 Necesidad de introducir un agente encubierto

para detectar los actos de corrupción. Si existen

métodos tradicionales que pueden ser utilizados
antes de utilizar un agente encubierto, los
métodos tradicionales deben recibir prioridad.
 Riesgo: La propensión de un agente encubierto,
luego de realizar estas funciones de forma
prolongada, a modificar su conducta e incidir él
también en actos criminales. Para evitar esta
situación, los agentes encubiertos deben pasar
por un riguroso proceso de selección. Los
agentes deben ser debidamente entrenados y los
límites de sus funciones deben ser estrictamente
establecidos.
 Control: Los funcionarios encargados de la
investigación deben mantener control en todo
momento de la operación encubierta. Esto
incluye supervisión de los agentes encubiertos
para asegurar que sigan las guías que rigen el
desempeño. De esta forma se asegura que toda
la evidencia recopilada pueda ser utilizada en el
proceso judicial.
 Autorización: Artículo 341 del CPP

El Fiscal, cuando se trate de Diligencias Preliminares que

afecten actividades propias de la delincuencia
organizada, y en tanto existan indicios de su comisión,
podrá autorizar a miembros de la Policía Nacional,
mediante una Disposición y teniendo en cuenta su
necesidad a los fines de la investigación, a actuar bajo
identidad supuesta y a adquirir y transportar los objetos,
efectos e instrumentos del delito y diferir la incautación
de los mismos.
 Autorización: Artículo 25 del Reglamento de
Circulación y Entrega Vigilada Bienes Delictivos y
Agente Encubierto
…
b) La facultad del agente para actuar bajo
identidad supuesta en el tráfico jurídico y social,
llevando a cabo actividades vinculadas al delito
de que se trate, precisando los límites de su
actuación.
 Existen dos corrientes de pensamiento sobre la
actuación del agente encubierto

1. La corriente conservadora no permite de

ninguna forma que el agente encubierto facilite o
le dé la oportunidad al sujeto investigado que
cometa delitos.
2. La corriente liberal concede a este funcionario
amplias facultades para obtener evidencia de
delitos cometidos o por cometerse
 Agente encubierto para propósitos de vigilancia es aquel que recopila
información de delitos cometidos o por cometerse.

 Agentes encubierto para propósitos de prevención es aquel que actúa

para evitar que una actividad delictiva ocurra o al menos procura que
su comisión sea más difícil.

 Agente encubierto para propósitos de facilitación es aquel que facilita

la comisión de un delito. En este caso el agente encubierto participa,
provee bienes económicos u otros recursos al sospechoso para que
este pueda cometer el acto criminal. Las actuaciones de este tipo de
agentes deben ser bien definidas ya que las mismas no pueden
constituir “una manifiesta provocación al delito.”
 Limites: Artículo 71 (2) (e) del CPP que prohíbe

 “técnicas o métodos que induzcan o alteren su

libre voluntad.”

 no es lo mismo cuando un agente encubierto

invita a un inocente incauto o a un criminal
incauto a cometer un delito. [Sherman v. United
States, 356 U.S. 369 (1958)]
 Limites: El agente encubierto estará exento de
responsabilidad penal por aquellas actuaciones
que sean consecuencia necesaria del desarrollo
de la investigación, siempre que guarden la
debida proporcionalidad con la finalidad de la
misma y no constituyan una manifiesta
provocación al delito.” Artículo 341 CPP
 Artículo 341 (1) del CPP:

 Le corresponde al Fiscal autorizar que un miembro

de la Policía actué como agente encubierto.

 El fiscal debe establecer la necesidad, el propósito

de la investigación y las actividades que podrá llevar
a cabo el agente.
 Artículo 341 (1) del CPP:

 Designación se hace por un periodo de seis

meses

 Prorrogable por periodos adicionales de igual

duración
 Requisitos: El Artículo 341 CPP establece como
requisito general para la utilización de la técnica del
agente encubierto la existencia de indicios de
actividad criminal organizada.
 Ej.:
1. información periodística fundamentada
2. información anónima coherente y precisa
 Requisitos: Artículo 23 (a) del Reglamento de
Circulación y Entrega Vigilada Bienes Delictivos y
Agente Encubierto:

 requiere la existencia de “indicios razonables de

la comisión de un delito vinculado a la
criminalidad organizada.”
 Actividad criminal organizada:

 Artículo 317 del Código Penal establece

que una agrupación ilícita es el “que
forma parte de una agrupación de dos o
más personas destinada a cometer
delitos.”
 En los casos de corrupción la función del agente
encubierto es infiltrarse en la institución
gubernamental o en el ente privado del que se
sospecha.
1. Ejecutivo
2. Legislativo
3. Judicial
 Infiltración del Agente Encubierto:

1. Como un funcionario más en una oficina

gubernamental que le permita obtener
información y evidencia de primera mano.

