POLICÍA NACIONAL DEL PERÚ

INSTITUTO POLICIAL DE INVESTIGACIÓN CRIMINAL

“DIRECCIÓN NACIONAL DE INVESTIGACIÓN CRIMINAL PNP"

Título del trabajo

AUTOR:
Grado, Nombres y apellidos del (de los) alumnos.

DOCENTE:
Nombres y apellidos del asesor

ESPECIALIDAD:
Especialidad a la pertenece.

LIMA – PERÚ
2022
Se debe eliminar cada uno de los textos azules (textos a reemplazar con presentación o
contenido del trabajo) o verdes (explicaciones de la presente guía) que están presentes
en este documento mientras se vaya avanzando con su desarrollo. Se ha colocado estos
textos solo con fines didácticos. Finalmente, toda la fuente debe ser de color negro.
 Dedicatoria

escribir aquí la dedicatoria del trabajo,

Comúnmente se dedica el trabajo a
familiares o a personas que nos han
estimulado a hacerla. La última línea de
la dedicatoria debe estar en el borde
inferior de la página.

II
 Agradecimientos

Colocar aquí los agradecimientos.

Comúnmente se agradece a las
personas que nos han apoyado en el
desarrollo de la investigación. El apoyo
podría haberse dado de diversas
maneras: financiera, asesoría, etc. La
última línea de los agradecimientos
debe estar en el borde inferior de la
página.

III
 Índice general

I. INTRODUCCIÓN...........................................................................................1
II. MARCO TEÓRICO........................................................................................3
2.1 Objetivo...................................................................................................4
2.2 Misión......................................................................................................4
2.3 Características.........................................................................................4
III. CONCLUSIONES Y RECOMENDACIONES.............................................5
3.1 Conclusiones...........................................................................................6
3.2 Recomendaciones...................................................................................6
IV. REFERENCIAS..........................................................................................7
ANEXOS...............................................................................................................9

IV
 Índice de tablas

Tabla 1 Matriz de operacionalización de las variables de la investigación.....................11

Tabla 2 Recursos y presupuesto...........................................................................................16
Tabla 3 Financiamiento..........................................................................................................16
Tabla 4 Cronograma de actividades.....................................................................................17
Tabla 5 Matriz de consistencia..............................................................................................21

V
 Índice de figuras

Figura 1. Autorización del representante legal de la entidad para realizar la

investigación en dicha entidad...............................................................................................28
Figura 2. Autorización del representante legal de la entidad para usar el nombre de la
entidad en la publicación de la investigación.......................................................................29

VI
 Índice de anexos

Anexo 1: Matriz de consistencia............................................................................................21

Anexo 2: Autorizaciones.........................................................................................................22
Anexo 3: Instrumento de recolección de datos...................................................................24
Anexo 4: Título del anexo 4...................................................................................................25

VII
 I. INTRODUCCIÓN
La evidencia digital se ha convertido en un componente fundamental
en los casos legales y judiciales en la era digital en la que vivimos.
Con el avance de la tecnología y la creciente dependencia de
dispositivos electrónicos y medios digitales, abarca una amplia gama
de información electrónica que puede utilizarse para respaldar o
refutar reclamaciones legales. Esto incluye correos electrónicos,
archivos digitales, metadatos, registros de actividad en línea,
imágenes, videos y mucho más. Estos datos digitales pueden ofrecer
una visión detallada de las interacciones, transacciones y eventos
relevantes para un caso legal.
Sin embargo, en un caso legal requiere de ciertos requisitos y
procedimientos para garantizar su validez y confiabilidad. Se debe
asegurar que sea recolectada y preservada de manera adecuada,
respetando la cadena de custodia y siguiendo los estándares de
autenticidad e integridad. Esto implica utilizar herramientas y técnicas
forenses digitales especializadas para garantizar que la evidencia no
sea alterada o manipulada.
En resumen, la evidencia digital es un componente esencial en los
casos legales en la actualidad. Su introducción y manejo adecuados
son fundamentales para garantizar su validez y confiabilidad en el
proceso legal. Los expertos en análisis forense digital desempeñan
un papel crucial en la recolección, preservación y análisis de la
evidencia digital, asegurando que se cumplan los estándares legales
y forenses.
 II. MARCO TEÓRICO

RECONOCIMIENTO E IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL

El reconocimiento e identificación de los equipos y dispositivos de almacenamiento

informático cuya obtención y examen se considere pertinente y útil para la estrategia de
investigación penal delineada por el Fiscal.

