Ing. Esp.

LUIS FERNANDO BARAJAS ARDILA

Especialista en Seguridad Informtica
Magister c Seguridad Informatica Universidad de la Rioja-Espaa
EnCase Certified Examiner - EnCE
AccessData Certified Examiner - ACE
Perito en Informtica Forense
Docente Unab UDI
Formador United States Department Of Justice ICITAP - OPDAT

Antiterrorism Assistance Program Bureau of Diplomatic Security (A.T.A)

United States Department Of Justice, International Criminal Investigative Training Assistance
Program ICITAP-USA

[email protected] - @ferchoweb

ING. LUIS FERNANDO BARAJAS ARDILA

EVIDENCIA DGITAL
EVIDENCIA DIGITAL
La evidencia digital es nica, cuando se le compara con otras formas de
evidencia documental. A comparacin de la documentacin en papel, la
evidencia computacional es frgil y una copia de un documento almacenado
en un archivo es identica al original. Otro aspecto nico de la evidencia
computacional es el potencial de realizar copias no autorizadas de archivos,
sin dejar rastro de que se realizo una copia. Esta situacin genera
problemas con respecto al robo de informacin comercial secretos
Industriales.

Se debe tener en cuenta que los datos digitales adquiridos de copias no se

deben alterar de los originales del disco, porque automticamente se
invalidara la evidencia. Es por esta razn que los investigadores deben
revisar constantemente sus copias, y que sean exactamente igual a la
original. CHECKSUM HASH
EVIDENCIA DIGITAL
La IOCE (International Organization On Computer Evidence) define los
siguientes puntos como los principios para el manejo y recoleccin de
evidencias computacional:

Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar

por ningn motivo sta evidencia.
Cuando es necesario que una persona tenga acceso a evidencia digital
original, esa persona debe ser un profesional forense.
Toda la actividad referente a la recoleccin, el acceso y el almacenamiento,
o a la transferencia de la evidencia digital, debe ser documentada
completamente preservada y disponible para la revisin.
Un individuo es responsable de todas las acciones tomadas con respecto a
la evidencia digital mientras que est en su posesin.
Cualquier agencia que sea responsable de recolectar, tener acceso,
almacenar o transferir evidencia digital es responsable de cumplir con estos
principios.
EVIDENCIA DIGITAL
Adems definen que los principios desarrollados para la recuperacin
estandarizada de evidencia computacional se debe gobernar bajo las
siguientes premisas:

Consistencia con todos los sistemas legales.

Permitir el uso de un lenguaje comn.

Durabilidad.

Capacidad de cruzar lmites internacionales.

Capacidad de Ofrecer confianza en la integridad de las evidencias.

Aplicabilidad a todas las evidencias forenses.

EVIDENCIA DIGITAL
CADENA DE
CUSTODIA
CADENA DE CUSTODIA (Artculos 254 y 265 CPP)
Es un sistema documentado que se aplica a los EMP y EF por las
personas responsables del manejo de los mismos, desde el momento
en que se encuentran o aportan a la investigacin hasta su
disposicin final, lo que permite no solo garantizar su autenticidad,
sino demostrar que se han aplicado los procedimientos
estandarizados para asegurar las condiciones de identidad,
integridad, preservacin, seguridad, continuidad y registro.
CADENA DE CUSTODIA
Autenticidad del EMP o EF
Identidad: Es la individualizacin de los EMP y EF mediante la
descripcin completa y detallada de todas las caractersticas,
teniendo en cuenta los pasos de descripcin objetiva de cada
elemento o sustancia como: color, peso, forma, cantidad, medida,
volumen, tipo de construccin y estado, entre otras.

Integridad: Determina que el EMP o EF allegado a la investigacin

conforme al debido proceso es el mismo que se utiliza para tomar la
decisin judicial.

Preservacin: Es asegurar las condiciones adecuadas de

conservacin e inalterabilidad de los EMP y EF de acuerdo con su
clase o naturaleza.
CADENA DE CUSTODIA
Autenticidad del EMP o EF

Seguridad: Esta a cargo de los custodios, quienes debern

mantener libres y exentos de todo riesgo y peligro a los EMP y EF.

Almacenamiento: Es la accin o efecto de guardar los EMP y EF

bajo condiciones adecuadas para garantizar su preservacin y
proteccin.

Continuidad y Registro: Es la secuencia ininterrumpida de todos

los traslados y traspasos de los EMP y EF entre custodios,
garantizada mediante el registro nico de cadena de custodia.
 ROTULO ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA - FPJ - 07-
Versin 2 - Resolucin F.G.N.

