PRINCIPIO DE LAS

ES UNA GARANTÍA
RAÍCES PRIVACIDAD
RELATIVA
ENVENENADAS

UTILIZADO EN EL
DERECHO PENAL Y VALOR INMOVILIDAD DE
EL DERECHO PROBATORIO LOS CONTENIDOS
PROCESAL PENAL

CONTIENE LAS PUNTO MÉDULAR

GARANTÍAS A
PRIMERAS DEL PROCESO
CUBRIR
APORTACIONES PROBATORIO

AVERIGUACIÓN
CONTIENE
PREVÍA Y
INDICIOS
DECLARACIONES
PROBATORIOS
INICIALES
 SE DEBE UBICAR AL SUJETO ACTIVO EN TIEMPO
Y FORMA
PRUEBAS
PJP SUFICIENTES EN EL
SE DEBE HALLAR EL DISPOSITIVO DEL DELITO
JUICIO

RECAUDOS EN EL ASEGURAMIENTO

¿QUÉ ES LO QUE SE DEBE DATOS GENERALES DEL SUJETO Y EL DISPOSITIVO

PROBAR?

ORDEN JUDICIAL EXPRESA

CONTROLADO POR UN JUEZ COMPETENTE

PROCESAMIENTO
JURÍDICO PREVÍO ASEGURAMIENTO DE LOS MEDIOS Y EQUIPOS ELECTRÓNICOS

PERMISO PARA EXTRAER DATOS DE LA ESCENA

RECOLECCIÓN DE INFORMACIÓN Y VACIADO DE DATOS

 BUSCAR COMPROBANTES DE PAGO DE INTERNET

FACTURAS DE LOCALIZADOR TENENCIAS VEHÍCULARES

FACTURAS DE PAGO COMPROBANTES DE LUZ

BÚSQUEDA EN EL COMPROBANTES DE PAGO DE TELÉFONO FIJO Y CELULAR TARJETAS DE HOTELES

CATEO
ESTADOS DE CUENTAS BANCARIAS FACTURAS Y OPERACIONES CON
TARJETAS DE CRÉDITO
COMPROBANTE DE GAS

FACTURAS CONEXIÓN SATÉLITAL TARJETAS DE CRÉDITO O DÉBITO

PAGO DE PREDIALES FACTURAS DEL SERVICIO DE AGUA

ANOTACIONES CLAVES DE USUARIO

MECÁNISMO DE ALMACENAMIENTO DE IMAGEN O VIDEO

 PROCESAMIENTO DEL LUGAR DE
INTERVENCIÓN

NO ALTERAR EVIDENCIA

USAR GUANTES FOTOGRAFÍAR EL ESTADO DE LOS EQUIPOS

PROTEGER Y ASEGURAR LA ZONA TOMAR EL CONTROL DE LAS ACTIVIDADES

ASEGURAR EL ACCESO Y SUMINISTRO DE

TENER MÁXIMA PRECAUCIÓN LUZ

INICIAR LABORES INFORMÁTICAS RETIRAR LOS CELULARES

CONTROLAR A LOS PRESUNTOS

DAR EVIDENCIA A PERITOS DE
RESPONSABLES
DACTILOSCOPIA
TOMAR NOTA DE LA SITUACIÓN
FOTOGRAFIAR LA EXISTENCIA DE
CÁMARAS
 ASEGURAMIENTO DE LOS EQUIPOS, BIENES Y SOPORTES INFORMÁTICOS