2. Como empresario y pagar la cuantía que exige

el funcionario corrupto a cambio de sus
servicios.
 Las investigaciones de corrupción generalmente tienen
impacto público particularmente cuando se trata de:

 oficiales de gobierno de primer nivel,

 candidatos políticos,
 miembros del cuerpo legislativo y
 miembros de la judicatura.

 oficiales de gobiernos extranjeros,

 organizaciones religiosas,
 partidos políticos
 medios de prensa.
 Antes de iniciar una operación encubierta que
pudiera tener mucho impacto público se debe
determinar si existe una buena probabilidad de
que los actos criminales que justifican la
investigación se están cometiendo o van a
cometerse.
 Utilización de fondos públicos en operaciones
encubiertas

 Establecer límites a las cantidades de dinero que

puede utilizar el encubierto.

 Cuando el encubierto facilita fondos para la

comisión del delito se le abre la puerta al acusado
para que plantee como defensa que fue provocado
impropiamente por el agente.
 Supervisión de las Operaciones Encubiertas

 El Artículo 341 (3) del CPP:

 “La información que vaya obteniendo el agente encubierto

deberá ser puesta a la mayor brevedad posible en
conocimiento del Fiscal y de sus superiores. Dicha
información deberá aportarse al proceso en su integridad y
se valorará como corresponde por el órgano jurisdiccional
competente.”
 Artículo 472 del CPP:
 Faculta al Ministerio Público a celebrar acuerdos con
personas que se encuentren o no sometidas a un proceso
penal, así como con quien ha sido sentenciado, para que
proporcionen información eficaz.

 Solo puede formalizarse el acuerdo cuando la persona ha

abandonado voluntariamente sus actividades delictivas.
 Artículo 473 del CPP-Fiscal puede realizar acuerdos de colaboración
eficaz en los siguientes delitos:
 a) Asociación ilícita, terrorismo, lavado de activos, contra la humanidad;
 b) Secuestro agravado, robo agravado, abigeato agravado, así como
delitos monetarios y tráfico ilícito de drogas, siempre que en todos estos
casos el agente actúe en calidad de integrante de una organización
delictiva.
 c) Concusión, peculado, corrupción de funcionarios, tributarios, aduaneros
contra la fe pública y contra el orden migratorio, siempre que el delito sea
cometido en concierto por una pluralidad de personas.
 Testimonio del colaborador:Art. 158 [2] del CPP:
 “los supuestos de testigos de referencia,
declaración de arrepentidos o colaboradores y
situaciones análogas, sólo con otras pruebas
que corroboren sus testimonios se podrá
imponer al imputado una medida coercitiva o
dictar en su contra sentencia condenatoria.”
 la declaración de un colaborador puede ser
valorada si la misma es debidamente
corroborada con otras pruebas.
 Necesidad de que el colaborador declare en las
audiencias para que se valore su testimonio.
 Esta condición debería incluirse en el convenio.
 Los informantes
 Incorporación del informante como testigo

 Artículo 163 (3) del CPP

 “El testigo policía, militar o miembro de los sistemas de
inteligencia del Estado no puede ser obligado a revelar los
nombres de sus informantes. Si los informantes no son
interrogados como testigos, las informaciones dadas por
ellos no podrán ser recibidas ni utilizadas.”
 Los informantes

 Los informantes son individuos que pudieran

estar o no involucrados en los actos criminales
que son investigados por las autoridades.

 La información de primera mano que proveen

sobre las actividades delictivas en proceso puede
resultar relevante en materia de corrupción.
 Los informantes

 Podría negociarse con ellos un convenio de

colaboración eficaz al terminar su participación en
la actividad delictiva.

