Estado de la Investigación Forense en la Argentina1

El Análisis Forense es la ciencia que analiza la evidencia digital en dispositivos electrónicos siguiendo
procedimientos metodológicos a fin de que los resultados obtenidos tengan validez judicial y se
encuentren enmarcados en procedimientos que garanticen la debida defensa en juicio.

El Análisis Forense, también conocido en otros países de la región latinoamericana como Cómputo
Forense puede ser aplicado también en escenarios corporativos para documentar situaciones que
afectan el negocio, mencionando entre ellas el fraude contable administrativo y el robo de
información.

En este trabajo nos focalizaremos en las prácticas actuales más utilizadas para el análisis forense en
ambientes judiciales, esto es, los peritajes judiciales.

Marco de referencia

Las pericias Judiciales son realizadas por profesionales auxiliares de la justicia, que aplican su
experticia para completar un dictamen técnico que permita llevar a los administradores de justicia
elementos que por su formación no son capaces de interpretar.

En la justicia civil, los peritos son seleccionados por un mecanismo de sorteo entre aquellos
profesionales que integran las listas del poder judicial, según las distintas jurisdicciones. Estos
peritos son conocidos como peritos de oficio. Es requerimiento poseer título habilitante vinculado
a la especialidad pericial.

En la justicia penal, la figura del perito oficial es generalmente delegada a un miembro de fuerzas
de la Ley, esto es un oficial de una fuerza policial, judicial u organización similar. Es interesante hacer
notar que no existen requerimientos de formación universitaria para estos peritos, lo cual está
generando situaciones de planteos de impugnación de los mismos por eventual falta de formación
académica. En un pequeño porcentaje de casos los jueces designan a Universidades públicas o
privadas y eventualmente a peritos privados reconocidos, cuando la experticia requiere
conocimientos avanzados o equipamiento específico que la fuerza no posee o en casos donde la
participación de fuerzas de la ley pueda estar cuestionada.

1
Este informe fue elaborado por el Ingeniero Gustavo Presman para la Asociación por los
Derechos Civiles.
Este trabajo está elaborado a partir de mi larga experiencia como perito informático y entrenador
de Fuerzas de la Ley, teniendo presente las pocas estadísticas formales independientes y serias que
existen actualmente en la materia , en nuestro país.

La Pericia Informatica

A grandes rasgos podríamos dividir las pericias informáticas en dos grandes grupos: La recolección
y el Análisis de Evidencia.

• La recolección de evidencia es el acto de acceder al elemento digital que será objeto de

posterior análisis y resguardarlo a los efectos de garantizar su contenido durante todo el
proceso pericia. La recolección puede efectuarse de manera compulsiva en un allanamiento
o prueba anticipada o dentro de un proceso normal, pudiéndose efectuar de manera local
o remota, según la naturaleza y ubicación de la evidencia y de forma visible o encubierta,
según el tipo de investigación y con las autorizaciones judiciales pertinentes.

• El análisis de evidencia es el corazón de la pericia informática y está constituido por el

conjunto de tareas a realizar a los efectos de analizar el contenido de la evidencia digital
para confirmar o refutar una situación que se plantea.

Ambos procedimientos deben realizarse siguiendo reglas de buena práctica y protocolos, cuando
los hubiera. En ausencia de los mismos existen normas internacionales y procedimientos avalados
por instituciones reconocidas en la práctica forense informática que marcan el camino a seguir.

• Entre los principales protocolos podemos mencionar la del Instituto nacional de Justicia del
Departamento de Justicia de los Estados Unidos Forensic Examination of Digital Evidence:
A Guide for Law Enforcement , el del grupo de trabajo científico en evidencia digital
(SWGDE) Best Practices for Computer Forensics , el de las fuerzas policiales de Inglaterra,
Gales y el Norte de Irlanda ACPO Good Practice Guide for Digital Evidence y el de la Agencia
Europea de seguridad de la Información (ENISA) Identification and handling of electronic
evidence

Es importante señalar que la organización internacional de estandarización ISO ha emitido dos

normas relacionadas con el análisis forense y provenientes del tronco normativo de la ISO 27000,
estas son la ISO/IEC 27037:2012 Guidelines for identification, collection, acquisition and
preservation of digital evidence, la ISO/IEC 27042:2015 Information technology -- Security
techniques -- Guidelines for the analysis and interpretation of digital evidence

Estas normas ordenan y recomiendan mejores prácticas por lo que es recomendable que cualquier
protocolo de actuación o normativa esté alineada con las mismas.

Es de hacer notar que al momento de aparición de la norma ISO 27037, la ejecución de pericias
informáticas ya se venía haciendo con regularidad en la Argentina de manera dispar, encontrando
laboratorios forenses de distintas fuerzas del país con un razonable nivel de trabajo que incluye
equipamiento apropiado, cumplimiento de normas de trabajo y personal capacitado y otros con
recursos mínimos o inexistentes en algunas de las áreas mencionadas. Al contrastar los
procedimientos empleados por distintos laboratorios forenses de fuerzas de la ley y peritos privados
civiles, he podido comprobar que los mismos se ajustaban razonablemente a la norma.

En la actualidad, los laboratorios de pericias Informaticas de las distintas fuerzas de la ley, así como
los peritos de parte que actúan como consultores técnicos tienen procedimientos de actuación
(muchas veces no escritos) diferentes y aunque sería deseable ordenar normativamente en pos de
una mayor transparencia de los procedimientos.

