I n for m á t ica For e n se

Giova n n i Zu cca r di
Ju a n D a vid Gu t ié r r e z

N ovie m br e de 2 0 0 6

CON TEN I D O

I nt roducción

¿Qué es la I nform át ica Forense?

I m port ancia de la I nform át ica Forense
Obj et ivos de la I nform át ica Forense
Usos de la I nform át ica Forense
Ciencia Forense
Net work Forensics
NFTA ( Net work Forensic Analysis Tool)

Evidencia Digit al
Clasificación de la evidencia digit al
Crit erios de adm isibilidad
Manipulación de la evidencia digit al
Gest ión de la evidencia digit al
Herram ient as

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 1

I n t r odu cción

La inform át ica forense est á adquiriendo una gran im port ancia dent ro del
área de la inform ación elect rónica, est o debido al aum ent o del valor de la
inform ación y/ o al uso que se le da a ést a, al desarrollo de nuevos espacios
donde es usada ( por Ej . El I nt ernet ) , y al ext enso uso de com put adores por
part e de las com pañías de negocios t radicionales ( por Ej . bancos) . Es por
est o que cuando se realiza un crim en, m uchas veces la inform ación queda
alm acenada en form a digit al. Sin em bargo, exist e un gran problem a, debido
a que los com put adores guardan la inform ación de inform ación form a t al
que no puede ser recolect ada o usada com o prueba ut ilizando m edios
com unes, se deben ut ilizar m ecanism os diferent es a los t radicionales. Es de
aquí que surge el est udio de la com put ación forense com o una ciencia
relat ivam ent e nueva.
Resalt ando su caráct er cient ífico, t iene sus fundam ent os en las leyes de la
física, de la elect ricidad y el m agnet ism o. Es gracias a fenóm enos
elect rom agnét icos que la inform ación se puede alm acenar, leer e incluso
recuperar cuando se creía elim inada.
La inform át ica forense, aplicando procedim ient os est rict os y rigurosos
puede ayudar a resolver grandes crím enes apoyándose en el m ét odo
cient ífico, aplicado a la recolección, análisis y validación de t odo t ipo de
pruebas digit ales.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 2

¿Qu é e s la I n for m á t ica For e n se ?

Según el FBI , la inform át ica ( o com put ación) forense es la ciencia de

adquirir, preservar, obt ener y present ar dat os que han sido procesados
elect rónicam ent e y guardados en un m edio com put acional [ ReEx00] .

La inform át ica forense hace ent onces su aparición com o una disciplina
auxiliar de la j ust icia m oderna, para enfrent ar los desafíos y t écnicas de los
int rusos inform át icos, así com o garant e de la verdad alrededor de la
evidencia digit al que se pudiese aport ar en un proce[ Acis06] .

Desde 1984, el Laborat orio del FBI y ot ras agencias que persiguen el
cum plim ient o de la ley em pezaron a desarrollar program as para exam inar
evidencia com put acional.

Dent ro de lo forense encont ram os varias definiciones [ Acis06] :

Com put ación forense ( com put er forensics) que ent endem os por disciplina
de las ciencias forenses, que considerando las t areas propias asociadas con
la evidencia, procura descubrir e int erpret ar la inform ación en los m edios
inform át icos para est ablecer los hechos y form ular las hipót esis
relacionadas con el caso; o com o la disciplina cient ífica y especializada que
ent endiendo los elem ent os propios de las t ecnologías de los equipos de
com put ación ofrece un análisis de la inform ación resident e en dichos
equipos.

Forensia en redes ( net work forensics)

Es un escenario aún m ás com plej o, pues es necesario com prender la
m anera com o los prot ocolos, configuraciones e infraest ruct uras de
com unicaciones se conj ugan para dar com o result ado un m om ent o
específico en el t iem po y un com port am ient o part icular.
Est a conj unción de palabras est ablece un profesional que ent endiendo las
operaciones de las redes de com put adores, es capaz, siguiendo los
prot ocolos y form ación crim inalíst ica, de est ablecer los rast ros, los
m ovim ient os y acciones que un int ruso ha desarrollado para concluir su
acción. A diferencia de la definición de com put ación forense, est e cont ext o
exige capacidad de correlación de event o, m uchas veces disyunt os y
aleat orios, que en equipos part iculares, es poco frecuent e.

