ETAPAS PRELIMINARES

IDENTIFICAR, PRESERVAR,
ANALIZAR Y PRESENTAR
CAPITULO 6
 CONCEPTOS FUNDAMENTALES DEL
TRATAMIENTO DEL LUGAR DEL HECHO (1)
El tratamiento del lugar del hecho en el contexto de la informática forense es una
etapa crucial en la investigación de delitos informáticos. Implica la aplicación de
procedimientos y técnicas específicas para identificar, asegurar y preservar la
evidencia digital encontrada en la escena del delito. Los conceptos fundamentales en
esta etapa son esenciales para garantizar que la evidencia sea válida y admisible en un
tribunal. A continuación, se amplían algunos conceptos clave:
 Cadena de custodia: La cadena de custodia es el registro documentado de todos los pasos que se
siguen desde el momento en que se identifica la evidencia digital hasta su presentación en el
tribunal. Es un componente crítico de la informática forense, ya que asegura la integridad y
autenticidad de la evidencia durante todo el proceso. Cada paso debe documentarse
cuidadosamente, incluyendo quién recogió la evidencia, cuándo y cómo se recolectó, quién tuvo
acceso a ella y cualquier cambio o manipulación realizada.
 CONCEPTOS FUNDAMENTALES DEL
TRATAMIENTO DEL LUGAR DEL HECHO (2)
 Integridad de la evidencia: La integridad de la evidencia es un concepto fundamental en la
informática forense que se refiere a garantizar que la evidencia digital no se altere ni modifique
durante su recopilación, preservación y análisis. Para mantener la integridad, los investigadores
deben utilizar técnicas forenses sólidas y asegurarse de que todas las copias y manipulaciones de la
evidencia estén debidamente registradas en la cadena de custodia.
 Procedimientos estandarizados: En la informática forense, es crucial seguir procedimientos y
estándares reconocidos en la industria. Esto garantiza que la evidencia sea recopilada y manejada
de manera consistente y profesional, lo que aumenta su credibilidad y admisibilidad en un juicio.
Los procedimientos estandarizados también ayudan a minimizar errores y asegurar que ningún paso
importante sea pasado por alto durante la investigación.
 Coordinación con otras disciplinas: La informática forense a menudo se combina con otras
disciplinas forenses, como la balística y la medicina forense, en casos complejos. La coordinación
efectiva entre expertos en diferentes áreas es esencial para obtener una visión completa y precisa
del delito.
 CÓMO IDENTIFICAR DISPOSITIVOS
DUBITADOS (1)

La identificación de dispositivos dudosos es un paso crucial en la investigación de