El objetivo de esta etapa, es preparar adecuadamente las fases de recolección y/o adquisición,
para garantizar que la evidencia digital a obtener sea relevante, suficiente, confiable, y
legalmente válida. Es importante establecer los procesos de trabajos, efectuando un orden de
prioridad y relevancia entre todas evidencias que se pretenden obtener (volcado de memoria,
recolección, uso de la herramienta triage, etc.).

Cuando se planifica la recolección de la evidencia digital, y se releva para identificar los

dispositivos de almacenamiento, se deberán priorizar las fuentes de evidencia más volátil. Se
deberá diferenciar los dispositivos que son transportables, los cuales serán objeto de
recolección para su posterior análisis en laboratorio pericial, de los que, por su volumen,
número, etc., no se podrán transportar y deberán ser procesados en el lugar (servidores).
Durante esta etapa intervendrán los especialistas en manejo de evidencia digital que integren
las fuerzas de la Policía Nacional.

RECOLECCION DE EVIDENCIA DIGITAL

Comprende la recolección de los objetos contenedores de evidencia digital. Se seleccionarán

los dispositivos que puedan contener evidencia digital y se preverá su correcto embalaje para
ser transportados a un laboratorio especializado donde se efectúe la recolección y
preservación correspondiente.

La recolección debe realizarse de un modo tal que asegure la utilidad procesal de los
dispositivos de almacenamiento informático recogidos, garantizando la identidad e integridad
de la evidencia.

El levantamiento debe ser realizado empleando las técnicas adecuadas, actuando dentro de
los límites legales y procesales y sin exceder los alcances de la autorización judicial; debiendo
consultar inmediatamente, en caso de duda, al director de investigación. Se deberá registrar
esta etapa con medios fotográficos, de video documentando lo actuado adecuadamente.

EVIDENCIA A RECOLECTAR

Incautar Computador portátil que almacena grandes volúmenes de información digital.Todo

ello deberá estar específicamente detallado en la orden de allanamiento emanada por el juez a
pedido del fiscal.

Cuando el material inspeccionado (Computador portátil MAC). se encuentran afectados

derechos de terceros, o se requiera conocer de forma urgente el contenido almacenado en su
interior, se analizará la posibilidad de usar las herramientas de muestreo rápido (triage). El
triage consiste en realizar una búsqueda rápida empleando criterios sencillos sobre la
estructura del disco, evitando profundizar las búsquedas en áreas especiales del disco. Esta
técnica, si bien ha demostrado ser de gran utilidad en allanamientos con gran cantidad de
equipos, empleando criterios de búsquedas claros y acotados, existe un riesgo de dejar de lado
evidencia potencial de utilidad para la investigación, privilegiando la velocidad o la urgencia del
procedimiento.

La excepción es la investigación en vivo. Excepción, pues se debe evitar acceder al contenido

del Computador portátil para evitar su contaminación. Sin embargo, en caso de urgencia o
peligro de vida, el tiempo que insume la realización de copias forenses, puede tener gran
impacto en el desenlace de investigación, Por lo que, previa autorización del juez, se puede
acceder en vivo al Computador portátil, debiendo documentar detalladamente todas las
acciones efectuadas, para comprender el impacto de las mismas en la interacción con el
Computador portátil.

En el proceso de recolección de evidencia digital se debe tener en cuenta el orden de

volatilidad, debiendo respetar el siguiente, ordenado de mayor a menor:

a) contenido de registros.
b) tablas de ruteo y memoria caché.
c) procesos de ejecución.
d) memoria RAM.
e) dispositivos de almacenamiento masivo.
f) contenedores de almacenamiento remoto.
g) almacenamiento de resguardo y respaldo.

Adquisición de datos volátiles: este proceso de trabajo consiste en la extracción de datos

volátiles, que sólo se encuentran presentes en equipos encendidos y suelen ser eliminados con
el apagado: registros contenidos de la caché, contenido de la memoria física, estado de las
conexiones de red, tabla de rutas, procesos en ejecución, archivos temporales, información
remota, etcétera.

DIFERENTES ESCENARIOS

Escenario I

 Pantalla encendida mostrando aplicación, programa, imagen, mail: fotografiar pantalla

y registrar información.
 Pantalla encendida mostrando protector de pantalla: mover el touch pad o mouse (sin
mover ni cliquear). Fotografiar pantalla
 Pantalla encendida mostrando pantalla en blanco: mover el touch pad o mouse (sin
mover ni cliquear). Fotografiar pantalla.
 Pantalla aparentemente apagada mover el touch pad o mouse sin presionar los
botones o presionar ligeramente el botón de encendido.
 De encontrarse protegido con contraseña, apagar desconectando el cargador y/o
presionando el botón de encendido por 10 segundos aproximadamente.