Forensia digit al ( digit al forensics)

Form a de aplicar los concept os, est rat egias y procedim ient os de la
crim inalíst ica t radicional a los m edios inform át icos especializados, con el fin
de apoyar a la adm inist ración de j ust icia en su lucha cont ra los posibles
delincuent es o com o una disciplina especializada que procura el
esclarecim ient o de los hechos ( ¿quién?, ¿cóm o?, ¿dónde?, ¿cuándo?,
¿porqué?) de event os que podrían cat alogarse com o incident es, fraudes o
usos indebidos bien sea en el cont ext o de la j ust icia especializada o com o
apoyo a las acciones int ernas de las organizaciones en el cont ext o de la
adm inist ración de la inseguridad inform át ica.

I m por t a n cia de la I nfor m á t ica For e n se

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 3

" High- t ech crim e is one of t he m ost im port ant priorit ies of t he Depart m ent
of Just ice" [ JaRe96] . Con est a frase podem os ver cóm o poco a poco los
crím enes inform át icos, su prevención, y procesam ient o se vuelven cada vez
m ás im port ant es. Est o es respaldado por est udios sobre el núm ero de
incident es report ados por las em presas debido a crím enes relacionados con
la inform át ica. ( Ver [ CERT06] )
Sin em bargo, la im port ancia real de la inform át ica forense proviene de sus
obj et ivos.

Obj e t ivos de la I n for m á t ica For e n se

La inform át ica forense t iene 3 obj et ivos, a saber:

1. La com pensación de los daños causados por los crim inales o

int rusos.
2. La persecución y procesam ient o j udicial de los crim inales.
3. La creación y aplicación de m edidas para prevenir casos sim ilares.

Est os obj et ivos son logrados de varias form as, ent re ellas, la principal es la
recolección de evidencia.

Usos de la I n for m á t ica For e n se [ I nfFor01]

Exist en varios usos de la inform át ica forense, m uchos de est os usos

provienen de la vida diaria, y no t ienen que est ar direct am ent e relacionados
con la inform át ica forense:

1. Prosecución Crim inal: Evidencia incrim inat oria puede ser usada
para procesar una variedad de crím enes, incluyendo hom icidios,
fraude financiero, t ráfico y vent a de drogas, evasión de im puest os o
pornografía infant il.
2. Lit igación Civil: Casos que t rat an con fraude, discrim inación,
acoso, divorcio, pueden ser ayudados por la inform át ica forense.
3. I nvest igación de Seguros: La evidencia encont rada en
com put adores, puede ayudar a las com pañías de seguros a
dism inuir los cost os de los reclam os por accident es y
com pensaciones.
4. Tem as corporat ivos: Puede ser recolect ada inform ación en casos
que t rat an sobre acoso sexual, robo, m al uso o apropiación de
inform ación confidencial o propiet aria, o aún de espionaj e indust rial.
5. Mant enim ient o de la ley: La inform át ica forense puede ser usada
en la búsqueda inicial de órdenes j udiciales, así com o en la
búsqueda de inform ación una vez se t iene la orden j udicial para
hacer la búsqueda exhaust iva.

Cie n cia For e n se

La ciencia forense nos proporciona los principios y t écnicas que facilit an la

invest igación del delit o crim inal, en ot ras palabras: cualquier principio o
t écnica que puede ser aplicada para ident ificar, recuperar, reconst ruir o

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 4

analizar la evidencia durant e una invest igación crim inal form a part e de la
ciencia forense. [ ForI RT01]

Los principios cient íficos que hay det rás del procesam ient o de una evidencia
son reconocidos y usados en procedim ient os com o:

•
•
Recoger y exam inar huellas dact ilares y ADN.

•
Recuperar docum ent os de un disposit ivo dañado.

•
Hacer una copia exact a de una evidencia digit al.
Generar una huella digit al con un algorit m o hash MD5 o SHA1 de un

•
t ext o para asegurar que est e no se ha m odificado.
Firm ar digit alm ent e un docum ent o para poder afirm ar que es
aut ént ico y preservar la cadena de evidencias.

Un forense aport a su ent renam ient o para ayudar a los invest igadores a
reconst ruir el crim en y encont rar pist as. Aplicando un m ét odo cient ífico
analiza las evidencias disponibles, crea hipót esis sobre lo ocurrido para
crear la evidencia y realiza pruebas, cont roles para confirm ar o cont radecir
esas hipót esis. Est o puede llevar a una gran cant idad de posibilidades sobre
lo que pudo ocurrir, est o es debido a que un forense no puede conocer el
pasado, no puede saber qué ocurrió ya que sólo dispone de una inform ación
lim it ada. Por est o, sólo puede present ar posibilidades basadas en la
inform ación lim it ada que posee.

Un principio fundam ent al en la ciencia forense, que usarem os

cont inuam ent e para relacionar un crim inal con el crim en que ha com et ido,
es el Principio de I nt ercam bio o t ransferencia de Locard, ( Edm ond Locard,
francés fundador del inst it ut o de crim inalist ica de la universidad de Lion,
podem os ver el esquem a en la figura 1.

