See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/323613054

Evidencia digital en la investigación penal

Chapter · March 2018

CITATIONS READS

0 3,751

1 author:

Leopoldo Sebastián Gómez

Poder Judicial del Neuquen
14 PUBLICATIONS   19 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Informática Forense View project

All content following this page was uploaded by Leopoldo Sebastián Gómez on 07 March 2018.

The user has requested enhancement of the downloaded file.

 Evidencia digital en la investigación penal

Leopoldo Sebastián Gómezi

El efecto CSI y la naturaleza de la evidencia digital

Los operadores judiciales y profesionales del derecho comienzan a tomar conciencia de la
presencia y el valor de la evidencia digital. Actualmente existe mucha expectativa sobre la
pericia informática que en muchos casos lleva a veredictos incorrectos. La serie de
televisión CSI muestra que siempre existe alguna especialidad de las ciencias forenses que
puede resolver un caso y convencer al jurado. Potenciado por este fenómeno televisivo, el
jurado podría declarar inocente a una persona culpable si no existe prueba científica que lo
incrimine. El derivado de esta serie, conocido como CSI: Cyber, ha contribuido a exaltar el
impacto de la informática forense y la creencia de que la evidencia digital es siempre
perfecta y fácil de localizar. La evidencia física y la evidencia digital comparten los mismos
fundamentos del modelo de la criminalística en lo que refiere a minimizar la contaminación
en el lugar del hecho, documentar todo lo que se haga, utilizar los principios y estándares
establecidos y tener presente que el objetivo primario es la admisibilidad de la evidencia. Sin
embargo, la evidencia digital tiene características diferentes y responde a un paradigma
distinto que la evidencia física.
Haciendo un paralelismo entre la evidencia basada en papel y la evidencia digital surgen
claramente múltiples aspectos relevantes que deben ser considerados durante la
identificación y preservación de evidencia digital. En cuanto al almacenamiento, y a
diferencia de la evidencia basada en papel, la evidencia digital no ocupa espacio físico ni
está completamente concentrada en un sólo lugar. Habitualmente el trabajo con evidencia
basada en papel ocurre en un entorno estable y centralizado, mientras que el procesamiento
de información digital ocurre en un entorno volátil y distribuido. No es común encontrar
copias de evidencia basada en papel, sin embargo es posible que puedan hallarse copias de
resguardo conocidas como backups cuando se trata de localizar evidencia digital. En
materia de seguridad, la evidencia física puede ser resguardada estableciendo un perímetro
local, sirviendo como ejemplo el resguardo de documentos en una sala o contenedor
protegido con llave. La seguridad de la información digital requiere el establecimiento de un
perímetro global, lo que usualmente se logra mediante técnicas de cifrado. Las copias de la
evidencia basada en papel se hacen en forma deliberada, resultan iguales al original y no
contienen metadatos, siendo este último término muy utilizado en informática forense para
referir a toda información adicional incorporada en un documento, y que en muchas
ocasiones puede resultar de suma utilidad para la investigación. Por el contrario, la
evidencia digital puede repetirse en copias con diferentes versiones, realizadas posiblemente
en forma inadvertida como método de resguardo automático, y alberga metadatos. La
transmisión de evidencia basada en papel se realiza en forma tradicional, garantizando la
integridad de la información y con alcance limitado en su distribución. En sentido opuesto,
la evidencia digital se transmite en forma electrónica, es alterable y su difusión tiene alcance
prácticamente ilimitado por sus facilidades en el envío de copias a múltiples destinatarios.
Se ha dicho entonces que la evidencia digital responde a un paradigma distinto que la
evidencia física, del que surgen tres variables críticas a considerar durante las actividades de
identificación y preservación, y que son la temporalidad, el volumen y la ubicuidad. La
evidencia digital es capaz de permanecer en un dispositivo de almacenamiento por
segundos o bien por años, puede tratarse de un sólo bit o millones de ellos, y finalmente es
susceptible de estar localizada en un único dispositivo de almacenamiento o distribuida por
todo el mundo.
Como corolario, queda claro que este nuevo elemento de prueba requiere más recursos
investigativos ya que tiene mayor posibilidad de modificación inadvertida, su localización
no es sencilla, y probablemente luego de un allanamiento pueda llegar a obtenerse un gran
volumen de evidencia digital para ser analizada durante una pericia informática. Las
filtraciones efectuadas por Edward Snowden en referencia al monitoreo y vigilancia de las
actividades de las personas en el ciberespacio van incentivando el uso de técnicas
criptográficas para proteger la información digital, que van desde el cifrado de discos
rígidos hasta el encriptado de las comunicaciones y de los registros de mensajería en
aplicaciones para dispositivos móviles, así como también el empleo de software que
posibilita el anonimato durante la navegación en Internet.
Actualmente se pueden comprar discos rígidos, teléfonos celulares y tablets que hacen
virtualmente imposible el acceso al contenido digital si no se cuenta con la clave para
desencriptado. El uso de mecanismos de anonimato utilizados para ocultar la identidad
durante las sesiones de navegación en Internet, la problemática del acceso transfronterizo a
datos y las dificultades para la obtención de información digital gestionada por proveedores
de servicios en la nube son nuevos factores que contribuyen a exacerbar las dificultades
para la investigación penal con evidencia digital. Por si los factores expuestos no fueran
suficientemente notorios para avizorar un panorama comprometido, quedan
potencialmente al acecho nuevas fuentes de evidencia digital mediante la Internet de las
Cosas, que refiere a la visión de tener todo tipo de dispositivos conectados a una red,
posibilitando que puedan enviarse datos de unos a otros. Se estima que hay unos 13.4
billones de dispositivos IoT y se espera que alcancen los 38.5 billones en el año 2020.

