema que se encuentren presentes. Las acciones que se podrían
llevar a cabo son: la búsqueda de palabras claves, búsqueda de archivos y la extracción de la
tabla de particiones y de espacio del disco físico no utilizado.
• Realizar una búsqueda de palabras claves a lo largo del disco físico podría ser de utilidad
al analista forense para extraer datos relevantes y para identificar archivos que no
pertenezcan al sistema operativo.
• Utilizar herramientas en la búsqueda y extracción de archivos tiene como finalidad el
encontrar ficheros que podrían no ser tenidos en cuenta por el sistema operativo y que
podrían resultar relevantes en la investigación.
• Por otra parte, analizar la estructura de particiones del disco es útil para comprender e
identificar la composición del sistema de archivo, pudiendo determinar si todo el
espacio físico del disco duro se encuentra utilizado.
Mariano Messina 30
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos
que existe desde el final de un archivo hasta el final del último cluster que tiene asignado, en
otras palabras, el slack es considerado a la diferencia que existe cuando el tamaño físico de un
medio de almacenamiento supera a su tamaño lógico)43 y el espacio en disco que aún no ha
sido asignado.
• Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.
• Revisar los correos electrónicos almacenados en el dispositivo.
• Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc…)
• Revisar el caché del dispositivo móvil.
• Revisar las citas, notas y el calendario del dispositivo en búsqueda de eventos o de
información relevante a la investigación.
43
Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-file-
slack.html
44
EC-Council: Investigating Wireless Networks and Devices, 2010.
Mariano Messina 31
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector público
y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector
público realizar la gestión de recursos para desarrollar la colección de datos, mientras que para
el privado, existen menos procesos burocráticos que evitan la demora en el comienzo de la
etapa.
La generación de los códigos exclusivos deben ser lo suficientemente robustos para evitar
que los mismos sean generados de forma inversa con fines dolosos. Además, deben
encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitiéndole
verificar la autenticidad de la información resultante del proceso de duplicación de datos, que a
su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense.
45
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007
Mariano Messina 32
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Funciones Hash:
Las funciones Hash utilizan algoritmos criptográficos para crear un mensaje de los datos a los
cuales fueron aplicados. Los Hashes representan grandes volúmenes de información en una
relativamente pequeña porción de datos y debido a que su utilización no altera la información
analizada, sino que la representan de una forma más pequeña, se las utilizan en la informática
forense para comparar la información original con aquella resultante de haber aplicado un
proceso de duplicación. Cuando los Hashes coinciden, significa que tanto la información
original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulación
y/o análisis.46
A pesar de que se han encontrado múltiples fallas de seguridad en los Hashes tradicionales
MD5, CRC y SHA1, y hasta existen métodos teóricos prácticos de cómo vulnerarlos (en la
actualidad se encuentran disponibles en la web múltiples sitios que aducen realizar dicho
proceso de forma fácil y rápida), aún se siguen utilizando como método de control válido en las
prácticas forenses, encontrándolos aceptados en los diferentes tribunales como métodos de
validación de la evidencia. 47 La razón por la cual aún son válidos dichos elementos es que al
utilizar la función hash como método de reducción de información a fines de lograr un control
efectivo, resultaría impráctico poder modificar una porción de un dato específico de la
evidencia y aun así lograr generar el mismo hash de la evidencia original.48
Una vez que la información ha sido cotejada, se debe proceder a incluir la firma Hash en cada
uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita
a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez
duplicados para establecer copias de seguridad que permitan a los auditores realizar la
búsqueda de elementos probatorios.
46
EC – Council: Computer Forensics – Investigating Network intrusions & Cyber Crime, 2010.
47
Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,
http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/
48
Informática Pericial: Consulta sobre colisiones MD5,
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobre-
colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Mariano Messina 33
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
A continuación se listan algunas precauciones que se deben tener en cuenta cuando se debe
preservar la evidencia:49
• Mantener la evidencia en un lugar seguro.
• Empaquetar la evidencia en un envoltorio sellado para restringir el acceso físico.
• Mantener la evidencia fuera de temperaturas extremas y de altas humedades.
• Mantener la evidencia alejada de medios magnéticos.
• Mantener la evidencia alejada de ambientes con polvo o energía estática.
• Mantener la evidencia alejada de ambientes con excesivas vibraciones.
• Mantener la evidencia con las etiquetas correspondientes.
• No se debe doblar, plegar o rayar los diversos medios informáticos, como por ejemplo,
los dvds.
