Informática forense 2022

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 44

UNIDAD Nº 10:

INFORMÁTICA FORENSE

Derecho de las Nuevas Tecnologías

1
UNIDAD 10: INFORMÁTICA FORENSE. La Prueba digital Informática Forense.
Concepto Incorporación en los Códigos de Forma. Análisis en escena y en laboratorio.

Informática Forense:
Uno de los propósitos de la Informática Forense consiste en determinar los responsables de los
delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular para
asegurarse que no vuelva a repetirse, por lo tanto, puede aplicarse tanto en los casos llevados a juicio como
en investigaciones particulares solicitadas por empresas u organismos privados. Por lo que se puede decir
que:

1.- La informática forense es un método probatorio consistente en la revisión


científica, tecnológica y tecnica, con fines periciales, de una colección de evidencias
digitalizadas para fines de investigaciones o legales.

2.- Cada caso específico debe ser analizado como si fuera a juicio, de esta
manera cualquier investigación en Informática Forense puede soportar un escrutinio
legal.

Fte: Manual de Informática Forense (Prueba Indiciaria Informático Forense) María


Elena Darahuge y Luis E. Arellano Gonzalez, Errepar S.A., Argentina, Agosto 2011

Técnicamente, se denomina "forense" al uso de procedimientos científicos o


tecnológicos para conducir una investigación o establecer hechos (evidencia) en un caso
criminal. (Conf.
Schweitzer, Douglas, "Incident response. Computer forensics toolkit", 2003, Ed.
Wiley, Indianapolis).

La informática forense interviene en aquellos delitos que tiene relación con la


tecnología, ya sea de forma directa, como aquellos casos donde la tecnología es el fin del
delito, aquellos casos donde la tecnología es el medio que se utilizó para cometer el delito
y por supuesto todos aquellos casos en donde la tecnología no es ni el medio ni el fin del
delito, sino que solo está presente de forma incidental. En resumen, podríamos decir que
dado el nivel de presencia que hoy tiene la tecnología y las comunicaciones en nuestra
sociedad, la gran mayoría de los delitos tiene alguna conexión con estas.

Internet y su ecosistema está en permanente evolución, hoy estamos en la puerta


del IOT “Internet de las cosas”, donde ya no solo veremos conectados a Internet
computadoras, teléfonos inteligentes, televisores inteligentes o consolas de videojuegos,
sino que otros dispositivos que habitualmente utilizamos en la vida diaria formaran parte
de Internet y su entorno, solo por mencionar algunos, las heladeras, los lavadoras, las
luces del hogar, las cámaras de seguridad, los relojes inteligentes entre otros, todos ellos
podrían brindar en el marco de una investigación información que puede ser relevante.
Por ejemplo, analizar el sensor acelerómetro y el sensor que mide el ritmo cardiaco de un
reloj inteligente, podría decirnos si una persona estuvo activa en un determinado día y
horario, a tal punto que podríamos saber si corrió, camino o reposo.

2
Evidencia Digital:
De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence “la
evidencia digital, es un término utilizado de manera amplia para describir "cualquier
registro generado por o almacenado en un sistema computacional que puede ser utilizado
como evidencia en un proceso legal".
Registros almacenados en el equipo de tecnología informática (correos
electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)

Registros generados por los equipos de tecnología informática (registros de


auditoría, registros de transacciones, registros de eventos,etc.).

Características de la evidencia digital:


Existen diferencias entre la evidencia tradicional y la informática, que podríamos
enumerarlas como la volatilidad, la posibilidad de duplicación, la facilidad de alteración
y eliminación y la gran cantidad de "metadatos" que posee esta última con relación a la
primera.

Procedimiento sobre la evidencia digital:


Involucra: la identificación, extracción, documentación, preservación y,
finalmente, la presentación en la que se rinde el informe de resultados.