Guías de buenas prácticas y protocolos de actuación

Una de las primeras guías de buenas prácticas para recolección de evidencia digital es la
RFC 3227 (IETF-ISOC, 2002). Si bien a esta altura de los acontecimientos aquellas
premisas de trabajo resultan muy elementales, el documento tiene la virtud de haber
iniciado el camino hacia la formalización de principios y acciones críticas durante los
procedimientos operativos de campo en los que se requiere identificar y preservar prueba
digital. Se destaca una categorización referida al orden de volatilidad de la evidencia digital
que determina las prioridades para la adquisición de evidencia digital, así como también
otros lineamientos sobre cadena de custodia y herramientas para trabajo de campo. La guía
detalla las características esenciales de la evidencia digital referidas a la admisibilidad,
autenticidad, completitud, confiabilidad y credibilidad, siendo todas ellas de suma
importancia para que la prueba digital pueda ser incorporada a un proceso legal.
Quienes intervienen en la recolección de evidencia digital usualmente adhieren a los
principios y lineamientos de una guía de buenas prácticas muy reconocida que ha sido
publicada por en el Reino Unido por la Association of Chief Police Officers (ACPO, 2004,
2012). Este documento establece cuatro principios clave para manejo de evidencia digital.
Principio 1): Ninguna acción realizada por personal de las Fuerzas de Seguridad debe
alterar los datos almacenados en computadoras o medios de almacenamiento que sean
susceptibles de ser presentados en juicio; Principio 2): Para aquellas circunstancias en que
fuera necesario el acceso a un dato original almacenado en una computadora o un medio de
almacenamiento, la persona debe ser competente para llevar adelante esa tarea y ser capaz
de entregar la evidencia explicando la relevancia e implicaciones de sus acciones; Principio
3): Debe crearse y preservarse un registro de auditoría sobre toda la evidencia electrónica
basada en computadoras que sea recolectada. Cualquier profesional independiente debería
ser capaz de examinar estos procedimientos y llegar al mismo resultado; Principio 4): La
persona que esté a cargo de la investigación tiene la responsabilidad final ante la ley de
hacer cumplir estos principios.
El Departamento de Justicia de Estados Unidos (NIJ, 2008) elaboró una guía de buenas
prácticas especialmente preparada para asistir a personal de fuerzas de la ley y aquellas
personas que sean responsables de identificar y preservar aquellos dispositivos que
contengan potencial evidencia digital en el lugar del hecho. El documento establece una
clasificación de diversas fuentes de evidencia digital, proporciona lineamientos para la
recolección de material probatorio, manejo de cadena de custodia y otras consideraciones
especiales sobre evidencia digital en función del delito que se esté investigando. El Servicio
Secreto de los Estados Unidos (USSS, 2008) publicó una guía de buenas prácticas para
recolección de evidencia electrónica orientada a personal de respuesta a incidentes. La
publicación prescribe y agrupa diversos ítems que podrían servir de potencial evidencia
digital para un delito determinado, así como un conjunto de cuestionarios específicos para
delitos informáticos de especial interés para investigadores y personal policial.
La Organización Internacional para la Estandarización (ISO, 2012) publicó la ISO/IEC
27037:2012 que describe los lineamientos de trabajo sugeridos durante la identificación,
recolección, adquisición y preservación de potencial evidencia digital. Habré de resaltar
algunos tópicos de la ISO/IEC 27037:2012 que en mi experiencia estimo muy oportunos
para avanzar hacia la especialización de labores en materia de informática forense. La
norma define claramente dos roles principales en la actuación pericial informática: el
DEFR (Digital Evidence First Responder) y el DES (Digital Evidence Specialist). Las
personas que actúan como DEFR son quienes se encargan de tareas de campo en
procedimientos judiciales vinculadas con la identificación y preservación de evidencia
digital. Teniendo presente la escasez de especialistas en informática forense, a mi criterio el
rol del DEFR debe y puede ser perfectamente llevado a cabo por personal policial o
personas que realicen actividades de investigación debidamente capacitados. Sin embargo
las etapas metodológicas de análisis y presentación de evidencia digital, que usualmente se
realizan en laboratorio, deben quedar exclusivamente reservadas para aquellos profesionales
informáticos especializados que tengan el rol de DES y que son los responsables de la
realización de la pericia informática.
El DEFR es el encargado de seguir los principios y lineamientos establecidos en
informática forense durante el trabajo de campo para garantizar la autenticidad y
confiabilidad de la evidencia digital. Conforme prescribe el estándar, estos procedimientos
procuran: a) minimizar la manipulación de los dispositivos electrónicos o datos digitales, b)
documentar todas las acciones y cambios que se hagan a la evidencia digital, de forma tal
que un experto independiente pueda validar y emitir opinión respecto de la confiabilidad de
la evidencia recolectada; c) proceder conforme el marco legal aplicable del cada país; d) el
DEFR no debe actual más allá de su área de competencia. Este estándar actúa como una
guía de buenas prácticas, pero también presenta algunas carencias y no ha considerado
otros muchos lineamientos que han sido ampliamente aceptados en la comunidad
internacional de expertos en informática forense, como las recomendaciones de la ACPO,
DFRW, IOCE y otras organizaciones de prestigio en la materia. Aunque el estándar unifica
rudimentariamente los principios y procedimientos aplicables a la evidencia digital para
actividades de campo, muchos de ellos son bastante obvios y ya estaban siendo usados en la
práctica. Sin perjuicio de lo expuesto, esta norma internacional contribuye a una mejora
gradual del trabajo de aquellos que tengan un primer contacto con evidencia digital, como
personal policial, abogados, investigadores, fiscales y magistrados, profesionales de
seguridad informática y de respuesta a incidentes.
En cuanto a los roles definidos por la norma ISO 27037:2012, gran parte de las
instituciones judiciales y policiales de Argentina carecen de personal capacitado para actuar
como DEFR. Las tareas de campo son realizadas por personal policial cuya experticia es
limitada ya que sólo tiene experiencia en recolección de evidencia física y actúa en el mejor
de los casos bajo los lineamientos de guías operativas para recolección de prueba digital. El
estándar apunta a la idea de separar las actividades de campo de las actividades periciales en
laboratorio sobre evidencia digital. Como ya ha sido anticipado, con una adecuada
capacitación el rol del DEFR puede y debe ser realizado por personal policial, técnico o de
respuesta a incidentes y que tiene un perfil diferente de quien actúe como DES, siendo este
último bien conocido en Argentina bajo la denominación de perito informático.