Escena del crim en

Evidencia

Sospechoso Víct im a

Figu r a 1 : Pr in cipio de t r a n sfe r e n cia de Loca r d.

Est e principio fundam ent al viene a decir que cualquiera o cualquier obj et o
que ent ra en la escena del crim en dej a un rast ro en la escena o en la
víct im a y vice- versa ( se lleva consigo) , en ot ras palabras: “ cada cont act o
dej a un rast ro” . En el m undo real significa que si piso la escena del crim en
con t oda seguridad dej aré algo m ío ahí, pelo, sudor, huellas, et c. Pero
t am bién m e llevaré algo conm igo cuando abandone la escena del crim en, ya
sea barro, olor, una fibra, et c. Con algunas de est as evidencias, los forenses
podrán dem ost rar que hay una posibilidad m uy alt a de que el crim inal
est uviera en la escena del crim en.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 5

En est e ej em plo hem os hablado de evidencias físicas, en la ciencia forense
t radicional hay varios t ipos de evidencias físicas:

• Evide ncia t r a nsit or ia : com o su nom bre indica es t em poral por

nat uraleza, por ej em plo un olor, la t em perat ura, o unas let ras sobre

•
la arena o nieve ( un obj et o blando o cam biant e) .
Evide n cia cu r so o pa t r ón: producidas por cont act o, por ej em plo la
t rayect oria de una bala, un pat rón de rot ura de un crist al, pat rones

•
de posicionam ient o de m uebles, et c.
Evide n cia con dicion a l: causadas por una acción o un event o en la
escena del crim en, por ej em plo la localización de una evidencia en
relación con el cuerpo, una vent ana abiert a o cerrada, una radio

•
encendida o apagada, dirección del hum o, et c.
Evide n cia t r a n sfe r ida : generalm ent e producidas por cont act o ent re
personas, ent re obj et os o ent re personas y obj et os. Aquí descubrim os
el con ce pt o de r e la ción.

En la práct ica las evidencias t ransferidas se dividen en dos t ipos, conocidas

com o:

•
•
Transferencia por r a st r o: aquí ent ra la sangre, sem en, pelo, et c.
Transferencia por h u e lla : huellas de zapat o, dact ilares, et c.

Aunque en la realidad, est as últ im as suelen m ezclarse, por ej em plo una

huella de zapat o sobre un charco de sangre.

El principio de int ercam bio de Locard se puede resum ir así:

1. El sospechoso se llevará lej os algún rast ro de la escena y de la

víct im a.
2. La víct im a ret endrá rest os del sospechoso y puede dej ar rast ros de si
m ism o en el sospechoso.
3. El sospechoso dej ará algún rast ro en la escena.

El obj et ivo es est ablecer una relación ent re los diferent es com ponent es:

•
•
la escena del crim en

•
la víct im a

•
la evidencia física
el sospechoso

Para la correct a resolución del caso, t odos est os com ponent es deben est ar
relacionados. Est o se conoce com o el con ce pt o de r e la ción, que es lo que
nos falt aba para com plet ar el principio de int ercam bio de Locard.

Las evidencias pueden, a su vez, ser t ransferidas de dos form as dist int as:

1. Transferencia direct a: cuando es t ransferida desde su origen a ot ra

persona u obj et o de form a direct a.
2. Transferencia indirect a: cuando es t ransferida direct am ent e a una
localización y, de nuevo, es t ransferida a ot ro lugar.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 6

I m port ant e resalt ar que cualquier cosa y t odo puede ser una evidencia.

Brevem ent e, la ciencia forense facilit a las herram ient as, t écnicas y m ét odos
sist em át icos ( pero cient íficos) que pueden ser usados para analizar una
evidencia digit al y usar dicha evidencia para reconst ruir qué ocurrió durant e
la realización del crim en con el últ im o propósit o de relacionar al aut or, a la
víct im a y la escena del crim en.

N e t w or k For e n sics

Forensia en redes, es un escenario aún m ás com plej o, pues es necesario

com prender la m anera com o los prot ocolos, configuraciones e
infraest ruct uras de com unicaciones se conj ugan para dar com o result ado un
m om ent o específico en el t iem po y un com port am ient o part icular. Est a
conj unción de palabras est ablece un profesional que ent endiendo las
operaciones de las redes de com put adores, es capaz, siguiendo los
prot ocolos y form ación crim inalíst ica, de est ablecer los rast ros, los
m ovim ient os y acciones que un int ruso ha desarrollado para concluir su
acción. A diferencia de la definición de com put ación forense, est e cont ext o
exige capacidad de correlación de event o, m uchas veces disyunt os y
aleat orios, que en equipos part iculares, es poco frecuent e [ Acis06] .

