Jefe División Ciberdelitos contra la Niñez y Adolescencia
Departamento Cibercrimen SECUESTRO DE EVIDENCIA DIGITAL *.Ley 25.891 SERVICIO DE COMUNICACIONES MÓVILES *. Ley 26.388 CD-109/06; S- 1751-1875 y 4417/06) DELITOS INFORMÁTICOS. *. Ley 11.723 de PROPIEDAD INTELECTUAL. *. Ley 25.326 PROTECCION DE LOS DATOS PERSONALES. *. Ley 25.506 FIRMA DIGITAL. *. LEY Nº 24.766 LEY DE CONFIDENCIALIDAD. *. Decreto 165/94 PROPIEDAD INTELECTUAL. GUÍA DE PROCEDIMIENTO Se deben separar las personas que trabajen sobre los equipos informáticos lo antes posible y no permitirles que sean utilizados en otras tareas más que a la específicamente asignada.
Si es una empresa, se debe identificar al personal informático interno
(administradores de sistemas, personal de informática etc.) o a los usuarios de aplicaciones específicas que deban someterse a peritaje.
Dejar registrado el nombre del dueño o usuarios del equipamiento
informático ya que luego pueden ser de utilidad para la pericia.
Siempre que sea posible obtener contraseñas de aplicaciones, dejarlas
registradas en el Acta de Allanamiento. Se deben fotografiar todos los elementos antes de moverlos o desconectarlos.
Fotografiar una toma completa del lugar donde se encuentren los
equipos informáticos, y fotos de las pantallas de las computadoras, si están encendidas.
Evitar tocar el material informático sin uso de guantes descartables.
Dependiendo del objeto de la investigación, el teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para análisis de huellas dactilares, ADN, etc. Si los equipos están encendidos deben quedar encendidos. Para la obtención de la evidencia digital presente en los mismos se deberá consultar o esperar que el profesional determine la modalidad correcta para su obtención y posterior apagado del equipo.
Si los equipos están apagados deben quedar apagados, se
deberá desconectarlos desde su respectiva toma eléctrica y no del enchufe de la pared. Si son notebooks es necesario quitarles la o las baterías. Identificar si existen equipos que estén conectados a Red de Internet, (por Cable o Wi-fi) y en su caso el número teléfono fijo, internet (cablevisión, arnet, claro etc.) para registrarlo en el acta de allanamiento.
Impedir que nadie realice búsquedas o intente ver la información
almacenada ya que se altera y destruye la evidencia digital (esto incluye intentar hacer una “copia” sin tener software forense específico y sin que quede documentado en el expediente judicial el procedimiento realizado).
Sólo un especialista puede realizar una inspección en el lugar del hecho
tendiente a determinar si el equipamiento será objeto del secuestro y de recolectar –en caso de ser necesario- datos volátiles que desaparecerán al apagar el equipo. (Medida de Triage -solo autorizado por el Juez-) TELEFONOS CELULARES Y/O SMARTPHONE Con los sistemas móviles. ¿Qué hacer cuando se investiga un teléfono móvil, Tablets, etc. SI ESTA ENCENDIDO, DEJARLO ENCENDIDO. SI ESTA APAGADO DEJARLO APAGADO Y NO TOCAR.
Es importante evitar comunicaciones salientes o entrantes del dispositivo
cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes.
PONERLO EN MODO AVION (DEJAR CONSTANCIA EN ACTA)
Usar guantes al momento de manipular un teléfono.
Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos
PIN.
Usar bolsas de Faraday o envolver con 4 o 5 vueltas de papel de alumino (cocina)
Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas
contraseñas o buscar una manera de obviarlas.
Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería. Con la
opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red.
Pero en general, estos dispositivos, al no encontrar antenas para comunicaciones,
aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente. IDENTIFICAR CORRECTAMENTE TODA LA EVIDENCIA A SECUESTRAR:
Siempre se debe secuestrar los dispositivos informáticos que
almacenen grandes volúmenes de información digital (computadoras, notebooks, celulares, palms, y discos rígidos externos).
También deben secuestrarse DVD, CDs, diskettes, discos duros
portátiles, Pendrives, tarjetas de memoria, etc. pero atento a que pueden encontrarse cantidades importantes. ROTULAR EL HARDWARE QUE SE VA A SECUESTRAR CON LOS SIGUIENTES DATOS:
Para computadoras, notebooks, netbooks, celulares, cámaras fotográficas
etc.: N° del Expediente Judicial, Fecha y Hora, Número de Serie, Fabricante, Modelo. Lugar y fecha del secuestro.
• Para DVDs, CDs, Diskettes, discos Zip, memorias, etc.: almacenarlos en
conjunto en un sobre antiestático, indicando: N° del Expediente Judicial, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y cantidad, Lugar y fecha del secuestro. Usar bolsas especiales antiestática dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Firmar los presentes en el doblez de la abertura del sobre y encintar.
Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de
electricidad estática que puede destruir los datos.
Precintar cada equipo informático en todas sus entradas eléctricas y
todas las partes que puedan ser abiertas o removidas.
Es responsabilidad del personal policial que participa en el
procedimiento el transporte sin daños ni alteraciones de todo el material informático hasta que sea peritado. Cadena de Custodia Mantener la cadena de custodia del material informático transportado es FUNDAMENTAL .
Es responsabilidad del personal policial la alteración de la evidencia antes de
que sea objeto de una pericia informática en sede judicial y/o policial.
No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde
la posibilidad de utilizar el medio de prueba) si el material informático tiene rotos los precintos al momento de ser entregado, siempre que no esté descripta en el expediente judicial la intervención realizada utilizando una metodología y herramientas forenses por profesionales calificados, SERA NULO…. ERRORES QUE SE VEN EN LOS SECUESTROS No se tapan los puertos de entrada y salidas de las notbooks y computadoras
No se ponen los celulares en modo avión
No se ensobran.
No se identifican en el acta.
Vienen en bolsas de plástico.
Se manipulan en el procedimiento incluso después de la hora de
comienzo del acta.
Sobre y/o embalajes rotos.
CONCLUSIONES
El personal que participa en allanamientos que involucra tecnología, requiere
contar con capacitación mínima adecuada para evitar que se viole la cadena de
custodia, cuyo cometido es esencial para garantizar la integridad de la evidencia,
así como también otras fallas materiales y procesales.
La experiencia demuestra que es necesario proponer un conjunto de acciones que
deben ser ejecutadas sistemáticamente en procedimientos judiciales que
involucren el secuestro de material tecnológico.
Calle Juan D. Peron 1365 1er PISO Email. pol.di.delitecno@chaco.gov.ar pol.delitos.tecnolog@chaco.gov.ar Tel. 362-4540749