II Congreso Mercosur de Derecho Informático

Villa Carlos Paz 12, 13 y 14 de Noviembre

de 2008

“La evidencia digital y celular bien incorporada en un proceso

judicial"
► Agenda

► Definiciones

► Evidencia Digital

► Trabajo de Campo y de Laboratorio en Informática Forense

► Interdisciplina

► Trabajo de Campo y de Laboratorio en Telefonía Forense

► Interdisciplina

► Consideraciones finales

“La evidencia digital y celular bien incorporada en un proceso judicial"

 INFORMATICA:

Es un acrónimo de dos palabras, “información” y

“automática”.
Según la RAE: Conjunto de conocimientos científicos y
técnicas que hacen posible el tratamiento automático de la
información por medio de ordenadores.

La informática forense es la ciencia que estudia la detección, la

conservación, la protección, la extracción, la documentación y
cualquier otra forma de tratamiento del dato informático para ser
evaluado en un proceso jurídico y estudia, a efectos probatorios, las
técnicas y los instrumentos para el examen metodológico de
sistemas informáticos.
http://it.wikipedia.org/wiki/Informatica_forense

“La evidencia digital y celular bien incorporada en un proceso judicial"

► PERITO:

► Es una persona que posee conocimientos en alguna ciencia o técnica

que lo hace experto.

► PERITO INFORMATICO: Es una persona que posee conocimientos en

informática y por lo tanto lo hace experto en dicha ciencia.

► ROL DEL PERITO: Es acotado y esta circunscripto a un determinado

caso: actúa a solicitud de un Juez para responder a través de su
ciencia o técnica y su experticia los interrogantes que éste le
plantee.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► EVIDENCIA:

► Es un anglicismo (Evidence) y significa: prueba.

► según la RAE es certeza clara y manifiesta de la que nadie
puede dudar.

► EVIDENCIA DIGITAL: Es la prueba recolectada,

autocontenida u obtenida mediante procedimientos
(automáticos o manuales) y que posteriormente se
resguardan en un medio idóneo (disquette, hd, cd, dvd,
tape, otros) y se relacionan a un “delito” que esta siendo
investigado.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► TRABAJO DE CAMPO:

► Son aquellos procedimientos que se efectúan en lugares sindicados

por el Juez a pedido de un Fiscal de Instrucción (allanamiento,
colaboración, otras acciones) que permiten obtener la evidencia
digital para que posteriormente sea analizada Juez de Control, Fiscal
de Instrucción, Perito Judicial, Perito de parte, otros.

► TRABAJO DE LABORATORIO:
► Son aquellos procedimientos que se efectúan en un lugar
técnicamente adecuado (generalmente posterior a un allanamiento
o colaboración) con recursos técnicos y tecnológicos y que permiten
obtener la evidencia digital para que posteriormente sea analizada
por Juez de Control, Fiscal de Instrucción, Perito Judicial, Perito de
parte, otros.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► En el trabajo de campo es factible recolectar información
relacionada a:

► Archivos electrónicos en distintos formatos, de texto, imágenes,

filmaciones de diferentes fuentes, y otros.
► Agrupamiento en un medio conveniente para su traslado y que
constituye la evidencia digital y que posteriormente será objeto
de análisis.

► Propiedades de E mails y/o contenido de e mails.

► Infracción a la Ley 11723.

► Sistemas de información, contable, de administración, otros.

► Secuestro de elementos portantes de información digital para el

tratamiento ulterior en laboratorio.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► En el trabajo de laboratorio, el perito efectúa:

► Imagen forense del medio de almacenamiento (disquete,

memoria flash (memory stick – pen drive), hd), aplica función
HASH a la evidencia (soft: HELIX).
► Autenticación del valor HASH (generador MD5, SHA 1) que
coincida evidencia e imagen.
► Resguardo de la imagen forense en medio adecuado para
ulterior conservación (hd, cd, dvd) y/o acciones periciales
futuras.
► Virtualización de S.O. mediante software adecuado (VM
Ware).
► Búsqueda en archivo imagen de información de interés para
causa judicial (vocablos, expresiones regulares, archivos con
extensiones particulares, otros). (Winex)
► Recuperación de Archivos de archivos borrados en sectores y
slack space

“La evidencia digital y celular bien incorporada en un proceso judicial"

► En el trabajo de laboratorio, el perito efectúa:

► Línea de tiempo de archivos de interés para la causa.