Atendiendo a la escasez de recursos humanos calificados, esta modalidad de actuación
sobre evidencia digital con división de roles desde el punto de vista metodológico
contribuye y facilita el trabajo del especialista en informática forense, quien debe concentrar
su esfuerzo en el laboratorio sobre aquellas labores periciales que requieren un mayor nivel
de experticia y profesionalismo. Habiendo transcurrido varios años desde la aparición de la
ISO/IEC 27037:2012, comienzan a evidenciarse algunas discrepancias entre los
procedimientos sugeridos por el estándar y los que realmente se llevan a cabo en la práctica
(Veber, 2015). Sin pretenderse que esta norma sea estrictamente vinculante para la
actuación pericial informática, el estándar puede ser tomado en consideración como un
marco normativo general para la identificación, recolección, adquisición y preservación de
evidencia digital. Al ser presentado en forma accesible para una audiencia amplia puede
facilitar actividades que requieran de la transferencia de evidencia digital entre jurisdicciones
de diferentes países y contribuir a la cooperación internacional en materia de investigación
penal con evidencia digital. Más allá del esfuerzo puesto por quienes elaboraron la norma
ISO/IEC 27037:2012 para reunir principios generales y lineamientos de trabajo aplicables
en las actividades de campo, no hay que olvidar que este estándar no es de cumplimiento
obligatorio sino facultativo. Resulta conveniente aclarar que siempre prevalecen las normas
y protocolos que sean aplicables en las regulaciones locales de cada país.
Las guías de buenas prácticas elaboradas en el extranjero no han tenido mayores chances
de ser utilizadas por el personal policial en los países de Latinoamérica, teniendo en cuenta
la barrera idiomática y la falta de capacitación. Pese a ello, en Argentina se publicó en el año
2006 una guía operativa para el secuestro de tecnología informática (Gómez, 2006) que fue
exitosamente utilizada por el personal de fuerzas de la ley de la Provincia de Neuquén en
numerosos procedimientos judiciales y continúa en vigor. En el año 2012 se aprobó un
protocolo de actuación para pericias informáticas (Gómez, 2012) que actúa como norma
reglamentaria de carácter obligatorio para los operadores judiciales en el Poder Judicial de la
provincia de Neuquén. Un apartado de dicho documento contiene esta guía operativa para
secuestro de tecnología informática, que está alineada a los principios, guías de buenas
prácticas y normas que regulan la actividad de campo. Este documento ha servido como
modelo a nivel nacional para otros laboratorios periciales y organismos del Poder Judicial.
Particularmente y en cuanto a los roles de DEFR y DES establecidos en la ISO/IEC
27037:2012, el protocolo deja claro que la actuación de campo deberá ser ejecutada por
personal policial en el rol de DEFR, mientras que la actividad pericial informática en
laboratorio estará a cargo de especialistas en informática forense que actúen como peritos
informáticos en el rol de DES.
A fin de ilustrar los lineamientos principales en materia de identificación y preservación
de evidencia digital, resulta oportuno citar contenidos del protocolo de actuación para
pericias informáticas. La norma reglamentaria prescribe: “…En el ámbito penal, el
procedimiento general de investigación judicial utilizando servicios de informática forense
consta de dos etapas principales: a) Incautación confiable de la prueba y mantenimiento de
la cadena de custodia. b) Análisis de la información disponible con arreglo al incidente
investigado y redacción del informe pericial. La primera etapa debe ser llevada a cabo por
personal policial junto al Fiscal responsable del control o de la ejecución de la medida,
siguiendo la guía operativa para el secuestro de tecnología informática. La segunda etapa
debe ser efectuada en el laboratorio por un perito, siguiendo los estándares de la ciencia
forense para el manejo de evidencia digital, en función a los puntos de pericia que sean
indicados por los operadores judiciales...”; “…el Fiscal deberá realizar una planificación
minuciosa del procedimiento judicial para la incautación de material probatorio. La
identificación de material tecnológico por parte del personal policial debe ser efectuada
conforme las pautas de la guía operativa para el secuestro de tecnología informática que
integra el presente documento. Es de especial importancia la utilización de precintos de
seguridad desde el momento del secuestro del material, y todos aquellos medios tendientes
a garantizar la autenticidad e integridad de la evidencia digital. A tal fin se deben seguir los
lineamientos indicados en el instructivo para la utilización de etiquetas de seguridad sobre
dispositivos informáticos que complementa el presente protocolo. Por regla deberá
preferirse el secuestro del material tecnológico a cualquier otra alternativa para la
preservación de información digital. Es importante tener presente que existen
características únicas de determinado material tecnológico que imposibilita la realización de
la pericia informática si no se cuenta con los elementos originales. Las tareas operativas en
el lugar del hecho resultan sumamente dificultosas por el tiempo que requieren las
herramientas forenses para completar su ejecución, la carencia de personal policial
capacitado para dichas tareas, la escasez de recursos tecnológicos, y las complejidades
técnicas y riesgos asociados al trabajo en un entorno bajo presión. Excepcionalmente, si
existiese la posibilidad de preservar la información digital en el lugar del hecho, dichos
menesteres deberán ser realizados por personal policial capacitado, con los elementos
técnicos adecuados y siguiendo una guía de procedimiento. Ello quedará a criterio
facultativo del responsable de la operatoria técnica, quien determinará la viabilidad de la
tarea…”.
En sintonía con los roles establecidos en la ISO/IEC 27037:2012, en el año 2013 el
Poder Judicial de la Provincia de Neuquén aprobó una norma reglamentaria denominada
Protocolo para Pericias Informáticas sobre Telefonía Celular (Gómez, 2013) en la que se
expresa que “…Las pericias sobre telefonía celular forman parte de la actividad pericial
informática en lo que refiere a extracción de evidencia digital, tal lo indicado en el apartado
2.a) Descripción general de servicios de informática forense del Protocolo de Actuación
para Pericias Informáticas. Este tipo de pericias sobre telefonía celular debe ser practicada
por un profesional de grado en Ciencias Informáticas…”. Se continúa entonces
consolidando el criterio que separa las actividades de identificación y preservación que
puedan realizarse en el lugar del hecho de aquellas otras que involucran la extracción y el
análisis de evidencia digital y la presentación de informes, quedando estas últimas a cargo
en forma excluyente de profesionales con titulación en ciencias informáticas y que ejerzan
como peritos informáticos o su equivalente con el rol de DES que define el estándar
internacional.

