INVESTIGACIÓN

TECNOLÓGICA

www.jurispol. com
 www.jurispol.com

INVESTIGACIÓN TECNOLÓGICA
Ahora que tenemos los conocimientos básicos del funcionamiento de la red, que sabemos
quiénes son los ciberdelincuentes a los que debemos perseguir, que podemos diferenciar sus
conductas delictivas y tipificarlas en el ámbito legal o penal, llegó el momento de la verdad,
de investigar las denuncias que los ciudadanos y usuarios víctimas de los delitos interponen
en dependencias tanto policiales como judiciales.

Decir, a modo de introducción, que problemas encontraremos miles, los cuales deberemos ir
sorteando poco a poco (los que se puedan), entre ellos: la burocracia administrativa; la lentitud
en la contestación a las peticiones realizadas (que pueden, además, venir incompletas o ser
erróneas); una legislación en ocasiones apremiante (como por ejemplo la Ley 25/2007 de 18 de
octubre, de “conservación de datos relativos a las comunicaciones electrónicas y a las redes
públicas de comunicaciones”, por la cual los operadores (españoles) conservarán los datos
un máximo de 12 meses desde que estos se generaron); las trabas añadidas por las distintas
empresas, organismos e instituciones, sobre todo extranjeras (que se acogen a sus respectivas
legislaciones y deniegan solicitudes si no se piden mediante Comisiones Rogatorias (MLAT),
o exigen una serie de formalidades extra, como escritos en inglés, tipificación de los delitos
investigados en España (para determinar si hay equivalencia o no con los de su legislación),
rellenar una plantilla o formulario; etc.

Este capítulo del curso no pretende ser la guía definitiva de investigación, sino
establecer una serie de pautas que ayuden al policía en su difícil tarea de
descubrir al cibercriminal y ponerlo en manos de la justicia.

¿QUIÉN INVESTIGA?
A nivel central, dentro de la Policía Nacional, el organigrama es el siguiente:

DAO (Dirección Adjunta Operativa)

CGPJ (Comisaría General de Policía Judicial)

UCC (Unidad Central de Ciberdelincuencia)

BCIT (Brigada Central de Investigación Tecnológica)

Investiga delitos contra los menores, la intimidad, la propiedad
intelectual e industrial y los fraudes en las telecomunicaciones.

BCI (Brigada Central de Seguridad Informática)

Investiga delitos que afecten a la seguridad lógica y los fraudes.

A nivel periférico se encuentran los GIT (Grupos de Investigación Tecnológica), dependientes

tanto de Comisarías Provinciales como de Jefaturas Superiores de Policía.

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

www.jurispol.com

En la Guardia Civil cuentan también con el DAO, del que depende la Jefatura de Policía Judicial,
y de ella la UCO (Unidad Central Operativa), siendo el órgano encargado de la investigación
tecnológica el GDT (Grupo de Delitos telemáticos). A nivel provincial, dentro de las Unidades
Orgánicas de Policía Judicial, se encuentran los EDITE (Equipos de Investigación Tecnológica).

SITEL
Se le conoce como Sistema Integrado de Interceptación Telefónica, y antes era la
herramienta utilizada para la interceptación de dispositivos telefónicos y comunicaciones
por internet. Actualmente es más que eso, es la plataforma que centraliza los contactos
con las empresas e instituciones relacionadas con la comunicación.

En todos los centros policiales existen, a disposición de sus investigadores, salas exclusivas de SITEL
con ordenadores dedicados, cuyo uso requiere de credenciales específicas (hay que estar previamente
autorizado). Estos equipos dan acceso a diversas aplicaciones, como “Websitel”, que hace las funciones
de centro de consulta y actualización en relación a cualquier empresa de comunicación y/o actividad de
investigación que requiera el policía.

Sitel también da acceso a aplicaciones de gestión varias, como por ejemplo “Sigma”, que permite el
envío de solicitudes de información (oficios, mandamientos, plantillas…) a las distintas compañías
así como la recepción de sus contestaciones; “Hermes” (dentro de Websitel), que sirve para comunicar
las incidencias en contestaciones (porque sean erróneas, incompletas o no se hayan producido); y otras,
utilizadas para la gestión de interceptaciones telefónicas o de correo electrónico, para generar evidencias
legales que se remitirán al juzgado, etc.