GENERA
L

ACENTAR EN
EN CASO DE IDENTIFIC SÓLO EL ACTA DE DESCONECTA
SI ESTÁ DOS O MÁS COMPLETAMENTE. AR EN FOTOGRAFÍAR, CATEO LAS 3 R Y RETIRAR
ENCENDID NO FOTOGRAF
DESCONECT EQUIPOS, CONEXIÓN, AISLAR NO LEVANTAR OPERACIONE
LEVANTAMIENTO O ÍAS EL NADA. S
AR MÁS DE IDENTIFICAR ALGUNA
INDIVIDUAL DE VERIFICAR NÚMERO
UN EQUIPO POR EN CASO DE
LOS MEDIOS DE LA NÚMERO,
SOPORTE EXISTENCI ETIQUETA,
A DE LOS ENGOMADO
PUERTOS Y FIRMA.
DE RED
 CLASIFICACION La Evidencia Digital o la prueba
electrónica es cualquier valor
probatorio de la información
almacenada o transmitida en
formato digital de tal manera que
Se clasifica en dos tipos: una parte o toda puede ser utilizada
en el juicio

Volatil DEFINICION EVIDENCIA

DIGITAL
Información
temporal No volátil
MEMORIA Memoria
RAM permanente
Disco duro
MANUAL BASICO DE CATEO
USB Y ASEGURAMIENTO DE
EVIDENCIA DIGITAL
Con herramientas adecuadas
es relativamente fácil ANTECEDENTES
identificar si la evidencia ha
sido alterada

MANUAL BASICO DE CATEO

Y ASEGURAMIENTO DE
Puede ser duplicada de EVIDENCIA DIGITAL

manera exacta y copiada tal

como si fuese el original. Sabotaje

Modificaciones

Estos delitos En el año 1978, en el estado

CARACTERISTICAS Copyright de Florida, se reconocen los
incluían:
primeros crímenes cometidos
Alteración través de sistemas
informáticos.
Robo de datos
 PROCEDIMIENTOS EN LA
INVESTIGACION, RECOLECCION Y
MANEJO DE LA
videncia Digital
 CARACTERISTICAS DEL DELITO
INFORMATICO
Antes de comenzar con la Definir Objetivo
investigación criminal debemos
analizar la secuencia típica de un
ataque informático o del uso de un Reunir Información
medio electrónico, equipo o
dispositivo de almacenamiento para Los pasos
la comisión de un delito habituales en la
comisión de un Procesar Información
delito informático
son:

Analizar Información
1. No necesaria y únicamente encontraremos pistas en el dispositivo afectado
o utilizado, el atacante ha tenido que reunir la información y bajo el
principio de Locard ha dejado huellas electrónicas que debemos encontrar.
Ejecutar Acción o atacar
2. Debemos tomar en cuenta la naturaleza e intelecto del atacante que puede
haber utilizado técnicas anti forenses
 PROTECCIÓN DE LA ESCENA DEL
CRIMEN
Evitar la contaminación del lugar de
intervención y documentar la condición original
del escenario.

El personal que interviene debe hacer el máximo

esfuerzo para poder mantener asegurada y protegida
dicha escena

Cualquier alteración

Manipulación
El aseguramiento
requiere conservar en Contaminación
forma original el
espacio físico donde Destrucción
aconteció el hecho
con la finalidad de Pérdida o sustracción de los
evitar: elementos
Rastros o indicios que en el
lugar se localicen
 PROTECCIÓN DE LA ESCENA DEL
CRIMEN
Implica mantener de inmediato la intangibilidad
Protección del espacio físico en el que pudieran hallarse
inicial elementos, rastros o indicios vinculados con el
suceso

Cuando se encuentra en escena abierta se

puede asumir que el dispositivo
Un electrónico se halla en una escena virtual
componente cerrada
 Cerrada
Tipos electrónico
de puede hallarse
 Abierta Cuando la escena física es cerrada se puede asumir
área: en cualquiera
que la escena virtual será abierta o mixta en el
 Mixta de estas
supuesto de que exista algún tipo de red.
escenas