 Su presentación como testigos depende de que

estén dispuestos a declarar en contra del
sospechoso.
 No se limita a las llamadas telefónicas
 Incluye:
1. Los mensajes de texto
2. Correos electrónicos
3. Redes Sociales
 Artículo 230 del CPP:
 faculta que el Fiscal le solicite al Juez de la
Investigación Preparatoria la intervención de
comunicaciones telefónicas, radiales y de otras
formas de comunicación.
 plazo de hasta treinta días, prorrogable por
plazos sucesivos.
 La intervención de comunicaciones está limitada
a la investigación de delitos sancionados con
pena superior a los cuatro años de privación de
libertad.
 La solicitud del Fiscal debe estar fundamentada
con suficientes elementos de convicción, es decir,
debe establecerse que probablemente se
obtendrá información de delitos cometidos o por
cometerse.
 la autorización solicitada debe describir la
naturaleza de las conversaciones a grabarse;
 se debe identificar a las personas cuyas
comunicaciones se van a interceptar;
 se debe identificar la forma de la intervención y la
autoridad o el funcionario que se encargará de la
diligencia de intervención, grabación o registro.
 La intervención será registrada mediante su
grabación magnetofónica u otros medios técnicos
análogos y transcribirse. (Art. 231 CPP).
 Si la grabación o la transcripción escrita de la misma
se va a presentar como prueba en el juicio, el Fiscal
debe presentar prueba o acreditar la identificación
de las voces que surgen en la grabación.
 se debe identificar la forma de la intervención y la
autoridad o el funcionario que se encargará de la
diligencia de interceptación, grabación o registro;
 La intervención será registrada mediante su
grabación magnetofónica u otros medios técnicos
análogos y transcribirse. (Art. 231 CPP).
 Si la grabación o la transcripción escrita de la misma
se va a presentar como prueba en el juicio, el Fiscal
debe presentar prueba que autentique o identifique
las voces que surgen en la grabación.
 Los mensajes de texto son importantes en las
investigaciones encubiertas. Por ejemplo:
1. un agente encubierto podría estar correspondiendo
con la persona objeto de la investigación a través de
mensajes de texto.
2. una persona investigada podría solicitar un soborno a
o darle información delictiva un agente encubierto
por medio de mensajes de texto.
 Estos mensajes se pueden presentar como
prueba que corrobora o establece la comisión de
delito.
 John Otha Dickens v. State of Maryland 175 Md.
App. 231 (2007)
 Un sujeto acusado de asesinato fue encontrado
culpable luego de que se autenticaran mensajes
de texto que el acusado le envió a la víctima. Esta
prueba fue relevante para probar la intención
para cometer del asesinato.
 El mensaje de texto se autentica presentando la
unidad celular que origina y/o recibe el mensaje.
Para lograr esto es necesario haber incautado la
unidad celular o que una de las personas que
participa de la investigación provea la unidad
voluntariamente.
 Ian J. Clark v. State of Indiana 915 N.E.2d 126

 Un hombre es acusado de asesinar a una niña.

 Clark testificó en corte que los actos que le

causaron la muerte a la niña fueron
negligentes en vez de intencionales y que en
todo caso este debía ser acusado de homicidio
y no de asesinato.
 La fiscalía utilizó declaraciones hechas por el
acusado en MySpace sobre su persona.

 El acusado alegó que bajo las leyes de

evidencia del estado de Indiana las
declaraciones hechas en MySpace no eran
admisibles para probar su carácter violento.
 El Tribunal Supremo de Indiana concluyó que las
declaraciones hechas en MySpace eran
admisibles en el juicio ya que el carácter del
acusado se había convertido en un asunto en
discusión.
 La prueba de carácter había sido presentada por
primera vez por el propio acusado.
 La video-vigilancia se justifica cuando ocurran las
siguientes circunstancias:
 que los otros métodos tradicionales para adquirir
evidencia han fallado;
 que de tratarse los métodos tradicionales de
investigación estos no darán resultados;
 que tratar los métodos tradicionales de investigación
resulta peligroso.
 Tipos de vigilancia electrónica:

1. Espacios públicos: el individuo objeto

de una investigación es grabado por
video o audio en un lugar público.
a. establecimiento comercial;
b. un parque;
c. cualquier otro donde existe poca o
ninguna expectativa de privacidad.
2. Espacio privado: hogar
 Artículo 207 CPP:
“requerirá autorización judicial cuando
estos medios técnicos de investigación se
realicen en el interior de inmuebles o
lugares cerrados.”
El Fiscal deberá exponer en la solicitud de
autorización judicial los fundamentos que
justifiquen la video-vigilancia.
 Artículo 207 del CPP (inciso 5) dispone que para
la utilización de la video-vigilancia como prueba
en el juicio, rige el procedimiento de control
previsto para la intervención de comunicaciones.
 Incluye las computadoras (en particular los discos
duros),
 Los teléfonos celulares,
 Las tarjetas de memoria,
 Los dispositivos de memoria USB,
 Los discos duros portátiles,
 Cds. y Dvds
 Métodos anteriores de almacenaje alguna
utilidad hoy.