En imprescindible cuando se trabaja sobre la evidencia digital: asegurar y


garantizar que la evidencia no ha sido alterada, minimizar pérdida de datos y evitar
agregar datos

Son puntos críticos de la evidencia digital: 1) el lugar físico donde se encontraba


al momento de ser obtenida, 2) el instante en que fue obtenida, 3) la identificación de
el/los individuos que la descubrieron y la aseguraron y 4) identificación de el/los
individuos que la controlaron y/o mantuvieron su posesión. Los últimos puntos refieren a
la cadena de custodia de la evidencia digital.

Derecho de Fondo:

El CCyC establece en el Libro Primero, Parte General, Titulo IV – Hechos - Hechos

y actos jurídicos SECCIÓN 3ª

Forma y prueba del acto jurídico

ARTÍCULO 284.- Libertad de formas. Si la ley no designa una forma determinada


para la exteriorización de la voluntad, las partes pueden utilizar la que estimen
conveniente.

Las partes pueden convenir una forma más exigente que la impuesta por la ley.

3
ARTÍCULO 285.- Forma impuesta. El acto que no se otorga en la forma exigida por la ley no queda
concluido como tal mientras no se haya otorgado el instrumento previsto, pero vale como acto en el que las
partes se han obligado a cumplir con la expresada formalidad, excepto que ella se exija bajo sanción de
nulidad.

ARTÍCULO 286.- Expresión escrita. La expresión escrita puede tener lugar por instrumentos
públicos, o por instrumentos particulares firmados o no firmados, excepto en los casos en que determinada
instrumentación sea impuesta. Puede hacerse constar en cualquier soporte, siempre que su contenido sea
representado con texto inteligible, aunque su lectura exija medios técnicos.

ARTÍCULO 287.- Instrumentos privados y particulares no firmados. Los instrumentos particulares


pueden estar firmados o no. Si lo están, se llaman instrumentos privados.

Si no lo están, se los denomina instrumentos particulares no firmados; esta categoría comprende


todo escrito no firmado, entre otros, los impresos, los registros visuales o auditivos de cosas o hechos y,
cualquiera que sea el medio empleado, los registros de la palabra y de información.

ARTÍCULO 296.- Eficacia probatoria. El instrumento público hace plena fe:

a. en cuanto a que se ha realizado el acto, la fecha, el lugar y los hechos que el oficial público
enuncia como cumplidos por él o ante él hasta que sea declarado falso en juicio civil o criminal;
b. en cuanto al contenido de las declaraciones sobre convenciones, disposiciones, pagos,
reconocimientos y enunciaciones de hechos directamente relacionados con el objeto principal del acto
instrumentado, hasta que se produzca prueba en contrario.

Valor probatorio de los instrumentos particulares no firmados:

ARTÍCULO 319.- Valor probatorio. El valor probatorio de los instrumentos particulares debe ser
apreciado por el juez ponderando, entre otras pautas, la congruencia entre lo sucedido y narrado, la precisión
y claridad técnica del texto, los usos y prácticas del tráfico, las relaciones precedentes y la confiabilidad de
los soportes utilizados y de los procedimientos técnicos que se apliquen.

ARTÍCULO 288.- Firma. La firma prueba la autoría de la declaración de voluntad expresada en el texto
al cual corresponde. Debe consistir en el nombre del firmante o en un signo.

En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona
queda satisfecho si se utiliza una firma digital, que asegure indubitablemente la autoría e integridad del
instrumento.

ARTÍCULO 318.- Correspondencia. La correspondencia, cualquiera sea el medio empleado para


crearla o transmitirla, puede presentarse como prueba por el destinatario, pero la que es confidencial no
puede ser utilizada sin consentimiento del remitente.

Los terceros no pueden valerse de la correspondencia sin asentimiento del destinatario, y del
remitente si es confidencial.

Códigos de Forma:
La prueba digital:
En materia civil, nuestro CPCCLRyM establece, en su art. 382.1 que son medios de prueba los
documentos, la declaración de parte, la de testigos, el dictamen pericial, el examen judicial y las

4
reproducciones de hechos y en el art. 382.2. especifica que también podrán utilizarse otros medios
probatorios aplicando analógicamente las normas que disciplinan a los expresamente previstos por la ley.

Por su parte, en materia penal, el CPP provincial, establece el principio de libertad probatoria en su
art. 188.