Métodos de recolección y adquisición de prueba digital

Actualmente los principales métodos de trabajo están establecidos y la bibliografía
especializada ha abordado técnicas y herramientas para cubrir un amplio espectro y
modalidades de actuación en cuanto a la recolección y adquisición de prueba digital (Reyes
and Wiles, 2007), (Brown, 2010). Aunque existen diferentes aproximaciones para estas
actividades, todos los métodos poseen fortalezas y debilidades. La incautación de hardware
es una de las modalidades tradicionales más conocidas para la recolección de prueba digital.
Como principal ventaja ha de destacarse que esta forma de trabajo requiere poca experticia
técnica, es simple y usualmente no tiene demasiadas críticas, por lo que puede ser llevada
adelante por personal policial o de investigación con una mínima capacitación. Luego de
efectuado el secuestro del material probatorio, el hardware puede ser examinado en un
entorno controlado de laboratorio quedando luego disponible para varios peritajes o para la
aplicación de distintas técnicas forenses sobre los dispositivos. Existen riesgos asociados a
este procedimiento, como la posibilidad de dañar el equipamiento durante el traslado, la
dificultad o imposibilidad de practicar una pericia informática al encontrarse con un
dispositivo cifrado, la pérdida de evidencia digital almacenada en memoria volátil o
vinculada en forma remota al dispositivo mediante la red de datos local o Internet, y otros
inconvenientes propios provocados por la interrupción de la operatoria con dicho
equipamiento. Durante la incautación de material probatorio es común que el personal
policial no se tenga presente la fragilidad y la volatilidad de la información digital.
Asimismo, cabe destacar que existe una gran falencia en lo que se conoce como la cadena
de custodia, cuyo objetivo consiste en mantener un registro de todas las operaciones que se
realizan sobre la evidencia en cada uno de los pasos de investigación. Por estos días no son
ninguna novedad los casos judiciales en que la evidencia digital ha sido previamente
manipulada por personal no idóneo y estos actos no están informados formalmente.
Posteriormente, al realizar la pericia informática, se detecta que la información original ha
sido alterada y la evidencia pierde su valor probatorio. Con todo lo expuesto, la incautación
de material tecnológico resulta ser la modalidad más simple y efectiva para recolección de
prueba digital siempre que el personal interviniente esté mínimamente capacitado y tenga
apego a los lineamientos establecidos en guías operativas para secuestro de tecnología
informática, guías de buenas prácticas o estándares para identificación y preservación de
evidencia digital.
La adquisición completa de evidencia digital en el lugar del hecho surge como alternativa
técnica, ya que evita eventuales daños al hardware y minimiza el impacto en la operatoria de
una empresa o institución. Esta modalidad es principalmente aplicada en actuaciones
periciales que requieran resguardar evidencia digital en casos civiles y tiene sus bondades en
aquellos lugares en los que deba minimizarse el impacto en la operatoria del negocio, pero
requiere contar con personal entrenado que actúe como DEFR y recursos tecnológicos
disponibles para las labores de campo. Teniendo presente la cantidad de hechos delictivos
que involucran el análisis pericial de material informático y la escasez de peritos
informáticos, referidos como DES a la luz de los lineamientos ya expuestos por la
ISO/IEC 27037:2012, simplemente resulta inviable que los mismos abandonen sus
actividades de laboratorio y se desplacen permanentemente a realizar este tipo de labores
más propias de un DEFR. Esta recolección del corpus digital in situ permite que la
evidencia digital pueda ser examinada a posteriori, contando con una imagen forense de la
evidencia original sobre la que puede practicarse la pericia informática. Sin embargo, de no
tomarse los recaudos necesarios para la recolección anticipada de evidencia digital
altamente volátil, como la que se localiza en la memoria RAM de los equipos informáticos,
al extraer los medios de almacenamiento para generar una clonación o una imagen forense
aún persiste el riesgo de la imposibilidad de acceso posterior a la evidencia digital si dichos
dispositivos cuentan con métodos de cifrado para protección de datos. Sin contar con que
este procedimiento demanda a priori una cantidad indeterminada de recursos tecnológicos
de almacenamiento, y consecuentemente los costos económicos asociados para adquirir
estos elementos antes de efectuar las actividades de campo, existe una mayor incertidumbre
sobre eventuales problemas técnicos e incompatibilidades tecnológicas. Por otra parte, el
tiempo que se requiere para la adquisición de evidencia digital es usualmente prohibitivo
para ser efectuado durante un procedimiento judicial. El crecimiento exponencial del
Universo Digital, el Big Data y la ley de Kryder juegan un rol preponderante para la
adquisición completa de evidencia digital, limitando severamente las posibilidades de
actuación en el lugar del hecho. Ha de considerarse que este trabajo podría demandar
decenas de horas en función del volumen de información digital que sea hallado, y sujeto a
otras restricciones temporales y presiones propias del entorno, así como también
imprevistos técnicos que surjan durante las labores de campo. Sin perjuicio de lo expuesto,
y una vez abordado el problema del volumen y dispersión de la información digital, habrá
de tenerse presente que la existencia de tecnologías más complejas como SAN, NAS y
RAID que presentan nuevos desafíos en el acceso a los medios de almacenamiento y
requieren de la aplicación de técnicas específicas para la adquisición de evidencia digital.
 La utilización de tecnología informática avanzada posibilita el análisis de grandes
volúmenes de datos, siendo un ejemplo de ello el uso de computadoras y servidores con
elevada capacidad de memoria y múltiples procesadores, arreglos de discos de estado
sólido, aceleradoras gráficas para procesamiento en paralelo y tecnología de cómputo
distribuido, que permita una reducción de tiempo durante el procesamiento masivo de
información. Es por ello que, la adquisición de evidencia digital en medios de
almacenamiento separados no siempre resulta la opción más conveniente a la hora de
realizar la pericia informática. En el caso de que la información digital haya sido
resguardada por separado en un conjunto de dispositivos de almacenamiento, deberá
realizarse una transferencia de los datos a un repositorio común como paso previo al
análisis, con el consiguiente tiempo de demora. En un laboratorio de informática forense el
corpus digital de los elementos probatorios del caso usualmente es transferido hacia
grandes dispositivos de almacenamiento de alta velocidad, bien sea mediante arreglos de
discos o dispositivos de almacenamiento en red u otra tecnología de avanzada,
posibilitando la ejecución de operaciones conjuntas con herramientas de informática
forense.
Siempre que se deba realizar una adquisición de evidencia digital en el lugar del hecho, o
al momento de generar las imágenes forenses en el laboratorio, es bien conocida la técnica
de generación de un valor hash a partir de un conjunto de datos. Existen diferentes
algoritmos para calcular un valor hash de un corpus digital. Los más utilizados en