A manera de ejemplo cito el siguiente ejemplo: A la hora de recolectar evidencia todos los
protocolos y procedimientos insisten en la necesidad de tener copias de resguardo de lo
recolectado. Este aspecto es fundamental para asegurar la disponibilidad de la evidencia ante un
fallo del soporte de almacenamiento de la misma y evitar que la pericia se torne inviable, sin
embargo, estos protocolos no se ponen de acuerdo en cuantas copias del soporte conteniendo la
evidencia se deben mantener en resguardo, algunos mencionan una copia de respaldo y otros
sugieren dos o hasta tres.

Resulta claro entender que cuantas más copias de seguridad de la evidencia se resguarden mayor
respaldo se posee, sin embargo, es importante tener en cuenta las realidades presupuestarias de
los laboratorios forenses, los que ya tienen serias dificultades operativas para conseguir el disco que
va a almacenar el archivo de evidencia, siendo totalmente ilusoria la posibilidad de conseguir otros
discos de respaldo. Este punto puede solucionarse procedimentalmente bloqueando la devolución
del efecto principal, manteniéndolo en resguardo, hasta la finalización de la pericia de forma que si
el soporte conteniendo la evidencia fallara, se cuenta con el efecto original para hacer una nueva
copia forense.
El ejemplo presentado es uno de los múltiples factores a tener en cuenta y que requiere de disponer
protocolos y procedimientos claros, concisos, efectivos y sobre todo aplicables en cada realidad
jurisdiccional.

A la fecha de escritura de este trabajo debo mencionar que existen varios protocolos con distinta
calidad académica y de aplicación parcial y sugerida en determinadas jurisdicciones, como por
ejemplo el Protocolo de Actuación para Pericias Informáticas de la Provincia del Neuquén y los
recientes Guía de obtención, preservación y tratamiento de evidencia digital, elaborada por la
Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) y el Protocolo general de actuación para
las fuerzas policiales y de seguridad en la investigación y proceso de recolección de pruebas en
ciberdelitos del Ministerio de Seguridad, siendo este un tema que , en mi opinión profesional,
requiere uniformización de criterios . El tema se encuentra en discusión actualmente en distintos
organismos nacionales y provinciales en nuestro país.

Estos protocolos son simplemente una adaptación de recomendaciones existentes en los

documentos citados precedentemente, que en algunos casos están mal redactados o peor aún, con
gruesos errores técnicos, llegando incluso en ocasiones hasta la barbaridad de incluir productos
comerciales de hardware y software forenses en lugar de describir procedimientos con sustento
técnico y herramientas por sus funcionalidades.

Los mismos son presentados simplemente con las recomendaciones de su uso, sin planes de
capacitación ni previsiones presupuestarias para su implementación.

Practica pericial informática en la Argentina

En la Argentina actual, existen numerosas oficinas de fuerzas de la Ley que producen informes
periciales, tanto para investigaciones preparatorias preliminares como procedimientos de
inteligencia y pericias judiciales. A los efectos de garantizar el derecho a defensa en juicio, en las
pericias judiciales en el ámbito penal o en procedimientos preliminares de obtención de prueba, las
partes tienen la facultad de proponer su perito, el que participa en forma conjunta con el perito de
parte de dicho mandamiento judicial. Según el CPPN vigente hay solo dos excepciones que autorizan
a avanzar en la pericia sin la presencia de expertos técnicos de partes: que la misma sea
extremadamente sencilla o exista peligro en la demora. Es de hacer notar que en ocasiones y ante
una incorrecta valoración de esas excepciones, la pericia se efectúa sin peritos de parte, dejando la
misma al borde de la nulidad
Entre los principales laboratorios de fuerzas de la ley que realizan pericias informáticas podemos
citar:

• Policía Federal Argentina: Posee las divisiones Apoyo tecnológico Judicial, Delitos en
Tecnología y la recientemente creada División Informática Forense

• Policía de la Ciudad Autónoma de Buenos Aires con su Área Cibercrimen

• Gendarmería Nacional Argentina: Asiste en Pericias Informaticas desde el laboratorio de

Informatica Forense que depende departamento Ciberdelito, También cuenta con un área
de Cibercrimen

• Prefectura Naval Argentina tienen la división pericias en el departamento Cibercrimen

• El Ministerio Público Fiscal de la Ciudad Autónoma de Buenos Aires tiene el laboratorio de

análisis forense informático del Cuerpo de Investigadores judiciales

• Policía de Seguridad Aeroportuaria

También organismos de Inteligencia de distintas jurisdicciones, policías, procuraciones y poderes

judiciales de todas las provincias argentinas tienen o están formando equipos de peritos
informáticos para dar respuesta al creciente incremento de pruebas digitales, en este sentido es de
hacer notar que muchos de ellos nacen a partir de requerimientos puntuales producto de casos de
alto impacto en la sociedad y carecen de un plan de desarrollo que incluya la adquisición de
herramientas de informática forense , la capacitación de los efectivos destinados a la tarea pericial
y la disponibilidad de insumos para la actividad, teniendo en cuenta que para un laboratorio forense
Informatico los discos duros se emplean como medio de almacenamiento de evidencia digital por
lo que resulta un insumo crítico, tal como para otras unidades puede serlo una resma de papel o un
cartucho de tinta de impresora.

