EVIDENCIA

DIGITAL
Introducción
Desde la década de los noventa ha
existido un incremento de tendencia
por el uso de la tecnología, y ha tenido
un crecimiento exponencial llevando a
distintas disciplinas del conocimiento a
estudiar las condiciones en que se
desarrollan los nuevos negocios y por
ende las nuevas formas de delinquir.
Introducción
Desde los años noventas hasta hoy en
día, la evidencia digital cobra más
importancia, sin embargo, aún hay un
largo camino por recorrer
especialmente en los aspectos
siguientes:
• Especialización
• Legislación
• Estudio
• Actualización
Introducción
Actualmente la evidencia digital ha
llegado a un nivel interesante de
especialización, incluso ya se escucha
hablar de delitos informáticos y
auditorias forenses de tecnología, entre
otros temas. De esa cuenta, en la
actualidad cada vez las organizaciones
se ven abocadas a tratar de establecer
medios probatorios digitales, dada la
alta inter conectividad de las
operaciones y relaciones con terceros.
Introducción
La evidencia digital es única, cuando se
le compara con otras formas de
evidencia documental, la evidencia
computacional es frágil y una copia de
un documento almacenado en un
archivo es idéntica al original.
Otro aspecto único de la evidencia
digital es el potencial de realizar copias
no autorizadas de archivos sin dejar
rastro, esta situación genera problemas
con respecto al robo de información.
Definición
Según el autor Jeimy J. Cano M., la
evidencia digital se considera como:
“El listado de conceptos en lenguaje
técnico que puede ser catalogado
como elementos materiales
probatorios”.
Definición
Eoghan Casey define la evidencia de
digital como:
“Cualquier dato que puede establecer
que un crimen se ha ejecutado
(commit) o puede proporcionar un
enlace (link) entre un crimen y su
víctima o un crimen y su autor”.
Definición
Handbook Guidelines for the
management of IT evidence (Manual de
directrices para la dirección de
pruebas), define la evidencia digital
como:
“Cualquier información, que sujeta a
una intervención humana u otra
semejante, ha sido extraída de un
medio informático”
Definición
Varias definiciones coinciden en que la
evidencia digital puede ser cualquier dato
o información, que sujeta a una
intervención humana ha sido extraída de
un medio informático y nos puede
proporcionar un enlace entre el crimen y
su autor. De esta manera podemos indicar
que evidencia digital son todos aquellos
datos que se encuentran o se localizan en
cualquier medio informático o dispositivos
de almacenamiento de información.
Definición
Jeimy J. Cano M. refiere la evidencia
digital es la materia prima para los
investigadores donde la tecnología
informática es parte fundamental del
proceso, sin embargo y considerando el
ambiente tan cambiante y dinámico de
las infraestructuras de computación y
comunicaciones, es preciso detallar las
características propias de dicha evidencia
en este entorno.
Clasificación
Jeimy J. Cano clasifica la evidencia
digital en tres categorías:
• Registros generados por computador.
• Registros no generados sino
simplemente almacenados por o en
computadores.
• Registros híbridos que incluyen tanto
registros generados por computador
como almacenados en los mismos.
Clasificación
Registros generados por computador:
Estos registros son aquellos que como
dice su nombre, son generados como
efecto de la programación de un
computador. Estos registros son
llamados registros de eventos de
seguridad (logs) y sirven como prueba
tras demostrar el correcto y adecuado
funcionamiento del sistema o
computador que generó el registro.
Clasificación
Registros no generados sino simplemente
almacenados por o en computadores:
Estos registros son aquellos generados por
una persona, y que son almacenados en
el computador, por ejemplo, un
documento realizado con un procesador
de palabras. En estos registros es
importante lograr demostrar la identidad
del generador, y probar hechos o
afirmaciones contenidas en la evidencia
misma.
Clasificación
Registros híbridos que incluyen tanto
registros generados por computador
como almacenados en los mismos:
Los registros híbridos son aquellos que
combinan afirmaciones humanas y logs,
para que estos registros sirvan como
prueba deben cumplir los dos requisitos
anteriores.