 Cintas magnéticas
 Diskettes
 Discos Zip
 El desarrollo actual de la tecnología se dirige a
sistemas análogos, a las tarjetas de memoria y
las memorias USB que no incluye partes en
movimiento.

 Se incluyen además, los discos duros

denominados “solid state”
Disco duro tradicional Disco duro basado en
tecnología “Solid State”
 toda extracción de información debe
hacerse utilizando una copia del
disco original para evitar alterarlo o
dañarlo.
 Existen unos principios forenses mínimos a
seguir cuando se maneja evidencia digital:

1. Todo personal que maneja la evidencia digital tiene

que estar entrenada;
2. El proceso de incautación, examen y transferencia de
la evidencia digital debe ser documentada.

3. El proceso, manejo y examen de la evidencia digital

no debe afectar la integridad del equipo y la
información que contienen estos.
4. Los técnicos o peritos que obtengan la evidencia
digital deben utilizar programas (“software”) y
aplicaciones obtenidos legalmente. La integridad y
credibilidad de una investigación podría afectarse si
el defensor logra demostrar que se utilizaron equipos
con programas (“software”) y aplicaciones adquiridos
clandestinamente.
 La recopilación de evidencia digital requiere que
se haga un examen preliminar sobre la
expectativa de privacidad que pueda tener el
individuo objeto de la investigación,

 El fiscal debe solicitar autorización judicial

cuando la persona tenga expectativas de
privacidad sobre la evidencia.
 Los encargados de examinar la evidencia deben
reportar con precisión los hallazgos.

1. Identificar el personal que examina la evidencia. Estas

personas deben ser las que firmen el documento donde
se reporten los hallazgos.
2. Deben consultar con el fiscal o el investigador a cargo
los objetivos de la investigación y que cosas específicas
están buscando. Los examinadores deben mantener
anotaciones de sus consultas.
3. Mantener anotaciones del proceso de cadena de
custodia o seguir la guía fijada por las autoridades, de
existir alguna.
4. Mantener anotaciones del proceso de examen de la
evidencia que permita poder reproducir el
procedimiento.
5. Mantener anotaciones sobre los procesos realizados al
examinar la evidencia. Estas anotaciones deben incluir
fecha y hora de los exámenes realizados.
6. Documentar cualquier irregularidad encontrada al
examinar la evidencia.
7. Documentar la información obtenida relacionada a
los usuarios de las computadoras y las contraseñas
de acceso. Además, documentar la información
relacionada a la titularidad del sistema o base de
datos al registro de programas y otros servicios.
8. Documentar cualquier cambio hecho en el sistema
en la base de datos ordenados por los investigadores.
9. Documentar cualquier medida que se tome para
recuperar archivos o documentos borrados del
sistema.
10. Documentar la evidencia encontrada que pueda
relacionar al sujeto objeto de la investigación con los
actos delictivos.
 Los hallazgos del examen realizado deben estar
contenidos en un informe que muestre:
1. la fecha de comienzo y
2. terminación de la investigación.
 Además este informe debe contener un detalle
de los procedimientos mencionados
anteriormente incluyendo resultados y
conclusiones.
 Las autoridades deben manejar la evidencia
digital de la siguiente forma:
1. reconocer, identificar, ocupar y asegurar la evidencia
digital;
2. documentar donde se encontraba la evidencia digital
en la escena;
3. preparar la evidencia digital de manera que su
transportación sea segura.
1. La extracción física permite identificar y extraer
información del disco duro sin utilizar o tomar en
consideración el sistema operativo o los archivos.

2. La extracción lógica que permite identificar y extraer

archivos y datos utilizando el sistema operativo
instalado.
 La extracción física de datos del disco duro de
una computadora se puede producir de una
forma directa sin tomar en consideración los
sistemas de archivos que esta contiene.

 Este método también se puede utilizar con otros

equipos electrónicos como teléfonos celulares.
1. Realizar una búsqueda de palabras claves a través en
el disco duro. Este proceso permite al examinador
extraer información que no se puede encontrar a
través del sistema operativo o el sistema de archivos.
2. La “técnica de file carving” permite recuperar
información del disco duro de una computadora que
haya sido borrada o se haya dañado.
3. Examinar la partición del disco para determinar si el
tamaño de este coincide con la cantidad de data
almacenada.
 El sistema de extracción física
requiere la utilización de ‘software’
diseñado para localizar la evidencia.
 La extracción lógica permite recuperar
información de un disco duro de una
computadora utilizando el sistema de archivos
del sistema operativo.