Cuando se sospecha o se tiene certeza de la ocurrencia de

un hecho anormal, se debe bloquear el uso y acceso a
todos los dispositivos, medios electrónicos, magnéticos u
ópticos que puedan estar comprometidos
 PROTECCIÓN DE LA ESCENA DEL
CRIMEN
Si en una escena física se procede con el acordonamiento del lugar, en casos de escenas que
comprendan ordenadores se debe tomar en cuenta que éstos pueden estar conectados a IMPORTANTE
redes, por lo tanto se aislara de la forma más eficiente y así evitar cualquier tipo de
contaminación. La escena del delito
informática es idéntica
Los dispositivos que pueden llegar a manejar y almacenar información variada y valiosa para el a la física en los
caso en investigación como son: un ordenador de sobremesa o móvil (laptop); teléfono móvil; cuidados requeridos,
agenda electrónica; memorias flash; discos compactos; impresora; teléfono / fax que puede no se deben utilizar,
tener memoria de grabación; dispositivos USB, de diferentes tipos; serán asegurados para su encender o apagar los
posterior análisis. dispositivos dado que
estaría contaminando
En caso de las computadoras, si en la pantalla se ve algo que podría perderse y si esta se las evidencias, tenga en
apaga, es recomendable redactar un acta donde se exponga y se describa todo lo que se cuenta que con el solo
muestra en dicha pantalla, de la misma manera documentarlo por medio de fotografía y video hecho de conectar una
para que de esta manera quede constancia de lo que se está realizando. memoria (USB)
modifica la escena del
Una de las mejores maneras de aislar la escena electrónica del hecho es quitar la alimentación delito introduciendo
de forma inmediata, en caso de ordenadores personales se quitará la energía eléctrica sin elementos ajenos al
apagar vía sistema operativo, en caso de un ordenador portátil se hecho en investigación
apagará quitando la batería o en su defecto por el botón de energía
 EVALUACIÓN DE LA ESCENA DEL
CRIMEN
En esta etapa de la investigación se desarrollan los
fundamentos básicos de la administración, Una vez comenzada la evaluación de la
organización y logística, la evaluación comienza escena del crimen no debe interrumpirse,
cuando se toma conciencia de que el lugar ha sido salvo que se den circunstancias que
totalmente asegurado y protegido. impliquen peligro físico para el personal o
daño para los objetos que se pudiesen
La evaluación es el paso más importante ya que localizar en la escena del crimen.
promueve un plan organizado de acción y evita la
actividad física impensada que destruiría la evidencia
pertinente.
 DETERMINACIÓN DEL ESCENARIO:

CERRADO PCs sin conexión a redes

ESCENA VIRTUAL

En la escena virtual tiene que ver con la

PCs con conexión a Internet vía ISP
propiedad del medio físico o canal por el cual ABIERTO (proveedor de servicio de internet)
se transmiten los datos.

MIXTO PCs en LAN/MAN/WAN

 FUENTES DE EVIDENCIA DIGITAL
A fin de establecer que los
investigadores forenses tengan
una idea de dónde buscar la
evidencia digital, éstos deben de
identificar las fuentes más
comunes de evidencia.
CONOCER esto brindará
al investigador el método
más adecuando para su
posterior recolección y
preservación.
1. SISTEMAS DE COMPUTACIÓN ABIERTO;
Son aquellos que están compuestos de las
llamadas computadores personales y todos sus
periféricos como teclados, ratones y monitores, las
Se clasificadas en
computadoras portátiles, y los servidores.
tres grupos:
2. SISTEMAS DE COMUNICACIÓN;
Estos están compuestos por las redes de
telecomunicaciones, la comunicación inalámbrica
y el Internet.
3. SISTEMAS CONVERGENTES DE COMPUTACIÓN;
Son los que están formados por los teléfonos inteligentes o
Smartphone, los asistentes personales digitales PDAs, las tarjetas
inteligentes y cualquier otro aparato electrónico que posea
convergencia digital y que puede contener evidencia digital.
 Computador de escritorio

Tablets Computador portatil

Discos, disquetes, cintas Estación de trabajo

magnéticas
Hardware de red
Palm APARATOS ELECTRÓNICOS E
INFORMÁTICOS QUE PUEDEN
POSEER Y ALMACENAR LA
Memoria “flash” (USB) Servidor
EVIDENCIA DIGITAL.