delitos informáticos. Los dispositivos digitales pueden contener información
valiosa relacionada con el delito, por lo que es esencial identificar y localizar todos
los dispositivos presentes en la escena del delito que puedan estar relacionados con
el caso. Algunas consideraciones importantes incluyen:
• Reconocimiento visual: Los investigadores deben realizar un reconocimiento visual de la
escena del delito para identificar dispositivos digitales evidentes, como computadoras, teléfonos
móviles y tabletas. También deben buscar dispositivos más pequeños, como memorias USB, tarjetas
de memoria y discos duros externos, que podrían ser fácilmente pasados por alto.
 CÓMO IDENTIFICAR DISPOSITIVOS
DUBITADOS (2)
• Entrevistas y testimonios: Los testigos y personas involucradas pueden proporcionar
información valiosa sobre la presencia de dispositivos digitales en la escena del delito. Es importante
entrevistar a testigos y recopilar declaraciones para obtener una comprensión completa de los
dispositivos potencialmente relevantes.
• Tecnología de detección: En algunos casos, los investigadores pueden usar tecnología de
detección especializada para identificar dispositivos digitales que no son visibles a simple vista. Por
ejemplo, se pueden utilizar detectores de señales inalámbricas para identificar dispositivos conectados
a redes inalámbricas.
• Registros y facturas de compra: Los registros de compras y facturas pueden ser útiles para
identificar dispositivos digitales que pueden haber sido adquiridos o utilizados en la escena del delito.
Los investigadores deben solicitar registros financieros relevantes para obtener esta información.
• Colaboración con expertos en informática forense: En casos complejos, los investigadores
pueden necesitar la asistencia de expertos en informática forense para identificar dispositivos dudosos
y evaluar su importancia para el caso.
 EVIDENCIA DIGITAL EN LA NUBE (1)
La evolución de la tecnología ha llevado a un aumento en el uso de servicios en la
nube para almacenar datos y realizar actividades en línea. La evidencia digital en la
nube puede ser crucial en la investigación de delitos informáticos, pero también
presenta desafíos únicos para los investigadores. Algunos aspectos importantes de la
evidencia digital en la nube incluyen:
 Jurisdicción y acceso: La evidencia almacenada en la nube puede estar sujeta a leyes y regulaciones
de diferentes jurisdicciones, lo que puede complicar su acceso para los investigadores. En algunos
casos, puede ser necesario obtener una orden judicial o cooperar con proveedores de servicios en la
nube para acceder a la información relevante.
 Datos en tránsito: Además de la evidencia almacenada en la nube, los datos en tránsito, como
correos electrónicos y mensajes, también pueden ser cruciales en una investigación. Los
investigadores deben comprender cómo obtener y preservar estos datos para garantizar su validez y
adicionalidad en un juicio.
 EVIDENCIA DIGITAL EN LA NUBE (2)
 Métodos de autenticación y seguridad: Los servicios en la nube generalmente utilizan métodos
de autenticación y seguridad para proteger los datos de los usuarios. Los investigadores deben
tener en cuenta estas medidas de seguridad y asegurarse de que la recopilación de la evidencia
cumpla con las leyes y regulaciones aplicables.
 Acuerdos de servicio y términos de uso: Los acuerdos de servicio y términos de uso de los
proveedores de servicios en la nube pueden afectar la forma en que los datos pueden ser
accedidos y utilizados en una investigación. Los investigadores deben familiarizarse con estos
documentos y cumplir con sus términos y condiciones.
 Privacidad y confidencialidad: La recopilación de evidencia digital en la nube puede plantear
desafíos relacionados con la privacidad y confidencialidad de los datos de los usuarios. Los
investigadores deben asegurarse de obtener la autorización adecuada y cumplir con las leyes de
privacidad para evitar violaciones de los derechos de los usuarios.
 MÉTODOS DE CONTAMINACIÓN DE LA EVIDENCIA DIGITAL (1)

La contaminación de la evidencia digital es un riesgo importante en la

investigación de delitos informáticos. Ocurre cuando no se siguen procedimientos
adecuados para la identificación, recopilación y preservación de la evidencia, lo
que puede poner en duda su integridad y adicionalidad en un juicio. Algunos
métodos comunes de contaminación de la evidencia digital incluyen:
 Manipulación de archivos: La manipulación no autorizada de archivos o metadatos puede alterar
la evidencia y poner en duda su autenticidad. Los investigadores deben evitar cualquier cambio
en los archivos originales y asegurarse de documentar cualquier manipulación realizada durante
el proceso de investigación.
 MÉTODOS DE CONTAMINACIÓN DE LA EVIDENCIA DIGITAL (2)

 Cadena de custodia incompleta o inexacta: Una cadena de custodia mal gestionada puede poner
en duda la integridad de la evidencia. Los investigadores deben asegurarse de mantener un
registro detallado de todos los pasos que se siguen desde la identificación de la evidencia hasta
su presentación en el tribunal.
 Contaminación cruzada: La contaminación cruzada ocurre cuando la evidencia de un caso se
mezcla con la de otro, lo que puede llevar a conclusiones erróneas y comprometer la integridad
de ambos casos. Los investigadores deben ser cautelosos al manejar múltiples casos y asegurarse
de mantener la separación adecuada entre la evidencia.
 Falta de formación y experiencia: La contaminación de la evidencia puede ocurrir debido a la
falta de formación y experiencia en la informática forense. Los investigadores deben recibir una
formación adecuada y mantenerse actualizados sobre las últimas técnicas y estándares para
garantizar una investigación efectiva y profesional.
 MÉTODO DE PRESERVACIÓN DE LA EVIDENCIA DIGITAL (1)

