Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS
ÍNDICE
Contenido
1. Introducción .............................................................................................................................................................................................. 4
3. RFC 3227 «Guidelines for Evidence Collection and Archiving» o Directrices para la
recopilación de evidencias y su almacenamiento. ...................................................................................................... 4
1. Introducción
En este tema se procederá a la reseña de los principales estándares y normas ampliamente
reconocidas por la comunidad científica y las principales Organizaciones Internacionales de
Normalización, así como la conceptualización realizada por estos peritos sobre el objeto de
implementar el marco teórico solicitado haciendo especial énfasis en la Cadena de Custodia.
Internet, que crea las RFC (Resquest for Comments). Uno de estos documentos de referencia es el
"RFC 3227".
NORMAS Y PRINCIPIOS FUNDAMENTALES DEL
ANÁLISIS FORENSE EN LA COMUNIDAD CIENTÍFICA WWW.EICYC.COM
INTERNACIONAL
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 5
ANÁLISIS DE CASOS
Es uno de los referentes en relación a la actuación y pautas a seguir a la hora de realizar un análisis
de pruebas digitales.
El INCIBE (Instituto Nacional de Ciberseguridad) define las RFC "Request For Comments" como
documentos que recogen propuestas de expertos en un campo concreto, con el fin de establecer,
por ejemplo, una serie de pautas para llevar a cabo un proceso, la creación de estándares o la
implementación de un protocolo. Así, el RFC 3227 es un documento que contiene directrices para la
recogida y el almacenamiento de pruebas, y es ampliamente utilizado como estándar para la
recogida de pruebas digitales.
Los puntos más importantes especificados en esta norma para este proceso son:
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y eliminar los agentes
externos que puedan hacerlo.
• Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de
distinta manera.
1) Orden de volatilidad: El orden de volatilidad hace referencia al período de tiempo en el que está
accesible cierta información. Es por ello por lo que se debe recolectar en primer lugar aquella
información que vaya a estar disponible durante el menor período de tiempo, es decir, aquella cuya
volatilidad sea mayor.
5
2) Acciones que deben evitarse: Se deben evitar las siguientes acciones con el fin de no invalidar el
Página
• No confiar en la información proporcionada por los programas del sistema ya que pueden
haberse visto comprometidos. Se debe recopilar la información mediante programas desde un
medio protegido como se explicará más adelante.
• No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del
sistema.
3) Consideraciones sobre la privacidad: Se refiere a la autorización previa que se debe obtener para
poder llevar a cabo una recolección de evidencias.
5) Transparencia: Los métodos utilizados para recolectar evidencias deben de ser transparentes y
reproducibles. Se debe estar preparado para reproducir con precisión los métodos usados y que
dichos métodos hayan sido testados por expertos independientes.
6) La Cadena de custodia
Tal hi como afirma la SSTS de 10 de marzo de 2011 “El objetivo de la cadena de custodia es que el objeto
sobre el que se practicó la pericia o que se exhibe en dicho acto es el mismo que el que se recogió como
vestigio durante la investigación”. Debe quedar garantizada la exacta identidad de lo incautado y de lo
analizado. Tiene, por tanto, un valor instrumental para garantizar que lo analizado fue lo mismo que lo
recogido. Resulta de vital importancia que el Tribunal sentenciador tenga la certeza de que el bien u objeto
6
sobre el que se practicó la pericia o que se exhibe en dicho acto, es el mismo que el que se recogió como
Página
vestigio durante la investigación. Es necesario tener la seguridad de que lo que se traslada, mide, pesa y
NORMAS Y PRINCIPIOS FUNDAMENTALES DEL
ANÁLISIS FORENSE EN LA COMUNIDAD CIENTÍFICA WWW.EICYC.COM
INTERNACIONAL
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 7
ANÁLISIS DE CASOS
analiza sea lo mismo en todo momento, desde el instante en que se recoge hasta el que llega a disposición
judicial, se estudia o se destruye.
El quebranto de la cadena de custodia convierte a la prueba en irregular o nula al poder vulnerar un proceso
con todas las garantías, aunque, tal hi como señala la Sala 2ª del TS, una mera irregularidad en la cadena de
custodia no implica necesariamente que la prueba practicada sea nula, si el bien objeto de análisis o
exhibición es el mismo o no se demuestre que el bien es distinto.
En la mayoría de ocasiones, corresponde a la policía judicial, habitualmente la policía científica, ser los
garantes de la cadena de custodia, ya que son ellos mismos quienes recogen las muestras, bienes o vestigios
materiales de la perpetración de un hecho delictivo en el lugar del crimen o en cualquier lugar donde fueran
hallados, pese a tratarse, esta última, de una función del Juez de Instrucción. Entiendo que el atestado
policial adquiere especial trascendencia, y deberá indicar quién realizó dichos hallazgos, describirlos
minuciosamente; tomando fotografías y filmándolo; y mencionar cómo, cuándo y dónde han sido
trasladados y custodiados; poniéndolos a disposición del Juez de Guardia si no existiera un proceso penal
incoado o al Juez de Instrucción competente si ya existiera una investigación judicial en curso.
