Peele aoe lO = Nese SS) Escena del crimen, pruebas Pee ielit wp merle (eles CeMae aces) (oe aca Docentes: Marisa Paviskov Karina Policano2.5. Evidencias digitales 2.5.1. Principios generales Las evidencias digitales son elementos tecnolégicos que pueden poseer informacion al- macenada en formato digital, como PC, notebook, netbook, tablets, celulares, pendrive, CD, DVD, discos rigidos, servidores, etc. Para aquellas situaciones que involucren procedimientos judiciales en empresas o ins- tituciones de gran envergadura, 2 priori se procureré obtener informacién tendiente 2 conocer las caracteristicas generales de la infraestructura tecnolégica y hardware exis- tente en el lugar del hecho. Las actividades operativas corresponden al personal policial y deben ser efectuadas siguiendo las indicaciones del presente protocolo. La actuacién profesional del perito es, principalmente, una actividad de laboratorio y de asesoramien- to cientifico al operador judicial que es responsable de la investigacién penal. La pericia informatica conileva tiempos elevados de trabajo y no es posible realizarla so- bre grandes cantidades de elementos. Debe evitarse el secuestro masivo de elementos in- formaticos, en especial CD y DVD, los que solo han de ser enviados a peritaje Unicamente sise tienen presunciones con unalto grado de verosimilitud de poseer la evidencia busca- da. Cabe aclarar que, de ser posible, se sugiere realizar, previo al allanamiento, una inves tigacién minuciosa con el objeto de identificar con precisién la ubicacién y caracteristicas técnicas generales de los elementos a secuestrar por medio de inteligencia polcial, Respecto a la evidencia digital se deberd identificar claramente qué dispositives méviles ‘estén enuso y a quiénes pertenecen, como asi también los que se encontraron apagados, guardados 0 en aparente desuso. A continuacion, se describen los principios generales para la recoleccién y embalaje de las evidencias digitales halladas en la escena del crimen. 1) Registrar lo que es visible en los dispositivos de salida como pantallas e impresoras y no intentar explorar los contenidos ni recuperar informacién de una computadora u otro dispositivo electrénico (cémara de fotos, celular, etc.) sin contar con los conoci- mientos técnicos para realizario. 2) No presionar cualquier tecla ni hacer clic del mouse. 3) Verificar si existen discos 0 CD puestos en unidades. 4) Identificar claramente qué dispositivos méviles estén en uso y a quién pertenecen, dar cuenta también de los dispositivos que se encontraron apagados, quardados © en aparente desuso. Manual deactuacion enellugar dal hecho yo wscena del dato | 89Protocols unica de bs ministerios pabbcos dela Repibiaa Argentina 5) No encender si se encuentra apagado. 6) Dejar encencido hasta agotar bateria, 1) Pare apagat, desconectar el enchufe directamente dela red de enerofa, despues des- conectar el resto de cables, como la red de datos, menitores, etc 8) No desermar el equipo dejéndolo sin bateria. 9) No abrir la tapa de una computadora portati siesté cerrada, 10) Se realiza algun cambio, ragistrarlo yjustiticar. 11) Respeter el orden de volatiidad, estableciendo como crterio preserver la muestra més volstil al principio ~como reaistros, cachés, memoria de periféricas, memoria (kerma fisica), estado de las conexiones de red, procesos que se estan ejecutando— 12) Incicar si el material recolectado se encuentra contaminado con residuos biolégicos opeligrosos de cualquier tipe. 2.5.2. Pasos en el lugar del hecho, escena del crimen o en allanamiento 1) Separar a las personas que trabajen sobre las equipos informatics lo antes posible: yo permtiries volver a utilzarlos. Si es una empresa, se debe identificar al personal informatico interno (administradores de sistemas, programadores, etc.) 0 2 les usua- figs de aplicaciones esoecificas que deben someterse a peritaje. Dejar regisirado el nombre del duefic o usuarios del equipamiento informatico, ya que luego pueden ser doutilidad para la pericia 2) Obtener, siempre que sea posible, las contrasefas y/o patrones de bloqueo de aplica~ clones, tabletas, celulares, etc. para registrar. 3) Fotografiar todos los equips informticos antes de moverlos o desconectarlos. Esto ¢, fotoarafiar una toms completa del lugar donde se encuentren jos equioos informé~ ticos y de las pantallas de las computedoras, siestin encendidas. Excepcionalmente, sise debiera inspeccionar los equips informaticos 0 material tecnol6gico en e! lugar dal hecho, puede ser convariente realizar una filmacién o bien una descripcién del trabajo que se lleva a cabo ante los testigos. 