informática forense son MD5 y SHA-1, aunque existen otros como SHA-256 y SHA-512.
Matemáticamente el cómputo del valor hash es de una naturaleza tal, que el cambio de un
bit en cualquier ítem de la evidencia digital deberá causar un efecto cascada durante el
proceso de cálculo, lo que conlleva a producir un valor hash diferente.
Ha de tenerse presente que un valor hash tiene siempre una longitud fija, siendo de 128
bits para MD5 y de 160 bits para SHA-1. Las colisiones hash pueden ocurrir naturalmente,
simplemente debido a que el número de valores que pueden ser calculados por MD5 o
SHA-1 es finito. Una colisión se describe como una situación donde a partir de dos
conjuntos de datos diferentes sobre los cuales se genera su respectivo valor hash, resulta
que ambos hashes son idénticos. En los últimos años surgieron algunas críticas a estos
algoritmos fundadas en descubrimientos de métodos para generar colisiones. Es dable
destacar que las debilidades planteadas por colisiones no son relevantes en el ámbito de la
informática forense, ya que no comprometen una propiedad de MD5 y SHA-1 conocida
como la resistencia a la preimagen. Ello significa que si sólo se cuenta con una certificación
hash generada a priori no es posible obtener un conjunto de datos de entrada que produzca
este mismo valor. Más aún, la resistencia a la segunda preimagen de MD5 y SHA-1
garantiza que si se tiene un conjunto de datos de entrada y su respectivo valor hash
(hablamos de la evidencia digital y su respectiva certificación digital) no es posible obtener
un conjunto de datos diferente que arribe al mismo valor hash. Aunque podría ser posible
manipular la información digital para producir dos valores hash idénticos a partir de
diferentes datos de entrada, las alteraciones deben ser muy específicas. Esto significa que
alterar la evidencia digital que tiene una certificación digital MD5 cuyo valor hash fue
calculado a priori y manipularlo para que afecte la interpretación de la evidencia
manteniendo el mismo valor hash es computacionalmente improbable (Schmitt and
Jordaan, 2013). Estas conclusiones permiten afirmar que si un artefacto que conforma la
evidencia digital fue certificado mediante MD5 o SHA-1, es viable volver a calcular el valor
hash en un momento posterior y si ambos valores coinciden significa que la integridad de la
evidencia se mantiene incólume. Queda clara entonces la importancia que tienen estos
métodos computacionales en la informática forense para que la evidencia digital mantenga
su integridad y sea admisible durante el proceso judicial.
Una variante más refinada de la alternativa anterior es la adquisición selectiva de
evidencia digital durante el procedimiento judicial. Esta modalidad podría ser de utilidad en
aquellos casos en que no es factible realizar una interrupción en la operatoria del negocio o
bien cuando es inviable realizar un apagado del equipamiento informático. Siempre que no
esté involucrado el personal de sistemas, resulta conveniente la asistencia local para
individualizar artefactos digitales potencialmente relevantes para la investigación en curso.
La adquisición selectiva es mucho más ágil que el método anterior, en el que se intenta
resguardar la totalidad de la evidencia digital, y no consume recursos tecnológicos ya que el
volumen de información digital que se suele adquirir es mucho menor. A pesar de lo
expuesto, este método tiene muchas desventajas que deben ser contrapesadas. Una de las
más importantes a destacar es la elevada experticia, entrenamiento y recursos tecnológicos
que requiere el personal que realice el procedimiento. Por otra parte, durante la adquisición
selectiva se pierde de capturar mucha evidencia digital que puede ser sumamente relevante
para la investigación, bien sea inculpatoria o exculpatoria. Esta modalidad de trabajo suele
recibir muchos más cuestionamientos que los métodos anteriores y nunca está librada de
riesgos mayores durante el trabajo de campo y otros impedimentos técnicos. Por lo
anteriormente expuesto, en el ámbito penal existen muchas desventajas operativas que la
restringen a ser aplicada exclusivamente en casos excepcionales.
La realidad es que a nivel jurídico confrontan dos puntos vista respecto al material
probatorio, bien sea si el hardware puede ser calificado como evidencia en el lugar del
hecho y proceder a su inmediata incautación o si sólo debe considerarse a la información
digital como evidencia, ya que en este último caso se restringiría por completo el accionar
de las fuerzas de seguridad en cuanto a la recolección de fuentes de evidencia digital y se
limitaría severamente la investigación penal. Se han expuesto las debilidades propias de la
recolección de fuentes de evidencia digital teniendo presente la ubicuidad de la evidencia
digital, los riesgos del encriptado de información, y todo ello sumado a la conectividad,
sincronización y transferencia de datos permanente vía Internet que tiene hoy en día
cualquier dispositivo tecnológico. Ahora bien, si se avanzara en esta línea de identificar y
adquirir selectivamente artefactos susceptibles de contener potencial evidencia digital, más
allá de requerirse recursos humanos altamente capacitados para trabajo de campo, se
excluye por completo la posibilidad de realizar un análisis forense exhaustivo sobre el
corpus digital dado que es imposible determinar a priori y en la mayoría de los casos cuáles
son todos los artefactos de relevancia que deben ser adquiridos. Tener este conocimiento
involucraría en la práctica poder determinar anticipadamente el valor objetivo de cada
artefacto digital para la investigación en el lugar del hecho para luego hacer una adquisición,
pero ello importa una profunda tarea de análisis sobre el corpus digital, lo que es más
propio de la pericia informática en si misma.
Exceptuando a países más desarrollados, se estima que en el corto plazo la modalidad
tradicional de recolección de prueba digital mediante la incautación de elementos físicos
seguirá prevaleciendo como regla para la investigación penal, ya que no es viable contar con
personal policial o de investigación suficientemente capacitado para actuar como DEFR,
sumándose a ello las propias limitaciones de los procedimientos alternativos de adquisición
de evidencia digital en el lugar del hecho. Desde ya que es imposible pretender utilizar el
tiempo de un DES para un sinnúmero de procedimientos de campo en los que se debe
identificar y preservar prueba digital, o al menos hoy no es viable para la investigación
penal con los recursos humanos disponibles. La masificación y penetración de la tecnología
en todo el mundo ha desencadenado un aumento sostenido del número de elementos
probatorios que requieren ser peritados. Actualmente el volumen digital a ser procesado
comienza a ser inmanejable durante las actividades operativas en laboratorio, por lo que los
especialistas deben procurar constantemente la incorporación y aplicación de técnicas
avanzadas y toda ayuda que pueda brindar la tecnología para mitigar el problema.
 Claramente siempre habrá más evidencia digital que la que sea posible procesar en los
laboratorios de informática forense. Por otro lado, contar con más personal policial o de
investigación capacitado para tareas de campo sobre evidencia digital no suplirá la falta de
especialistas en informática forense con niveles de preparación superiores para realizar