El sistema judicial argentino permite a los jueces, en el ámbito penal, elegir discrecionalmente al
laboratorio pericial de fuerzas de la ley que consideren para realizar una experticia informática.
Generalmente orientan su elección en aquellas fuerzas cuyos laboratorios han tenido éxito o
decididamente sus informes han sido magros, en pericias de causas previas que el juez ha
encomendado. Es por ello que en muchos casos que los jueces tienen sus laboratorios periciales
"fetiche" enviando las pericias siempre a las mismas fuerzas. En situaciones particulares o por la
complejidad, el juez puede designar más de un perito oficial, incluso pertenecientes a diferentes
laboratorios forenses o incluso a diferentes fuerzas de la ley.

Uno de los criterios básicos de las auditorías de control interno es la segregación de funciones que
indica que ninguna persona debe manejar todas las etapas de una transacción. Aplicando este
criterio al análisis forense digital , sería deseable que los peritos que van a realizar el análisis
investigativo sean de divisiones , departamentos diferentes o incluso de distintas fuerzas de la ley
que aquella que participó del secuestro que originó la obtención del elemento a peritar , de este
modo la experticia resulta con mayor objetividad habida cuenta que la etapa de análisis forense
puede detectar y confirmar la existencia de eventuales irregularidades en el proceso de recolección,
la que podrían no ser informadas por la eventual relación cercana entre los peritos participantes.

¿Qué ocurre cuando los laboratorios forenses de fuerza de la ley no tienen capacidad o la experticia
necesaria para realizar una pericia determinada?

En ese caso los jueces suelen oficiar a Facultades de Universidades de prestigio, Colegios y
asociaciones profesionales o también pueden designar profesionales civiles de amplia trayectoria y
reconocimiento profesional de sus pares. Esta conducta también se verifica cuando la causa
involucra a alguna de las fuerzas de la ley.

Un tema a considerar es el requerimiento de título profesional habilitante para realizar pericias

informáticas. Según el artículo del artículo 254 Código procesal penal nacional de la República
Argentina vigente a la fecha de este trabajo:

"Los peritos deberán tener título de tales en la materia a que pertenezca el punto sobre el que han de
expedirse y estar inscriptos en las listas formadas por el órgano judicial competente. Si no estuviere
reglamentada la profesión, o no hubiere peritos diplomados o inscriptos, deberá designarse a persona
de conocimiento o práctica reconocidos"

En ese sentido, mientras que a los peritos privados civiles se les exige título profesional universitario
para tener actuación judicial, es muy poco frecuente que los peritos oficiales de fuerzas de la ley
posean titulación académica universitaria.

Sin detenerme en un análisis exhaustivo de las razones han llevado a esta situación podría decirse
que la principal causa radica en los bajos salarios y la rígida estructura de la cadena de mando en las
instituciones de seguridad que no solo no incentiva el estudio y la profesionalización de sus efectivos
sino que en ocasiones se opone al crecimiento profesional de los estudiantes por el tiempo que
pueda tomarles de sus actividades bajo la excusa del alto volumen de trabajo y en algunos casos por
el temor a que su crecimiento profesional opaque a sus superiores.

En relación a la ejecución propiamente dicha del acto pericial el Código procesal penal nacional de
la República Argentina vigente a la fecha de este trabajo, el artículo 262 señala:

"Los peritos practicarán unidos el examen, deliberarán en sesión secreta, a la que sólo podrá asistir el
juez, y si estuvieren de acuerdo redactarán su informe en común. En caso contrario, harán por
separado sus respectivos dictámenes"

Significa que el Colegio pericial, es decir, el grupo de peritos conformado por los peritos oficiales y
los peritos de sesionar en forma conjunta, teniendo todos los peritos acceso simultaneo a la prueba
recolectada para la ejecución de las tareas que definan de común acuerdo.

El acceso a la evidencia recolectada en forma conjunta asegura que ninguno de los peritos de parte
acceda a contenido digital de la contraparte, pudiendo obtener información privilegiada que incluso
nada tenga que ver con el objeto de la pericia y los hechos investigados, pudiendo vulnerar la
privacidad de las partes.

En los códigos procesales penales modernos, en especial aquellos que sustentan los sistemas
penales acusatorios la práctica conjunta de la pericia no parece ser importante en pos de una
supuesta celeridad en el proceso.

Por ejemplo, el código procesal penal de la Ciudad Autónoma de Buenos Aires sancionado por la
Legislatura de la ciudad autónoma de Buenos Aires en 2007, en las directivas indicadas para la
pericia en su artículo 132 cita:

"… Los peritos procurarán practicar juntos el examen"

Idéntico tratamiento tiene el nuevo Código Procesal Penal de la Nación que aún no ha sido
sancionado.

Este trabajo está enfocado a las practicas forenses digitales de apoyo a los procesos judiciales donde
las pericias deben tener una claridad meridiana en cuanto al objeto de la misma, estando
conformada por un cuestionario pericial que se compone de los puntos de pericia, del que el perito
no debe apartarse bajo pena de ser declarado nulo su dictamen.

¿Cuáles son las principales prácticas forenses empleadas en una pericia informática?
El primer aspecto a analizar es el tratamiento de los dispositivos que contienen evidencia digital,
principalmente al llegar a una escena del hecho. De igual forma que conocemos los recaudos que
toman los criminalistas al acceder a una escena del hecho, es necesario tener consideraciones
especiales a la hora de efectuar el tratamiento de la evidencia digital.