¿OFICIOS POLICIALES O MANDAMIENTOS JUDICIALES?

Ante una investigación, lo primero a determinar será, no solo el ámbito de actuación sino si es necesaria
una investigación tecnológica y cómo llevarla a cabo. En muchas ocasiones, simples gestiones ordinarias
servirán para identificar al autor o beneficiario del delito, como por ejemplo conocer la titularidad de una
cuenta bancaria, de Paypal… (En un caso de estafa podría ser suficiente, si bien habría que ver cada caso
concreto, pues puede tratarse de otra víctima), o solicitar la titularidad de un teléfono (para un caso por
ejemplo de acoso a través de Whatsapp, o telefónico).

Y la pregunta sería siempre la misma, ¿necesitamos o no mandamiento judicial? La respuesta la tenemos

en la Ley Orgánica 13/2015 de 5 octubre, de “Modificación de la Ley de Enjuiciamiento Criminal para el
fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica”,
donde se establece en su Capítulo V, que se requiere mandamiento judicial para:

Obtener la identificación y localización de un dispositivo asociado a una dirección IP (rúter, teléfono

móvil…), así como para identificar el titular del mismo.

Obtener los datos electrónicos conservados por los prestadores de servicios o personas que faciliten
la comunicación, ya sea para cumplir la legislación de retención de datos relativos a las comunica-
ciones electrónicas, o por propia iniciativa, sea por motivos comerciales u otros, y que se encuentren
vinculados a procesos de comunicación.

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

 www.jurispol.com
Cualquier intervención de las comunicaciones (ya sea de un teléfono o de un correo electrónico). Así
pues, para el resto de casos no será necesario. Añade la ley: “Para obtener la titularidad de un número
de teléfono u otro medio de comunicación, o en sentido inverso, se precise el número de teléfono o los
datos identificativos de cualquier medio de comunicación, podrán dirigirse directamente a los prestadores
de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la
sociedad de la información”.
Así pues, para el resto de casos no será necesario. Añade la ley: “Para obtener la titularidad de un
número de teléfono u otro medio de comunicación, o en sentido inverso, se precise el número
de teléfono o los datos identificativos de cualquier medio de comunicación, podrán dirigirse
directamente a los prestadores de servicios de telecomunicaciones, de acceso a una red de
telecomunicaciones o de servicios de la sociedad de la información”.

Además, para obtener información de carácter personal, también es de aplicación lo dispuesto en el Art. 22.2
de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, vigente según
la Disposición Transitoria cuarta de la LOPDGDD (Ley Orgánica 3/2018 de 5 de diciembre de Protección de
Datos Personales y Garantía de los Derechos Digitales), así como del Informe Jurídico 1999-2000, emitido
por la propia Agencia de Protección de Datos sobre “Solicitudes de datos efectuadas por la Policía Judicial sin
mandamiento judicial o requerimiento previo del Ministerio Fiscal”.

Concluyendo, en la práctica habitual, para pedir la titularidad o movimientos de cuentas bancarias, imágenes
de las videocámaras de cajeros…, la mayoría de entidades financieras aportan datos con un simple oficio
policial (convenientemente sellado, firmado y remitido en formato PDF a su dirección electrónica), si bien
algunas exigen mandamiento judicial, como por ejemplo Banco Santander (y su filial Openbank) o Paypal (se
remitirá a través de su propio canal de comunicación, denominado Safety Hub – Paypal Law Enforcement
Tool (https://safetyhub.paypalcorp.com/AIP/portal/home.do?locale=es_ES), para el cual debemos estar
previamente registrados (con nuestro correo corporativo) y autorizados.