pericias informáticas. El tiempo que dispongan de los especialistas en informática forense
para trabajo en el laboratorio es uno de los recursos más valiosos para la investigación
penal con evidencia digital. Queda descartado entonces que los peritos informáticos
puedan analizar la información digital en el lugar del hecho, ya además de ser prácticamente
inviable desde el punto de vista técnico salvo quizá para casos muy excepcionales, los
laboratorios podrían colapsar si los especialistas se abocaran a hacer actividades de campo.
Estamos entonces en un punto crítico en el que deberá comenzarse a trabajar para
transferir conocimiento técnico básico a investigadores y personal policial para que puedan
actuar, no como DES, sino en el rol de DEFR y poder así tomar mejores decisiones
durante la identificación y preservación de evidencia digital.
Teniendo en cuenta que la recolección masiva de fuentes de evidencia digital ocasiona
una congestión en los laboratorios periciales, han surgido propuestas metodológicas para
hacer triage (Rogers et al., 2006), (Casey et al., 2009), (Hitchcock et al., 2016) que procuran
que con una mínima capacitación el personal de fuerzas de la ley pueda realizar la
identificación de evidencia digital relevante y una posterior recolección selectiva de fuentes
de evidencia digital en el lugar del hecho. Bajo esta perspectiva de trabajo fueron
desarrolladas algunas herramientas básicas de informática forense que intentan asistir a
policías e investigadores durante el procedimiento judicial para localizar indicios digitales
que determinen la necesidad de un análisis exhaustivo posterior en laboratorio. Bajo esta
óptica, el personal responsable de participar en un procedimiento judicial en el lugar del
hecho es capacitado en pocos días con un entrenamiento básico en la metodología y el uso
de dichas herramientas de triage. El software utilizado generalmente tiene características
muy limitadas, excluyendo localización de información borrada y otras características de
análisis avanzado. Entre las funcionalidades habituales, el software de triage permite la
inspección de archivos de imágenes digitales o de emails, la enumeración de software
instalado, la detección de archivos encriptados y la búsqueda de palabras clave sobre el
sistema de archivos de un equipo informático sospechoso. Estas aplicaciones usualmente se
incluyen en algún soporte óptico o electrónico junto a un sistema operativo que permite el
arranque controlado del equipo informático a ser inspeccionado para garantizar la
inalterabilidad de los contenidos digitales. Si bien estas metodologías han logrado
implementarse con un éxito relativo en algunos países, todavía no han tenido un impacto
relevante para mitigar la lista de espera de material probatorio que requiere de un análisis
exhaustivo, el que debe ser practicado indefectiblemente por un perito informático en
laboratorio.
El fenómeno de expansión de los dispositivos móviles ha dado lugar a nuevas
propuestas de triage que abordan la inspección de estos dispositivos en el lugar del hecho
(Mislan et al., 2010), permitiendo que personal entrenado pueda realizar algunos
procedimientos de identificación de evidencia digital para evitar el aumento del backlog de
los laboratorios de informática forense. En este punto es oportuno hacer referencia al
principio de incertidumbre de Heisenberg que postula que “Es imposible conocer
simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar
su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será
el error de velocidad, y viceversa…”. De lo antedicho puede concluirse que examinar o
coleccionar una parte del sistema alterará otros componentes y es imposible capturar
completamente un sistema completo en un punto en el tiempo. Por ello, si no se puede
evitar el cambio será necesario documentarlo y justificarlo.
La incautación de dispositivos móviles normalmente mantiene las mismas
consideraciones de procedimiento que aplican a otras fuentes de evidencia digital, pero en
cuanto a aspectos técnicos inherentes a la recolección se adiciona una problemática
especial. Las buenas prácticas sugieren que si se encuentran dispositivos móviles
encendidos, deben ser resguardados y transportados en ese estado evitando el apagado.
Asimismo, el investigador o personal que acuda al procedimiento judicial ha de tener
presente la posibilidad de que el dispositivo pueda activar autónomamente y en forma
temporizada un bloqueo de acceso, ya sea a través de un patrón, PIN u otra modalidad de
protección. Adicionalmente, si un dispositivo móvil está encendido y conectado con la red
de telefonía o Internet, subyace el peligro de que puedan realizarse alteraciones en forma
inadvertida y en el peor de los casos que se elimine todo el contenido digital mediante
alguna aplicación de ejecución remota. Para su resguardo y aislamiento puede optarse por
transportarlo en una bolsa de Faraday u otro envoltorio de aluminio. Este método tiene sus
propias desventajas, ya que si el equipo mantiene una búsqueda continua de la red de
telefonía o Internet, agotará la batería provocando el apagado. Existe la posibilidad de
incorporarle un cargador de batería portátil y autónomo, intentando que el mismo llegue
encendido en forma urgente al laboratorio, aunque usualmente este material para trabajo de
campo no está disponible al momento de la incautación de elementos de prueba.
Actualmente una de las más prácticas y mejores alternativas de aislamiento para equipos
encendidos consiste en configurar al dispositivo móvil en Modo Avión, aunque para ello
deben realizarse operaciones sobre el equipo confrontando en parte con los principios
postulados en las guías de buenas prácticas que refieren a evitar la manipulación de los
elementos de prueba. En este punto, y siempre que sea posible, es recomendable que se
intente quitar las configuraciones de seguridad que impidan un posterior acceso al
dispositivo. Exceptuando a los países más avanzados en manejo de evidencia digital, la
realidad imperante en el resto del mundo es que no se cuenta con suficiente personal
capacitado en manejo de evidencia digital ni con las herramientas de trabajo adecuadas en
el lugar del hecho. En este caso la mejor alternativa, sino la única, consiste en el apagado
del dispositivo móvil con el riesgo ya mencionado de que el mismo active alguna
protección de acceso al volver a encenderse, lo que ocasionará dificultades o impedirá por
completo la extracción de evidencia digital durante la etapa subsiguiente de la pericia
informática si no se cuenta con herramientas avanzadas para desbloqueo y la experticia
necesaria para resolver estas situaciones.
El surgimiento del cómputo en la nube conlleva al despliegue de nuevas técnicas
(Roussev et al., 2016) y herramientas de informática forense que posibiliten la adquisición
remota de evidencia digital, sin embargo existen algunas desventajas significativas a este
modelo referidas al tiempo de retardo que ocasiona la utilización de plataformas online y a
la dependencia del ancho de banda disponible en caso de plantearse la posibilidad de
efectuar un procedimiento de esta índole. En muchas situaciones este escenario se agrava
ante la imposibilidad de obtener acceso a la evidencia digital en manos de proveedores de
servicios en la nube y la carencia de mecanismos ágiles de cooperación internacional.