La diferencia entre las tres categorías mencionadas radica en

el factor humano, es decir lo determinante es si una persona o
un computador crearon o generaron el contenido del registro.
Características
Cuando ha sucedido un incidente,
generalmente, las personas
involucradas en el crimen intentan
manipular y alterar la evidencia digital,
tratando de borrar cualquier rastro que
pueda dar muestras del daño, sin
embargo, este problema es mitigado
con algunas características que posee
la evidencia digital.
Características
La evidencia digital posee, entre otros los
siguientes elementos que la hacen un
constante desafío para aquellos que la
identifican y analizan en la búsqueda de la
verdad:
• Volátil
• Anónima
• Duplicable
• Alterable y modificable
• Eliminable
Características
Estas características nos advierten sobre la
exigente labor que se requiere por parte
de los especialistas en temas de
informática forense, tanto en
procedimientos, como en técnicas y
herramientas tecnológicas para obtener,
custodiar, revisar, analizar y presentar la
evidencia presente en una escena del
delito.
Características
• La evidencia digital puede ser
duplicada de forma exacta y se puede
sacar una copia para ser examinada
como si fuera la original. Esto se hace
comúnmente para no manejar los
originales y evitar el riesgo de dañarlos.

• Actualmente con los instrumentos

existentes, es muy fácil comparar la
evidencia digital con su original, y
determinar si la evidencia digital ha sido
alterada.
Características
• La evidencia digital es muy difícil de
eliminar. Aún cuando un registro es
borrado del disco duro del computador,
y éste ha sido formateado, es posible
recuperarlo.

• Cuando los individuos involucrados en

un crimen tratan de destruir la
evidencia, existen copias que
permanecen en otros sitios.
Protección de la Escena del
Crimen
Para evitar la contaminación del lugar y poder
documentar la condición original del
escenario, todo el personal que interviene
debe hacer el máximo esfuerzo para poder
mantener asegurada y protegida dicha
escena. El aseguramiento requiere conservar
en forma original el espacio físico donde
aconteció el hecho con la finalidad de evitar
cualquier alteración, manipulación,
contaminación, destrucción, pérdida o
sustracción de los elementos, rastros o indicios
que en el lugar se localicen.
Protección de la Escena del
Crimen
La protección inicial de la escena del
crimen implica mantener de inmediato
la intangibilidad del espacio físico en el
que pudieran hallarse elementos, rastros
o indicios vinculados con el suceso.
Protección de la Escena del
Crimen
Una escena del crimen es
caracterizada frecuentemente con un
espacio físico delimitado de alguna
manera, por paredes, por un área más
extensa o simplemente delimitadas por
el suelo, en función de estas
características se dice que la escena es
cerrada, abierta o mixta.
Protección de la Escena del
Crimen
Un componente electrónico puede hallarse en
cualquiera de estas escenas, cuando se
encuentra en escena abierta se puede asumir
que el dispositivo electrónico se halla en una
escena virtual cerrada, con esa misma lógica
de los opuestos complementarios, cuando la
escena física es cerrada por ejemplo,
delimitada por un edificio u oficina se puede
asumir que la escena virtual será abierta o
mixta en el supuesto de que exista algún tipo
de red.
Protección de la Escena del
Crimen
Consideremos, por ejemplo una oficina
probablemente un puesto de trabajo puede
contener algunos, o todos los dispositivos
siguientes:
• Un ordenador de sobremesa o móvil
• Teléfono móvil
• Agenda electrónica
• Memorias flash
• Discos compactos (Cd o Dvd)
• Impresora
• Teléfono / fax que puede tener memoria de
grabación
• Dispositivos USB, de diferentes tipos
Determinación del escenario

Si la escena física está determinada por

los componentes: piso, pared y techo,
en la escena virtual tiene que ver con la
propiedad del medio físico o canal por
el cual se transmiten los datos.
• Cerrado – PCs sin conexión a redes
• Abierto – PCs con conexión a Internet
vía ISP (proveedor de servicio de
internet)
• Mixto – PCs en LAN/MAN/WAN.
Fuentes de Evidencia Digital

Las fuentes de evidencia digital pueden

ser clasificadas en tres grande grupos:
• Sistemas de computación abierto
• Sistemas de comunicación
• Sistemas convergentes de
computación
Fuentes de Evidencia Digital

Sistemas de computación abierto

Son aquellos que están compuestos de
las llamadas computadores personales
y todos sus periféricos como teclados,
ratones y monitores, las computadoras
portátiles, y los servidores. Actualmente
estos computadores tiene la capacidad
de guardar gran cantidad de
información dentro de sus discos duros,
lo que los convierte en una gran fuente
de evidencia digital.
Fuentes de Evidencia Digital

Sistemas de comunicación
Estos están compuestos por las redes de
telecomunicaciones, la comunicación
inalámbrica y el Internet. Son también
una gran fuente de información y de
evidencia digital.
Fuentes de Evidencia Digital

Sistemas convergentes de computación

Son los que están formados por los
teléfonos celulares llamados inteligentes
o Smartphone, los asistentes personales
digitales PDAs, las tarjetas inteligentes y
cualquier otro aparato electrónico que
posea convergencia digital y que
puede contener evidencia digital.
Ejemplos de Evidencia Digital