Escenario II

Computador portátil: Encendido

Fotografiar pantalla. Registrar la hora del reloj del sistema. Evaluar con el director de la
investigación y con el perito informático, la captura de datos in situ o la incautación del equipo.
Eliminar corriente de alimentación inmediata en caso de verificar actividad de eliminación o
sobre escritura de datos No desconectar inmediatamente en caso de indicios activos de salas
de chat, documentos de texto en ejecución, ventanas de mensajes instantáneos: fotografiar.

Computador portátil: Apagado

1. Documentar, etiquetar y fotografiar los cables, dispositivos y puertos. Luego

desconectarlos.
2. Retirar el cable de alimentación o batería. Encintar interruptor encendido.
3. Registrar marca, modelo, número de serie.
4. Proteger el (los) puerto(s) USB, lectores de disco óptico, lectores de memoria, y otros
puertos de entrada y salida con cintas de seguridad
5. Verificar, desconectar y perennizar con vistas fotográficas y/o video los dispositivos
conectados al computador portátil (discos ópticos, memoria USB, cables, tarjetas de
memoria), debiendo consignarse en acta sus características (marca, modelo, serie,
capacidad de almacenamiento, color y otros datos).
6. Empaquetar y preservar cadena de custodia.

EMBALAJE Y ROTULADO

1. Este será primer paso del procedimiento de cadena de custodia

2. Rotular la laptop que se va a incautar con los siguientes datos:
a) número de expediente judicial
b) fecha y hora
c) número de serie o pieza (MNYF2XX/A)
d) fabricante (Apple Inc.)
e) modelo (Mac14, MacBookPro, etc.)
f) color
3. Fotografiar el Computador portátil MAC. con sus respectivos cables de conexión
etiquetados
4. Embalar el computador portátil en su totalidad, así como los dispositivos
desconectados en cajas de cartón, bolsas de polietileno o papel resistente.
5. Se procurará no incluir en un mismo embalaje, evidencia que tenga diferentes
destinos periciales
6. Cada elemento deberá ser rotulado por separado
7. El rótulo será pre impreso y de carácter inviolable
8. El rótulo debe escribirse con tinta indeleble, grafías legibles y comprensibles,
debiendo ser firmado por el especialista en recolección/ adquisición, la autoridad a
cargo del procedimiento, y de los testigos en caso de corresponder (Artículo 120, 4
del NCPP)
9. Rotular el Computador portátil MAC. todas sus entradas eléctricas, puertos
periféricos y todas las partes que puedan ser abiertas o removidas
10. Resguardar el material informático en un lugar limpio. No deberán exponerse los
elementos incautados a altas temperaturas o campos electromagnéticos
11.Formular el acta de lacrado
12. Mantener la cadena de custodia del material informático transportado
13. Fotografiar la totalidad de los elementos incautados una vez embalados
14. Recolectar cualquier elemento adicional que pueda ser de utilidad para el acceso
al dispositivo (manuales técnicos, llaves electrónicas, fuente de alimentación, etc.)
ELEMENTOS Y MATERIALES PARA LA RECOLECCIÓN DE EVIDENCIA DIGITAL

 Cámara de fotos/Filmadora
 Cajas de cartón
 Cuadernos para anotaciones y croquis
 Guantes
 Bolsas para resguardo de dispositivos
 Etiquetas
 Bolsas antiestáticas (aislamiento Faraday o papel de aluminio)
 Marcadores permanentes
 Precintos
 Rótulos para precintado de puertos de entrada
 Herramientas desmagnetizadas
 Otros

DOCUMENTACIÓN Y REGISTRO DE LO ACTUADO

Los requerimientos de allanamiento e incautación, conforme lo previsto por los Artículos 214
al 217 del NCPP solicitados por Fiscal al Juez competente, además de contemplar las
prescripciones de forma pertinentes del Código Procesal Penal, podrán ampliarse a todas las
dependencias o habitaciones que formaren parte del inmueble, local, vivienda o unidad
funcional que se trate. También deberá procurarse abarcar el registro vehicular de los
automotores que se encontraren en el lugar y que pudieren tener vinculación con los hechos o
las personas involucradas, y la incautación de su interior de los elementos o efectos útiles para
la investigación. Serán los funcionarios de la Policía Nacional los encargados de dar
cumplimiento al allanamiento, el registro de personas y consecuentemente la incautación de
bienes que puedan servir como prueba o ser objeto de decomiso. (Cfr. Artículos 67 y 68 del
NCPP).