1. CODIGO UNICO DE CASO 2. FECHA Y HORA RECOLECCION

FORMATO MILITAR

6 1 0 0 1 6 0 0 0 0 1 3 2 0 0 6 0 0 0 0 1 D D M M A A

DPTO MUNICIPIO ENTIDAD UNIDAD AO CONSECUTIVO

3. MUESTRA 4. SITIO O LUGAR DE HALLAZGO DEL ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA

NUMERO DE NOMBRES Y APELLIDOS DE LA PERSONA A

DESCRIPCIN QUIEN SE LE ENCONTRO EL ELEMENTO
HALLAZGO

DELITO A
INVESTIGAR:

CANTIDAD

5. DESCRIPCION DEL ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA

UNIIDAD DE
MEDIDA

6. RECOLECCION DEL ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA

NOMBRES Y APELLIDOS CEDULA CIUDADANIA CARGO FIRMA

ENTIDAD
 UBICACION EN LA BODEGA ( * )

Nmero
REGISTRO DE CADENA DE CUSTODIA FPJ 08
Versin 2 - Resolucin F.G.N.

1. CODIGO UNICO DE CASO 2. HISTORIA CLINICA ( ** )

Nmero

DPTO MUNICIPIO ENTIDAD UNIDAD AO CONSECUTIVO

3. DOCUMENTACION DEL ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA 4 TIPO DE EMBALAJE

CEDULA DE Cantidad Cantidad Otro Cantidad

H R E NOMBRES Y APELLIDOS ENTIDAD CARGO FIRMA
CIUDADANIA Bolsa Cual ?
Frasco
Plstica

De papel Caja

5. DESCRIPCION DEL ELEMENTO MATERIA DE PRUEBA O

EVIDENCIA FISICA

Convenciones:

( * ) Para ser diligenciado exclusivamente por la Bodega General de Evidencias de la Fiscala General de la Nacin, con la posicin que le correspondi a la evidencia al interior de la Bodega.

( ** ) Para ser diligenciado por la Entidad Prestadora de Salud que recolecte el Elemento Material Probatorio o Evidencia Fsica.
H = Marque con una X si corresponde a quien HALL el Elemento Materia de Prueba o Evidencia Fsica.

R = Marque con una X si corresponde a quien RECOLECT el Elemento Materia de Prueba o Evidencia Fsica.

E = Marque con una X si corresponde a quien EMBAL el Elemento Materia de Prueba o Evidencia Fsica.

Se puede marcar una o varias opciones para un mismo nombre, segn sea el caso.
6. REGISTRO DE CONTINUIDAD DE LOS ELEMENTOS MATERIA DE PRUEBA O EVIDENCIA
PROPOSITO DEL
TRASPASO O
CALIDAD EN LA OBSERVACIONES AL ESTADO EN QUE SE
NOMBRES Y APELLIDOS DE QUIEN RECIBE TRALADO
HORA CEDULA DE QUE ACTUA (Entrega Almacn, RECIBE EL EMBALAJE O CONTENEDOR DEL
FECHA EL ELEMENTO MATERIA DE PRUEBA O ENTIDAD (Custodio, Perito, FIRMA
MILITAR CIUDADANIA Almacenamiento, ELEMENTO MATERIA DE PRUEBA O EVIDENCIA
EVIDENCIA FISICA Transportador) Anlisis, Presentacin FISICA
Audiencia, Consulta,
Disposicin Final)

D D M M A A

D D M M A A

D D M M A A

D D M M A A

D D M M A A

D D M M A A

D D M M A A

D D M M A A

D D M M A A

7. PARA SER DILIGENCIADO POR EL TECNICO EN PRUEBA DE IDENTIFICACION PRELIMINAR HOMOLOGADA "PIPH"
CANTIDAD DE
PRACTICO PRUEBA PRELIMINAR ? ROTULOS Nos.:
MUESTRAS
TOMADAS
SI NO

NOTA:

1) NUNCA INTERRUMPA EL REGISTRO DE CADENA DE CUSTODIA.

2) EL REGISTRO DE CADENA DE CUSTODIA SIEMPRE DEBE ACOMPAAR AL ELEMENTO MATERIA DE PRUEBA O EVIDENCIA FISICA.
3) SI ESTA HOJA NO ALCANZA PARA DILIGENCIAR LOS REGISTROS DE CONTINUIDAD DE CADENA DE CUSTODIA, SE PUEDE UTILIZAR TANTAS HOJAS ADICIONALES SEAN NECESARIO. DE SER ASI, EN LA PARTE SUPERIOR DERECHA DE CADA HOJA SE INDICARA EL NUMERO UNICO DEL CASO Y EL
DE LA HOJA A QUE CORRESPONDE DEL TOTAL DE HOJAS QUE CONFORMAN EL REGISTRO DE CONTINUIDAD.
REGISTRO DE CONTROL DE IMGENES DE EVIDENCIA DIGITALES

DESCRIPCIN DE LA EVIDENCIA DIGITAL

FECHA HORA FUNCIONARIO ENTIDAD FIRMA

K I T
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
Manilla Antiesttica
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
CD ROM - DISQUETE
 ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
Bloqueadores Conectores