 Este método también se puede utilizar con otros

equipos electrónicos como teléfonos celulares.
 Esta forma de examen del disco duro incluye la
información contenida en archivos activos,
archivos borrados, remanentes de información
(“file slack”) y espacio de archivos sin asignar.
 la extracción de la información del sistema de
archivos para determinar los atributos de estos
archivos que incluyen entre otras cosas:
1) nombres de los archivos,
2) fecha y hora en la que los archivos fueron creados,
3) la estructura de directorios,
4) tamaño de los archivos y
5) ubicación de los archivos.
 Extracción de archivos pertinentes a la
investigación. La extracción puede basarse en el
nombre de archivo y extensión, el encabezamiento
del archivo, contenido de archivo y ubicación en el
disco duro.
 Recuperación de archivos borrados.
 Extracción de archivos protegidos con contraseña,
encriptados y archivos comprimidos.
 Extracción de remanentes de información (file
slack) del archivo.
Los remanentes de información o ‘file slack’ son
conglomerados de información (data clusters)
enviados al azar a la memoria de la computadora. Por
tanto es posible que se pueda identificar nombres,
contraseñas, remanentes de documentos y otra
información pertinente a la investigación aunque no
exista el archivo por que este fue borrado.
 Extracción de información en los espacios sin
asignar del disco duro.
 Investigación preliminar

 Examinar de forma comprensiva la evidencia

 Demostrar quien a tenido acceso a la
computadora o equipo electrónico
 Determinar antes de la audiencia la importancia
del testimonio del perito
 Posible información revelada por el examen
forense:

 Historial de uso del internet

Ej. Correo electrónico, redes sociales
 Información sobre el acceso y salida de una
computadora
 Información del proveedor de servicio de internet
 En la audiencia

 No presuma que el juzgador sabe tanto como

usted
 Defina los términos técnicos
 Si el perito declara procure que este los defina
 Testimonio del perito debe ayudar al juzgador a
entender la relevancia de la evidencia
encontrada y su pertinencia en el caso.

 El fiscal debe procurar que el perito explique de

forma simple y entendible los aspectos técnicos
 El fiscal debe preparar al perito para la
comparecencia. Debe estar listo para declarar
sobre:
1. Cualificaciones
2. Método de adquirir la evidencia
3. Su opinión sobre el contenido de la evidencia y su
relación con el acusado
4. Las razones de su conclusión.
1. Revisar los metadatos del sistema de archivo
para determinar la fecha y hora de cuando un
archivo o documento fue:
 - creado;
 - modificado por última vez;
 - visto o utilizado;
 Este análisis permite conectar archivos o documentos
con el tiempo donde se presume ocurrieron los actos
delictivos.
2. revisar las bitácoras del sistema y las
aplicaciones presentes. Este análisis permite
acceder a la información contenida en las
bitácoras de seguridad, las bitácoras de
conexión a la red y bitácoras de instalación de
programas y aplicaciones entre otros. Por
ejemplo, al examinar una bitácora de seguridad
podría encontrarse información de cuando se
utilizó una combinación de nombre de usuario y
contraseña para iniciar la sesión en un equipo.
 ¿ Que son metadatos?

 Contestación simple:
Metadato es información de la información

 Metadato es información sobre el contenido de

un archivo o documento
 Nombre del
Documento

 Tipo de documento

 Localización (en el
disco duro)
 Tamaño

 Creación

 Modificación
 Autor

 Ultima vez grabado

 Ultima vez imprimido

 Búsqueda de Información oculta

 La información puede ocultarse en una

computadora o cualquier sistema informático.
Realizar una búsqueda y análisis de la información
oculta resulta útil para detectar elementos de la
conducta criminal como lo son el conocimiento de
unos hechos o la intención para cometer delito.
 - establecer una correlación entre los nombres de los
archivos y el tipo de archivo (ej. .doc, .jpeg entre
otros) e identificar cualquier discrepancia. Si se
encuentran nombres de archivos que no concuerdan
pudiera indicar que el usuario intencionalmente
oculta información.
 - acceder a todos los archivos protegidos con
contraseña;
 - acceder a todos los archivos encriptados y
comprimidos, ya que el manejo de estos puede
indicar un intento de ocultar los información de los
usuarios. Una contraseña puede ser tan relevante
como el contenido del archivo.
 Host-Protected Area (HPA)
 Esto forma parte de la programación de una
computadora.
 Las compañías manufactureras de computadoras
instalan el HPA con el fin de instalar programación
que permitan diagnosticar problemas en el
sistema
 Este tipo de espacio no es visible en los análisis
iniciales de un disco duro
 La evidencia digital es un campo del derecho
relativamente nuevo.