Para pedir la titularidad de líneas telefónicas, antes era

preciso un oficio, ahora solo es necesario rellenar un
formulario en el apartado “LeCrim” de la aplicación
“Sigma”, aunque si pedimos algo más (llamadas
entrantes, salientes, geolocalización) habrá que solicitar
mandamiento. Para obtener datos de publicación de
anuncios en plataformas online como Milanuncios,
Vibbo, Wallapop…, es suficiente con un oficio, igual
que para los comercios virtuales ubicados en España (o
algunos ubicados fuera, como por ejemplo Amazon, que
acompañado de su propio formulario, ya se puede
solicitar a través de Sigma).
En cuanto a las redes sociales y compañías
americanas como Google, Microsoft, Yahoo, Twitter,
Facebook–Instagram, Netfllix o Uber, puede
remitirse a través de Sigma tanto un oficio como
un mandamiento, debiendo rellenarse además
una plantilla con información relevante (que podemos Todo esto se encuentra en constante evolución,
descargar en Websitel), y un oficio ampliando la así pues, para conocer con exactitud la manera de
información. Algunas compañías como Apple proceder con cada compañía o empresa
requieren solo que se rellene un formulario, y otras debemos acceder y repasarlo en la aplicación
como Playstation (Sony) requiere que sea a través Websitel.
de mandamiento judicial.

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

www.jurispol.com

SALVAGUARDA DE DATOS
Tal y como se ha referido anteriormente, la premura en la solicitud de información es una
cuestión fundamental, no tanto por recibir cuanto antes las contestaciones, sino porque
las empresas conservan la información un tiempo determinado, que pasa por 12 meses
en caso de compañías españolas (Ley 25/2007 referida anteriormente), o incluso por 3
o 6 meses si hablamos de algunas compañías y redes sociales extranjeras (cada cual
establece sus requisitos, que están expuestos en Websitel). Por tal motivo, si se aproxima
el plazo máximo de conservación de datos, antes de perderla, tendremos que pedir su
salvaguarda.

En España, la persona física o jurídica, a solicitud de la Policía Judicial o del Ministerio Fiscal, tiene la obligación
legal de conservar los datos como máximo 90 días, prorrogables por una sola vez otros 90 días o hasta que
se obtenga la orden judicial (Capítulo X de la Ley Orgánica 13/2015 de 5 octubre referida anteriormente).

OBTENCIÓN DE INFORMACIÓN

Tras una denuncia se inicia un proceso de investigación, siendo el fin último determinar la
identidad del autor de los hechos y posterior detención. En muchas ocasiones, dado que
el ámbito de las comunicaciones e internet es global, se le podrá únicamente identificar, y
a veces, si el cibercriminal no pertenece al ámbito territorial del policía, según sea el delito
cometido, se podrá, o bien contactar con el grupo policial que entienda de su localización
(en España), a fin de solicitarle la continuación de las investigaciones (toma de declaración,
detención…), o bien comunicarlo al juzgado que entienda de los hechos denunciados (que
ordenará las medidas a tomar o se inhibirá en el órgano jurisdiccional adecuado).

A la hora de iniciar la investigación, actuaremos de la siguiente manera:

En caso de transacciones económicas, estafas o fraudes online, extorsiones o sextorsiones…, iniciaremos las pes-
quisas siguiendo el dinero, es decir, buscando los beneficiarios, solicitando la titularidad e incluso movimientos (para
detectar otras posibles víctimas, habitualidad en la conducta delictiva…) de las cuentas bancarias, Paypal… donde
se hayan realizado los pagos; si hablamos de criptomonedas, solo podremos ver los movimientos de la cuenta
receptora del dinero, salvo que su titular haya sido identificado en cualquier operación policial.

De una cuenta nos fijaremos en su numeración, que tendrá 24 o 20 dígitos según incluya o no el IBAN (código de
País); si es una cuenta extranjera habría que solicitar Comisión Rogatoria. Para saber de qué entidad bancaria se
trata, a fin de solicitar la titularidad de una cuenta (o conocer el beneficiario de la transacción denunciada), podemos
escribir en un buscador “entidad bancaria” y el número, o accedemos al listado que nos da el Banco de España
(https://www.bde.es/webbde/es/estadis/ifm/if_es.html).

