Buenas prácticas para la recolección de la evidencia

digital en la Argentina

Nicolás Armilla1, Marisa Panizzi1, Jorge Eterovic1, Luis Torres1.

1Facultad de Informática, Ciencias de la Comunicación y Técnicas Especiales,

Universidad de Morón.
Cabildo 134 - CP (1708) - Morón - Prov. de Bs. As. Tel: 5627-2000
n ic o la s a rm illa @ h o tm a il.c o m , m a ris a p a n iz z i@ o u tlo o k .c o m , jo rg e _ e te r o v ic @ y a h o o .c o m .a r ,
to rre s lu @ a r.ib m .c o m

Resumen. E n la R e p ú b lic a A r g e n tin a se e v id e n c ia b a la a u s e n c ia d e u n m a n u a l,

u n p ro c e d im ie n to o d e u n c ó d ig o so b re la r e c o le c c ió n d e la e v id e n c ia d ig ita l.
E s to c o n lle v o a q u e u n a g ra n c a n tid a d d e c a s o s q u e d a s e n in c o n c lu s o s y sin
re s o lu c ió n , h a s ta la c r e a c ió n d e la G u ía d e o b te n c ió n , p re s e rv a c ió n y
tra ta m ie n to d e e v id e n c ia d ig ita l d e la P ro c u r a c ió n G e n e ra l d e la N a c ió n
A rg e n tin a , e n M a rz o d e l a ñ o 2 0 1 6 . E n e ste tra b a jo se r e a liz a u n a r e v is ió n
siste m á tic a d e g u ía s y b u e n a s p rá c tic a s d e n iv e l in te rn a c io n a l y n a c io n a l,
id e n tific a n d o lo s a p o rte s y á re a s d e v a c a n c ia s. S e p re s e n ta u n c o n ju n to d e
b u e n a s p rá c tic a s p a r a la r e c o le c c ió n d e la e v id e n c ia d ig ita l e n A rg e n tin a ,
lo g ra n d o s u b s a n a r la s á re a s d e v a c a n c ia id e n tific a d a s. P a r a la c o rre c ta
v a lid a c ió n d e l c o n ju n to d e b u e n a s p rá c tic a s , a p lic a re m o s e l c o n ju n to a u n caso
d e e s tu d io a p lic a d o a la re a lid a d q u e c o n s ta d e la re c e p c ió n d e u n m a il
m a lic io s o e n u n a c o m p u ta d o ra d e e sc rito rio .

Palabras Clave. In fo rm á tic a fo re n s e , p e rito in fo rm á tic o , e v id e n c ia d ig ita l,

b u e n a s p rá c tic a s , p r o c e d im ie n to s e n la in fo rm á tic a fo ren se.

1 Introducción

Se ha realizado una investigación exploratoria documental respecto a definiciones

de informática forense, antecedentes actuales en el ámbito internacional y nacional.
Darahuge define la Informática Forense como el conjunto muldisciplinario de
teorías, técnicas y métodos de análisis, que brindan soporte conceptual procedimental
a la investigación de la prueba indiciaría informática [1][2].
 Kovacich define la Informática Forense como la aplicación legal de métodos,
protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a
una situación en investigación [3].
Gómez define la Informática Forense como aplicación de técnicas científicas y
analíticas especializadas a infraestructura tecnológica que permite identificar,
preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. O
también lo define como una ciencia que busca reproducir científicamente con una
metodología estricta de los hechos acontecidos y su correlación para determinar el
grado de impacto, y posteriormente establecer en coordinación con otros entes
intervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que van
desde el marco normativo hasta la utilización de mecanismos técnicos [4].
Listek en el Diario La Nación plantea que el Gobierno quiere normas claras para
obtener pruebas digitales en los procesos judiciales [5].
La Procuración General de la Nación menciona que uno de los temas que puede
tocarse desde ahora es el relativo a la evidencia digital, ya que su adecuada obtención,
conservación y tratamiento es un elemento clave, entre muchos otros, para asegurar el
éxito de las investigaciones [6].
Luego de revisar los antecedentes en nuestro país, nos planteamos como problema
de esta investigación la escasa maduración de procedimientos para la recolección de
la evidencia digital en la informática forense en la República Argentina.
En los últimos años los peritos informáticos se basaron en procedimientos y buenas
prácticas de otros países tales como Canadá, Estados Unidos, Reino Unido y Hong
Kong. En la actualidad, a partir del año 2016 se cuenta con la nueva resolución de la
Procuración General de la Nación [6].
Utilizando el método de revisiones sistemáticas de Argimón [7] se ha realizado
una investigación documental sobre los procedimientos y buenas prácticas que se
detallan a continuación:
■ Guía de buenas prácticas para evidencia digital. [8].
■ Computación Forense - Parte 2: Mejores Prácticas. [9].
■ Guía para recolectar y archivar evidencia - RFC 3227. [10].
■ Investigación en la escena del crimen electrónico. [11].
■ Guía de obtención, preservación y tratamiento de evidencia digital. [6].
Se ha detectado que el inconveniente de basarse en procedimientos y buenas
prácticas de otros países presenta diferencia de factores tecnológicos, sociales,
culturales y legales respecto a los de nuestro país.
En este contexto, este artículo presenta las guías y buenas prácticas consideradas
para el análisis comparativo (Sección 2), se presenta el conjunto de buenas prácticas
para la recolección de la evidencia digital (Sección 3), se presenta un caso de estudio
para la validación de la propuesta de solución (Sección 4) y se formulan conclusiones
y futuras líneas de trabajo (Sección 5).