En función del tipo de vestigio recogido las cautelas y requisitos en la recogida y durante la cadena de
custodia variarán, sin que exista una normativa específica. Todo ello conduce a que, en principio, son las
autoridades policiales y judiciales las que garantizan la preservación de la prueba, y quien afirme la ruptura
de la cadena debe probarla y acreditarla. La posibilidad de manipulación para entender que la cadena de
custodia se ha roto no parece aceptable, ya que debe exigirse la prueba de su manipulación efectiva.
A continuación detallaremos los puntos que consideramos necesarios para garantizar la plena identidad e
integridad de una prueba, pudiendo ésta aportarse al proceso judicial al haberse mantenido la cadena de
custodia. De esta forma, se respeta el derecho a un proceso justo con todas las garantías:
A. El acta de recogida del material intervenido deberá contener una descripción detallada de éste, de las
medidas adoptadas para su preservación y transporte, filmándose o fotografiándose dicho acto en su
totalidad. El momento de la recogida es determinante, por lo que entiendo que debe estar sometido a
supervisión del Ministerio Fiscal.
B. La custodia deberá ser siempre en un lugar apto para el vestigio recogido, regulándose las condiciones de
mantenimiento con remisión a normativa específica en el supuesto que las características del objeto lo
requieran.
7
Página
C. Deberá existir una suerte de “hoja de ruta” del vestigio, o historial en el que conste detalladamente el
personal que se ha hecho cargo y las razones de los cambios, así como de todos los datos de transporte,
personal que lo ha realizado, fecha y horas de entrega, condiciones nuevas de preservación, si es que las hay,
métodos de guarda y custodia utilizados, procesos a que ha sido sometida, todo ello en orden cronológico, así
como el nombre de las personas que los realizaron y su firma.
D. Control del Ministerio Fiscal y, en su caso, judicial, de la recogida y custodia. De este modo, las pruebas
podrán aportarse al proceso penal con todas las garantías, pudiendo comprobarse si en el recorrido que
siguen los elementos probatorios, desde su localización primera hasta su incorporación al plenario, se han
cumplido las exigencias normativas necesarias para garantizar su plena identidad e integridad. En definitiva,
si se ha mantenido o no la cadena de custodia. No obstante, si la cadena de custodia resulta lesionada, puede
generar una prueba que quebrante el derecho a un proceso justo con todas las garantías, constituyendo un
caso de prueba prohibida . (POZO PÉREZ, 2013).
8) Herramientas necesarias: Existen una serie de pautas que deben de ser seguidas a la hora de
seleccionar las herramientas con las que se va a llevar a cabo el proceso de recolección:
Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse visto
comprometidas, principalmente en los casos de malware. Se debe procurar utilizar herramientas
que preserven la evidencia tanto física como digital y no la modifiquen.
el fin de garantizar la calidad y comprensión de las conclusiones desarrolladas por el perito. Esto se
Página
debe a la gran variedad de peritos de diferentes ramas profesionales que son los responsables de
Este estándar constituye una guía para la identificación, recolección, adquisición y preservación de
9
las evidencias digitales, que pretende actualizar las directrices de la RFC3227 teniendo en cuenta el
Página
Esta norma recoge aspectos del procedimiento en fases previas al análisis de las evidencias
recogidas, y se centra en sistemas informáticos y entornos del tipo:
d) Dispositivos móviles.
Métodos de aplicación: La evidencia digital debe ser recogida del modo menos intrusivo posible
tratando de evitar así la corrupción de la misma, y adquiriendo copias de respaldo.
Proceso defendible: Las herramientas utilizadas deben haber sido validadas y contrastadas para el
uso específico de cada caso. Para cada tratamiento, la norma identifica tres procesos genéricos
respecto al tratamiento de las evidencias:
• Identificación.
10
• Adquisición.
Página
• Conservación.
• Autenticación e integridad.
• Disponibilidad y completitud.
• Cumplimiento y gestión.
Además, establece una serie de requisitos que se han de cumplir durante todo el ciclo de vida en la
gestión de una evidencia, y define un sistema de gestión de evidencias dividido en lo que sigue:
La norma UNE 71506 define el proceso de análisis forense dentro del ciclo de gestión de evidencias
Página
Establece, por tanto, una metodología para la preservación, adquisición, documentación, análisis y
presentación de las evidencias electrónicas.
Esta norma incluye una serie de anexos entre los que se encuentra un modelo de informe pericial,
basado en la norma UNE 197001, que incluye los siguientes apartados:
1. Asunto.
2. Evidencias/muestras recibidas.
5. Conclusiones.
Esto quiere decir que tratar con elementos que pudieran aportar evidencias digitales, susceptibles
de ser consideradas como posibles pruebas, tales como las contenidas en discos duros, cámaras
digitales, terminales móviles, tablets y de vídeo (incluyendo CCTV, grabaciones de cámaras de
seguridad), deben seguir un protocolo determinado.