Cámaras, videograbadoras Teléfono celular

“GPS” (sistema de Aparato para identificar

posicionamiento global) llamadas

Localizador – beeper
 DOCUMENTACIÓN DE LA ESCENA
DEL CRIMEN
Entendiéndose por
documentación del Los métodos de
La documentación
lugar “la aplicación de documentación
debe tener un orden
Es la etapa técnicas que registran más usuales son: la
establecido con el fin
siguiente a la las características, descripción escrita,
de que los distintos
evaluación generales y particulares el croquis, la
procedimientos se
de un lugar relacionado fotografía, y el
realicen sin alterar los
con un hecho video
indicios
presuntamente
delictuoso”
 CADENA DE
CUSTODIA Desde la detección,
identificación, fijación,
recolección, protección,
resguardo, empaque y
Podemos definir a la cadena de custodia informático forense como un traslado de la evidencia
procedimiento controlado y supervisable, que se aplica a los indicios materiales o en el lugar del hecho
virtuales relacionados con un hecho delictivo o no, desde su localización hasta su real o virtual, hasta la
valoración por los encargados de administrar justicia, y que tiene como fin presentación como
asegurar la inocuidad y esterilidad técnica en el manejo de dichos indicios, elemento probatorio, la
evitando alteraciones, sustituciones, contaminaciones o destrucciones, cadena de custodia
asegurando la confiabilidad de la prueba documental informática recolectada en debe garantizar que el
un determinado lugar del hecho real o virtual desde su identificación hasta su procedimiento
disposición definitiva por orden judicial empleado ha sido
exitoso, y que la
Para asegurar estas acciones es necesario establecer un riguroso y detallado evidencia que se
registro, que identifique la evidencia y su posesión, con una razón que indique recolectó en la escena
lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la es la misma que se está
interacción posterior y su depósito en la sede que corresponda (judicial o no). presentando ante el
evaluador y/o decisor.
 CADENA DE CUSTODIA
La cadena de custodia informático forense tiene por objeto asegurar que
la prueba ofrecida cumple con los requisitos exigibles procesalmente, lo
que implica que debe asegurar:

1. Trazabilidad: 2. Confiabilidad

a. Humana b. Física
(determinación de (incluyendo la totalidad de los
responsabilidades en la equipos locales o remotos
manipulación de la prueba, involucrados en la tarea, sean (integridad, autenticidad,
desde su detección y estos de almacenamiento, confidencialidad, no repudio).
recolección hasta su procesamiento o
disposición final). comunicaciones).
c. Lógica
(descripción y modelización de
las estructuras de distribución
de la información accedida y
resguardada).
 LA CADENA DE CUSTODIA EN LA PRÁCTICA
INFORMÁTICO FORENSE

En el momento de revisar la integridad material y formal de la cadena de

custodia, en el caso particular analizado, el profesional deberá
considerarla desde tres puntos de vista complementarios:

1. Validez técnica 2. Validación técnica

3. Validación técnica legal:
informática: criminalística:

Implica el control, revisión y

Se trata en este caso del control, Esta validación es la resultante
auditoría de todas las operaciones
revisión y auditoría de todas las del análisis, a partir de las dos
técnicas informáticas, realizadas
operaciones técnicas criminalísticas, validaciones anteriores.
desde el momento de la
realizadas desde el momento de la Esta solo se efectuará cuando
identificación de la prueba
toma de contacto, de los actores las dos anteriores hayan
documental informática
participantes en la tarea analizada, es arrojado resultados positivos.
recolectada hasta el presente, de
decir desde que se involucran con la Consiste en el análisis
análisis considerado.
problemática pericial propuesta. integrador de la prueba
Deben tenerse en cuenta los
Implica la interacción multi y indiciaria informática
recursos involucrados e
transdisciplinaria de todos los recolectada y disponible, a
integrados en dicha tarea
participantes (peritos, expertos o no) efectos de determinar su
(edilicios, instrumentales, lógicos
en la preservación de la prueba. confiabilidad probatoria legal.
y humanos).
 CADENA DE CUSTODIA INFORMATICO FORENSE
Acceso al lugar de
Requiritoria
intervención
pericial.