• Mantener siempre una cadena de custodia apropiada.
Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la protección de
la integridad de la información, el perito podría encontrarse frente a un sistema protegido con
una contraseña que imposibilite el acceso a la información almacenada.
49
EC-Council: Investigating Wireless Networks and Devices, 2010.
50
Arnicelli, Crsitian: Virtualización de Imágenes Forense, 17 de Septiebre 2012,
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Mariano Messina 34
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante una charla de informática forense en la 8va edición de Eko Party51 realizada en
Argentina, el ingeniero Gustavo Presman ha hecho mención sobre la importancia de utilizar
herramientas que posibiliten el descubrimiento de la contraseña administrador del equipo
relevante a la investigación, siempre teniendo recaudos de no realizar la contaminación del
medio. También ha manifestado que dicha importancia se debe a que podría existir la
implementación de mecanismos de autenticación Single Sign-on (SSO)52 que permitan el
acceso a sistemas internos. Los cuales a su vez podrían contener información relacionada a la
investigación en proceso.
“La adquisición de datos específicamente reservados por su propietario (hecho que se hace
evidente, simplemente porque utilizó una clave para protegerla), utilizando herramientas
invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que sólo puede
ordenar el Juez en uso de sus atribuciones de Magistrado. De ahí que antes de hacer una cosa
por el estilo, se debe pedir autorización a S. Sa.. Este pedido por otra parte debe ser fundado y
preservando el resto de la información privada del propietario de los datos, en caso contrario
(siempre que el operador del derecho de turno y/o su consultor técnico, se den cuenta) esa
prueba y toda la cadena probatoria subsiguiente es nula. “ (Arellano G., 2012)
Debido a que la persona que ha originado el incidente pudo haber considerado la eliminación
de información que lo comprometa, o realizar alguna acción no convencional para lograr
ocultarla, se debe realizar un análisis de los contenedores de información desde diferentes
niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas
consideraciones que pueden ser utilizados como lineamientos para realizar el análisis de la
información adquirida.53 Las mismas comprenden:
51
Eko Party Security Conference 8va edición: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/.
52
The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/
53
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina 35
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
El análisis del período de tiempo es útil para determinar cuando ocurrieron los eventos sobre
un sistema informático, con el fin de identificar y asociar quién ha utilizado el recurso en el
tiempo que han ocurrido los sucesos. Existen dos métodos que se utilizan:
- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la última
modificación, la última vez que se accedió al archivo o el cambio de estado). El resultado que se
busca es establecer una relación entre los archivos de interés y los tiempos relevantes a la
investigación.
- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podrían ser
analizados comprenden, eventos de error, instalación, de conexión, eventos de seguridad, etc..
Por ejemplo, el análisis del registro de eventos de seguridad podría indicar cuando se utilizó un
usuario y una contraseña para autenticarse a un sistema.
-La correlación de los encabezados de los archivos con las extensiones asociadas a los mismos
para identificar si existen diferencias. La discrepancia entre ambos podría indicar que un
usuario ha escondido información de forma intencional en el archivo.
-Revisión de los archivos protegidos por contraseñas y también aquellos que se encuentren
comprimidos o cifrados. Se debe considerar que la contraseña utilizada para proteger el archivo
podría ser tan relevante en la investigación como el contenido del mismo.
54
National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Mariano Messina 36
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
-Revisión del contenido de archivos (por ejemplo, una fotografía) en búsqueda de información
oculta. Este proceso de análisis es conocido como estenografía.
-Revisión de host-protected area (HPA). El HPA es una sección del disco duro que se encuentra
oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de
discos duros para ocultar un sistema de mantenimiento y recuperación. Sin embargo, esta
sección puede ser alterable y utilizable para ocultar información.55
Realizar un análisis de las aplicaciones y de los archivos que contemplan al sistema podría
brindar al forense información relevante a la investigación y además, podría permitirle lograr
una comprensión de la capacidad de los mismos. Algunos ejemplos incluyen:
- Revisión de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del
navegador con archivos de correos o de caché.
- Revisión de metadata y de los archivos creados por los usuarios: generalmente se buscan
datos como: fechas de creación, fecha de última modificación, el autor del fichero y la ubicación
de los mismos.