Es la capt ura, alm acenam ient o y análisis de los event os de una red, para
descubrir el origen de un at aque o un posible incident e.

N FTA ( N e t w or k For e n sic An a lysis Tool)

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 7

Evide n cia D igit a l

Casey define la evidencia de digit al com o “ cualquier dat o que puede

est ablecer que un crim en se ha ej ecut ado ( com m it ) o puede proporcionar
una enlace ( link) ent re un crim en y su víct im a o un crim en y su aut or” .
[ Casey04]

“ Cualquier inform ación, que suj et a a una int ervención hum ana u ot ra
sem ej ant e, ha sido ext raída de un m edio inform át ico” [ HBI T03]

A diferencia de la docum ent ación en papel, la evidencia com put acional es

frágil y una copia de un docum ent o alm acenado en un archivo es idént ica al
original. Ot ro aspect o único de la evidencia com put acional es el pot encial de
realizar copias no aut orizadas de archivos, sin dej ar rast ro de que se realizó
una copia. [ Com Evi02] . Est a sit uación crea problem as concernient es a la
invest igación del robo de secret os com erciales, com o list as de client es,
m at erial de invest igación, archivos de diseño asist idos por com put ador,
fórm ulas y soft ware propiet ario.
Debe t enerse en cuent a que los dat os digit ales adquiridos de copias no se
deben alt erar de los originales del disco, porque est o invalidaría la
evidencia; por est o los invest igadores deben revisar con frecuencia que sus
copias sean exact as a las del disco del sospechoso, para est o se ut ilizan
varias t ecnologías, com o por ej em plo checksum s o hash MD5 [ DaVa01] .

Cuando ha sucedido un incident e, generalm ent e, las personas involucradas

en el crim en int ent an m anipular y alt erar la evidencia digit al, t rat ando de
borrar cualquier rast ro que pueda dar m uest ras del daño. Sin em bargo, est e
problem a es m it igado con algunas caract eríst icas que posee la evidencia
digit al. [ Casey04]

• La evidencia de Digit al puede ser duplicada de form a exact a y se

puede sacar una copia para ser exam inada com o si fuera la original.
Est o se hace com únm ent e para no m anej ar los originales y evit ar el

•
riesgo de dañarlos.
Act ualm ent e, con las herram ient as exist ent es, se m uy fácil com parar
la evidencia digit al con su original, y det erm inar si la evidencia digit al
ha sido alt erada.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 8

 • La evidencia de Digit al es m uy difícil de elim inar. Aún cuando un
regist ro es borrado del disco duro del com put ador, y ést e ha sido

•
form at eado, es posible recuperarlo.
Cuando los individuos involucrados en un crim en t rat an de dest ruir la
evidencia, exist en copias que perm anecen en ot ros sit ios.

Cla sifica ción de la e vide n cia digit a l

Cano clasifica la evidencia digit al que cont iene t ext o en 3 cat egorías
[ EviDig05] :

Regist ros generados por com put ador: Est os regist ros son aquellos, que
com o dice su nom bre, son generados com o efect o de la program ación de un
com put ador. Los regist ros generados por com put ador son inalt erables por
una persona. Est os regist ros son llam ados regist ros de event os de
seguridad ( logs) y sirven com o prueba t ras dem ost rar el correct o y
adecuado funcionam ient o del sist em a o com put ador que generó el regist ro.

Regist ros no generados sino sim plem ent e alm acenados por o en
com put adores: Est os regist ros son aquellos generados por una persona, y
que son alm acenados en el com put ador, por ej em plo, un docum ent o
realizado con un procesador de palabras. En est os regist ros es im port ant e
lograr dem ost rar la ident idad del generador, y probar hechos o afirm aciones
cont enidas en la evidencia m ism a. Para lo ant erior se debe dem ost rar
sucesos que m uest ren que las afirm aciones hum anas cont enidas en la
evidencia son reales.

Regist ros híbridos que incluyen t ant o regist ros generados por com put ador
com o alm acenados en los m ism os: Los regist ros híbridos son aquellos que
com binan afirm aciones hum anas y logs. Para que est os regist ros sirvan
com o prueba deben cum plir los dos requisit os ant eriores.

Cr it e r ios de a dm isibilida d
En legislaciones m odernas exist en cuat ro crit erios que se deben t ener en
cuent a para analizar al m om ent o de decidir sobre la adm isibilidad de la
evidencia: la aut ent icidad, la confiabilidad, la com plet it ud o suficiencia, y el
apego y respet o por las leyes y reglas del poder j udicial [ Adm Evi03] .

