Comisario Carlos Eduardo Escobar

Jefe División Ciberdelitos contra la Niñez y Adolescencia

Departamento Cibercrimen
 SECUESTRO DE EVIDENCIA DIGITAL
*.Ley 25.891 SERVICIO DE COMUNICACIONES MÓVILES
*. Ley 26.388 CD-109/06; S- 1751-1875 y 4417/06) DELITOS
INFORMÁTICOS.
*. Ley 11.723 de PROPIEDAD INTELECTUAL.
*. Ley 25.326 PROTECCION DE LOS DATOS PERSONALES.
*. Ley 25.506 FIRMA DIGITAL.
*. LEY Nº 24.766 LEY DE CONFIDENCIALIDAD.
*. Decreto 165/94 PROPIEDAD INTELECTUAL.
 GUÍA DE PROCEDIMIENTO
 Se deben separar las personas que trabajen sobre los equipos informáticos lo
antes posible y no permitirles que sean utilizados en otras tareas más que a la
específicamente asignada.

 Si es una empresa, se debe identificar al personal informático interno

(administradores de sistemas, personal de informática etc.) o a los usuarios de
aplicaciones específicas que deban someterse a peritaje.

 Dejar registrado el nombre del dueño o usuarios del equipamiento

informático ya que luego pueden ser de utilidad para la pericia.

 Siempre que sea posible obtener contraseñas de aplicaciones, dejarlas

registradas en el Acta de Allanamiento.
 Se deben fotografiar todos los elementos antes de moverlos o
desconectarlos.

 Fotografiar una toma completa del lugar donde se encuentren los

equipos informáticos, y fotos de las pantallas de las computadoras, si
están encendidas.

 Evitar tocar el material informático sin uso de guantes descartables.

Dependiendo del objeto de la investigación, el teclado, monitores,
mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para análisis
de huellas dactilares, ADN, etc.
 Si los equipos están encendidos deben quedar encendidos.
Para la obtención de la evidencia digital presente en los
mismos se deberá consultar o esperar que el profesional
determine la modalidad correcta para su obtención y
posterior apagado del equipo.

 Si los equipos están apagados deben quedar apagados, se

deberá desconectarlos desde su respectiva toma eléctrica y
no del enchufe de la pared. Si son notebooks es necesario
quitarles la o las baterías.
 Identificar si existen equipos que estén conectados a Red de Internet,
(por Cable o Wi-fi) y en su caso el número teléfono fijo, internet
(cablevisión, arnet, claro etc.) para registrarlo en el acta de
allanamiento.

 Impedir que nadie realice búsquedas o intente ver la información

almacenada ya que se altera y destruye la evidencia digital (esto incluye
intentar hacer una “copia” sin tener software forense específico y sin
que quede documentado en el expediente judicial el procedimiento
realizado).

 Sólo un especialista puede realizar una inspección en el lugar del hecho

tendiente a determinar si el equipamiento será objeto del secuestro y
de recolectar –en caso de ser necesario- datos volátiles que
desaparecerán al apagar el equipo. (Medida de Triage -solo autorizado
por el Juez-)
 TELEFONOS CELULARES Y/O SMARTPHONE
Con los sistemas móviles. ¿Qué hacer cuando se investiga un teléfono móvil,
Tablets, etc.
SI ESTA ENCENDIDO, DEJARLO ENCENDIDO.
SI ESTA APAGADO DEJARLO APAGADO Y NO TOCAR.

Es importante evitar comunicaciones salientes o entrantes del dispositivo

cuando se obtiene como evidencia, para evitar la modificación del estado en
el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir
registros históricos o mensajes existentes.

PONERLO EN MODO AVION (DEJAR CONSTANCIA EN ACTA)

 Usar guantes al momento de manipular un teléfono.

 Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos

PIN.

 Usar bolsas de Faraday o envolver con 4 o 5 vueltas de papel de alumino (cocina)

 Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas

contraseñas o buscar una manera de obviarlas.

 Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería. Con la

opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el
dispositivo deje de estar conectado a la red.

 Pero en general, estos dispositivos, al no encontrar antenas para comunicaciones,

aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de
forma que la vida de la batería se acorta considerablemente.
IDENTIFICAR CORRECTAMENTE TODA LA EVIDENCIA A SECUESTRAR:

Siempre se debe secuestrar los dispositivos informáticos que

almacenen grandes volúmenes de información digital
(computadoras, notebooks, celulares, palms, y discos rígidos
externos).

También deben secuestrarse DVD, CDs, diskettes, discos duros

portátiles, Pendrives, tarjetas de memoria, etc. pero atento a
que pueden encontrarse cantidades importantes.
 ROTULAR EL HARDWARE QUE SE VA A SECUESTRAR CON LOS
SIGUIENTES DATOS:

Para computadoras, notebooks, netbooks, celulares, cámaras fotográficas

etc.: N° del Expediente Judicial, Fecha y Hora, Número de Serie,
Fabricante, Modelo. Lugar y fecha del secuestro.

• Para DVDs, CDs, Diskettes, discos Zip, memorias, etc.: almacenarlos en

conjunto en un sobre antiestático, indicando: N° del Expediente Judicial,
Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y cantidad, Lugar y fecha del
secuestro.
Usar bolsas especiales antiestática dispositivos de almacenamiento
informáticos que sean electromagnéticos (si no se cuenta, pueden
utilizarse bolsas de papel madera). Firmar los presentes en el doblez
de la abertura del sobre y encintar.

Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de

electricidad estática que puede destruir los datos.

Precintar cada equipo informático en todas sus entradas eléctricas y

todas las partes que puedan ser abiertas o removidas.

Es responsabilidad del personal policial que participa en el

procedimiento el transporte sin daños ni alteraciones de todo el
material informático hasta que sea peritado.
 Cadena de Custodia
Mantener la cadena de custodia del material informático transportado es
FUNDAMENTAL .

Es responsabilidad del personal policial la alteración de la evidencia antes de

que sea objeto de una pericia informática en sede judicial y/o policial.

No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde

la posibilidad de utilizar el medio de prueba) si el material informático tiene
rotos los precintos al momento de ser entregado, siempre que no esté descripta
en el expediente judicial la intervención realizada utilizando una metodología y
herramientas forenses por profesionales calificados, SERA NULO….
ERRORES QUE SE VEN EN LOS SECUESTROS
 No se tapan los puertos de entrada y salidas de las notbooks y
computadoras

 No se ponen los celulares en modo avión

 No se ensobran.

 No se identifican en el acta.

 Vienen en bolsas de plástico.

 Se manipulan en el procedimiento incluso después de la hora de

comienzo del acta.

 Sobre y/o embalajes rotos.

 CONCLUSIONES

El personal que participa en allanamientos que involucra tecnología, requiere

contar con capacitación mínima adecuada para evitar que se viole la cadena de

custodia, cuyo cometido es esencial para garantizar la integridad de la evidencia,

así como también otras fallas materiales y procesales.

La experiencia demuestra que es necesario proponer un conjunto de acciones que

deben ser ejecutadas sistemáticamente en procedimientos judiciales que

involucren el secuestro de material tecnológico.

 Calle Juan D. Peron 1365 1er PISO
Email. pol.di.delitecno@chaco.gov.ar
pol.delitos.tecnolog@chaco.gov.ar
Tel. 362-4540749