55
Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensic-
ediscovery-glossary/what-is-host-protected-area.html
Mariano Messina 37
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Durante la charla de Gustavo Pressman en la Eko Party también se ha hecho mención que
podrían existir volúmenes TryeCrypt (software utilizado para el cifrado de información)
ubicados en el sistema que se encuentra siendo investigado, que podrían contener información
relevante al caso. Además, ha afirmado la dificultad en la que se encuentran los forenses para
reconocer dichos volúmenes debido a que los mismos no poseen una extensión que los
identifique dentro del sistema operativo.
Hasta el momento, la única característica que podría guiar a un perito hacia la identificación
de volúmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamaño de los
diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros
TrueCrypt.
Otra dificultad que se presenta, por cómo se encuentran cifrados y construidos los volúmenes,
es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro
volumen cifrado.56
Posesión y propiedad:
Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a
archivos en el sistema debido a que puede resultar relevante en la investigación. También
podría ser relevante identificar el conocimiento y la posesión de dichos archivos teniendo en
cuenta los siguientes lineamientos:
- Los archivos de interés pueden estar ubicados en carpetas que no son creadas por defecto
por el sistema operativo. (Ver análisis de aplicaciones y de archivos).
56
TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume
Mariano Messina 38
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
-Los nombres de archivos podrían indicar el contenido del archivo. (Ver análisis de
aplicaciones y de archivos).
- Información oculta en el sistema podría dar indicios de alguna persona que evita ser
detectado. (Análisis de datos ocultos)
Figura 2: Resumen del Proceso forense obtenido del grupo de informática forense:
http://espanol.groups.yahoo.com/group/informatica-forense/
Mariano Messina 39
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
La quinta etapa representa uno de los aspectos más cruciales en una investigación forense y
corresponde la producción de un informe que detalle el proceso que se ha desarrollado. El
documento debe ser escrito para comunicar el resultado del análisis digital forense y deberá
exponer una teoría entendible de la investigación de forma tal que, la persona encargada de
realizar un juicio sobre la misma cuente con la información necesaria de forma clara y concisa.57
El propósito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque
exista evidencia que se considere que no resulta de apoyo a la investigación, debe ser
mencionada de todas formas en el informe final. En el reporte además, debe constar cuál es el
objetivo principal de la investigación que se ha realizado.
La confección del reporte debe ser escrito de forma lógica y ordenada, de manera tal que
pueda exponer cuál es el interrogante que debe ser esclarecido, presentar los resultados de la
investigación y además, declare conclusiones y recomendaciones. Para lograr una estructura
lógica y centrarse en la narración del proceso, se puede proceder a la utilización de apéndices
que puedan incluir calendarios, tablas u otra información relevante.
Un buen informe debe responder a: quién, qué, cuando, dónde y por qué. Además, debe
documentar qué acciones fueron realizadas durante el proceso y el porqué de las mismas. 58
Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba
en casos judiciales, debía prestar especial cuidado de evitar declarar conclusiones acerca de los
hechos sino que lo que en realidad debía hacer es centrarse en narrar los mismos mediante la
57
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
58
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 40
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
elección cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara
que durante un juicio, se ha hecho mención que un sonido provenía de un hall de un hotel, a lo
que él siempre se ha preguntado cuales son las características acústicas que diferencian un hall
hotel, de una cancha de squash.
En el anexo II del presente documento se puede observar un modelo de informe final utilizado
por peritos argentinos. El material fue obtenido de un foro dónde diversos expertos en materia
forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,
al que se ha tenido el agrado de ser invitado a participar como miembro.
Las técnicas de visualización permiten generar gráficos, mapas o redes que relacionan la
información de forma tal que problemas de alta complejidad puedan ser comprendidos por el
público sin la necesidad de utilizar un lenguaje específico o enredado. 59
Creo que en la etapa de confección y presentación del informe final, se podrían utilizar
herramientas de visualización de información que permitan a los jueces de los tribunales, y las
diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr
un entendimiento más claro de los resultados de la investigación, relacionando por ejemplo los
diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60
Una vez finalizadas todas las etapas de la investigación forense digital y, una vez concluido y
presentado el informe a las autoridades pertinentes se debería resguardar toda información en
59
Visualizing: http://www.visualizing.org/about
60
ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina 41
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
un lugar seguro por si en algún momento futuro se decide volver a indagar en los elementos
intervinientes. 61
Debatiendo dicha situación con diversos peritos se ha logrado encontrar diversas opiniones,
algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de
pocos años, el medio de almacenamiento óptico podría estropearse, por más que se tengan
recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.