 La evidencia digital tiene que ajustarse los

cambios tecnológicos.

 La importancia de la evidencia digital se puede

apreciar con mayor frecuencia.
 Zubulake v. UBS Warburg LLC – Caso civil
 Laura Zubulake era empleada de Union Bank of
Switzerland (UBS)
 UBS despide a Zubulake
 Zubulake demanda a UBS por:
1. despido por razón de genero
2. no ser promovida de puesto a base de los años de
servicio
3. represalias de la empresa hacia ella.
 Zubulake alegó que UBS mantenía copia de los
correos electrónicos entre ella y su supervisor.
 La jueza a cargo del caso autorizó a Zubulake a
buscar en algunos de los bancos de datos de UBS
aquellos correos electrónicos que contenía la
evidencia del discrimen por razón de genero.
 Zubulake tuvo que pagar por esta búsqueda
inicial en los bancos de datos.
 Zubulake obtuvo mas de 450 páginas de
comunicaciones (emails) entre ella y su
supervisor.
 UBS alegaba que solo había podido producir
unas 100 páginas de comunicaciones.
 A pesar del litigio pendiente, durante el proceso
de recuperación de los correos electrónicos UBS
alegó que se habían perdidos algunos de los
bancos de datos por que los habían borrado.
 La jueza impartió instrucciones al jurado para
que infirieran (adverse inference) que UBS
destruyó la información en los bancos de datos
para impedir a Zubulake demostrar su caso.
 Resultado:

 El jurado federal le concedió a Zubulake:

 $20.1 millones de dólares por concepto de daños

punitivos (que incluye la penalidad a UBS por borrar
la información en los bancos de datos) y

 $9.1 millones por concepto de compensación por los

daños ocasionados a consecuencia del despido.
 United States v. Souksakhone Phaknikone, 605
F.3d 1099. Decisión del onceavo circuito de
apelaciones (Georgia)
 Evidencia del carácter de un sujeto acusado de
cometer robo a bancos y posesión ilegal de
armas
 Tenía en el perfil de su pagina de Myspace
fotos portando varias armas de fuego.
 El Tribunal de apelaciones determinó que erró
el tribunal de primera instancia al aceptar como
evidencia la pagina de MySpace
 El Tribunal de apelaciones concluyó que la
evidencia era inflamatoria y que solo pretendía
mostrar su mal carácter
 Un individuo fue acusado matar a una mujer
embarazada.

 El individuo no quería que la mujer revelara que

el hijo que esperaba era de él.

 El caso se probó con evidencia circunstancial.

 El acusado había enviado una serie de mensajes
de texto que fueron autenticados por su
cómplice quien lo ayudó a disponer del cadáver y
que revelaban que el no quería el bebe y que le
haría daño a la madre.
 La voz del individuo también fue reconocida en
unos mensajes de voz amenazantes que le dejó a
la victima en su teléfono celular días antes de
asesinarla.
 Esteganografía
 Técnica de ocultar mensajes dentro de otro
mensaje de apariencia insignificante.
 Aunque es una técnica antigua con la llegada de
la era digital a proliferado su uso.
 Actualmente se oculta información en medios
digitales que parecen inofensivos tales como:
1. En música (en formato digital);
2. correos electrónico;
3. películas.
 Según el departamento de justicia de los
Estados Unidos los elementos criminales
también ocultan la información en lugares
inocuos y que no llaman la atención del
investigador. Un ejemplo de esto es el correo
basura (spam o junk mail).

 Actualmente existen programas y algoritmos

esteganograficos que permiten ocultar
información
 Según el Instituto Nacional de Justicia de los
Estados Unidos el uso que mas se reporta de la
esteganografía es en casos de pornografía
infantil. Sin embargo también se ha utilizado en
casos relacionados a fraude y actos de
terrorismo.
 El uso de la esteganografia a estado relacionado
a investigaciones recientes en los Estados
Unidos.
 El caso de los espías rusos de 2010 en el cual estuvo
involucrada la periodista peruana Vicky Peláez se
logró en gran medida por el uso de métodos que
permitieron descifrar mensajes ocultados a través
del proceso de esteganografía.