Si al llegar a la escena del hecho una computadora o un teléfono celular están encendidos, ¿se deben
a pagar? ¿Hay que ejecutar algún comando sobre los mismos? ¿Hay que colocar las computadoras
en suspensión y los teléfonos celulares en modo avión? El perito informático en la escena del hecho
debe analizar cuidadosamente las implicancias de las posibles respuestas a esos interrogantes y
decidir en tiempo real las respuestas más apropiadas, fundamentándolas y documentando con
claridad sus decisiones.

En la etapa de recolección de evidencia digital debemos distinguir la recolección mediante imágenes

forenses o prácticas de muestreo y el secuestro directo de los dispositivos, difiriendo la adquisición
de la evidencia digital para la etapa de análisis.

La recolección de evidencia digital mediante imágenes forenses requiere de la experticia y la

disponibilidad de equipamiento e insumos para su realización.

Una imagen forense es una copia bloque a bloque del contenido digital almacenado, el que es
autenticado mediante una función de HASH o digesto matemático, a fin de asegurar la integridad
de la evidencia recolectada. Las imágenes forenses se pueden realizar mediante una computadora
y un programa o utilizando un dispositivo autónomo denominado duplicador forense. En el primer
caso se debe impedir la contaminación de la prueba, accediendo al elemento de almacenamiento a
través de un dispositivo que bloquee la escritura o empleando un sistema operativo que no escriba
sobre el medio digital, esto a fin de mantener la continuidad de la prueba.

La utilización de un duplicador forense lleva implícito el bloqueo contra escritura y al ser un

dispositivo de hardware, el software embebido o firmware se encuentra optimizado, mejorando
drásticamente la velocidad del proceso, incluso al producir múltiples copias.

La recolección por muestreo o Triage una técnica que permite la búsqueda y adquisición de
evidencia digital, empleando criterios superficiales, de modo de identificar potenciales elementos
con evidencia digital relevante para la investigación
Cualquiera sea el método empleado para la creación de imágenes forenses o muestreo, además de
software y hardware especializado será necesario contar con un insumo fundamental: discos rígidos
para el almacenamiento de la evidencia recolectada.

Un apartado especial merece el concepto de Investigación en vivo. De acuerdo con lo explicado

precedentemente se debe evitar acceder al contenido de los elementos electrónicos que contengan
evidencia digital para evitar su contaminación, sin embargo, en ocasiones especiales donde hay
peligro de vida, el tiempo que insume la realización de imágenes o copias forenses, puede tener
gran impacto en el desenlace de la investigación por lo que, previa autorización del magistrado
interviniente, se puede acceder en vivo al dispositivo.

En estos casos el perito forense se debe circunscribir a los aspectos puntuales de la investigación
que han sido ordenados y extremar los recaudos en el procedimiento y muy especialmente en la
documentación del mismo.

Merece especial importancia el concepto de vigilancia remota, en el cual con o sin conocimiento del
objetivo de investigación se accede mediante un procedimiento tecnológico a un dispositivo
informático. Este tipo de procedimientos está comenzando a generar debate en todo el mundo ya
que el mismo requiere de la inyección de un programa en la maquina objetivo, el cual, en caso de
hacerlo sin el conocimiento del usuario legitimo del equipo, técnicamente cae en la categoría de
Software malicioso o Malware.

La adopción de este tipo de herramientas investigativas requiere de un profundo análisis sobre su

implantación, control y análisis de este tipo de recursos.

En el caso que, por razones de tiempo o por falta de experticia y/o elementos necesarios para
realizar las copias forenses en la escena del hecho se decida el secuestro de los dispositivos
electrónicos, los mismos deberán ser embalados y etiquetados de manera que se resguarde el
contenido y se lo pueda identificar unívocamente con absoluta claridad. Es importante señalar que
algunos dispositivos como los teléfonos celulares deberán ser embalados en contenedores
especiales que bloqueen la interferencia electromagnética a fin de evitar que puedan ser accedidos
durante el procedimiento.

Este tipo de bloqueo, así como el aislamiento perimetral de equipos que puedan encontrarse
conectados a redes de computadoras, es esencial llevarlo a cabo en los primeros momentos del
procedimiento de escena del hecho.
La Cadena de custodia de evidencia digital

Al momento de tomar contacto con la evidencia digital, debe iniciarse la correspondiente cadena
de custodia, ya sea durante la recolección de evidencia o al iniciar el análisis, cualquiera sea el tipo
de proceso de investigación forense digital.

La cadena de custodia es un registro minucioso de auditoría que permite conocer el movimiento de

la evidencia y las personas responsables que tomaron contacto con la misma, pudiendo tener un
nivel de detalle que permita establecer las actividades realizadas. Este concepto es relevante en
todo proceso judicial pero también es de aplicación en el ámbito privado corporativo cuando se
preserva evidencia de manera previa frente a un posible incidente judicializable ya sea para
proponer medias de prueba o para demostrar la debida diligencia en el tratamiento de la evidencia
en su poder.

La cadena de custodia es la documentación aplicada sobre los elementos de prueba que permite
demostrar la identidad, integridad, preservación y registro en la continuidad de la prueba

La cadena de custodia puede llevarse mediante un formulario específico o ser un elemento

intangible que puede interpretarse a partir del análisis de diversos documentos asociados al proceso
pericial. El primer caso es el más frecuente en el proceso de pre constitución de evidencia realizada
en el ámbito privado corporativo.