La preservación adecuada de la evidencia digital es esencial para garantizar su validez y

admisibilidad en un juicio. Los investigadores deben seguir procedimientos y técnicas
específicas para asegurar que la evidencia se mantenga intacta y no se contamine durante el
proceso de investigación. Algunas técnicas de preservación de la evidencia digital incluyen:
 Copia bit a bit: La copia bit a bit es una técnica utilizada para duplicar el contenido completo de
un dispositivo digital. Se realiza una copia exacta de todos los datos, incluidos los archivos
borrados y el espacio no utilizado. Esta copia es preservada y utilizada para el análisis forense,
mientras que el dispositivo original permanece intacto y sin cambios.
 Hashing: El hashing es un método utilizado para verificar la integridad de los datos durante la
preservación y el análisis forense. Se calcula un valor hash único para la evidencia original y
para la copia preservada. Si los valores hash coinciden, esto indica que los datos no han sido
alterados y que la integridad de la evidencia se ha mantenido.
 MÉTODO DE PRESERVACIÓN DE LA EVIDENCIA DIGITAL (2)

 Almacenamiento seguro: La evidencia digital debe almacenarse en un ambiente seguro y

controlado para evitar cualquier alteración o contaminación. Los investigadores deben utilizar
dispositivos de almacenamiento cifrados y protegidos para garantizar la confidencialidad y la
integridad de la evidencia.
 Etiquetado y marcado: Todos los dispositivos y medios de almacenamiento utilizados para la
preservación de la evidencia deben etiquetarse y marcarse adecuadamente para asegurar su
identificación y seguimiento.
 Registro detallado: Los investigadores deben mantener un registro detallado de todos los pasos
que se siguen durante la preservación de la evidencia. Esto incluye información sobre quién
llevó a cabo la preservación, cuándo se realizó y cualquier cambio o manipulación realizada
durante el proceso.
 MÉTODO DE PRESERVACIÓN DE TELÉFONOS MÓVILES (1)

La preservación de teléfonos móviles es un proceso delicado debido a la gran

cantidad de datos personales y confidenciales que pueden contener. Los teléfonos
móviles son una fuente importante de evidencia digital en casos de delitos
informáticos, por lo que es esencial preservarlos adecuadamente para garantizar la
integridad de la evidencia. Algunas técnicas de preservación de teléfonos móviles
incluyen:
 Bloqueo remoto: Antes de proceder a la preservación de un teléfono móvil, se debe bloquear de
forma remota para evitar cualquier cambio o manipulación por parte del propietario o de
terceros.
 Adquisición forense: La preservación de un teléfono móvil se realiza mediante una adquisición
forense, que es la extracción y copia de todos los datos del dispositivo de manera forense. Esto
implica utilizar herramientas y técnicas especializadas que garantizan la integridad y
autenticidad de la evidencia.
 MÉTODO DE PRESERVACIÓN DE TELÉFONOS MÓVILES (2)

 Análisis forense: Una vez que se ha preservado la evidencia del teléfono móvil, se lleva a cabo
un análisis forense para extraer información relevante relacionada con el delito. Esto puede
incluir mensajes de texto, correos electrónicos, registros de llamadas, fotos, videos y otros datos
almacenados en el dispositivo.
 Protección de contraseñas y códigos de acceso: Los investigadores deben ser conscientes de que
los teléfonos móviles suelen estar protegidos por contraseñas y códigos de acceso. Es importante
utilizar métodos forenses adecuados para eludir estas protecciones y acceder a los datos de
manera legal y ética.
 Documentación detallada: Al igual que en la preservación de cualquier otra evidencia digital, los
investigadores deben mantener una documentación detallada de todo el proceso de preservación
del teléfono móvil. Esto incluye información sobre cómo se realizó la adquisición, cualquier
cambio o manipulación realizada y quién tuvo acceso a la evidencia durante el proceso.
 CONCLUSIONES
 La preservación adecuada de la evidencia digital en teléfonos móviles es fundamental para
garantizar que los datos se mantengan intactos y sin cambios desde el momento de la
recopilación hasta la presentación en el tribunal. El uso de técnicas forenses especializadas
y la documentación detallada son aspectos críticos para asegurar la validez y admisibilidad
de la evidencia en un juicio.
En conclusión, las etapas preliminares de la informática forense, que incluyen identificar,
preservar, analizar y presentar la evidencia digital, son fundamentales para el éxito de una
investigación de delitos informáticos. Los conceptos fundamentales del tratamiento del lugar
del hecho, la identificación de dispositivos dudosos, la evidencia digital en la nube y los
métodos de contaminación y preservación son esenciales para garantizar la validez y
admisibilidad de la evidencia en un juicio. La preservación adecuada de la evidencia digital,
especialmente en teléfonos móviles, requiere técnicas y herramientas especializadas para
garantizar la integridad y autenticidad de la evidencia durante todo el proceso de
investigación.