Aut ent icidad: Una evidencia digit al será aut ent ica siem pre y cuando se

• El prim ero, dem ost rar que dicha evidencia ha sido generada y
cum plan dos elem ent os:

• La segunda, la evidencia digit al debe m ost rar que los m edios

regist rada en el lugar de los hechos

originales no han sido m odificados, es decir, que la los regist ros

corresponden efect ivam ent e a la realidad y que son un fiel reflej o de
la m ism a.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 9

A diferencia de los m edios no digit ales, en los digit ales se present a gran
volat ilidad y alt a capacidad de m anipulación. Por est a razón es im port ant e
aclarar que es indispensable verificar la aut ent icidad de las pruebas
present adas en m edios digit ales cont rario a los no digit ales, en las que
aplica que la aut ent icidad de las pruebas aport adas no será refut ada, de
acuerdo por lo dispuest o por el art ículo 11 de la ley 446 de 1998:
“ Aut ent icidad de docum ent os. En t odos los procesos, los docum ent os
privados present ados por las part es para ser incorporados a un expedient e
j udicial con fines probat orios, se reput arán aut ént icos, sin necesidad de
present ación personal ni aut ent icación. Todo ello sin perj uicio de lo
dispuest o en relación con los docum ent os em anados de t erceros” [ Ley446] .

Para asegurar el cum plim ient o de la aut ent icidad se requiere que una
arquit ect ura exhiba m ecanism os que cert ifiquen la int egridad de los
archivos y el cont rol de cam bios de los m ism os.

Confiabilidad: Se dice que los regist ros de event os de seguridad son

confiables si provienen de fuent es que son “ creíbles y verificable”
[ Adm Evi03] . Para probar est o, se debe cont ar con una arquit ect ura de
com put ación en correct o funcionam ient o, la cual dem uest re que los logs
que genera t iene una form a confiable de ser ident ificados, recolect ados,
alm acenados y verificados.

Una prueba digit al es confiable si el “ sist em a que lo produj o no ha sido

violado y est aba en correct o funcionam ient o al m om ent o de recibir,
alm acenar o generar la prueba” [ EviDig05] . La arquit ect ura de com put ación
del sist em a logrará t ener un funcionam ient o correct o siem pre que t enga
algún m ecanism o de sincronización del regist ro de las acciones de los
usurarios del sist em a y que a posea con un regist ro cent ralizado e ínt egro
de los m ism os regist ros.

Suficiencia o com plet it ud de las pruebas: Para que una prueba est é
considerada dent ro del crit erio de la suficiencia debe est ar com plet a. Para
asegurar est o es necesario “ cont ar con m ecanism os que proporcionen
int egridad, sincronización y cent ralización” [ Adm Evi03] para lograr t ener
una vist a com plet a de la sit uación. Para lograr lo ant erior es necesario
hacer una verdadera correlación de event os, la cual puede ser m anual o
sist em at izada.

Apogeo y respet o por las leyes y reglas del poder j udicial: Est e crit erio se
refiere a que la evidencia digit al debe cum plir con los códigos de
procedim ient os y disposiciones legales del ordenam ient o del país. Es decir,
debe respet ar y cum plir las norm as legales vigent es en el sist em a j urídico.

M a n ipu la ción de la e vide n cia digit a l

Es im port ant e t ener present e los siguient es requisit os que se deben cum plir
en cuant o a la m anipulación de la evidencia digit al.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 10

 • Hacer uso de m edios forenses est ériles ( para copias de inform ación)

• Mant ener y cont rolar la int egridad del m edio original. Est o significa,
que a la hora de recolect ar la evidencia digit al, las acciones realizadas
no deben cam biar nunca est a evidencia.

• Cuando sea necesario que una persona t enga acceso a evidencia

digit al forense, esa persona debe ser un profesional forense.

• Las copias de los dat os obt enidas, deben est ar correct am ent e
m arcadas, cont roladas y preservadas. Y al igual que los result ados de
la invest igación, deben est ar disponibles para su revisión.

• Siem pre que la evidencia digit al est e en poder de algún individuo,

ést e será responsable de t odas la acciones t om adas con respect o a
ella, m ient ras est é en su poder.

• Las agencias responsables de llevar el proceso de recolección y

análisis de la evidencia digit al, serán quienes deben garant izar el
cum plim ient o de los principios ant eriores.