12
Página
Esto se realiza mediante un informe técnico pericia. La primera problemática que vamos a
encontrar en ello es en cómo implementar evidencias no tangibles en un soporte documental físico.
La segunda problemática es que además debemos realizarlo bajo unos principios multidisciplinares
del ámbito jurídico ambiguos, pero a la vez inflexibles.
• Objetividad
Página
• Autenticidad y conservación
NORMAS Y PRINCIPIOS FUNDAMENTALES DEL
ANÁLISIS FORENSE EN LA COMUNIDAD CIENTÍFICA WWW.EICYC.COM
INTERNACIONAL
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 14
ANÁLISIS DE CASOS
• Legalidad
• Idoneidad
• Inalterabilidad
• Documentación
• Repetibilidad de la prueba
• Protección y preservación
• Identidad de copias
• Tecnológico interdisciplinario
• Oportunidad
• Compatibilización
Principio de objetividad
El forense informático debe ser objetivo y además si su informe tiene como destino el ámbito
judicial, adicionalmente tiene la obligación de ser imparcial, con independencia absoluta del
requirente y si incluso es el mismo que abona sus honorarios con más motivo.
Durante todo el proceso, se debe garantizar que la evidencia física y la digital se proteja y conserve.
Se debe velar por conservar la autenticidad e integridad de los medios de prueba. Para ello,
usaremos instrumentos y software de uso explícitamente forense. En esta unidad, más adelante,
14
Principio de legalidad
Debe ser preciso en sus matices, opiniones y resultados siempre de manera técnica pero
comprensible. No hacer bajo ningún concepto juicios de valor ni establecer hipótesis y mucho
menos dictaminar culpabilidades o responsabilidades.
Adicionalmente tiene que trabajar siempre con evidencia obtenida de manera legal y autorizada.
Principio de idoneidad
La evidencia debe ser auténtica, tener relevancia para el caso y reunir un número suficiente de
muestras. Si no se reúnen estos requisitos convendría no aceptar el encargo o solicitar que se
subsanen, por lo que antes de iniciar un procedimiento de análisis o cualquier otro debe
comprobarse que se reúnen los requisitos que conforman este principio.
El objeto pericial es el encargo concreto y detallado que nos hace la parte solicitante sobre el
alcance de nuestra investigación o pericial.
De forma básica este principio establece que la evidencia aportada por el juzgado o las partes es útil
e idónea para el objeto pericial solicitado.
Muchas veces, nos encontramos en el entorno judicial peticiones de informes con objetos periciales
poco detallados o genéricos y evidencia y/o parte documental escasa.
Principio de inalterabilidad
Se debe realizar todo el proceso asegurando que la evidencia no ha sido manipulada durante la
pericia. La evidencia se preserva mediante la debida cadena de custodia, si esta se realiza
correctamente nos indicara en que punto de la misma ha sido manipulada y se podrá identificar al
15
responsable.
Página
La forma más fácil de detectar una manipulación en la evidencia digital es el cálculo del HASH en la
recogida y su cálculo en la entrega. Si ambos valores HASH difieren la gestión sobre la evidencia
digital ha sido errónea, mal trabajada, y además invalida el proceso. Por ello trabajaremos la
inspección y análisis sobre clones íntegros de la evidencia nunca sobre su original.
Existen en el mercado un gran número de clonadoras de uso forense siendo las recomendadas para
este procedimiento. Evítese, en la medida de lo posible, usar software de clonado en el que jamás
se conseguirá que el algoritmo HASH coincida.
16
Página
12. Bibliografía
BREZINSKI, D.; KILLALEA, T. RFC3227: Guidelines for Evidence Collection and Archiving. 2002.
CODE, REF. GUIDELINES FOR BEST PRACTICE IN THE FORENSIC EXAMINATION OF DIGITAL
TECHNOLOGY.
https://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf
DEL POZO PÉREZ, Marta. La cadena de custodia: tratamiento jurisprudencial. Revista General de
Derecho Procesal, 2013, 30, p. 1.
Migueles, M., Trigo, S., Onaine, A. E., Lamperti, S., Cestona, A., Alvarez Cestona, M. B., ... &
Ambrustolo, M. (2020). Calidad pericial: el estudio y estandarización de los procesos en un
laboratorio de informática forense. SID, Simposio Argentino de informática y Derecho.
Roatta, S., Casco, M. E., & Fogliato, G. (2015). El tratamiento de la evidencia digital y las normas
ISO/IEC 27037: 2012. In XXI Congreso Argentino de Ciencias de la Computación (Junín, 2015).
Azas Manzano, M. F. (2015). DISEÑO DE UN MODELO PARA LA CADENA DE CUSTODIA Y
HERRAMIENTAS PARA EL ANÁLISIS FORENSE DE EQUIPOS TECNOLÓGICOS EN PROCESOS JUDICIALES
EN EL ECUADOR (Doctoral dissertation, Universidad Internacional SEK).
Dominguez, F. L. (2013). Introducción a la informática forense. Grupo Editorial RA-MA.
17
Página