En la justicia argentina los procesos judiciales son llevados actualmente y de forma casi excluyente
en papel, recolectando las diferentes piezas procesales en el denominado expediente judicial que
puede estar compuesto por varios cuerpos y en algunos fueros con la inclusión de los cuadernos de
prueba. En este caso, la cadena de custodia debe reconstruirse a partir de la lectura y el seguimiento
de estos documentos.

Frecuentemente se escucha que tal evidencia "no tiene cadena de custodia", sin embargo, es muy
improbable que eso ocurra ya que cualquier evidencia recolectada es mínimamente identificada, en
todo caso si puede ocurrir que la cadena de custodia sea débil.

Un aspecto fundamental de la evidencia digital es la integridad de la misma. Entendemos por

evidencia integra a aquella que durante toda su vida útil se mantiene inalterable, esto es que la
evidencia digital que se esté transportando, almacenando o procesando pericialmente debe ser
idéntica a la recolectada originalmente.
Para establecer la integridad de la evidencia digital, al momento de realizar la imagen forense se
debe calcular al menos un digesto matemático o función de hash que es un algoritmo matemático
unidireccional de tamaño fijo que se obtiene de la evidencia que vamos a copiar de manera forense
y que en ese mismo procedimiento se verifica en el archivo de evidencia o imagen forense. Este
valor de hash es unidireccional ya que se obtiene a partir de la evidencia original pero no resulta
posible a partir de este valor de hash reconstruir la evidencia original y cualquier cambio, por
mínimo que sea produce una variación en el valor del hash y esta variación es absolutamente
independiente de la dimensión de los cambios que se produzcan. Cuando se produce una alteración
en el valor del hash original se dice que la evidencia digital está contaminada.

Frente a una eventual contaminación de la evidencia digital la cadena de custodia puede ayudar a
determinar las circunstancias de tal situación incluyendo la identificación de los responsables, pero
es importante entender que la existencia en sí de la cadena de custodia no garantiza la integridad
de la evidencia.

Se dice que la cadena de custodia "se rompe" cuando existen huecos en alguna de las variables que
la misma registra. A manera de ejemplo, un posible listado de los elementos que puede contener
un registro de cadena de custodia es:

✓ Control de integridad del embalaje

✓ Datos identificatorios de la evidencia original

✓ Hashes de las imágenes forenses efectuadas

✓ Nombre de la persona y fecha de contacto con la evidencia

✓ Registro del pasaje de una persona a otra

✓ Registro del pasaje de una ubicación física a otra

✓ Tareas realizadas durante la posesión

✓ Registro de testigos

✓ Fotografías de la evidencia en las tareas realizadas

✓ Sellado de la evidencia al finalizar la posesión

 ✓ Log de actividades durante la posesión

Cualquier persona que interactué con la evidencia digital y en especial los peritos intervinientes
debe controlar "el eslabón" de la cadena de custodia previa a tomar contacto con la misma y
asegurar el último eslabón bajo su control a los efectos de limitar su responsabilidad a dicho
intervalo de actuación.

A continuación veremos cuáles son los procedimientos que realiza usualmente un perito
informático para recolectar y analizar evidencia. Estos procedimientos aplican a todos los fueros,
sin embargo, en este trabajo nos enfocaremos en el procedimiento penal, por ser el más restrictivo
e incluir a los procedimientos en otros fueros.

Procedimientos en la escena del hecho

Se considera como escena del hecho, el lugar donde transcurre o transcurrieron los hechos bajo
investigación y, en nuestro caso, existe evidencia digital.

Es relevante para la continuidad de la prueba que en la escena del hecho la evidencia digital sea
manipulada y tratada por personal idóneo con formación en este tipo de evidencia. La citada norma
ISO 27037 define a esta persona como primera respuesta en evidencia digital o DEFR (Digital
Evidence First Responder). La misma debe estar capacitada en el tratamiento de evidencia digital
siendo crítico que, como mínimo, sepa con precisión qué cosas no debe hacer al manipular evidencia
digital.

Es posible que el DEFR requiera mayor formación según la tarea que desarrolle en la escena del
hecho, pero nunca requerirá la formación profesional necesaria para los procedimientos de análisis
pericial de laboratorio, pero no por ello es menos importante su función y en algún punto crítica ya
que por el Principio del fruto del árbol envenenado, una incorrecta recolección de evidencia digital
podría generar dictámenes periciales viciados de nulidad.

En la escena del hecho es necesario establecer previamente si se van a secuestrar los efectos o se
va a hacer la recolección de evidencia digital.

El secuestro de los efectos implica retirar de la escena del hecho todos los dispositivos que
contengan evidencia digital para ser trasladados a un laboratorio para realizar las copias forenses
de los dispositivos de almacenamiento. Esta conducta se adopta cuando no se disponen de los
recursos necesarios o el tiempo razonable para hacer la recolección de la evidencia o en escenarios
violentos como escenas del crimen.

Previo a describir las diferentes técnicas de recolección de evidencia digital, veamos una
clasificación por tipo de evidencia digital:

• Evidencia Digital de almacenamiento: En esta categoría se incluyen dispositivos de

almacenamiento de largo plazo que conservan su contenido aún frente a la interrupción de

la energía eléctrica. Estos pueden ser de tecnología magnética (Discos rígidos) , electrónica

(pen drives, discos SSD) u ópticos (CD/DVD)

• Evidencia digital de memoria RAM: Es la memoria de procesamiento que solo está

disponible mientras el dispositivo se encuentra energizado.