4) Levantar el material informatico con guantes descartables, ya que el teciado, moni ‘ores, mouse, CD, DVD, etc., pueden ser utiizados para andlisis de husllas dactilares, AON, etc. 5)'Si Ios equipos estan apagados, deben quedar apagacs; si estan prendicios, deen quedar prendidos y consultar con un espacialista 1a modalidad de apagado (en caso de no conter con asescramiento, proceder a apecarlos desenchufando el cable de Corriente desc el extrema que conecta al gabinete informatico). Silos equipos estan ‘apagados, desconectarlos desde su respectiva toma elécttica y no del enchufe de Ia pared. Si son notebooks 0 netbooks, 25 necesario quitarles la os baterias y proceder 2 secuestrar los cables y la fuente de allmentacion. Para el caso de celulares, reticar la bateria. En caso de no poder extraer la bater'a, apagarlo y protecer el boton de encendido con un cartén pegado con cinta para evitar el encendido accidental. Como medida extra de seguridad, se puede activar ef “modo avidn” antes de apagarla 6) De ser necesaric, dejar al dispositive encendido por algiin requerimiento especifico -por ejemplo: pare no perder informacién volétil colocarlo en una bolsa de Faraday ‘0 enwvalverio con, al menos, tres capas de papel aluminio~, 90 | Edccones SAU MiProcoaimionte para recolccolon do muestrak prosenacion y wansports 7) Idertificar si existen equipos que estén conectados a una linga teleforica y, en su caso, el ndimero telef nico para registrarlo en el acta de allanarriento, '8) No realizar busquedas sobre directorios ni ver la informacién almacenada en los dis- positives, ya que es posible que se altere y destruya evidencie digital (esto incluye intontar hacer una “copia” sin tener software forense especifica y sin que quede do- cumentado en el expediente judicial el procedimiento realizado) 9) Identificar correctaments todo el material tecnoldgico a secuestrar: a) Siempre debe preferirse secuestrer Unicamente los dispositivos irformaticos que almacenen grandes volumenes de informaciGn digital (computadoras, notebooks y discos rigides externos), Respecto 2 DVD, CD, pendrives, etc. atento a que pus den encontrarse cantidades importantes, debe evitarse @! secuestro de este ma- terial sino se tiene una fuerte presuncidn de hallar la evidercia en estos medios de almacenamiento, ) Rotular & hardware que se ve a secuestrar con los siguientes datos: i) Pera computadoras, notebooks, netbcols, celulares, cAmeras digitales, ete: ni- moro dol expedionte judicial, fecha y hora, nUmere de sotie, fabricante, modelo. ii) Pera DVD, CD, pendirives, etc: almacenarios en conjunto en un sobre antiesté- tico, indicando numero del expediente judicial, tipo (DVD, CD, pendrives, etc.) y cantided, ¢) Cuando haya periféricos muy especificos conactados a los equipos intormticos y se deban secuestrar, deben identificarse con etiquetas con numeros los cables pare indicar dénde se deben conectar. Asi como también, fotoarafiar los equioos on sus respectivos cables de conexién etiquetados. 2.5.3. Registros actives y volatiles de las PC, netbooks y notebooks Esododels —_Caecnd es woutanes cas- remmonaRaM dos Blaern Porcanak oo. Procisos so ce CFU Dependawisde proce sehen sory comocraetos conesiones Coverines cuss conotas PC Nowsiabr ere voervidores scion pregame on nian Pe Gob de mre wea ates are roresines Socumertos snimprimic Estado) SYAPAMO, | spuacnos ccives Yyorscipion deks docuventes que (GRRTCE, conlonenupoe Setar marine ercerelsy cables —_____ BSiieei ‘Sreceooe ra ytora——_Fachayrhor aot ogra fe szona Zara nrana Sncroiavones cpaathe ‘onsovisos do heraon ntrot foxay Caracteristioas. eto Redide BETO Conepeian fone organeanin Snfore actos Vins de ed Manual da actuaciin an al agar dal hecho ylovtcana del dato | OYProtocob unificado de los minsterios pablcos dela Republica Argentina ienteaconde ae Papetsimprene _eolerctinde papas trios convespldo SPtotoyatasy acts Winrar — canes en ethene: ace omens vibe Ske anresa eco dec RE msayacia mente la evidencia 2.5.4. Medios de almacenamiento Desa dol osbinte Discs aoe acl rt comano aca cere Sol iso dese). rea ssid sewer raynnedewe tudo oooe Capac Botasespadae to rare es en stresde pel Poe CO tae Copa its ‘otros depocitves Precinto de seguri- ‘volatiles antes apo Gad Ketscin de deagagar slereros eon ead etiots Seip notebooks, Marca. Capacidad Color ‘grafias y actas tabs a fengros, ed mp4 foods