2 Guías y Buenas Prácticas consideradas

En esta sección se presentan las guías y buenas prácticas que se han contemplado
para el estudio comparativo, la Guía de buenas prácticas para evidencia digital [8]
( s e c c i ó n 2 .1 ) , C o m p u t a c i ó n F o r e n s e - P a r t e 2 : M e j o r e s P r á c t i c a s . [9 ] ( s e c c i ó n 2 .2 ) ,
G u ía p a ra re c o le c ta r y a rc h iv a r e v id e n c ia - RFC 3227. [1 0 ] (s e c c ió n 2 .3 ) ,
In v e s tig a c ió n e n la e s c e n a d e l c r im e n e le c tró n ic o [1 1 ] ( s e c c i ó n 2 .4 ) y G u ía d e
o b te n c ió n , p r e s e r v a c ió n y tra ta m ie n to d e e v id e n c ia d ig ita l. [6 ] ( s e c c i ó n 2 .5 ) . P o r
ú l t i m o , s e p r e s e n t a e l r e s u l t a d o d e l a n á l i s i s r e a l i z a d o ( s e c c i ó n 2 .6 ) .

2.1 Guía de buenas prácticas para evidencia digital.

L a A s o c ia c ió n d e J e f e s d e P o lic ía (A C P O - A s s o c ia tio n o f c h ie f p o lic e o ffic e rs )

d e l R e in o U n id o m e d ia n te s u d e p a rta m e n to d e c r im e n b a s a d o e n in fo rm á tic a , p u b lic ó
e s t a g u í a e n e l a ñ o 2 0 1 2 [8 ].
E l p r o p ó s ito d e e s te d o c u m e n to n o e s s o lo p r o v e e r u n a g u ía p a r a a s is tir a la le y
s in o a s is tir a la in v e s tig a c ió n d e la s e g u r id a d in f o r m á tic a e in f o r m á tic a fo re n s e ta n to
e n e s c e n a s d e c r í m e n e s c o m o i n c i d e n t e s [8 ].
E s n e c e s a rio a c la r a r q u e e s ta g u ía n o p re te n d e s e r u n a r e c e ta d e s d e A -Z d e la
fo re n s ia d ig ita l, o u n m a n u a l d e in s tr u c c io n e s e s p e c íf ic o q u e in d iq u e c o m o r e a liz a r
to d a s la s ta re a s . D ebe a b a rc a r u n c u ad ro g e n era l y p ro p o rc io n a u n a e s tru c tu ra
s u b y a c e n t e a l o q u e s e r e q u i e r e e n l a s U n i d a d e s F o r e n s e s D i g i t a l e s [8 ].