Actualmente (pueden cambiar), las direcciones de correo electrónico de las entidades financieras principales son:
Caixabank (oficios.judiciales@caixabank.com), Banco Santander (oficios@gruposantander.com), Ing Direct
(juzgados_GRADDO@ingdirect.es), BBVA (bzb00464@bbva.com) y Bankia (oficiosyembargos@bankia.com).

Pongamos por ejemplo la cuenta número ES31.2100.1264.0000.1587.6767. Se trata de una cuenta

española (ES), siendo el código de la entidad el número 2100 (Caixabank) y el de la oficina el 1264 (Ávila).

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

 www.jurispol.com

Si una estafa se ha producido consecuencia de un anuncio fraudulento, pediremos al denunciante cuantos más
datos del mismo mejor, como número de referencia, título, datos de contacto del vendedor y capturas de pantalla o
fotografías del anuncio (si se tienen mejor). Después solicitaremos mediante correo electrónico oficial al sitio donde
se publicó, como por ejemplo Vibbo (organismosoficiales@scmspain.com), Wallapop (legal@wallapop.com),
o Milanuncios (info@milanuncios.com), cuanta información tengan de este, como direcciones IP desde donde
se colgó el anuncio, datos de contacto, anuncios relacionados (posiblemente el ciberestafador publicara antes otros
anuncios sin intención de cometer fraudes, por lo que esos datos serán importantes para la investigación).

Si se han producido compras no autorizadas, habrá que pedir información a los comercios o sitios donde estos
se produjeron, como datos aportados del comprador, productos comprados, lugar de envío, direcciones IP desde
donde se realizaron las compras…; las fechas en que se produjeron las aportará normalmente el denunciante. Para
conocer los datos de contacto buscaremos en sus páginas web (normalmente los encontraremos al fondo de la
página en la sección contacto, condiciones de uso o política de privacidad). En relación a cargos, también podemos
solicitar a la plataforma “Redsys” (prestadora de servicios de pago virtual, asociada a la mayoría de bancos, cajas y
entidades de crédito; email seguridadrs@redsys.es), los datos que se relacionan con las compras o pagos realizados
con la tarjeta bancaria del denunciante.
Antes que nada, deberíamos asegurarnos de que los cargos no los realizaron menores, adolescentes o personas
cercanas a la víctima con acceso a su tarjeta bancaria, incluso que no fuera una denuncia falsa, por lo que hablar
con la víctima es fundamental.

Si queremos saber el titular de un teléfono, móvil o fijo, bien porque se trate de un caso de acoso, mensajes
inadecuados, sexting…, o se haya realizado un pago a un número de teléfono (se le ha tenido que enviar al receptor
un código) y el dinero fue sacado en un cajero automático (para lo cual habría que solicitar las imágenes y demás
datos al banco donde se realiza dicha acción), deberíamos primero saber a qué compañía telefónica pertenece.
Lo descubrimos bien a través de la aplicación “Portabilidad” (dentro de “Websitel”), bien a través de la web de la
Comisión Nacional de los Mercados y la Competencia (CNMC), a través de la siguiente dirección o URL “https://
numeracionyoperadores.cnmc.es/numeracion”). Luego solicitaremos a dicha compañía su titularidad a través de
SITEL (aplicación “Sigma” opción “LeCrim”)Para investigar las llamadas inadecuadas realizadas desde un número
oculto, sabiendo día y hora, la compañía telefónica nos identificará el teléfono desde el que se llamó y su titular.

En caso de encontrarnos con usurpaciones de identidad, accesos ilícitos a cuentas en redes sociales, o
incluso bloqueo de las mismas, en sitios como por ejemplo Facebook o Instagram, necesitaremos conocer el
nombre y dirección URL de la cuenta, así como las fechas en que se produjeron los hechos (para accesos no
consentidos debemos saber cuándo entró la víctima por última vez a la misma, para solicitar información a
partir de entonces). Precisaremos también de fotografías o capturas de pantalla que sustenten los hechos
denunciados (las redes sociales nos pedirán que se las remitamos). Pediremos entonces al sitio concreto las
IPs de acceso y uso, así como los datos de registro si se trata de cuentas paralelas (creadas para inducir error
en los demás usuarios).