► Comprobación de número de licencias S.O. y Software de

escritorio, otros (Ley 11723).
► Verificación de características técnicas de hardware.
► Análisis de Registro de S.O ej. Windows –registry.
► La confección de Informe Técnico o Dictamen Pericial, contiene:
identificación causa, tribunal interviniente, descripción de material,
objeto, instrumental asociado, operaciones concretadas,
conclusiones, anexos.
► Embalaje adecuado para preservación de la evidencia e imagen
forense.
► Restitución de elementos aportados para estudio al Tribunal de
orígen.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► Trabajo Interdisplinario:

► Si de la labor realizada por el perito informático surgen

elementos para tareas de interdisciplina con otras áreas, se
hace constar, ej, hallazgo de imágenes relacionadas con
falsificación de moneda. Esto puede o no derivar el material
de estudio a otras Dependencias Científicas para actuación
posterior por si cada una o en conjunto.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► CONSIDERACIONES PARA INCORPORAR LA EVIDENCIA DIGITAL

► El perito cuando actúa en el trabajo de campo y en laboratorio,

confecciona un Acta e Informe Técnico respectivamente, para que
sea incorporado a la causa.

► Cadena de Custodia.

► Cuando la información de interés para la causa está relacionada con

la intimidad de las personas, SIEMPRE debe ser autorizado el
relevamiento por el Juez de Control que corresponda por
Jurisdicción.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► Telefonía Celular:

► Sistemas de comunicación celular nacen en la R.A. en el Año 1995,

Tecnología C.D.M.A y T.D.M.A. El terminal estaba ligado directamente con el
prestador de servicio mediante parámetros.

► Año 2004, comienzan prestatarias la migración de CDMA Y TDMA a la

tecnología G.S.M. (Sistema Global de Comunicaciones Móviles), el terminal
no está ligado al prestador de servicio. En la R.A. Agosto de 2008 hay 93
lineas de telefonía celular activas por cada 100 habitantes. Hay 44.4 mill de
aparatos, pero hay aprox. 36 mill lineas activas.

► Con G.S.M. el aparato telefónico posee un I.M.E.I. (Número de

Identificación Móvil Internacional), ligado directamente al fabricante del
equipo, 2 tipos de identificaciones, antes y después de 01 Abril 2004.

► Número de Tarjeta S.I.M. (Módulo de Identificación de Abonado), ligado

directamente con la empresa prestataria.

“La evidencia digital y celular bien incorporada en un proceso judicial"

Estructura de IMEI
15 dígitos
► Antes de 1 – Abril – 2004
► aabbbb-cc-dddddd-e
► aa código de país. aabbbb TAC (type approbal code – diseño
aprobado por organismo GSM)
cc FAC (final assembly code) Fabricante
10, 20 Nokia, 07, 40 Motorola
► dddddd número de serie del equipo
► e dígito verificador

► Después de 1-Abril- 2004

► xxxxxxxx-dddddd-e
► xxxxxxxx TAC (type allocation code – identifica a un
modelo)

► www.numberingplans.com

“La evidencia digital y celular bien incorporada en un proceso judicial"

“La evidencia digital y celular bien incorporada en un proceso judicial"
Estructura de IMSI
International Mobile Subscriber Identity
15 dígitos
► aaa - bb-cccccccccc
► aaa MCC (mobile country code) ARG 722
► bb MNC (mobile network code) Claro 31, Personal 34
► cccccccccc MSIN Mobile Subscriber Identity Number

► La prestataria utiliza el IMSI para construir el HLR (Home Location

Register) permite el ruteo de las llamadas.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► TRABAJO DE CAMPO

► Se realiza en el espacio físico del Juzgado de Control, Lugar del

Allanamiento y Lugar de uso de instrumental específico.