Ejemplos de algunos aparatos electrónicos e

informáticos que puedan poseer y almacenar
la evidencia digital:
• Computadoras de escritorio
• Computadoras portátiles
• Estación de trabajo
• Hardware de red
• Servidor
• Teléfono celular
• Aparato para identificar llamadas
• Localizador
• GPS (sistema de posicionamiento global)
• Cámaras digitales
• Memorias USB
• Tablets
• Discos externos y cintas magnéticas
Documentación de la Escena
del Crimen
La documentación de la escena del
crimen es la etapa siguiente a la
evaluación, mediante la cual se
detectó la presencia de indicios
relacionados al hecho investigado, la
documentación debe tener un orden
establecido con el fin de que los
distintos procedimientos se realicen sin
alterar los indicios.
Documentación de la Escena
del Crimen
Los métodos de documentación más
usuales son:
• La descripción escrita
• El croquis
• La fotografía
• El video
Documentación de la Escena
del Crimen
La descripción escrita
La descripción escrita o acta, consiste
en la narración por escrito de lo que se
encuentra en la escena del crimen, es
decir de lo general a lo particular, de lo
particular al detalle y del detalle al
detalle mínimo.
Documentación de la Escena
del Crimen
El croquis
Es un dibujo a mano alzada de la
escena del crimen, esquemático,
orientado, con leyenda explicativa,
utilizando medidas reales a escala y/o
referencial sin usar las medidas reales.
Documentación de la Escena
del Crimen
La fotografía
Registra y fija una visión total y
detallada del lugar del hecho o escena
del crimen, que permite acreditar
fehacientemente el estado en que se
encontraban las evidencias físicas,
como las operaciones realizadas al
momento de la recolección de los
elementos, rastros o indicios.
Documentación de la Escena
del Crimen
El video
Al igual que la fotografía registra el
lugar del hecho o escena del crimen, se
debe procurar que el medio a utilizar
sea en un formato estándar MP3 por
ejemplo.
Pasos para la Recolección de
Evidencia Digital
Para el procedimiento de recolección
de evidencia digital podemos
mencionar tres requisitos muy
importantes:
• Utilizar medios forenses estériles.
• Mantenimiento y control de la
integridad del medio original.
• Etiquetar, controlar y transmitir
adecuadamente las copias de los
datos, impresiones y resultado de la
investigación.
Cadena de Custodia
La cadena de custodia es el mecanismo
que garantiza la autenticidad de los
elementos probatorios recogidos y
examinados, esto significa que las pruebas
correspondan al caso investigado sin que
se dé lugar a confusión, adulteración,
pérdida, ni sustracción alguna.
Por lo tanto, toda persona que participe en
el proceso de cadena de custodia debe
velar por la seguridad, integridad y
conservación de dichos elementos.
Informe Forense
El último paso que se debe realizar en el
proceso de investigación es la
presentación de la información recopilada
como evidencia, esta consiste en la
elaboración del informe con los resultados
obtenidos en cada una de las etapas de la
investigación.
Informe Forense
El informe que presentemos debe ser
totalmente imparcial sin mostrar una
sentencia de conducta del acusado, esto
puede llevar a que su trabajo sea
descalificado.

El informe es el documento redactado por

el perito informático, en el que se exponen
las conclusiones obtenidas por el experto,
tras la investigación.
Informe Forense
En el informe forense debemos incluir:
• Los datos de la persona o institución.
• Los objetivos de la investigación.
• La declaración previa del perito informático, en la
que se establecen los principios de profesionalidad,
veracidad e independencia.
• Documentación sobre el proceso de adquisición de
pruebas.
• Detalle de las acciones que el perito informático
lleva a cabo durante la investigación.
• Resultados de la investigación informática y
conclusiones.
Informe Forense
La elaboración del informe consta a su vez
de tres fases:
• Fase de adquisición de las pruebas.
• Fase de la investigación.
• Fase de elaboración de la memoria.
Informe Forense
Fase de adquisición de las pruebas.
La documentación del proceso de
adquisición de las pruebas es una
información que debe formar parte del
informe pericial.
Informe Forense
Fase de la investigación.
Constarán en el informe todas las
acciones realizadas durante la fase de
investigación, como las herramientas
empleadas para la adquisición de la
evidencia electrónica y el detalle y
resultado de los procesos efectuados
sobre el dispositivo o unidad que se está
analizando.
Informe Forense
Fase de elaboración de la memoria.
En esta última fase, el perito informático
recopila la información que ha
obtenido durante todo el proceso de
investigación y redacta el informe que
se presentará ante los tribunales.