Ge st ión de la Evide ncia digit a l

Exist en gran cant idad de guías y buenas práct icas que nos m uest ran com o
llevar acabo la gest ión de la evidencia digit al
Las guías que se ut ilizan t ienen com o obj et ivo ident ificar evidencia digit al
con el fin de que pueda ser usada dent ro de una invest igación. Est as guías
se basan en el m ét odo cient ífico para concluir o deducir algo acerca de la
inform ación. Present an una serie de et apas para recuperar la m ayor
cant idad de fuent es digit ales con el fin de asist ir en la reconst rucción
post erior de event os. Exist en diferent es t ipos de plant eam ient os, est os
varían dependiendo del crit erio de la inst it ución y/ o personas que definen la
guía, com o se define a cont inuación.

Gu ía s M e j or e s Pr á ct ica s

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 11

A cont inuación se enuncian siet e guías exist ent es a nivel m undial de
m ej ores práct icas en com put ación forense.

RFC 3 2 2 7
El “ RFC 3227: Guía Para Recolect ar y Archivar Evidencia” ( Guidelines for
Evidence Collect ion and Archiving) [ GuEvCo02] , escrit o en febrero de 2002
por Dom inique Brezinski y Tom Killalea, ingenieros del Net work Working
Group. Es un docum ent o que provee una guía de alt o nivel para recolect ar y
archivar dat os relacionados con int rusiones. Muest ra las m ej ores práct icas
para det erm inar la volat ilidad de los dat os, decidir que recolect ar,
desarrollar la recolección y det erm inar com o alm acenar y docum ent ar los
dat os. Tam bién explica algunos concept os relacionados a la part e legal. Su
est ruct ura es:
a) Principios durant e la recolección de evidencia: orden de volat ilidad de los
dat os, cosas para evit ar, consideraciones de privacidad y legales.
b) El proceso de recolección: t ransparencia y pasos de recolección.
c) El proceso de archivo: la cadena de cust odia y donde y com o archivar.

Gu ía de la I OCE
La I OCE [ I OCE06] , publico “ Guía para las m ej ores pract icas en el exam en
forense de t ecnología digit al”
( Guidelines for t he best pract ices in t he forensic exam inat ion of digit al
t echnology) [ I OCE02] . El docum ent o provee una serie de est ándares,
principios de calidad y aproxim aciones para la det ección prevención,
recuperación, exam inación y uso de la evidencia digit al para fines forenses.
Cubre los sist em as, procedim ient os, personal, equipo y requerim ient os de
com odidad que se necesit an para t odo el proceso forense de evidencia
digit al, desde exam inar la escena del crim en hast a la present ación en la
cort e. Su est ruct ura es:

a) Garant ía de calidad ( enunciados generales de roles, requisit os y pruebas

de apt it ud del personal, docum ent ación, herram ient as y validación de las
m ism as y espacio de t rabaj o) .
b) Det erm inación de los requisit os de exam en del caso.
c) Principios generales que se aplican a la recuperación de la evidencia
digit al ( recom endaciones generales, docum ent ación y responsabilidad) .
d) Práct icas aplicables al exam en de la evidencia de digit al.
e) Localización y recuperación de la evidencia de digit al en la escena:
precauciones, búsqueda en la escena, recolección de la evidencia y
em paquet ado, et iquet ando y docum ent ación.
f) Priorización de la evidencia.
g) Exam inar la evidencia: prot ocolos de análisis y expedient es de caso.
h) Evaluación e int erpret ación de la evidencia
i) Present ación de result ados ( inform e escrit o) .
j ) Revisión del archivo del caso: Revisión t écnica y revisión adm inist rat iva.
k) Present ación oral de la evidencia.
l) Procedim ient os de seguridad y quej as.

I n ve st iga ción e n la Esce n a de l Cr im e n Ele ct r ón ico ( Gu ía D oJ 1 )

El Depart am ent o de Just icia de los Est ados Unidos de Am érica ( DoJ EEUU) ,
publico “ I nvest igación En La Escena Del Crim en Elect rónico” ( Elect ronic
Crim e Scene I nvest igat ion: A Guide for First Responders) [ ElCr01] . Est a

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 12

guía se enfoca m ás que t odo en ident ificación y recolección de evidencia. Su
est ruct ura es:

a) Disposit ivos elect rónicos ( t ipos de disposit ivos se pueden encont rar y
cual puede ser la posible evidencia) .
b) Herram ient as para invest igar y equipo.
c) Asegurar y evaluar la escena.
d) Docum ent ar la escena.
e) Recolección de evidencia.
f) Em paque, t ransport e y alm acenam ient o de la evidencia.
g) Exam en forense y clasificación de delit os.
h) Anexos ( glosario, list as de recursos legales, list as de recursos t écnicos y
list as de recursos de ent renam ient o) .