► Condiciones de trabajo con ausencia de elementos de laboratorio, ej.

Instrumental de medición, cargadores por marca y modelo compatibles,
fuente de tensión variable, otros periféricos (lector de tarjeta S.I.M.,
Notebook con grabador de CD o DVD).

► Alto volumen de contenido, agotamiento de carga de baterías,

imponderables.

► Se labra un Acta de cuyo contenido se extrae lo relacionado estrictamente

con la causa, y lo de interés se envía a la Fiscalía de Instrucción solicitante
para que se incorpore a Autos .

“La evidencia digital y celular bien incorporada en un proceso judicial"

► TRABAJO DE LABORATORIO

► Se realiza en el espacio físico del Departamento de

Comunicaciones, Investigación y Desarrollo de Sistemas de
Policía Judicial.

► Condiciones de trabajo más apropiadas por la existencia de

instrumental de medición, fuente de tensión variable, lectores de
tarjeta S.I.M., notebook con grabadoras de CD o DVD.
► Según el objeto de trabajo, pueden intervenir dos categorias de
técnicos (especializado, avanzado), sobre el mismo elemento,
siendo ambos responsables por su labor. Esta modalidad no es
aplicables en Dictamenes Periciales.
► Se confecciona el informe técnico o el dictamen técnico
correspondiente que se eleva a la sede Judicial requirente.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► Informe Técnico o Dictamen Pericial puede ser:
Individual o Interdisciplinario.

► Individual:
 Relevamiento e identificación del elemento bajo estudio (lectura IMEI en
carcasa, Número de tarjeta SIM, marca, modelo y número de elemento
batería), verificación de la integridad física del elemento, apunte de detalles
(golpes, stickers, otros).
 Adecuación para operación (carga de batería)
 Relevamiento de elementos o datos solicitados (método manual y asistido por
pc “imágenes, videos, contenidos SIM”).
 Confección del Informe final. Si del mismo surgen elementos para
interdisciplina se menciona.
 Resguardo de archivos en CD o DVD para acción posterior (aporte a la
investigación o para la interdisciplina).
 Salida a la Dependencia Judicial o Policial requirente.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► Trabajo Interdisplinario:

► Si de la labor del Perito surgen elementos para

interdisciplina, se hace constar, ej, relevamiento de
mensajes de voz, establecer fechas claves en archivos de
imagen o video, impresión de imágenes en papel
fotográfico o resguardo mediante fotografías de cuadros de
un video tomado con un teléfono.
► Esto puede o no derivar el material de estudio a otras
Dependencias Científicas para actuación posterior.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► CONSIDERACIONES PARA INCORPORAR LA EVIDENCIA

► El perito cuando actúa en el trabajo de campo y en laboratorio,

confecciona un Acta o Informe Técnico para que sea incorporado a
la causa.
► Cadena de custodia.
► Datos que se pueden solicitar por la Instrucción:
 El número de abonado, datos filiatorios del titular, períodos de llamadas
de interés, datos estadísticos de transacciones de mensajes de texto. Se
debe aportar el Número de Tarjeta SIM y/o Número de IMEI.
 La información solicitada debe estar contenida en un rango de tiempo .
► Cuando el perito verifica que el número de IMEI no coincide entre el
sticker y el relevado por teclado mediante *#06#, se hace constar
para posteriores diligencias.

► Cuando la información de interés para la causa está relacionada con

la intimidad de las personas, SIEMPRE debe ser autorizado el
relevamiento por el Juez de Control que corresponda por
Jurisdicción.

“La evidencia digital y celular bien incorporada en un proceso judicial"

► MUCHAS GRACIAS

POR SU TIEMPO….

Ing Gustavo Guayanes

gjguayanes@justiciacordoba.gob.ar

“La evidencia digital y celular bien incorporada en un proceso judicial"