La prueba digital es aquella que se obtiene de la información que se encuentra almacenada en

los diferentes dispositivos o “devices”, estos requieren de electricidad –siendo este el vehículo
de la información- y utiliza la informática –como traducción del lenguaje informático-. Sus
principales características son su intangibilidad (no aprehensible ni aproximable), latencia (no
apreciable a través de los sentidos requiriendo a la electricidad y a la informática para poder
ser interpretado, y estar almacenado en un dispositivo), es altamente duplicable, es volátil
(fácilmente alterable) y transfronteriza (transmisión en cuestión de segundos).

La prueba digital no se encuentra actualmente regulada a nivel procesal, desembocando en la

problemática de aplicación analógica de los métodos utilizados para las pruebas corpóreas
afectándose garantías que deben ser resguardadas en un proceso judicial, tales como la
defensa en juicio y el principio de reserva, entre otros.

Es por lo anteriormente señalado que se recomienda proceder de la siguiente forma para

preconstituir prueba digital:

CORREOS ELECTRONICOS:

Consta de una preconstitución física y una electrónica.

En primer lugar la preconstitución física se desenvuelve de la siguiente manera: se solicita la

presencia de un perito informático (un especializado en materia informática tal como un
licenciado en sistemas) y un escribano público. El titular de la cuenta mail debe dar acceso por
sí mismo al perito respecto de su cuenta en presencia de ambos profesionales (otorgándole la
contraseña se evita que el perito incurra en el art 153 CP). Se señala cual es el email sobre el
cual se desea preconstituir la prueba y procede a imprimirlo, en esa misma impresión el perito
firma dando fe de lo ocurrido, convirtiéndolo así en un acto público dando fe de todo lo que
vio y sucedió delante de él como funcionario.

En cuanto a la preconstitución en su faz electrónica: se solicita la presencia del perito

informático y del escribano público (me remito a las especificaciones anteriores por cuestiones
de repetitividad), se da acceso al perito al mail; individualizo al perito el mail sobre el cual se
preconstituirá prueba y el perito puede exportar la conversación desde el correo al disco rígido
de la PC desde la cual se trabaja, o puede realizar una captura de pantalla.

Realizado esto, se copia en un DVD no multifunción, no regrabable y se le aplican 2 códigos de

encriptación HASH que detectará posibles alteraciones en el contenido, uno de ellos refiere a
un Código de Integridad de Mensaje y el otro es un Código de detección de manipulación
(HASH -> MD5 y SASH1 los más populares). Se aporta entonces en conjunto el DVD con la
copia/impresión firmada por el perito y el escribano, dando este último fe de lo sucedido.

Se entregan ambos documentos, el de preconstitución física y de preconstitución electrónica.

CELULAR:

Se procede en primer lugar a verificar el dispositivo y se realiza mediante un software forense.

Durante el proceso de verificación: se inicia a filmar el procedimiento desde el momento en
que se presentan el escribano y el perito forense informático, identificándolos en cámara hasta
que finalice el proceso de descarga de información realizada por el perito especializado. Se le
solicita a quien preconstituirá prueba que muestre el número de IMEI del celular en pantalla
para poder identificar el dispositivo sobre el cual se llevará a cabo el peritaje. El número IMEI
corre con la semejanza de un DNI del dispositivo en cuestión el cual se obtiene marcando
*#06#.

Se da acceso entonces al perito, colocando la clave, patrón biométrico o password que el

dispositivo pueda poseer; se conecta con USB a la computadora del perito sincronizándose así
la información que se quiere extrae del mismo, individualizándola el particular.

Se copia toda la información a una carpeta en el ordenador desde el cual se opera. Se

recomienda que si es una imagen, mensaje de texto o conversación vía chat, se haga una
captura de pantalla. Todo esto se procede a copiar en un DVD no multifunción, no regrabable y
se le aplican 2 códigos de encriptación HASH que detectará posibles alteraciones en el
contenido, uno de ellos refiere a un Código de Integridad de Mensaje y el otro es un Código de
detección de manipulación (HASH -> MD5 y SASH1 los más populares). Se realizan 3 copias en
total, todas encriptadas con los códigos HASH.