En el caso concreto de Facebook e Instagram, el mandamiento deberá ser enviado con su traducción al inglés.
Todas las solicitudes deberán incluir la palabra “Confidencial o Secreto” si queremos que no se informe a los
usuarios acerca de la investigación, también el artículo del Código Penal y una breve descripción del mismo,
debiendo ir el mandamiento firmado y sellado (bien físicamente, bien embebido en el propio documento
digital); en el pie del escrito deberán indicarse las siguientes direcciones (consultar la Websitel por si cambian):

(Facebook-Instagram) Facebook Ireland Ltd, 4 Grand Canal Square, Dublin 2, Ireland.

(Twitter) Twitter, Inc. c/o Trust & Safety - Legal Policy 1355 Market Street, Suite 900, San Francisco, CA 94103.

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

www.jurispol.com

Si lo que tenemos es una dirección de correo electrónico, para saber su titular o usuario debemos solicitar a
la empresa propietaria del dominio (Google, Microsoft…) las conexiones IP (el registro no puede ser alterado) y los
datos de registro aportados (pueden ser falsos, inventados o incompletos). Las direcciones IP las pediremos luego
al ISP que las gestione. Los datos a donde dirigir los escritos los encontraremos en Websitel, que deberemos
contrastar por si han cambiado:

Microsoft, Ireland Operations Limited (MIOL), One Microsoft Place, South County Business Park, Leopardstown,
Dublin 18, IRELAND.
Google Ireland Limited (Legal Department), Gordon House, Barrow Street, Dublin 4, Ireland.
Yahoo! UK Ltd, con sede en London, Level 5, 125 Shaftesbury Avenue, WC2H 8AD (Reino Unido).

Ante denuncias sobre infecciones por malware o virus informáticos, generalmente por parte de una empresa
(lo más habitual es el cifrado de sus archivos y documentos, basado en la infección por “ransomware”), habría
que solicitar el informe técnico de los informáticos de dicha empresa; salvo que tengamos conocimientos técnicos
específicos, no podremos hacer más que informar de ello a la UCC, recomendando al denunciante que pruebe las
distintas herramientas que hay en internet para eliminar el malware (no se asegura el éxito), o descifrar los archivos
encriptados. Podemos incluso pedir a la víctima que contacte con INCIBE (incidencias@incibe-cert.es) por si hubiera
claves de descifrado obtenidas de anteriores investigaciones y registros policiales.

La investigación sobre distribución de imágenes de pornografía infantil se basa en el seguimiento de las mismas a
través de un código alfanumérico denominado “hash”, el cual identifica inequívocamente cada imagen. Se usan para ello
programas específicos, que determinan por qué ordenadores o equipos han pasado estas, identificando sus conexiones
con la correspondiente dirección IP.

Además, si la investigación lo requiere, también podemos apoyarnos en técnicas de investigación OSINT (Open
Source Intelligence; inteligencia de fuentes abiertas), basadas en la búsqueda de información “gratuita” y
“de dominio público” accesible sobre todo desde internet, que ha sido almacenada o publicada en redes sociales,
páginas webs, blogs…

¿CÓMO INVESTIGAR IPS?

Ya se mostró al principio de este curso lo que es una dirección IP, así que ahora veremos cómo investigarla.
Normalmente las IPs no se obtienen de inicio, sino que recibimos esta información de las empresas,
comercios, webs de anuncios de compra venta, redes sociales o plataformas de correo electrónico
donde se han cometido los hechos o donde aparecen como información de registro.

Teniendo la dirección IP podemos saber qué compañía telefónica la gestiona, y por tanto su titular. Para ello
existen en la web multitud de registros públicos o buscadores de dominios (Whois) que nos darán la información
(en ocasiones también el titular del dominio; antes siempre se daba, pero eso cambió con el Reglamento de
Protección de Datos (RGPD) 2016/679 de 27 de abril del Parlamento Europeo y el Consejo, conocido
también como GDPR (General Data Protection Regulation), por lo que mucha información dejó de mostrarse
(en su lugar aparecen los campo s vacíos o las siglas RGPD, GDPR, GDPR Masked o Redacted for Privacy).