2.2 Computación Forense - Parte 2: Mejores Prácticas

E l IS F S , I n fo rm a tio n S e c u rity and F o re n s ic S o c ie ty (S o c ie d a d de S e g u rid a d

I n f o r m á tic a y F o re n s e ) c r e a d a e n H o n g K o n g , p u b lic ó “ C o m p u ta c ió n F o re n s e - P a rte
2: M e jo r e s P r á c tic a s ” (C o m p u te r F o re n s ic s - P a r t 2: B e s t P ra c tic e s ). E s ta g u ía c u b re
lo s p r o c e d im ie n to s y o tro s re q u e rim ie n to s n e c e s a rio s in v o lu c r a d o s e n e l p ro c e s o
f o re n s e d e e v id e n c ia d ig ita l, d e s d e e l e x a m e n d e la e s c e n a d e l c rim e n h a s ta la
p r e s e n t a c i ó n d e l o s r e p o r t e s e n l a c o r te . S u e s t r u c t u r a e s :
a) In tro d u c c ió n a la c o m p u ta c ió n fo re n s e .
b) C a lid a d e n la c o m p u ta c ió n fo re n s e .
c) E v i d e n c i a d i g it a l.
d) R e c o le c c ió n d e E v id e n c ia .
e) C o n s id e ra c io n e s le g a le s (o rie n ta d o a la le g is la c ió n d e H o n g K o n g ).
f) A n e x o s [9].

2.3 Guía para recolectar y archivar evidencia

E l p ro p ó s ito d e e s ta g u ía e s p r o v e e r a lo s p e rito s u n s is te m a d e p a u ta s s o b re la
r e c o le c c ió n y a rc h iv o de e v id e n c ia s d ig ita le s , p a ra un in c id e n te de s e g u rid a d
d e te r m in a d o [1 0 ].
N o h a c e fa lta in s is tir e n q u e to d o s lo s p e r ito s d e l s is te m a e s tric ta m e n te d e b e n
s e g u ir e s ta s p a u ta s c a d a v e z q u e tie n e n u n in c id e n te d e s e g u rid a d , lo im p o r ta n te e s
p r o v e e r u n a g u ía s o b re q u e d e b e r ía m o s h a c e r si e llo s e lig e n r e c o le c ta r y p r o te g e r la
in f o r m a r o n r e la c io n a d a c o n u n in tru s o [1 0 ].
 Dicha recolección representa un esfuerzo considerable por parte del perito. En los
últimos años se han realizado grandes progresos para acelerar la reinstalación del
Sistema Operativo y facilitar la reversión de un sistema a un estado “conocido”
haciendo de este modo, la “opción fácil” aún más atractiva. Mientras tanto, poco se ha
realizado para suministrar formas fáciles para archivar la evidencia (la opción difícil).
Además las capacidades de memoria y de disco en aumento y el uso más difundido
de cautela y de tácticas de cubrir huellas por parte de los atacantes han exacerbado el
problema [10].
Si la recolección de evidencia se realiza correctamente, es mucho más útil para
aprehender al atacante y representa una oportunidad mucho mayor en ser admitida
como hecho en un juicio [10].
Se deberían utilizar estas pautas como una base para formular los procedimientos
de recolección de evidencia de sitio y se deberían incorporar los procedimientos de
sitio en una documentación de manejo de incidente [10].
Una vez que se hayan formulado los procedimientos de recolección de evidencia
de sitio, deberían tener la aplicación de la ley para tu jurisdicción confirmando que
son adecuados [10].

2.4 Investigación en la escena del crimen electrónico

La investigación en la escena del crimen electrónico fue creada por el

Departamento de Justicia de los Estados Unidos de América en 2001 [11].
Dentro de las principales responsabilidades se encuentran la de preservar la escena
crimen electrónico, recolectar y resguardar la evidencia digital [11].
Se ocupa de las situaciones encontradas en la escena del crimen y evidencia
electrónica digital [11].
Tratándose de pruebas digitales, los principios forenses y procesales generales se
deberían aplicar en:
■ El proceso de recolección, aseguramiento y transporte de pruebas digitales,
las mismas no debieran cambiar.
■ Las pruebas digitales sólo deberían ser examinadas por los entrenados
expresamente con ese objetivo.
■ Todo lo hecho durante el transporte y el almacenaje de pruebas digitales se
debería documentar, conservarse y encontrarse disponibles para la revisión
[11].