61
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
62
NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Mariano Messina 42
Aplicabilidad metodológica de la informática forense en la obtención de
resultados eficientes en procesos judiciales argentinos.
Conclusiones
A través del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que
el cumplimiento de la aplicación metodológica de los estándares definidos, y de las mejores
prácticas en los procesos forenses, mitiga el riesgo de guiar una investigación hacia su
invalidación.
Por otra parte, debido a que aún hoy en día la informática forense es considerada una ciencia
nueva, lo cuál se considera que complica a personas fuera del ámbito informático en la
comprensión técnica de diversos escenarios, se cree conveniente la utilización de diversas
técnicas de capacitación y de representación de datos, como por ejemplo las de visualización de
información.
Las técnicas de visualización resultan de gran utilidad al transmitir a las diferentes autoridades
un mensaje claro. Esto permite explicar problemas complejos mediante la abstracción de
cuestiones técnicas, logrando que dicha herramienta sea utilizada como base para el análisis y
la toma de decisiones.
Por último, destacar que el valor de utilidad que tiene la informática forense radica en su
posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva
de incidentes en las diferentes organizaciones.
Mariano Messina 43
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
1. Alessio, en la actualidad, ¿cuál piensa que es el mayor desafío, o la mayor dificultad que
debe afrontar un perito forense a la hora de realizar una investigación en la Argentina?
Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe
lo que hace a nivel técnico, claro está). Si es estatal quizá el reto mayor será logístico; el
almacenamiento y procesamiento de altos volúmenes de datos requiere de forma dinámica una
cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas
veces destina recursos a los laboratorios forense de las distintas dependencias.
2. Según su experiencia en la práctica forense, ¿en qué partes del proceso piensa que se debe
hacer hincapié? ¿Por qué?
En la documentación de todos los pasos. Uno deberá prestar testimonio años después de lo que
ocurrió y si no está todo bien documentado puede perderse todo el trabajo realizado. (esto
también dando por sentado que se utiliza hardware y software forense así como los métodos
forense)
Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los
trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)
No; ambas se deben llevar a cabo de igual manera. La informática forense nació en el Estado, se
potenció por la lucha contra la pornografía infantil y luego creció exponencialmente de la mano del
sector privado cuando se comenzó a aplicar a IF en investigaciones y auditorías.
Mariano Messina 44
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
La ley que equipara los documentos digitales a los de papel tiene menos de diez años. La justicia, y
el sistema judicial, tardarán un tiempo en adecuarse a la nueva normativa.
El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que
afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la
adquisición de herramientas de última generación y capacitación.
6. Si bien muchos autores consideran a la informática forense como una ciencia aún nueva,
¿Considera que la aplicación de la metodología y de las buenas prácticas forenses existentes mitigan
el riesgo de que la evidencia sea susceptible a la invalidación durante el proceso judicial?
Cuando nació la papiloscopía el perito se apersonaba en el lugar del hecho y levantaba las huellas;
terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el
comisario. La gente tardó unos años en comprender que la escena del crimen debe ser resguardada
y toda la comisaría pasaba por el lugar de los hechos con la intención de ayudar. . Lo mismo ocurrirá
con la informática forense. Sin duda que el perito deberá tener el hardware, software y
capacitación necesaria, pero hasta que no se capacite a todos los involucrados en la investigación
de un delito, habrá impugnaciones.
7. En su opinión y para concluir con la entrevista, ¿Cuáles son los aspectos que se deben tener
en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades
correspondientes?
Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidaré un informe que leí en
Honduras, donde un perito de audio forense dice que en la grabación “se escucha una ampliación
en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel”.
Siempre me pregunté qué características acústicas tiene el hall de un hotel que no tenga el hall de
un museo, mansión, cancha de squash, etc.
Si el informe dice que se encontró una computadora cuyo sistema operativo indica como última
fecha de utilización medianoche de una fecha, quién lea el informe comprenderá las implicancias. Si
uno dice “esta computadora fue encendida por última vez el X” está asegurando algo que no tiene
manera de probar.
Mariano Messina 45
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
AL
S / D
Mariano Messina 46
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
I. OBJETO DE LA PERICIA:
La presente pericia tiene por objeto determinar “…si los archivos dubitados se
encontraban almacenados en: . . . .” (textual) , obrando requisitoria pericial a foja
75 del cuerpo principal de los autos citados.