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

 www.jurispol.com

Algunos de estos registros son por ejemplo Hexillion (https://hexillion.com), Ripe NCC (https://apps.db.ripe.
net/db-web-ui/query), MyIP (https://myip.es/busqueda), Domaintools (https://research.domaintools.com),
DonDominio (https://www.dondominio.com/whois) o ICANN Lookup (https://lookup.icann.org). Decir
que, en algunos de ellos, también podemos hacer búsquedas a la inversa.

A través de la consola de Windows, o de Linux, usando el comando “ping” (o “nslookup”) y el dominio, también
conoceremos la IP de un sitio web. Un ejemplo es ping jurispol.com

Podemos además geolocalizar la dirección IP, lo que nos dará una pista u orientar sobre la zona en que
se encuentra el usuario de la misma. Existen páginas como Cualesmiip (https://www.cual-es-mi-ip.net/
geolocalizar-ip-mapa) que también nos permitirá buscar dominios o IPs; otra es WhatIsMyIPAddress
(https://whatismyipaddress.com/es/mi-ip). Hay muchas del estilo, si bien no debemos creer a ciegas en
este tipo de información, pues el único sitio que puede hacerlo con certeza es la compañía telefónica que
la gestiona (que nos contestará con mandamiento judicial); estos sitios adquieren los datos de información
estadística y de reporte (informes), muchas veces sin actualizar, no teniendo en cuenta que al existir IPs
dinámicas, la misma IP en un momento dado puede ubicarse en un sitio y más tarde en otro.

Ante un dominio “.es”, en la web de “Dominios.es” (https://www.dominios.es/dominios/es), o a través de la

página de “Red.es” (www.red.es), podremos obtener datos del mismo, como titular, contacto administrativo
y técnico. Para más información deberemos contactar directamente vía email con dicho organismo (info@
dominios.es).

Antes de solicitar una dirección IP a la compañía telefónica debemos saber con certeza la hora de conexión,
en horas, minutos y segundos (para distinguir la conexión en caso de que se trate de IPs dinámicas o IPs NAT;
si nos aportan el puerto de conexión, mejor). Muchos sitios extranjeros nos darán la hora de conexión en su
huso horario (por ahora, ninguno da el puerto de conexión), que para solicitarlo debemos primero traducir,
siguiendo las siguientes equivalencias:

• UTC/GMT (Londres, Greenwich): en España, 2 horas más en verano y 1 en invierno.

• PDT (EEUU verano) y PST (EEUU invierno): en España son 9 horas menos.
• CET (España invierno): es la hora UTC+1.
• CEST (España verano): es la hora UTC+2.
o Horario de verano: del 25-30 de marzo (último domingo) al 25-30 de octubre (último domingo).
o Horario de invierno: del 25-30 de octubre (último domingo) al 25-30 de marzo (último domingo).

Cuando la investigación nos lleva a la conexión titularidad de un adulto, si se trata de hechos cometidos en
redes sociales, compras fraudulentas…, debemos preguntarnos si ha podido ser este mismo o algún familiar
cercano (hijo, sobrino…, normalmente menor de edad), que pudiera tener relación con los hechos, bien porque
se hubiera conectado desde su misma casa, porque tuviera acceso a su tarjeta, etc. También puede ocurrir
que no tuviera protegida su conexión, y alguien hubiera accedido a esta a través de su señal wifi (posiblemen-
te un vecino), que abarca una cobertura aproximada, según sea la conexión, de hasta 300 metros.

La misma IP también puede llevarnos a un punto muerto, pues podemos encontrarnos con el uso
de anonimizadores, proxys, VPNs… En caso de tener IPs gestionadas desde el extranjero, debemos
valorar si pedir una Comisión Rogatoria, buscar nuevas vías de investigación, o archivar la causa si
no hay otras gestiones que llevar a cabo.

©JURISPOL . RESERVADOS TODOS LOS DERECHOS

 GURIDAD
SE
R
E
CIB

www.jurispol.com