Se sugiere que al finalizar la grabación el escribano público firme y labre un acta del
procedimiento de preconstitución de prueba

Cabe destacar que para la realización del peritaje en smartphones, se utilizan softwares
forenses (el Software Cellebrite-UFED es aquel que permite la realización del análisis forense
en una gran variedad de teléfonos celulares respecto de los modelos existentes en el mercado
internacional incluso aquellos de origen chino), que realizan una copia bit a bit de toda la
información del celular, trabajando el perito sobre la copia para evitar alterar la prueba y
analizando al misma. En el proceso de copiado, se copia tanto los espacios llenos como vacíos
del dispositivo para recuperar cosas que pudieron haber sido borradas y hayan quedado
almacenadas en dicho espacio.

Se realiza una búsqueda pericial, extrayéndose lo necesario. A esto obtenido se lo encripta con
códigos HASH para evitar detectar si fue alterado posteriormente, aportándose en
conjuntamente con el DVD mencionado anteriormente con más el programa forense, es aquí
cuando se deja de filmar.

IMÁGENES

Consta de dos etapas, una preconstitución física y una digital:

En cuanto a la preconstitución física: Se solicita la presencia de un perito informático (un

especializado en materia informática tal como un licenciado en sistemas) y un escribano
público. El titular del dispositivo debe acceder a su equipo en presencia del escribano público y
debe así darle acceso al licenciado en sistemas.

El perito imprime las imágenes digitales, las impresiones en papel deben firmarse por el
escribano público otorgando fe pública de que el contenido es idéntico al que visualiza en
pantalla.
En cuanto a la preconstitución digital: Se solicita la presencia de un perito informático (un
especializado en materia informática tal como un licenciado en sistemas) y un escribano
público. El titular del dispositivo debe acceder a su equipo en presencia del escribano público y
debe así darle acceso al licenciado en sistemas.

Se obtienen imágenes que desea preservar, se las graba en un DVD no multifunción, no

regrabable y se le aplican 2 códigos HASH a los efectos de demostrar a futuro la inalterabilidad
e integridad de la prueba digital. Los códigos HASH más aplicados son el MD5 y el SASH1.

REDES SOCIALES

Consta de dos etapas para su realización, la primera física y la segunda digital.

En primer lugar la preconstitución física: se filma desde el inicio y en todo momento, se

identifica al escribano público y al perito forense informático en cámara. La filmación finalizara
una vez que la descarga de la información haya sido realizada por el perito forense.

El titular del dispositivo debe acceder a su equipo en presencia del escribano público y del
perito. Una vez que haya accedido, deberá ingresar a la red social de la cual se desea obtener
la preconstitución de prueba con su clave, otorgándole acceso al perito a la red en cuestión.
Luego el perito deberá imprimir en papel las distintas pantallas de la red social plasmando las
imágenes o archivos que quiere probar, siendo estas firmadas por el Escribano Público dando
fe de lo que ve en la pantalla es lo mismo que se imprimió en papel dando fe pública de ello.

Una vez finalizado, se deja de grabar y se sugiere que el escribano firme la grabación y labre un
acta del procedimiento de preconstitución de prueba.

En el caso de la preconstitución digital: se filma desde el inicio y en todo momento, se

identifica al escribano público y al perito forense informático en cámara. La filmación finalizara
una vez que la descarga de la información haya sido realizada por el perito forense.

El titular del dispositivo debe acceder a su equipo en presencia del escribano público y del
perito. Una vez que haya accedido, deberá ingresar a la red social de la cual se desea obtener
la preconstitución de prueba con su clave, otorgándole acceso al perito a la red en cuestión.
Luego el perito deberá capturar las pantallas de la red social mediante la captura de pantalla.

El escribano público dará fe que las capturas de pantalla efectuadas, son de lo que está
visualizando en ese dispositivo. Las imágenes capturadas deben ser migradas al disco rígido del
dispositivo.

Se procede a grabar en un DVD no multifunción y no regrabable las pantallas capturadas de la

red social objeto de prueba. Se le aplica 2 códigos HASH a los efectos de demostrar a futuro la
inalterabilidad e integridad de la prueba digital. Los códigos HASH más aplicados son el MD5 y
el SASH1, sirven como código de integridad de mensaje y código de detección de
manipulación.