• Evidencia digital de tráfico: Es el tráfico que circula en una conexión de red

Para la recolección de evidencia en la escena del hecho es conveniente seguir los lineamientos de
la RFC 3227 Guidelines for Evidence Collection and Archiving publicada por la Internet Society. En
la misma se recomienda el orden de volatilidad para tener en cuenta en el proceso de recolección
así como indicaciones de aquello que especialmente no debe hacerse. A continuación, se exhibe un
listado con el orden de volatilidad propuesto para la recolección de evidencia digital, ordenado de
mayor a menor volatilidad:

1. Contenido de registros

2. Tablas de ruteo y memoria cache

3. Procesos en ejecución

4. Memoria RAM

5. Dispositivos de almacenamiento masivo

6. Contenedores de almacenamiento remoto

7. Almacenamiento de resguardo y respaldo

El procedimiento de recolección de evidencia en la escena del hecho resulta más complejo, requiere
de herramientas forenses, discos rígidos para el almacenamiento de las imágenes forenses y
personal en la escena del hecho capacitada a tal fin pero permite que la escena del hecho pueda
conservar los recursos informáticos una vez finalizado el procedimiento de recolección de evidencia
digital.

A continuación se puede ver un modelo con la secuencia de procedimiento en la escena del hecho:

1. Fotografiar la escena del hecho y los dispositivos digitales con énfasis en sus conexiones

2. Si la computadora está apagada, manténgala apagada

2. Si la computadora está encendida y activa, fotografíe la pantalla y manténgala en ese

estado hasta que decida si recolectará la memoria RAM.

3. Si la computadora está encendida y en modo de suspensión, registre ese estado antes de

colocarla en modo activo

4. Recolectar la memoria RAM y otros datos volátiles

5. Establecer si las unidades de almacenamiento tienen cifrado y evaluar una eventual

recolección de evidencia digital de la unidad lógica

6. Desconectar la computadora de la parte trasera en caso de ser un equipo de escritorio y

en el caso de ser una computadora portátil retire también la batería de la misma

7. Antes de quitar las conexiones identifíquelas y etiquételas

8. Empaquetar todos los efectos empleando materiales apropiados. Rotular los embalajes y

franjarlos con las firmas de los intervinientes en el procedimiento

9. Recolectar cualquier elemento adicional que pueda ser de utilidad para el acceso al

dispositivo (manuales técnicos, llaves electrónicas, fuentes de alimentación, etc…)

 10. Documentar todo el procedimiento en un acta que incluirá como mínimo: fecha y hora del

procedimiento, peritos intervinientes, números de serie de los efectos recolectados y para

el caso de realizar imágenes forenses en la escena del hecho los números de serie de los

discos rígidos empleados para el almacenamiento de evidencia digital y los números de

hash obtenidos. También precise el destino de los elementos de prueba recolectados.

Todos estos datos conformarán el inicio de la cadena de custodia de la evidencia digital

recolectada

Con el aumento creciente de la capacidad de los dispositivos de almacenamiento, ha aparecido una

nueva técnica de recolección por muestreo denominada Triage. La misma consiste en realizar un
barrido rápido empleando criterios sencillos sobre la estructura del disco, pero evitando profundizar
las búsquedas en áreas especiales del disco o incluir elementos borrados, de esta forma se realiza
un muestreo rápido bajo riesgo de dejar de lado evidencia potencial de utilidad para la investigación
privilegiando la velocidad del procedimiento.

La técnica de Triage ha demostrado ser de gran utilidad en allanamientos con gran cantidad de
equipos, con criterios de búsqueda muy claros y acotados y en casos de pornografía infantil, no
obstante lo cual se discute si este es efectivamente un procedimiento de recolección o una pericia
ya que en este último caso debería considerarse la notificación a las partes, tal cual lo establece el
artículo 258 del código procesal penal, como se verá en el apartado de Procedimientos periciales en
el laboratorio.

Procedimientos de recolección de evidencia en la nube

En el apartado anterior hemos visto distintos procedimientos de recolección de evidencia digital

que son efectivos cuando se dispone del dispositivo de almacenamiento, pero ¿qué ocurre cuando
la evidencia está almacenada en la nube?

Cuando hablamos de almacenamiento en la nube estamos refiriéndonos a almacenamiento en un

dispositivo externo administrado por un tercero que se encuentra en un domicilio diferente al de la
escena del hecho, en ocasiones desconocido y frecuentemente fuera de la jurisdicción de la escena
del hecho considerada.
Podemos clasificar las nubes en privadas y públicas. Una nube privada es un almacenamiento
remoto privado como por ejemplo un servidor virtual almacenado en la red de Amazon mientras
que dentro de nube pública podemos reconocer los más populares servicios de webmail, las redes
sociales y los repositorios de almacenamiento digital.

Teniendo presente que la evidencia digital en la nube se encuentra bajo el control de un tercero
generalmente en una jurisdicción diferente, se requieren de procedimientos especiales para la
obtención de la misma que incluyen la conservación de la evidencia por mayor tiempo que el
periodo de retención establecido por los términos y condiciones de cada servicio en la nube.