 United States of America -v.- Anna Chapman, and

Mikhail Semenko
 United States of America -v.- …Defendant #8,
a/k/a "Juan Lázaro," and Vicky Peláez
 “Once the two laptop computers are both on the private wireless network,
they can communicate with each other by exchanging data. The data can be
encrypted so that it can only be read with the aid of specialized decryption
software, similar to that used to decrypt messages hidden through
steganography, as described in the Complaint attached hereto.” United
States of America v. Anna Chapman and Mikhail Semenko pág. 4-5

 Traducción:
Una vez las dos computadoras laptop se encontraban en el
network privado ellos (refiriéndose a los acusados), se
podían comunicar unos con otros intercambiando
información. La información podía ser encriptada para que
solo pudiera ser leída con un programa (software)
especializado para descifrar, similar a aquellos utilizados
para descifrar mensajes ocultados a través de la
esteganografía, como descrito en la querella adjunta.
 Actualmente el Instituto Nacional de Justicia
de los Estados Unidos financia el desarrollo de
nuevos métodos que permitan detectar el uso
de esteganografía en las actividades
criminales.
 Este tipo de información le permite al fiscal o al examinador
conocer si tienen que hacer indagaciones adicionales para
recopilar evidencia. Algunos ejemplos incluyen:
 examinar el contenido de los archivos
 examinar la configuración hecha por un usuario en particular
 establecer una correlación entre los archivos y la bitácora de
navegación en el internet. Un ejemplo de esto es la utilización
de un servicio de correos electrónicos comercial como Hotmail y
Gmail y descargar la información de estos a un programa
(‘software’) de manejo de mensajes como Outlook.
 determinar si algún archivo no identificado es útil para la
investigación
 determinar si se han hecho particiones de un disco para ubicar
información en estas;
 establecer una correlación de un archivo y la aplicación o programa
‘software’ instalado. Por ejemplo puede surgir en una investigación
que un sujeto investigado tiene una aplicación o un programa
‘software’ que le permita manejar las cuentas bancarias en su
computadora. Además en la computadora se encuentran documentos
donde se detalla la solicitud de dinero. A su vez en el mismo equipo se
accedió a una cuenta de correo electrónico por el cual se solicitó la
coima. El fiscal podría demostrar la comisión de delito a través de la
presentación en evidencia de la bitácora de uso del documento
preparado, el acceso a la cuenta bancaria y la utilización del correo
electrónico.
 analizar los metadatos de los archivos creados por el usuario que
normalmente se ven a través de la aplicación que los creó. Por
ejemplo, los documentos creados con aplicaciones o programas
‘software’ de procesamiento de palabras pueden incluir la autoría,
tiempo de la última edición, número de veces editado, y donde se
imprime o se guarda.
 En la mayoría de los casos es esencial para una
investigación identificar a los individuos que han
creado, modificado, o accedido a un archivo o
aplicación. También es importante en la
investigación determinar quién es el dueño o
poseedor de determinado equipo, aplicación o
programa de computadora. Es posible que el
fiscal y el examinador tengan que realizar un
análisis más exhaustivo con el fin de poder
establecer:
 que un individuo utilizó una computadora o
cualquier otro equipo en una fecha específica
para determinar el elemento propietario o
posesorio.
 que un usuario debidamente identificado creó un
archivo relacionado con la investigación que está
almacenado en un lugar no tradicional del
sistema.
 que se ocultan documentos, archivos u otra
información que le permitan al fiscal establecer
que hubo un intento deliberado para evitar la
detección;
 que la utilización de nombre de usuario y
contraseñas para lograr acceso a una
computadora o a los archivos encriptados y
protegidos pueden indicar posesión o propiedad.
 El perito en materia de evidencia digital