2.5 Guía de obtención, preservación y tratamiento de evidencia digital

La obtención, conversación y tratamiento de la evidencia digital es un elemento

clave, entre muchos otros, para asegurar el éxito de las investigaciones, eje central de
preocupación de la comunidad internacional para la investigación transfronteriza
eficaz de estos delitos [6].
No pretende abarcar la totalidad de procedimientos a tener en cuenta, ni ahondar en
cuestiones técnicas reservadas a los expertos en seguridad y en informática, sino
brindar recomendaciones utilizadas a nivel mundial para incautar, analizar y preservar
evidencia digital que deben ser tenidas en cuenta por los operadores judiciales [6].

2.6 Dimensiones consideradas para el análisis

En esta sección se plantean las dimensiones que se han considerado para el análisis de
las buenas prácticas y procedimientos a nivel nacional como internacional Las
dimensiones consideradas son:
■Evaluación de escena: El perito informático debe tomar medidas para
garantizar la seguridad de todas las personas en el lugar de los hechos y
para proteger la integridad de todas las pruebas, tanto tradicionales como
electrónicas [11].
■Herramientas y equipamientos: Generalmente, y dependiendo del problema a
analizar, se sugiere aplicar una combinación de herramientas, para
asegurar la efectividad que se debe tener en estos casos donde la libertad
de las personas puede estar comprometida, y ello podría depender del
resultado de una pericia informática aplicando herramientas de forensia.
[12].
■Dispositivos electrónicos: La mayoría de los dispositivos electrónicos
referidos a informática forense se aplica a computadoras y dispositivos
digitales en general. Pero también existen otros dispositivos que requieren
consideraciones adicionales [9].
■Recolección: La recolección de la evidencia digital, como cualquier otra
evidencia, debe manejarse cuidadosamente y de una manera que preserve
su valor probatorio. Esto se refiere no sólo a la integridad física de un
artículo o dispositivo, sino también a los datos electrónicos que contiene.
Por lo tanto, ciertos tipos de pruebas informáticas requieren una
recolección especial [11].
■Almacenamiento y transporte: Las acciones no deben agregar, modificar o
destruir datos almacenados en una computadora u otros medios. Las
computadoras son instrumentos electrónicos frágiles que son sensibles a
la temperatura, humedad, choque físico, electricidad estática y fuentes
magnéticas. Por lo tanto, se deben tomar precauciones especiales al
empaquetar, transportar y almacenar evidencia electrónica [11].
■Análisis: El análisis forense digital se corresponde con un conjunto de
técnicas destinadas a extraer información valiosa de dispositivos, sin
alterar el estado de los mismos. Esto permite buscar datos que son
conocidos previamente, tratando de encontrar un patrón o
comportamiento determinado, o descubrir información que se encontraba
oculta [1][2].
■Reporte: Los reportes son información escrita con una terminología
determinada, haciendo referencia a los detalles específicos de un caso
particular [9].
En la Tabla 1, se presenta el grado de cumplimiento de las dimensiones de análisis
consideradas para análisis de las buenas prácticas y procedimientos a nivel nacional e
internacional.

Tabla 1. T a b la C o m p a ra tiv a d e b u e n a s p rá c tic a s y p ro c e d im ie n to s a n iv e l in te rn a c io n a l y

n a c io n a l

Internacional Nacional

Guia de
Guía de Guia para obtención.
buenas Computación Investigación en preservación y
recolectar y
prácticas para Forense - Parte archivar la escena del tratamiento de
2 : Mejores crimen evidencia digital
la evidencia evidencia -
digital (ACPO, Prácticas KFC3227 electrónico (Procuración
2012) (ISFS, 2000) (RFC, 2002) (NIJ, 2001) General de la
Nación, 2016)
Eva tu ación de
■ ■ ■
Escena

Herramientas y
equrp amiantos ■ ■ ■ ■

Dispositivos
electrónicos ■ ■

Recolección ■ ■ ■ ■ ■
Almacenamiento
y transporte ■ ■ ■ ■ ■

.Análisis ■ ■

Reporte ■ ■

Los resultados de análisis a los cuales se ha arribado con la Tabla Comparativa de

(Tabla 1.) permiten formular las siguientes conclusiones: ninguna de las guías y
buenas prácticas analizadas custodian las dimensiones analizadas en su totalidad.
A partir de este análisis y de la identificación de las áreas de vacancias detectadas,
se propone un conjunto de buenas prácticas para la recolección de la evidencia digital
que considere todas las dimensiones analizadas (sección 3).