Estos procedimientos además de los oficios judiciales de estilo pueden requerir la confección de
exhortos diplomáticos, según que la información requerida sea de tráfico o de contenido. En todos
los casos es necesario revisar los términos y condiciones de cada servicio en la nube que describen
los periodos de retención y la forma en que se debe realizar el pedido, información detallada en las
respectivas guías para fuerzas de la ley.

Este tipo de recolección suele realizarse en la Argentina mediante dos pasos, el primero consiste en
la solicitud de conservación de los datos, esto es pedirle al proveedor de servicios en la nube que
mantenga los datos almacenados más allá del período de retención estándar que el proveedor
establece unilateralmente, con el objeto que las demoras propias de la investigación impidan su
posterior recolección. La solicitud de conservación de los datos es realizada y aceptada por los
proveedores de servicios en la nube, si la misma es efectuada por un oficial de fuerzas de la ley
desde una dirección de correo oficial de la dependencia a la que pertenece.

El segundo paso es la obtención de los datos, el cual puede diferir según el carácter de los datos,
requiriendo una orden judicial de juez local o en algunos casos un exhorto diplomático.

Es importante definir entonces el carácter o categoría de los datos en la nube:

• Datos de conexión: Se trata de la identificación de la dirección o direcciones IP públicas de

la comunicación

• Datos de tráfico: Comprende los registros (logs) con las direcciones URL y registros DNS que
identifican los sitios y servicios accedidos y eventualmente el tipo de actividad efectuada

• Datos de contenido: Es propiamente el contenido almacenado en la nube

Otra forma de recolección de evidencia digital en la nube consiste en almacenar el tráfico entre el
nodo y la nube, de modo que es capturado en tránsito. Esta metodología requiere la interpretación
del tráfico de red en términos similares a las intervenciones telefónicas conocidas como escuchas,
para lo cual se requiere una orden judicial.

Procedimientos periciales en el laboratorio

Con posterioridad a la recolección de evidencia en un proceso penal, la misma será trasladada

generalmente a un laboratorio para su análisis y de tratarse de un proceso judicial el magistrado a
cargo de la causa ordenará una pericia, en este caso informática. En este sentido el código procesal
penal vigente dice, en relación a la prueba pericial, en un párrafo de su artículo 258:

"…Notificará esta resolución al ministerio fiscal, a la parte querellante y a los defensores antes que se
inicien las operaciones periciales, bajo pena de nulidad, a menos que haya suma urgencia o que la
indagación sea extremadamente simple."

La notificación a las partes resulta esencial en virtud que el artículo siguiente señala:

"En el término de tres (3) días, a contar de las respectivas notificaciones previstas en el artículo
anterior, cada parte podrá proponer, a su costa, otro perito legalmente habilitado, conforme a lo
dispuesto en el artículo 254"

De esta forma se garantiza el derecho a la defensa en juicio de las partes, permitiendo que el mismo
se controlado y ejercido por sus peritos de parte. En este sentido resulta crucial la definición de
urgencia o extremadamente simple que el juez debe definir. Teniendo en cuenta que estas
definiciones están atadas a una experticia que el magistrado claramente no posee, es menester que
el mismo acuda a la consulta del perito oficial para establecer tales supuestos.

En ocasiones se aprecia que el criterio aplicado es incorrecto provocando planteos de las partes en
ese sentido.

La necesidad de experticia e idoneidad profesional del perito está prevista en el código procesal
penal, según el artículo 254 ya citado. También la norma ISO 27037 establece la figura del
especialista en evidencia digital o DES (Digital Evidence Specialist) para la realización del análisis
forense informático.

En el laboratorio pericial se debe contar con Software forense, el que debe estar licenciado a
nombre de la institución, hardware para la correcta recolección de evidencia digital en
computadoras, dispositivos móviles y otros elementos de almacenamiento, así como también los
insumos necesarios y el personal capacitado en los elementos citados.

Frecuentemente los laboratorios forenses de fuerzas de la ley carecen de algunos de estos

elementos o incluso no disponen de los recursos para adquirir los discos rígidos que se requieren
para la experticia, por lo que son ofrecidos por las partes, previa consulta con la autoridad judicial
interviniente que suele autorizar el ofrecimiento ante la evidente situación.

En ocasiones y frente a la ausencia de peritos de parte, la calidad de la pericia puede verse

degradada frente a la falta de control que las partes pueden ejercer para garantizar el debido
proceso.

Son múltiples y variadas las tareas de análisis forense que se solicitan, según sean los hechos
investigados. Las mismas están detalladas en el cuestionario pericial aprobado por la autoridad
judicial y constituyen los puntos de pericia.

En cuanto a las principales actividades realizadas en los laboratorios de análisis forense, podemos
destacar:

✓ Búsquedas de contenido por criterio: Posiblemente el análisis más recurrente. El mismo

consiste en la búsqueda de archivos y registros informáticos conteniendo al menos una de
las palabras o frases clave que provee la autoridad judicial junto con el cuestionario pericial.
Este listado debe ser completo, conciso y apuntar directamente a los hechos investigados.
Teniendo en cuenta que el resultado de esta búsqueda es entregado a la autoridad judicial
para su análisis, una impropia construcción del listado de palabras clave originará un gran
número de hallazgos a revisar con alto porcentaje de "falsos positivos" esto es archivos o
registros informáticos que contienen al menos una de las palabras clave pero que
manifiestamente no tienen vinculación con los hechos investigados. La búsqueda por
criterios debe incluir la totalidad del medio de almacenamiento permitiendo así encontrar
hallazgos aún entre los archivos o registros informáticos que se hubiesen eliminado.