 El testimonio de un perito puede ser importante en
la audiencia de los casos de corrupción. La
participación del perito es particularmente necesaria
cuando haya una controversia valida sobre cómo se
manejó el equipo o la información que este contenía.
El testimonio pericial también es importante cuando
se pretende probar la intención de un acusado de
ocultar la información.
 En muchas ocasiones se puede utilizar un testigo no
perito pero con conocimiento personal sobre un
aspecto particular relacionado al contenido del
equipo incautado. Basta que el testigo demuestre
que tiene conocimiento de la localización de la
evidencia digital por que la ha manejado en el curso
de sus funciones. Por ejemplo una secretaria puede
declarar sobre un correo electrónico que ella observó
entre los documentos de su jefe donde este solicita
la “coima”. Inclusive, ella podría declarar que envió
correo electrónico por órdenes de su patrono.
 Al igual que con cualquier otro caso, el fiscal debe
reunirse con el perito para indicarle el tipo de
información que interesa buscar y requerirle que una
vez localizada la misma que detalle en su informe
donde se encontraba. En casos donde la evidencia
digital es trascendental, el análisis pericial no solo
debe ser concluyente sino que además, todos los
asuntos significativos sobre el trabajo que realizó el
perito deben estar comprendidos en el informe.
Inclusive el fiscal debe consultar con el perito en la
etapa investigativa sobre la confiabilidad de sus
determinaciones periciales sobre la evidencia digital
que obtuvo del equipo.
 El fiscal debe asegurarse que el perito o testigo
tenga conocimiento de las reglas procesales que
gobiernan su declaración en la audiencia y que la
defensa del acusado intentará minar la
confiabilidad y la integridad del proceso
investigativo. Debe asegurarse que el perito
pueda responder y defender satisfactoriamente
sus determinaciones en los asuntos neurálgicos
del caso.
 Las siguientes interrogantes presentan de forma
general algunas consideraciones que el Fiscal debe
acreditar en su interrogatorio directo:

 ¿Dónde estaba la evidencia cuando fue recopilada?

 En adición a esta pregunta se puede ser más
específico y preguntar: ¿en que habitación se encontró
el equipo?
 ¿En qué tipo de equipo se encontró la evidencia
digital? ¿En una computadora? ¿En un en un teléfono
celular? ¿En una memoria USB?
 ¿Quién era el dueño del equipo?
 ¿La información estaba protegida por una contraseña?
 ¿Quién tenía acceso a la información protegida por la
contraseña? A base de esta pregunta se pueden añadir
otras como: ¿el equipo tenía un solo usuario? ¿El usuario
protegía el acceso con una contraseña? ¿el sistema
operativo o la aplicación (software) identifica que lo
usaban más de una persona?
 ¿El equipo del cual se obtuvo la información pertenecía
a una red (network)?
 ¿Había otros equipos donde se almacenaba información
como por ejemplo discos duros externos o servidores?
 La cooperación internacional para la investigación
de delitos de corrupción está regida por varios
tratados y convenciones entre los que cabe
destacar:
 la Convención Interamericana contra la Corrupción;

 la Convención de las Naciones Unidas contra la

Corrupción.
 La Convención Interamericana contra la Corrupción:
 Artículo XIV:
 “1. Los Estados Partes se prestarán la más amplia
asistencia recíproca, de conformidad con sus leyes y los
tratados aplicables, dando curso a las solicitudes
emanadas de las autoridades que, de acuerdo con su
derecho interno, tengan facultades para la investigación o
juzgamiento de los actos de corrupción descritos en la
presente Convención, a los fines de la obtención de
pruebas y la realización de otros actos necesarios para
facilitar los procesos y actuaciones referentes a la
investigación o juzgamiento de actos de corrupción.”
 Artículo XV
 “1. De acuerdo con las legislaciones nacionales
aplicables y los tratados pertinentes u otros
acuerdos que puedan estar en vigencia entre ellos,
los Estados Partes se prestarán mutuamente la más
amplia asistencia posible en la identificación, el
rastreo, la inmovilización, la confiscación y el
decomiso de bienes obtenidos o derivados de la
comisión de los delitos tipificados de conformidad
con la presente Convención, de los bienes utilizados
en dicha comisión o del producto de dichos bienes.”
 Convención de las Naciones Unidas contra la Corrupción
 Artículo 50:
 1. A fin de combatir eficazmente la corrupción, cada Estado
Parte, en la medida en que lo permitan los principios
fundamentales de su ordenamiento jurídico interno y
conforme a las condiciones prescritas por su derecho
interno, adoptará las medidas que sean necesarias, dentro
de sus posibilidades, para prever el adecuado recurso, por
sus autoridades competentes en su territorio, a la entrega
vigilada y, cuando lo considere apropiado, a otras técnicas
especiales de investigación como la vigilancia electrónica o
de otra índole y las operaciones encubiertas, así como para
permitir la admisibilidad de las pruebas derivadas de esas
técnicas en sus tribunales.