3 Propuesta del conjunto de buenas prácticas para la recolección

de la evidencia digital en Argentina

El conjunto de buenas prácticas propuesto se denominará “Conjunto de Buenas

Prácticas para la Recolección de la Evidencia Digital, cuya abreviatura será Co. Bu.
P.R.E.D.A.
Este conjunto de buenas prácticas se compone de siete (7) etapas, en este contexto
cada una de las etapas equivale a la dimensión de análisis planteada en la Tabla 1:
1. Evaluación de escena
2. Herramientas y equipamientos
3. Dispositivos electrónicos
4. Recolección
5. Almacenamiento y transporte
 6. Análisis
7. Reporte
Cada etapa propone prácticas y herramientas, las prácticas hacen referencia a las
actividades que tiene que realizar el perito en cada etapa y las herramientas refieren a
los conocimientos, softwares y artefactos que necesitan para poder llevar a cabo las
prácticas en cada etapa. Es importante aclarar que este conjunto de buenas prácticas
contempla los factores tecnológicos, legales, sociales y culturales en Argentina.
Este conjunto de buenas prácticas está dirigido a los peritos con el propósito de
facilitarles su tarea de recolección de la evidencia digital. Este conjunto puede ser
utilizado en su totalidad o ajustándolo a la necesidad de cada uno de los escenarios
planteados. Es recomendable que antes de utilizar un conjunto de buenas prácticas sea
leído en su totalidad para comprender cuáles son los puntos que se adaptan al caso en
particular y cuales no para luego aplicarlos de forma óptima.
En la Figura 1 se presenta un diagrama de flujo, el cual sintetiza la manera de
utilización del conjunto de buenas prácticas propuesto.

Figura 2. D ia g ra m a d e flu jo p a r a u tiliz a r C o . B u . P .R .E .D .A

ri do

Leer de fo rm a integra el c o n ju n to d e buenas

narrai
¿Se necesita
'¿Se necesita'' utilizar
utilizar Recolección?
Evaluación de ¿Se
O í Escen i ? >
necesita
u t lizar
Utilizar Recolección Reporte?,
Uti izar Eva uacicn de a Escena

¿Se necesita
utilizar U tliz a r R eporte

¿Se necesita^ Almacenamiento

u t lizar Transporte’ -
Herramiertas y
Equipamientos’

U tliza r A lm a ce n a m ie n to y T ra n sp o rte

Utilizar H erram ientas y equipam ientos

^ ¿Se v
necesita
cSe necesita' u t li zar
utlizar Análisis?.
Dispositivos
Electrónicos?

Jalar Ara isis

Utilizar Dispositivos Electrónicos

4 Caso de estudio para la validación de la propuesta

El caso de estudio seleccionado para validar la propuesta del conjunto de buenas

prácticas consiste en la recepción de un mail con una supuesta amenaza que recibe un
usuario final en una computadora de escritorio con sistema operativo Windows 10, la
cual se encuentra conectada a la energía eléctrica.
La selección de este caso se debe a que es un problema común en el ámbito de la
informática forense.
En la Tabla 2, se presenta la aplicación del Conjunto de Buenas Prácticas para la
Recolección de la Evidencia Digital en la Argentina (Co. Bu. P.R.E.D.A.) para
analizar la supuesta amenaza de un mail malicioso dentro de la computadora de
escritorio.
De la aplicación de Co. Bu. P.R.E.D.A. en el caso de estudio (Tabla 2.) se arribó a
la conclusión que ha sido necesario considerar las siete (7) etapas del conjunto de
buenas prácticas junto con sus prácticas y herramientas.

5 Conclusiones y futuras líneas de trabajo

Se ha presentado una revisión sistemática de guías y buenas prácticas de

recolección de evidencia digital que ha permitido identificar las vacancias de los
procedimientos existentes.
Se ha logrado la construcción de un conjunto de buenas prácticas compuesta por
siete (7) etapas contemplando prácticas y herramientas que se adaptan a los factores
tecnológicos, sociales y culturales de Argentina.
Se ha logrado validar el conjunto de buenas prácticas en un caso de estudio.
Como futuras líneas de trabajo se identifican:
■La experimentación del Conjunto de Buenas Prácticas para la Recolección de
la Evidencia Digital en Argentina (Co. Bu. P.R.E.D.A.) en casos
relacionados a fraudes de telecomunicaciones, violencia doméstica,
investigaciones referidas a estupefacientes, amenazas y/o acoso vía correo
electrónico, homicidios, copia ilegal de software, abuso infantil y
pornografía.
■Se evidencia un área de vacancia en las copias bit a bit del Sistema Operativo
en dispositivos móviles (Android, IOS, Windows phone) y manuales de
recolección de evidencia digital para los mismos.
 Tabla 2. A p lic a c ió n d e C o . B u . P .R .E .D .A . e n c a s o d e e stu d io .