Ex a m e n For e n se de Evide n cia D igit a l ( Gu ía D oJ 2 )

Ot ra guía del DoJ EEUU, es “ Exam en Forense de Evidencia Digit al” ( Forensic
Exam inat ion of Digit al Evidence: A Guide for Law Enforcem ent ) [ FoEx04] .
Est a guía est a pensada para ser usada en el m om ent o de exam inar la
evidencia digit al. Su est ruct ura es:

a) Desarrollar polít icas y procedim ient os con el fin de darle un buen t rat o a
la evidencia.
b) Det erm inar el curso de la evidencia a part ir del alcance del caso.
c) Adquirir la evidencia.
d) Exam inar la evidencia.
e) Docum ent ación y report es.
f) Anexos ( casos de est udio, glosario, form at os, list as de recursos t écnicos y
list as de recursos
de ent renam ient o) .

Com pu t a ción For e n se - Pa r t e 2 : M e j or e s Pr á ct ica s ( Gu ía H on g Kon g)

El I SFS, I nform at ion Securit y and Forensic Societ y ( Sociedad de Seguridad
I nform at ica y Forense) creada en Hong Kong, publico “ Com put ación Forense
- Part e 2: Mej ores Pract icas” ( Com put er Forensics – Part 2: Best Pract ices)
[ CoFor04] . Est a guía cubre los procedim ient os y ot ros requerim ient os
necesarios involucrados en el proceso forense de evidencia digit al, desde el
exam en de la escena del crim en hast a la present ación de los report es en la
cort e. Su est ruct ura es:

a) I nt roducción a la com put ación forense.

b) Calidad en la com put ación forense.
c) Evidencia digit al.
d) Recolección de Evidencia.
e) Consideraciones legales ( orient ado a la legislación de Hong Kong) .
f) Anexos.

Gu ía D e Bu e na s Pr á ct ica s Pa r a Evide n cia Ba sa da En Com pu t a dor e s

( Gu ía Re in o Un ido)
La ACPO, Associat ion of Chief Police Officers ( Asociación de Jefes de Policía) ,
del Reino Unido m ediant e su depart am ent o de crim en por com put ador,
publico “ Guía de Buenas Pract icas para Evidencia basada en Com put adores”
( Good Pract ice Guide For Com put er Based Evidence) [ GoPra99] . La policía

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 13

creó est e docum ent o con el fin de ser usado por sus m iem bros com o una
guía de buenas práct icas para ocuparse de com put adores y de ot ros
disposit ivos elect rónicos que puedan ser evidencia. Su est ruct ura es:

a) Los principios de la evidencia basada en com put adores.

b) Oficiales at endiendo a la escena.
c) Oficiales invest igadores.
d) Personal para la recuperación de evidencia basada en com put adores.
e) Test igos de consult a ext ernos.
f) Anexos ( legislación relevant e, glosario y form at os)

Gu ía Pa r a El M a n e j o D e Evide n cia En I T ( Gu ía Au st r a lia )

St andards Aust ralia ( Est ándares de Aust ralia) publico “ Guía Para El Manej o
De Evidencia En I T” ( HB171: 2003 Handbook Guidelines for t he
m anagem ent of I T evidence) [ HBI T03] . Est a guía no est a disponible para su
libre dist ribución, por est o para su invest igación se consult aron los art ículos
“ Buenas Práct icas En La Adm inist ración De La Evidencia Digit al”
[ BueAdm 06] y “ New Guidelines t o Com bat ECrim e” [ NeGu03] . Es una guía
creada con el fin de asist ir a las organizaciones para com bat ir el crim en
elect rónico. Est ablece punt os de referencia para la preservación y
recolección de la evidencia digit al.
Det alla el ciclo de adm inist ración de evidencia de la siguient e form a:

a) Diseño de la evidencia.
b) Producción de la evidencia.
c) Recolección de la evidencia.
d) Análisis de la evidencia.
e) Report e y present ación.
f) Det erm inación de la relevancia de la evidencia.

H e r r a m ie n t a s

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 14

Figu r a s

Figu r a 1 : Principio de t ransferencia de Locard.