Físicos Detección e
identificación Virtual

Recolección
Equipo apagado Equipo encendido
Formulario de inventario Registro
Formulario registro
Acta de secuestro y testigos Rotulado y
de evidencia
embalaje
Formulario de recibo de efectos
Traslado
Formulario de cadena de custodia
Formulario de
Destino y
responsables de cadena
Destino temporal- Laboratorio informático forense deposito final
de custodia
 FACTORES QUE INTERVIENEN EN UNA ESCENA DEL
CRIMEN

El investigador forense nunca tendrán la oportunidad de

revisar una escena del crimen en su estado original,
siempre habrá algún factor que haga que la escena del
crimen presente algunas anomalías o discrepancias.

Cuando en una escena del crimen se tiene que trabajar en

condiciones adversas como en incendios, inundaciones, derrames de
gasolina o químicos peligrosos, es indispensable que el investigador
tome las medidas de seguridad necesarias para asegurar en primer
lugar su integridad física.

Luego deberá implementar el procedimiento más adecuado para

incrementar las posibilidades de recuperar las evidencias de la
manera más completa.
 FACTORES QUE INTERVIENEN
EN UNA ESCENA DEL CRIMEN
Equipos de emergencia
Personal de criminalística
El sospechoso o el imputado tratando
de cubrir sus rastros
Acciones de la víctima
Transferencia secundaria
Testigos
El clima y la naturaleza
Descomposición
Su intervención y tácticas pueden modificar o alterar la escena.
Por accidente cambia, reubica, o altera la evidencia
Deliberadamente borra o altera los datos, considerados como
evidencia dentro de un disco duro.
Puede borrar correos electrónicos que le causen aflicción o le
provoquen alguna situación embarazosa.
Los sistemas informáticos usados en el acometimiento de un
delito, son usados posteriormente por alguna persona de forma
inocente, causando con ello la destrucción y alteración de
evidencia.
Un administrador del sistema puede borrar cuentas de usuarios
sospechosas, a fin de prevenir su utilización futura.
Los campos electromagnéticos pueden corromper la información
guardada en discos magnéticos.
A causa del tiempo y de las malas condiciones de
almacenamiento.
 ROLE
S
Son los primeros en llegar a la escena del crimen, son los encargados de recolectar las
Técnicos en evidencias que ahí se encuentran, tienen una formación básica en el manejo de
escenas del evidencia y documentación, al igual que en reconstrucción del delito, y la localización
crimen: de elementos de convicción.

Examinadores Son los responsables de procesar toda la evidencia digital o informática obtenida por los
de la evidencia Técnicos en Escenas del Crimen, para este punto las personas requieren tener un alto
digital o grado de especialización en el área de sistemas e informática.
informática:

Son los responsables de realizar la investigación y la reconstrucción de los hechos de los

Investigadores delitos informáticos de manera general, son personas que tiene una capacitación en
de delitos cuestiones de informática forense, son profesionales en seguridad informática,
informáticos: abogados, policías, y examinadores forenses.

Es evidente que el perito debe limitarse a su función de testigo experto y evitar los roles
detectivescos o la sustitución del juez como responsable de determinar autoría.
 PERITOS
INFORMÁTICOS
Peritos son las personas que por disposición legal aportan con sus conocimientos
los datos necesarios para que el juez o el fiscal adquieran un grado de
conocimiento del cual no son expertos en cierta materia para determinar las
circunstancias en que se cometió una infracción.