La evolución de la informática forense

Más allá de todas las definiciones que son bien conocidas en la profesión, la informática
forense puede ser presentada como una especialidad de las ciencias informáticas que se
encarga de aplicar mucho de ciencia y algo de arte para asistir a la investigación judicial en
procura de evidencia digital. Si bien en el ejercicio profesional de la actividad pericial
subyacen todos los saberes proporcionados por las ciencias informáticas, también es verdad
que en algunas situaciones el perito informático puede requerir hacer uso del arte y de la
creatividad para el despliegue de nuevas técnicas y herramientas específicas que permitan
dar respuesta a muchas interrogantes, todo ello sin apartarse de aspectos metodológicos,
buenas prácticas, protocolos y procedimientos operativos estandarizados que son propios
de la disciplina. Estamos hablando de una especialidad que sólo tiene varias décadas de
vida, y como todo nuevo campo de conocimiento que debe establecerse y ser reconocido
en la sociedad, la informática forense ha sido considerada en sus inicios como un oficio y
no como una profesión. En varios países y a nivel universitario han comenzado a surgir
nuevos cursos, carreras de grado y posgrados en informática forense que son llevados
adelante principalmente desde las facultades de informática.
Las personas que se iniciaron en esta actividad procedían de empleos no relacionados
con la informática y posiblemente vieron una posibilidad de carrera laboral en un nicho de
experticia que demandaba en forma urgente de recursos humanos. Principalmente en
países en vías de desarrollo es donde se camuflan mejor los artesanos del peritaje
informático y Argentina no ha sido la excepción a la regla. Todas las denominaciones
posibles vinculadas con la jerga de delitos tecnológicos o informáticos fueron utilizadas
para jerarquizar a grupos de entusiastas ejerciendo como expertos en informática forense,
siempre bajo el paraguas formal que les ha brindado la institución a la que pertenecen. A
pesar de que las universidades ofrecen diversas carreras de grado en ciencias informáticas,
estos practicantes habitualmente carecen mínimamente de una titulación universitaria e
intentan sustentar su calidad de expertos en esta especialidad mediante cursos o
entrenamientos básicos de corta duración en herramientas de informática forense, algo que
jamás ocurriría en otra especialidad si el perito no posee un título habilitante, usualmente
complementándose con los posgrados y otras distinciones profesionales y académicas que
lo acrediten en la labor que realizan. No es sorprendente encontrarse con personas que
avalan su experticia refiriendo alegóricamente al cargo de perito informático con que han
sido ungidos. Trabajando en ese rol como autodidactas dejan de lado a la educación
universitaria en ciencias informáticas porque a su exclusivo entender, y por falta de estos
saberes, piensan que para ser perito informático sólo se trata de tener habilidades con
herramientas informáticas y una pizca de lo que la sociedad refiere como cultura hacker.
Quizás aquí resulte oportuno citar el refrán atribuido a Erasmo de Rotterdam que postula
que en el país de los ciegos el tuerto es rey. Refrendado en las remuneraciones y las exiguas
capacidades y competencias del recurso humano que suele ser designado para estas tareas,
queda evidenciado el bajo estatus social que le otorgan los destinatarios de este servicio a la
informática forense y la inhabilidad de quienes ejercen esta actividad de convencer al
público que esta especialidad tiene su propio lugar dentro de la amplia división de labores
de la sociedad (Losavio et al., 2016).
Las razones que han sustentado la carencia de profesionalización de aquellos que actúan
en funciones periciales informáticas se resumen en: a) la falta de presupuesto o de visión
institucional para implementar un plan de carrera con remuneraciones acordes a los saberes
requeridos para permitir la conformación de equipos profesionales, b) los favoritismos
personales para reciclar y otorgar mayores jerarquías a quienes conformen nuevos equipos
periciales en este área de especialidad sin importar la formación que posean, c) una
necesidad de respuesta inmediata del sistema penal ante la escasez de especialistas en la
materia que se traduce en una suerte de connivencia por parte de los operadores judiciales
con el personal de fuerzas de la ley que apoya las tareas de investigación, y que los lleva a
ensalzarlos en el rol de peritos informáticos, d) la propia iniciativa y expectativa de una
mejor posición dentro de las fuerzas de seguridad de aquellos agentes que se inclinan por
practicar estas labores calificadas, intentando avalar su idoneidad mediante el cargo que les
ha sido otorgado por la institución y quizá exiguos entrenamientos en alguna herramienta
de informática forense, e) la ausencia de consejos profesionales de ciencias informáticas en
la mayor parte del país, que impongan sanciones a quienes ejerzan funciones periciales
informáticas fuera de sus incumbencias.
En Argentina, las instituciones policiales a nivel nacional y provincial cuentan con una
minoría de graduados universitarios en ciencias informáticas desarrollando actividades de
informática forense, mientras que un gran número de agentes de policía han sido asignados
a estas labores simplemente en función de su afinidad con la tecnología. Ha de dejarse de
lado el caso de aquellos policías que realizan tareas de investigación mediante el uso de
tecnología informática, y que han ido perfilándose en un rol de ciberpolicías, lo que sí tiene
sentido y es de gran utilidad que sea desarrollado en el ámbito de las fuerzas de la ley.
Ahora bien, con esta materia prima el peligro es que a sólo un paso y sin mucho trámite,
estos agentes que utilizan la Internet para llevar adelante investigaciones y tareas de
inteligencia sean asignados en el rol de un perito informático. Este fallido esquema de
trabajo mantiene relegada a la actividad pericial informática como un oficio que puede ser
practicado por artesanos, lo que dilata que la informática forense se consolide como una
verdadera profesión.
Un modelo de referencia para Sudamérica es el plan de carrera para la actividad pericial
implementado en Brasil. En este país se realizan concursos nacionales para cargos de Perito
Criminal Federal. Se trata de empleos muy procurados y las escasas vacantes ofrecidas
tienen numerosos postulantes. Particularmente para el área de informática forense y en el
rol profesional equivalente al cargo de perito informático sólo se admiten aspirantes con
carreras universitarias de grado en informática que estén reconocidas por el Ministerio de
Educación, siendo estos cargos excluyentes para quienes no cumplan con este requisito.
Consecuentemente el salario inicial del plan de carrera de un perito informático parte de
catorce mil reales mensuales, lo que equivale al día de hoy a unos cuatro mil dólares para un
profesional junior, y aumenta significativamente conforme los años de antigüedad y
experiencia que posea el especialista en esta actividad.
No es difícil vaticinar que en Argentina las mejores posibilidades de consolidar un
verdadero plan de carrera para la especialidad pericial informática están dadas en el ámbito
del Poder Judicial o bien en el Ministerio Público Fiscal, por ser quienes mejor retribuyen
las labores profesionales con remuneraciones y cargos acordes a los saberes requeridos. Es
en este ámbito, y a través de concursos de antecedentes y oposición, donde podrán
conformarse verdaderos equipos profesionales. En los últimos años han surgido iniciativas
de profesionalización de estas labores en el ámbito de la Justicia y se han creado
laboratorios de informática forense con profesionales graduados en informática, los que
accedieron al cargo por concurso de antecedentes y oposición para iniciarse en la
especialidad.
Pese a que aún resta un largo camino, hoy en día el panorama está mucho más claro y la
informática forense está estableciéndose como una verdadera y reconocida profesión. Para
estas labores especializadas y en materia de recursos humanos no es lo mismo suplir la falta
de calidad con mayor cantidad. El mercado laboral y en especial las instituciones del Estado
deberán dar un salto cualitativo, incorporando graduados universitarios en informática que
tengan sólidos conocimientos en ciencias de la computación, los que deberán ser
complementados con otros saberes jurídicos y continuar desarrollándose sus competencias
específicas en informática forense. Este perfil profesional del perito informático será el que
abra paso a la ciencia y permita ir dando cierre a la etapa de la artesanía en el desarrollo
histórico de la informática forense. Se revertirá la composición actual de este perfil
mitológico del perito informático, que mantiene mucho de arte y nada de ciencia. Sólo
entonces comenzará la conformación de una nueva generación de peritos informáticos con
un perfil científico adecuado, que sean capaces de hacer contribuciones valiosas para el
desarrollo de la profesión, quienes podrán ejercer y asistir con saberes especializados a los
responsables de la investigación penal.