Etapas Prácticas Herramientas

E v a lu a c ió n d e la -P reserv ació n de la com p u tad o ra -C á m a ra de fo to s.
escen a -A islar la co m p u tad o ra de personas -C in ta del lu g ar del crim en.
ajen as a la investigación -G u an tes.

H e rra m ie n ta s y -A ctu alizació n sobre herram ien tas y - C á m ara de foto, cin ta del lugar
e q u ip a m ie n to s eq u ip am ien to s relacio n ad o s con la del crim en, guantes, instrum entos
in fo rm ática forense. n o m agnéticos, blo c de n otas, cajas
de cartó n , registros, etiquetas,
m arc ad o r y b o lso antiestático.
-C o n o cim ien to sobre W in d o w s 10,
hard w are, periféricos, redes y
seg u rid ad in form ática.
-P ro g ram as p a ra hacer c o p ia b it a
b it, para ex am in ar estad o del
sistem a y p a ra gen erar im ágenes.
D is p o s itiv o s -E v itar perd id a de in form ación volátil. -C o n o cim ien to sobre W in d o w s 10.
e le c tró n ic o s -Interés principal po r W in d o w s 10, -C o n o cim ien to sobre hardw are.
m ails, historial de in tern et y logs. -C o n o cim ien to sobre periféricos.
R e c o le c c ió n -E tiquetar, docum entar, m arcar, -G u an tes.
fotog rafiar, film ar y ro tu lar la -In stru m en to s n o m agnéticos.
com p u tad o ra.
-In d iv id u alizar to d o s los c ab les de la
com p u tad o ra.
-V erificar registro para v er si se
elim inó algún dato.

A lm a c e n a m ie n to -P ro ced im ien to de em b alaje de -B loc de n otas.

y tra n s p o rte com p u tad o ra. -C ajas de cartón.
-P ro ced im ien to de tran sp o rte de -G u an tes.
com putadora. -R eg istro s del inventario de
-P ro ced im ien to de alm acen aje de pru eb as.
com p u tad o ra. -E tiq u etas ad h esiv as de p ruebas.
-C ad en a de la cu stodia. -B o lso an tiestático.
-M arcad o r perm anente.
A n á lis is -C o p ia b it a b it del sistem a operativo -C o n o cim ien to en W in d o w s 10.
W in d o w s 10. -P ro g ram as para ex am in ar
-E strateg ia fo ren se (c o n cen trarse en los p ro ceso s.
m ails m aliciosos). -P ro g ram as para ex am in ar el estado
-S itu ar d atos en listado de la evid en cia del sistem a.
d ig ital. -P ro g ram a p a ra h acer co p ias b it a
b it.
-P ro g ram as para gen erar im ágenes
esen ciales y para p oder
exam inarlas.
R e p o rte -G en eració n de reporte técn ico . -C o n o cim ien to en W in d o w s 10.
-C o n clu sio n es alcanzadas. -C o n o cim ien to en seguridad
in fo rm ática.
-C o n o cim ien to en redes.
Referencias