Al finalizar el procedimiento, se detiene la grabación y se sugiere que el escribano publico la

firme, y que a su vez, labre un acta del procedimiento de preconstitución de prueba
individualizando día, mes y año; hora de inicio y de culminación de la preconstitución de
prueba.
CLOUD COMPUTING

Es una de las preconstituciones de pruebas más difíciles debido a que generalmente los
servidores no se encuentran en territorio nacional. Debe recordarse que la ley penal se aplica
solamente en jurisdicción argentina y el territorio donde la nube se “localiza” muchas veces es
incierto.

La manera correcta de realizarlo es: llevándose a cabo en vivo, presenciándolo un escribano

público y un ingeniero o licenciado en sistemas. Se realizan capturas de pantalla respecto de lo
que esté disponible ese día en esa web. Se encripta con 2 códigos HASH a los efectos de
demostrar a futuro la inalterabilidad e integridad de la prueba digital. Uno de ellos
corresponde a un código de integridad de mensaje y el otro a un código de detección de
manipulación. Se procede luego a grabar todo en un DVD no multifunción, no regrabable.

Si la persona no quiere aportar la información:

Si el dato es abierto, pudiéndose obtener a través de un motor de búsqueda y se encuentra, se

realiza lo previamente mencionado. Si el dato se encuentra con clave no puedo forzar la misma
ya que implicaría acceso ilegitimo y acto de soberanía contra un país. Se deberá entonces,
proceder a los canales de cooperación asimétrica con dicho país, o a los canales de
cooperación internacional respecto del país donde se encuentra.

EL PERITAJE

El peritaje en si debe ser realizado de manera consiente y segura, en orden de preservar la

prueba sobre la cual se procederá a realizar el mismo.

En primer lugar, deberán seguirse las recomendaciones de las Naciones Unidas realizando las
correspondientes copias bit a bit, la utilización de bloqueadores de escritura para evitar
modificaciones durante el copiado, la aplicación de códigos de encriptación para detectar su
modificación o manipulación.

Luego, deberá identificarse el dispositivo sobre el cual se llevar a cabo, para poder identificar el
programa que utilizare para poder peritar.

Respecto del lugar en donde se realizara, debe mantenerse en lo que se denomina zona
segura, aquel lugar destinado especialmente para peritaje informático de manera tal que debe
ser antiestático, antivirus, anti ataques cibernéticos, con jaulas de Faraday. Ningún dispositivo
debe encontrarse encendido en dicha zona segura, deben vestirse quienes manipulen los
devices a peritar con guantes antiestáticos y/o brazaletes con descarga a tierra.

El dispositivo o “device” debe venir en bolsa de Faraday con un precinto verde. Una vez
acondicionado el perito, retira y procede a realizar el peritaje. Se procede a realizar copia
forense o imagen forense de la información en el dispositivo y se analiza el dispositivo objeto
de la pericia. Se constata de qué equipo se tratará la pericia que se llevará a cabo.

Tratándose de elementos magnéticos se les aplica como herramienta informática duplicadores

forenses: “Permiten generar una copia imagen del disco de origen, sin alterarlo. También se
aplican elementos de protección contra escritura o bloqueadores, con el objetivo de evitar
contaminar la prueba. Esta protección de escritura puede ser por hardware o software.”
Ante la aplicación del programa forense, se graba espacios con contenido y los vacíos también,
recuperando información de zonas que hayan sido borradas/formateadas. Se trata de una
copia segura, realizada de bit a bit.

La copia forense, se realiza generalmente mediante un copiador de Hardware o Software. Los

programas realizan 3 operaciones básicas:

a) Preservar: revisión y generación de imágenes para realizar el análisis. Es una

duplicación generada para mantener la integridad. Image Mirror, copia bit a bit de un
medio electrónico de almacenamiento.
b) Análisis: aplica técnicas científicas y analíticas a los duplicados para encontrar pruebas
de conductas.
c) Presentación: recopila la info que se obtuvo para realizar el reporte y la presentación a
los abogados, la pericial y su interpretación.

Cuando se finaliza, se coloca en bolsa de Faraday con cinta roja. Se puede devolver
posteriormente. Una guardada, una al juzgado y una se la queda el equipo forense.