Mariano Messina 47
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
Mariano Messina 48
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
ARGUMENTACIÓN DEMOSTRATIVA
Mariano Messina 49
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
IV. CONCLUSIONES:
Mariano Messina 50
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
TOTAL 39
Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida
la tarea pericial encomendada y regule mis honorarios profesionales acorde a la
magnitud de los estudios experiencias y demostraciones técnicas efectuadas.
Mariano Messina 51
Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331
(si lo hubo)
Aclaración
Título y cargo
Aclaración
Título y cargo
1
Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)
escrito por ambos lados y conste de un número par de paginas. De esta manera el sello de recepción
queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de
responsabilidades, sobre la integridad o destino “a posteriori” de la prueba analizada
Mariano Messina 52
Referencias
Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage
Learning.
Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informáticos.
Versión 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:
http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Aguilar Avilés, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde
www.eumed.net/rev/cccss/07/daa7.htm
Alessio, A. (2012). Informática Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:
http://alessioaguirre.com/informatica_forense.html
Arellano G., L. E. (2012, Marzo 15). ¿La acción penal, por delitos de acción pública, en manos
exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community
LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ila-
accion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html
Arnicelli, C. (2012, Septiembre 17). Virtualización de Imágenes Forense. Accedido en Septiembre 23,
2012, accedido desde MKit - IT & Security Solutions:
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido
desde National Institute of Standards and Technology:
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf
Bocanegra C., C. A. (n.d.). Rincón del Vago. Accedido en Junio 12, 2012, accedido desde Rincón del Vago:
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-
individuos.html
Bolívar Pinzón Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Información. Accedido en Mayo 23,
2012, accedido desde Tesis: Identificación de vulnerabilidades, análisis forense y atención de
incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley
Publishing INC.
Mariano Messina 53
Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido
desde La Relevancia De La Custodia De La Evidencia En La Investigación Judicial:
http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Cappiello, H. (2012, Febrero 23). Diario La Nación. Accedido en Mayo 23, 2012, accedido desde La
invisibilidad de las pruebas de corrupción: http://www.lanacion.com.ar/1450864-la-
invisibilidad-de-las-pruebas-de-corrupcion
Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.
Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.
Academic Press.
Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,
NY: Cengage Learning.
Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido
desde Computer Forensics Procedures and Methods:
http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf
Delgado L., M. (2007, Junio). Análisis forense digital. Accedido en Agosto 22, 2012, accedido desde
Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780-
analisisforenseed2-criminalistica.net.pdf
Diario Clarín. (2011, Diciembre 22). La sugestiva y misteriosa acción de un espía privado. Accedido en
Septiembre 01, 2012, accedido desde Clarín: http://www.clarin.com/politica/sugestiva-
misteriosa-accion-espia-privado_0_613738660.html
Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.
Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde
Informática Pericial:
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons
ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame
created by US and Israel to slow Iranian nuke program:
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,
accedido desde A Tour through the Visualization Zoo:
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina 54
Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.
Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431-
Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html
InfoLeg: Información Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos
Informáticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000-
144999/141790/norma.htm
Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.
Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.
Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/199408.htm
Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido
en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/219941.htm
Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics
Investigators. Burlington, MA: Elsevier INC.
La Nación, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de
pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nación:
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-
acusado-de-pedofilia
Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:
Syngress Publishing, INC.
Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and
Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:
Auerbach Publications.
Ministerio Público Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de
Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Público Fiscal de
la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer
Science+Business Media.
Muñoz Conde, F. (2002). Teoría General del Delito Segunda Edición. Bogotá: Tirant Lo Blanch.
Nación, P. J. (2010, Septiembre 22). Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n°
39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nación:
http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
Mariano Messina 55
National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and
Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,
2012, accedido desde Optical Disc Longevity Study.:
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The
McGraw-Hill Companies.
Presman, G. D. (2008). Validez técnica de evidencia digital en la empresa. In C. Community, El rol del
oficial de seguridad. Buenos Aires, Arg.: CXO Community.
Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the
Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in
_courtroom.pdf
Stuart, K. (2011, Enero 07). PlayStation 3 hack – how it happened and what it means. Accedido en Julio
22, 2012, accedido desde
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,
accedido desde The Cyber Citizen Partnership:
http://www.cybercitizenship.org/crime/crime.html
The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open
Group: http://www.opengroup.org/security/sso/
TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:
http://www.truecrypt.org/docs/?s=hidden-volume
Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,
accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscovery-
glossary/what-is-host-protected-area.html
Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,
accedido desde Diario Judicial:
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina 56
Mariano Messina 57