De acuerdo a lo que dispone el Art. 226 del Código procesal Penal, “Los peritos deberán ser
titulados en la materia a que pertenezca el punto sobre el que han de pronunciarse, siempre que
la profesión, arte o técnica estén reglamentados.

Peritos informáticos forenses: investigadores en informática y profesionales que contando

con un conocimiento de los fenómenos técnicos en informática, son personas preparadas
para aplicar procedimientos legales y técnicamente válidos para establecer evidencias en
situaciones donde se vulneran o comprometen sistemas, utilizando métodos y
procedimientos científicamente probados y claros que permitan establecer posibles
hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas hipótesis.
 EL PERITO DEBE REGIRSE POR LOS SIGUIENTES PRINCIPIOS:

OBJETIVIDAD El perito debe ser objetivo, debe observar los códigos de ética profesional

AUTENTICIDAD Y Durante la investigación, se debe conservar la autenticidad e integridad de los

CONSERVACION medios probatorios

El perito debe ser preciso en sus observaciones, opiniones y resultados, conocer la

LEGALIDAD legislación respecto de sus actividades periciales y cumplir con los requisitos
establecidos por ella.

IDONEIDAD Los medios probatorios deben ser auténticos, ser relevantes y suficientes para el
caso.

INALTERABILIDAD En todos los casos, existirá una cadena de custodia debidamente asegurada que
demuestre que los medios no han sido modificados durante la pericia

DOCUMENTACION Deberá establecerse por escrito los pasos dados en el procedimiento pericial.
 CONCLUSION
La ciencia, la tecnología y las técnicas modernas, integradas por una estructura lógica demostrativa estricta y una metodología
criminalística precisa y minuciosa, tienen serias probabilidades de actuar de manera efectiva, eficiente y eficaz en la reconstrucción
de los hechos acaecidos en una determinada locación espacio temporal. Está claro que la gestión de la prueba documental
informática y su comprobación pericial son tareas multidisciplinarias, algo que los operadores del Derecho están acostumbrados a
utilizar. También es una tarea interdisciplinaria ya que requiere colaboraciones y aportes provenientes de diferentes áreas del
saber. Pero, en particular, es una tarea transdisciplinaria, porque las conclusiones periciales no pueden ser extraídas de forma
adecuada si no integran las fases informática, criminalística y legal, aunando sus participaciones en un proceso integral. Por ello es
importante que los Peritos informáticos forense investigadores en informática sean profesionales que contando con un
conocimiento de los fenómenos técnicos en informática, estén preparadas para aplicar procedimientos legales y técnicamente
válidos para establecer evidencias en situaciones donde se vulneran o comprometen sistemas.
En cuanto a la investigacion y recolección de la evidencia digital, es de vital importancia la correcta practica de cadena de custodia,
ya que desde la detección, identificación, fijación, recolección, protección, resguardo, empaque y traslado de la evidencia en el
lugar del hecho real o virtual, hasta la presentación como elemento probatorio, dicho procedimiento tiene como fin asegurar la
inocuidad y esterilidad técnica en el manejo de dichos indicios, evitando alteraciones, sustituciones, contaminaciones o
destrucciones, asegurando la confiabilidad de la prueba documental informática recolectada.
La cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la
escena es la misma que se está presentando ante la disposición definitiva por orden judicial.
Por ultimo la única manera de enfrentar el futuro informático es estar en constante capacitación y trabajar en forma
mancomunada de manera interdisciplinaria en colaboración provenientes de diferentes áreas del saber y con objetivos comunes.
• REFERENCIAS.
• Santiago, A. (2015) Introducción a la informática forense, fiscalía
general de Estado, OEA.
• Cámpoli, G. (2006) Manual básico de cateo y aseguramiento digital,
INACIPE, Tlalpam.