✓ Identificación de imágenes: Este análisis consiste en visualizar en modo de galería las

imágenes existentes en la evidencia recolectada. Este proceso se utiliza exhaustivamente
en casos de Infracción al artículo 128 del código penal relacionado con pornografía infantil
pero también para la identificación de otros documentos en formato digital o escaneados.
 Adicionalmente al análisis por visualización existen otras técnicas con herramientas de
software de reconocimiento de caracteres (OCR) e identificación de imágenes por la
tonalidad de las mismas que permiten el procesamiento automatizado, pero con alto grado
de hallazgos falsos positivos. Se entiende por falso positivo a cualquier hallazgo que se
obtiene siguiendo los parámetros de búsqueda, pero que no está relacionado con los
hechos investigados. Los mismos son resultados que posteriormente deben ser filtrados por
quien conduce la investigación a menos que sean manifiestamente evidentes como por
ejemplo el hallazgo de una palabra clave que usualmente se encuentra en un diccionario,
justamente en el diccionario de una aplicación.

✓ Líneas de tiempos: Es un análisis tendiente a establecer que actividad se realizó en una

fecha específica o en un intervalo de tiempos dado. Este análisis parte de la base que los
sistemas informáticos tienen una referencia interna primara a través de un reloj implantado
en el hardware o una referencia dada. En estos casos es muy importante acceder a
referencias externas para asegurar la confiabilidad de los registros y detectar eventuales
acciones de modificación de fecha y hora en los registros informáticos.

✓ Recuperación de información eliminada: Frecuentemente se pide un análisis específico de

archivos y registros informáticos eliminados incluyendo de ser posible información sobre si
el proceso fue realizado por una aplicación automática o manualmente por interacción y
conocimiento de un usuario informático. En este punto es importante señalar que toda la
información obtenida en una pericia informática asociada a un usuario, lo es al usuario
informático , de forma que no es posible individualizar a una persona de carne y hueso ,
sino a quien en uso de sus credenciales de acceso , nombre de usuario y contraseña, realizó
tal acción.

✓ Comparación binaria: Este procedimiento empleado en casos de pornografía infantil y

propiedad intelectual, entre otros, permite establecer fehacientemente si dos o más
archivos son idénticos entre sí. El mismo consiste en la identificación unívoca de contenido
digital a partir de la comparación binaria de su valor de hash. Usualmente se dispone de un
archivo original indubitable a partir del cual se realiza este procedimiento.

✓ Análisis de comunicaciones de correo electrónico y redes sociales: Debido al alto

crecimiento de las comunicaciones electrónicas, este tipo de análisis es solicitado
 frecuentemente y consiste en identificar intercambio de mensajería en las redes sociales así
como también correos electrónicos intercambiados. En este último punto vemos que la
autoridad judicial suele incluir muchas veces la aclaración para que en caso de que los
hallazgos correspondan a correos electrónicos, los mismos no deben ser visualizados por el
perito, equiparando el mismo al correo epistolar tradicional e invocando la protección legal
del mismo. En este sentido deseo aclarar:

• Los procedimientos de análisis forense de correo electrónico se realizan con

herramientas que realizan las búsquedas de forma automatizada, en ningún
momento el perito visualiza el contenido de los mismos.

• Si bien el criterio de protección se sustenta en asegurar la privacidad de la

comunicación, el mismo está basado en la comunicación epistolar que podía
considerarse como la única forma de contenido privado en épocas pasadas. En
la actualidad prácticamente cualquier archivo digital producido por el usuario
en su computadora puede considerarse de contenido privado.

Otros procedimientos de recolección de evidencia

En investigaciones preparatorias o en ámbitos de inteligencia en ocasiones no se cuenta con un

objetivo claro y conciso por lo que no existen cuestionarios periciales y en ocasiones se utilizan
procedimientos de recolección de evidencia cuyo sustento legal es débil o directamente inexistente.
Podemos citar entre ellos:

Recolección de evidencia mediante software malicioso: Tal como se ha explicado al detallar la

vigilancia remota de sistemas informáticos, este es un procedimiento que consiste en instalar, con
o sin consentimiento del usuario que opera el equipo objetivo, un código malicioso o malware ,
denominado así porque está diseñado para realizar actividades dañinas o como en este caso la
extracción de información sin conocimiento del usuario.

Una variante de este procedimiento es la intercepción o allanamiento remoto donde, mediante el

procedimiento mencionado se hace la recolección de evidencia, pero con la notificación previa al
usuario.

Recolección de evidencia mediante dispositivos de intercepción: Consiste en la intermediación con

un dispositivo del tipo "hombre en el medio" (man in the middle) esto es una tecnología capaz de
interceptar tráfico de comunicaciones, recolectándolo pero permitiendo el paso hacia su destino
final. Un ejemplo de esta tecnología que permite capturar comunicaciones de dispositivos móviles
son los conocidos como IMSI cátcher que son esencialmente torres falsas de telefonía celular a la
que los dispositivos móviles objetivo se conectan para facilitar su intercepción.

Estos procedimientos, aun con su correspondiente orden judicial, no son considerados actualmente
como procedimientos periciales, pues son mecanismos de vigilancia, no contemplados en el Código
procesal penal de la Nación.