Referencias
 ACPO (2004). Good Practice Guide for Computer-Based Electronic Evidence.
Association of Chief Police Officers. Disponible en:
 https://www.cps.gov.uk/legal/assets/uploads/files/ACPO_guidelines_computer_e
vidence[1].pdf – Último acceso el: 03/04/2016.
 ACPO (2012). Good Practice Guide for Digital Evidence, Versión 5. Association
of Chief Police Officers. Disponible en:
http://library.college.police.uk/docs/acpo/digital-evidence-2012.pdf – Último
acceso el: 03/04/2016.
 Brown, C. (2010). “Computer Evidence: Collection & Preservation”, Second
Edition. Published by Course Technology, a part of Cengage Learning, ISBN: 1-
58450-699-7.
 Casey, E., Ferraro, M. and Nguyen, L. (2009). Investigation delayed is justice denied:
proposals for expediting forensic examinations of digital evidence. Journal of
forensic sciences, 54(6), 1353-1364.
 CMU/SEI-2005-HB-001 (2005). First Responder Guide for Computer Forensics,
Handbook. Disponible en: http://www.sei.cmu.edu/reports/05hb001.pdf - Último
acceso el: 03/04/2016.
 Gómez, L. (2006). Guía Operativa para Procedimientos Judiciales con Secuestro de
Tecnología Informática. Revista de Derecho Informático, ISSN 1681-5726.
Disponible en:
https://sites.google.com/site/leopoldosebastiangomez/publicaciones - Último
acceso el: 03/04/2016.
 Gómez, L. (2012). Protocolo de Actuación para Pericias Informáticas (2012),
aprobado por Acuerdo N° 4908, protocolizado y publicado en el Boletín Oficial de
la Provincia del Neuquén, Argentina. Disponible en:
http://www.jusneuquen.gov.ar/images2/Biblioteca/ProtocoloActuacionPericiasInf
ormaticas.pdf - Último acceso el: 03/04/2016.
 Gómez, L. (2013). Protocolo de Actuación para Pericias sobre Telefonía Celular
(2013), aprobado por Acuerdo N° 5024, protocolizado y publicado en el Boletín
Oficial de la Provincia del Neuquén, Argentina. Disponible en:
http://www.jusneuquen.gov.ar/images2/Biblioteca/ProtocoloPericiasTelefoniaCel
ular.pdf - Último acceso el: 03/04/2016.
 Hitchcock, B., Le Khac, N., and Scanlon, M., 2016. Tiered Forensic Methodology
Model for Digital Field Triage by Non-Digital Evidence Specialists. Digital
Investigation, Volume 16, Number 1, ISSN 1742-2876.
 IETF-ISOC (2002). RFC 3227. Guidelines for Evidence Collection and Archiving.
Internet Engineering Task Force and Internet Society. Disponible en:
http://www.rfc-base.org/rfc-3227.html - Último acceso el: 03/04/2016.
 ISO (2012). ISO/IEC 27037:2012. Tecnología de la información – Técnicas de
seguridad – Directrices para la identificación, recolección, adquisición y
preservación de la evidencia digital, International Organization for Standarization,
Geneva.
 Losavio, M., Seigfried-Spellar, K. and Sloan III, J. (2016). Why digital forensics is
not a profession and how it can become one. Criminal Justice Studies, 1-20.
 Mislan, R. P., Casey, E. and Kessler, G. C. (2010). The growing need for on-scene
triage of mobile devices. Digital Investigation, 6(3), 112-124.
 NIJ (2008). Electronic Crime Scene Investigation - A Guide for First Responders,
Second Edition. National Institute of Justice. Disponible en:
https://www.ncjrs.gov/pdffiles1/nij/219941.pdf - Último acceso el: 03/04/2016.
 Reyes, A. and Wiles, J. (2007). The Best Damm Cybercrime and Digital Forensics
Book Period. Published by: Syngress Publishing, Inc., ISBN 13: 978-1-59749-228-7.
 Rogers, M. K., Goldman, J., Mislan, R., Wedge, T. and Debrota, S., (2006).
Computer forensics field triage process model. In Proceedings of the conference
 on Digital Forensics, Security and Law (p. 27). Association of Digital Forensics,
Security and Law.
 Roussev, V., Barreto A. and Ahmed I. (2016), Forensic Adquisition of Cloud
Drives. Advances in Digital Forensics XII. Gilber Peterson and Sujeet Shenoi (eds.),
Springer. Disponible en: http://arxiv.org/pdf/1603.06542v1.pdf - Último acceso el
03/04/2016.
 Schmitt, V. and Jordaan, J. (2013). Establishing the Validity of Md5 and Sha-1
Hashing in Digital Forensic Practice in Light of Recent Research Demonstrating
Cryptographic Weaknesses in these Algorithms. International Journal of Computer
Applications (0975 – 8887) Volume 68– No.23.
 Veber, J. and Smutny, Z. (2015). Standard ISO 27037:2012 and Collection of Digital
Evidence in the Czech Republic. Complete proceedings of the 14th European
Conference on Cyber Warfare and Security, Hatfield, UK, Published by Academic
Conferences and Publishing International Limited, Edited by Dr Nasser
Abouzakhar.
 USSS (2008). Best Practices for Seizing Electronic Evidence, v.3, A Pocket Guide
for First Responders. United States Secret Service. Disponible en:
http://www.crime-scene-investigator.net/SeizingElectronicEvidence.pdf - Último
acceso el: 03/04/2016.
i
El autor es Abogado y Licenciado en Ciencias de la Computación, Máster en Derecho Penal y Magister
en Ingeniería del Software. Perito Informático Oficial. Responsable del Laboratorio Pericial Informático
en el Poder Judicial de Neuquén. Profesor Adjunto de la cátedra de Informática Forense en la
Universidad Nacional de Río Negro, Argentina.

View publication stats