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 15

Bibliogr a fía

[ ReEx00] Michael G. Noblet t . ( 2000) Recovering and Exam ining Com put er
Forensic Evidence. Disponible en:
ht t p: / / w w w.fbi.gov/ hq/ lab/ fsc/ backissu/ oct 2000/ com put er.ht m

[ ScWo00] Scient ific Working Group on Digit al Evidence ( SWGDE) ( 2000)

Digit al Evidence: St andards and Principles. Disponible en:
ht t p: / / w w w.fbi.gov/ hq/ lab/ fsc/ backissu/ april2000/ swgde.ht m

[ I nfFor01] Óscar López, Haver Am aya, Ricardo León. ( 2001) I nform át ica
forense: generalidades, aspect os t écnicos y herram ient as

[ ForI RT01] Ant onio Javier García Mart ínez. ( 2001) LA FORMACI ÓN DE UN
I RT ( I ncident Response Team ) FORENSE

[ Com Evi01] Com put er Evidence Defined

ht t p: / / w w w.forensics- int l.com / def3.ht m l

[ BueAdm 06] Cano Mart ines Jeim y José. ( 2006) Buenas práct icas en la
adm inist ración de la evidencia digit al Disponible:
ht t p: / / gect i.uniandes.edu.co/ docs/ buenas% 20pract ica% 20evidencia% 20dig
it al% 20j cano.pdf [ May 2006]

[ DaVa01] Brian Deering. Dat a Validat ion Using The Md5 Hash
ht t p: / / w w w.forensics- int l.com / art 12.ht m l

[ JaRe96] Janet Reno, U.S. At t orney General, Oct 28, 1996

[ CERT06] CERT/ CC St at ist ics 1988- 2006 Disponible en:

ht t p: / / w w w.cert .org/ st at s/ cert _st at s.ht m l

[ HBI T03] HB171: 2003 Handbook Guidelines for t he m anagem ent of I T

evidence Disponible en:

ht t p: / / unpan1.un.org/ int radoc/ groups/ public/ docum ent s/ APCI TY/ UNPAN016
411.pdf

[ Casey04] CASEY, Eoghan. “ Digit al Evidence and Com put er Crim e: Forensic
Science, Com put ers, and t he I nt ernet ” . 2004

[ EviDig05] Cano Mart ines Jeim y José, Mosquera González José Alej andro,
Cert ain Jaram illo Andrés Felipe. Evidencia Digit al: cont ext o, sit uación e
im plicaciones nacionales. Abril de 2005.
ht t p: / / derecho.uniandes.edu.co/ derecho1/ export / derecho/ descargas/ t ext o/
NasTecnologias6.pdf

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 16

[ Adm Evi03] Cano Mart ines Jeim y José. Adm isibilidad de la Evidencia Digit al:
Algunos Elem ent os de Revisión y Análisis. Agost o de 2003. ht t p: / / www.alfa-
redi.org/ rdi- art iculo.sht m l?x= 1304

[ Ley446] Ley 446 de Julio de 1998,

ht t p: / / w w w.sic.gov.co/ Norm at ividad/ Leyes/ Ley% 20446- 98.php
[ ElCr01] US DEPARTMENT OF JUSTI CE, Elect ronic Crim e Scene
I nvest igat ion: A Guide for First Responders, 2001

[ GuEvCo02] BREZI NSKI , D. y KI LLALEA, T. ( 2002) RFC 3227: Guidelines for

Evidence Collect ion and Archiving. Net work Working Group. February.
Disponible: ht t p: / / w ww.rfcedit or.org/ rfc/ rfc3227.t xt

[ I OCE02] . I OCE, Guidelines for t he best pract ices in t he forensic

exam inat ion of digit al t echnology, 2002. Disponible:
ht t p: / / w w w.ioce.org/ 2002/ ioce_bp_exam _digit _t ech.ht m l

[ I OCE06] . I OCE, I nt ernat ional Organizat ion of Com put er Evidence.

Disponible: ht t p: / / w ww.ioce.org

[ FoEx04] US DEPARTMENT OF JUSTI CE, Forensic exam inat ion of digit al

evidence. A guide for law enforcem ent . Special Report , 2004

[ CoFor04] . I NFORMATI ON SECURI TY AND FORENSI CS. Com put er forensics.

Part 2: Best Pract ices, 2004 Disponible:
ht t p: / / w w w.isfs.org.hk/ publicat ions/ Com put erForensics/ Com put erForensics
_part 2.pdf

[ GoPra99] . ASSOCI ATI ON OF CHI EF POLI CE OFFI CERS Good pract ice guide
for com put er based evidence, 1999. Disponible: ht t p: / / www.digit al-
det ect ive.co.uk/ docum ent s/ acpo.pdf

[ NeGu03] . GODFREY, T. New Guidelines t o Com bat E- Crim e, 2003.

Disponible: ht t p: / / ww w.saiglobal.com / new sroom / t gs/ 2003-
09/ cyberforensics/ cyberforensics.ht m

[ Acis06] Cano Mart ines Jeim y José. I nt roducción a la inform át ica forense.
Revist a ACI S Junio de 2006 Disponible en:
ht t p: / / w w w.acis.org.co/ fileadm in/ Revist a_96/ dos.pdf

I nform át ica Forense. Juan David Gut ierrez Giovanni Zuccardi 17