SEMINARIO DE DELITOS INFORMTICOS

 ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
Kit de Herramientas
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
Porttil - Discos Duros
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES
Programas para realizar
borrado seguro
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES

Programas para extraer

huellas digitales
ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES

PROGRAMAS
PARA EXTRAER
DATOS VOLTILES
 ELEMENTOS NECESARIOS PARA MANEJO DE
EVIDENCIAS DIGITALES

PROGRAMAS PARA EXTRAER

IMGENES FORENSES
INFORMTICA FORENSE
Y SUS
PROCEDIMIENTOS
INVESTIGACIONES RELACIONADAS CON
SISTEMAS DE INFORMACIN
Reaccin al Incidente informtico.
Manejo del lugar de la escena (escena virtual).
Recoleccin de las evidencias digitales.
Anlisis de la informacin recopilada vs. EMP.
Exposicin de los resultados.
Testimonio en juicio.
INVESTIGACIONES RELACIONADAS CON
SISTEMAS DE INFORMACIN
PROCEDIMIENTO UTILIZADO

Se realiza un anlisis del procedimiento utilizado por la organizacin en donde

ocurri el fraude, ejemplo: Robo a travs del departamento de ventas.

Determina como interviene el sistema de informacin en el proceso, ejemplo: los

datos que se ingresan en cada proceso.

Estudia los mecanismos de seguridad que posee el sistema de informacin para

preservar la integridad, confidencialidad y seguridad de los datos.

Solicita todos los EMP o EF que se requieren para determinar la ocurrencia del
hecho, y la responsabilidad del indiciado.

Los resultados, producto del anlisis de la informacin recopilada, que en ltimas

son los EMP y EF hallados, recogidos y embalados.
INVESTIGACIONES RELACIONADAS CON ANLISIS
A MEDIOS DE ALMACENAMIENTO MAGNTICO

Reaccin al Incidente informtico.

Manejo del lugar de la escena (escena virtual).
Recoleccin de las evidencias digitales.
Anlisis de los EMP.
Exposicin de los resultados.
Testimonio en juicio.
INVESTIGACIONES RELACIONADAS CON ANLISIS
A MEDIOS DE ALMACENAMIENTO MAGNTICO

PROCEDIMIENTO UTILIZADO

Se hallan recogen los datos voltiles de la maquina en caso de estar encendida, y

posteriormente se hace una descripcin de equipo detallando todo lo encontrado.

Proceso de cadena de custodia.

Se realiza una imagen al medio de almacenamiento magntico.

Los resultados, producto del anlisis de la informacin recopilada, que en ltimas

son los EMP y EF hallados, recogidos y embalados.
INVESTIGACIONES RELACIONADAS CON
INTERNET
Reaccin al Incidente informtico.
Manejo del lugar de la escena (escena virtual).
Recoleccin de las evidencias digitales.
Anlisis de la informacin recopilada vs. EMP.
Exposicin de los resultados.
Testimonio en juicio.
INVESTIGACIONES RELACIONADAS CON
INTERNET (correos electrnicos)
PROCEDIMIENTO UTILIZADO

Se cita a la persona que coloco la denuncia con el propsito de ingresar a su cuenta

electrnica, y as extraer los mensajes de carcter amenazante, injurioso o extorsivos.
Se ingresa al correo electrnico de la persona, en donde es ella quien digita su usuario
y contrasea. Es importante resaltar que para fijar estas acciones se utiliza la funcin
PrintScreen, con la finalidad de documentar el proceso paso a paso.
Se buscan los mensajes producto de la denuncia, y se configura la presentacin del
correo electrnico, de tal forma que nos permita ver los encabezados de
direccionamiento IP.
Se extraen los mismos como Elementos Materiales Probatorios mediante una impresin
y de ser posible se guardan en un medio de almacenamiento magntico para que hagan
parte del caso como evidencias fsicas.
Se realiza todo el proceso de cadena de custodia.
Con el encabezado de direccionamiento IP se obtiene el ISP, a quien se le solicita la
informacin de datos biogrficos de la persona que tiene adjudicada esa direccin IP.
INVESTIGACIONES RELACIONADAS CON
INTERNET (Pginas Web)
PROCEDIMIENTO UTILIZADO

Se ingresa a la pgina web con el fin de determinar su existencia.

Una vez se comprueba su disponibilidad en la red, se procede a extraer mediante la
funcin PrintScreen el contenido de la misma, tal como la esta presentando en ese
momento.
Se trata de determinar algn tipo de contacto a travs del contenido.
Posteriormente, mediante la instruccin ping se determina la direccin IP que posee la
misma en la red Internet.
Determina el pas de origen, y el ISP que provee el servicio de conectividad a la gran
red.
Se enva solicitud al ministerio de comunicaciones para que bloquee el ingreso de esa
pgina a Colombia.