1. D a ra h u g e M a r ia E le n a - A re lla n o G o n z á le z L u is E n riq u e , M a n u a l d e in fo rm á tic a

fo re n s e 1, B u e n o s A ire s , 2 0 1 1 .
2. D a ra h u g e M a r ia E le n a - A re lla n o G o n z á le z L u is E n riq u e , M a n u a l d e in fo rm á tic a
fo re n s e 2 , B u e n o s A ire s , 2 0 1 2 .
3. K o v a c ic h G e ra ld , H ig h -T e c h n o lo g y C rim e I n v e s tig a to r ’s H a n d b o o k : W o rk in g in th e
G lo b a l In fo rm a tio n E n v iro n m e n t, U n ite d S ta te s o f A m e ric a , 2 0 0 0 .
4. G ó m e z L u is A ., L a in fo rm á tic a fo ren se: u n a h e rra m ie n ta p a r a c o m b a tir la
c ib e rd e lin c u e n c ia , B u e n o s A ire s , 2 0 1 2 .
5. L is te k V a n e s a , E l g o b ie rn o q u ie re n o rm a s c la ra s p a r a o b te n e r p ru e b a s d ig ita le s e n lo s
p ro c e s o s ju d ic ia le s , D ia rio L a N a c io n - A rg e n tin a , v ie rn e s 19 d e a g o sto d e 2 0 1 6 .
h ttp ://w w w .la n a c io n .c o m .a r/1 9 2 9 9 1 8 -E L -G O B IE R N O -Q U IE R E -N O R M A S -
C L A R A S -P A R A -O B T E N E R -P R U E B A S -D IG IT A L E S -E N -L O S -P R O C E S O S -
JU D IC IA L E S
6. P ro c u ra c ió n G e n e ra l d e la N a c ió n , G u ía d e o b te n c ió n , p re s e r v a c ió n y tra ta m ie n to d e
e v id e n c ia d ig ita l, p u b lic a d a e n la R e s o lu c ió n P G N -0 7 5 6 -2 0 1 6 -0 0 1 , 31 d e m a rz o d e
2016.
7. A r g im ó n J. 2 0 0 4 . M é to d o s d e I n v e s tig a c ió n C lín ic a y E p id e m io ló g ic a . E ls e v ie r
E s p a ñ a , S .A . IS B N 9 7 8 8 4 8 1 7 4 7 0 9 6 .
8. A C P O : A s s o c ia tio n o f C h i e f P o lic e O ffic e rs , G o o d P r a c tic e G u id e f o r D ig ita l
E v id e n c e , R e in o U n id o , 2 0 1 2 .
9. IS F S : In fo rm a tio n S e c u rity a n d F o re n s ic S o c ie ty , C o m p u ta c ió n F o re n s e - P a rte 2:
M e jo r e s P rá c tic a s, H o n g K o n g , 2 0 0 9 .
10 . R F C : R e q u e s t f o r C o m m e n ts , R F C 3 227: G u ía p a r a r e c o le c ta r y a rc h iv a r e v id e n c ia ,
2002 .
11. N IJ: N a tio n a l In s titu te o f Ju s tic e , E le c tro n ic C rim e S c e n e In v e s tig a tio n : A G u id e fo r
F ir s t R e s p o n d e rs - S e c o n d E d itio n , W a s h in g to n , 2 0 0 1 .
12. P ic c irilli D a rio , L a f o re n s ia c o m o h e rra m ie n ta e n la p e r ic ia in fo rm á tic a , B u e n o s
A ire s , 2 0 1 3 .
13. P ic c irilli D a rio . P R O T O C O L O S A A P L I C A R E N L A F O R E N S IA I N F O R M Á T IC A
E N E L M A R C O D E L A S N U E V A S T E C N O L O G ÍA S (P E R IC IA - F O R E N S IA y
C IB E R C R 1 M E N ), L a P la ta - P ro v . B u e n o s A ire s , 2 0 1 5 .
14. E N F S I: E u r o p e a n N e tw o r k o f F o re n s ic S c ie n c e Iin s titu e s , G U ID E L IN E S F O R B E S T
P R A C T IC E I N T H E F O R E N S IC E X A M IN A T IO N O F D IG IT A L T E C H N O L O G Y ,
E u ro p a , 2 0 0 9 .
15. A c u rio D e l P in o S a n tia g o , M a n u a l d e M a n e jo d e E v id e n c ia s D ig ita le s y E n to rn o s
In fo rm á tic o s . V e rs ió n 2 .0 , E c u a d o r, 2 0 0 9 .
16. D a r a h u g e M a r ia E le n a - A re lla n o G o n z á le z L u is E n riq u e , L a c a d e n a d e c u s to d ia
in fo rm a tic ó fo re n s e , B u e n o s A ire s , 2 0 1 6 .
17. D a r a h u g e M a r ia E le n a - A re lla n o G o n z á le z L u is E n riq u e , A p lic a c io n e s C re a tiv a s e
I n n o v a d o ra s e n In fo rm á tic a . D e s a r r o llo s in fo rm á tic o s c re a tiv o s e in n o v a d o re s ,
B u e n o s A ire s , 2 0 1 6 .