Se deberán suscribir las actas pertinentes, que se elaborarán cumpliendo las formalidades
previstas en el Código Procesal Penal, con las exigencias específicas relativas a la
documentación de registros domiciliarios, revistas, incautación, inspección y reconstrucción
(Artículos 120, 155, 157, 158, 172/181, 177, 178, 202, 203, 208, 210, 214/217, 226, 227, 230 y
231 del Código Procesal Penal del Perú).

El registro documental será de modo descriptivo mediante el relato preciso, detallado, e

imparcial, suministrando una noción clara del lugar, de las evidencias incautadas y el estado
que fueron halladas.8

Las actas se complementarán con fotografía, filmaciones, planos del lugar y del sitio de
ubicación de cada efecto.

Cada evidencia recogida será identificada con un método uniforme de identificador único
(código de barras, nomenclador alfanumérico, por ejemplo) consignándose donde se levantó,
en qué estado se encontraba, con cuáles equipos o sistemas estaba conectada, quien efectuó
la recolección de la misma, actuando de ser el caso, en presencia de los testigos que hayan
sido convocados al procedimiento.
REQUISITOS PARA EL ANÁLISIS INFORMÁTICO FORENSE

a) Oficio precisando el objetivo del análisis forense de acuerdo al tipo y modalidad

del hecho investigado.
b) Disposición fiscal que autoriza la participación de fiscalías competentes o adscritas
a las unidades policiales.
c) Documentos según el caso:
1. Acta de hallazgo y recojo.
2. Acta de incautación.
3. Acta de entrega y recepción.
d) Acta de lacrado.
e) Acta de cadena de custodia y continuidad de cadena de custodia.
f) Autorización del usuario o resolución judicial (Medida Limitativa de Derecho,
Levantamiento del Secreto de las Comunicaciones y/o Documentos Privados), que
disponga el análisis informático de los dispositivos de almacenamiento digital.
II.1 Objetivo
Identificar en qué medida la extracción de información de un Computador portátil se
relaciona con la evidencia digital en los hechos delictivos

Determinar la actuación para miembros de la policía, técnicos y fiscales, cuando

en una escena del delito se encuentra un Computador portátil, que están
relacionados con una investigación penal.
II.2 Misión

Garantizar la integridad y la validez de la evidencia digital para respaldar

investigaciones y procesos legales de manera justa y precisa.
1. Recopilar y preservar de manera adecuada la evidencia digital relevante
para cada caso legal. Esto implica garantizar la identificación y recolección
correcta de la información digital pertinente, así como preservar su
integridad a través de procedimientos forenses adecuados.
2. Analizar y examinar: Nos comprometemos a analizar y examinar
exhaustivamente la evidencia digital recolectada. Utilizamos técnicas y
herramientas forenses avanzadas para extraer información valiosa y
comprender los eventos, acciones y transacciones relevantes para el caso.
3. Autenticar y validar para garantizar su confiabilidad y veracidad. Aplicamos
métodos y procedimientos rigurosos para demostrar la autenticidad de los
datos y evitar cualquier manipulación o alteración.
4. Presentar de manera efectiva: Nos esforzamos por presentar la evidencia
digital de manera clara, concisa. Utilizamos técnicas de presentación
adecuadas, como informes detallados, gráficos, testimonios de expertos y
demostraciones visuales, para respaldar nuestros hallazgos y transmitirlos
de manera comprensible.
II.3 Características

Describir las características que posee el aplicativo.

III. CONCLUSIONES Y RECOMENDACIONES
III.1 Conclusiones

La cantidad de conclusiones debe ser igual que la cantidad de recomendaciones.

III.2 Recomendaciones.

La cantidad de conclusiones debe ser igual que la cantidad de recomendaciones.

IV. REFERENCIAS
Aquí se debe colocar las referencias del trabajo. Se debe elegir uno de los
siguientes estilos: APA, Vancouver e ISO 690-2; sin embargo, considerado su
amplia difusión, se recomienda utilizar el estilo APA. Para mejores precisiones
sobre cómo realizar las referencias en el estilo APA, ver el archivo “Pautas para
la redacción de documentos académicos”.

Kline, R. B. (2016). Principles and Practice of Structural Equation Modeling (4th

ed.). New York: The Guilford Press.
Márquez, A. E. (2007). La coautoría: Concepto y requisitos en la dogmática
penal. Revista Diálogos de Saberes, 26(1), 71-102.
Real Academia Española (s. f.). Paráfrasis. Recuperado de http://dle.rae.es/?
id=Rq6dJ6v
Vicerrectorado de Investigación UCV (2018). Directiva del Vicerrectorado de
Investigación N° 013-2018-VI-UCV. Aprobada el 2 de marzo de 2018.

18
ANEXOS