Acciones de salvaguarda por los particulares.

Las acciones de salvaguarda constituyen actividades de resguardo o custodia que asume el particular
frente a la necesidad de tutelar sus bienes (materiales o inmateriales). Esa actividad se encauza mediante el
derecho a la seguridad o tranquilidad. Derecho que -como vimos- tiene por principal sujeto obligado al Estado
pero que no alcanza a excluir la actividad de los particulares frente al propio resguardo, que encuentra su
límite en la ley. De esta manera las actividades de salvaguardia desarrolladas no pueden interferir con
derechos de terceros de manera ilegítima. En esta perspectiva tales actividades pueden ser catalogadas como
de prevención o de investigación. El límite entre prevención e investigación no es preciso. Tal imprecisión se
advierte ante la posibilidad del sujeto de desarrollar actividades antes del inicio del proceso penal con el fin
de servir de prueba durante el desarrollo del mismo (incluso puede suceder que la actividad resulte paralela
al desarrollo del proceso).

Se ha señalado que las disposiciones del Código Procesal Penal Nacional no regulan los actos de los
particulares dirigidos a la obtención de medios de prueba para ser ofrecidos posteriormente en el proceso
penal. Ello no implica que la actividad de los particulares resulte ilimitada. Mientras concurren al proceso, la
actividad de las personas se reconduce por las instituciones reguladas en el mismo, debiendo sujetarse a las
disposiciones que establece, teniendo facultad de proposición y contralor de las medidas de prueba,
aportando las que posea e incluso actuando como órgano de prueba, pero no poseen facultad legal de
efectuar medidas asegurativas por propia iniciativa; pues conforme la ley procesal la autorización para la
ejecución de actividades coercitivas recae sobre el magistrado (o en el agente fiscal cuando así está previsto).

En ese sentido las acciones de salvaguarda no pueden consistir en acciones ilícitas. Es decir que un
individuo no puede interceptar correspondencia electrónica o comunicaciones, ni introducirse en la vivienda
de otro sin su autorización, como tampoco puede acceder por medios informáticos a aquellos ámbitos que
le están vedado por su titular por no estar destinado a su conocimiento. Cualquiera de estas actividades
constituye además de una accionar ilegítimo un avasallamiento de bienes jurídico encontrando su encuadre
normativo en las disposiciones del Código Penal. Desde esta perspectiva las acciones dirigidas a obtener
elementos de prueba (prueba documental) efectuadas empleando esta modalidad coercitiva no sólo invalida
el hallazgo, sino que resulta delictiva.

Cabe preguntase pues sobre qué pueden hacer los particulares que preocupa tanto a la doctrina y
divide a la jurisprudencia. Descartadas las actividades ilícitas queda remanente un conjunto de acciones por
parte de los particulares englobadas por lo general bajo la denominación de “grabaciones subrepticias” y
consisten en la toma de audio e imagen -en conjunto o independiente- de las acciones de un individuo para
llevarlas posteriormente al proceso. Ahora bien, negada la posibilidad de efectuar a los particulares medidas
de coerción, la actividad a desarrollarse para no caer en el campo de la ilicitud penal, debe consistir en
comunicaciones donde el aportante sea parte del proceso comunicacional, es decir el receptor de la
comunicación telefónica, el destinatario de la correspondencia, o sujeto presencial en la comunicación. De
esta manera el ámbito de lo subrepticio se ve drásticamente reducido pero no eliminado. Entonces podemos

5
plantearnos sobre qué es lo subrepticio que interfiere con la intimidad y privacidad de los terceros en el
proceso de obtención de prueba que no resulta delictivo (y que por añadidura importe descartar la
documental obtenida). El carácter subrepticio de una acción surge cuando ella se realiza de manera oculta,
secreta o encubierta, de modo tal que no es conocida por quien ejecuta la acción que está siendo
documentada. En este caso, la actividad desplegada por los particulares, sin que sea delictiva, puede interferir
o no en la esfera de reserva de otra persona. El baremo diferenciador en este último binomio señalado lo
encuentro en el “carácter de espectador consentido por quien realiza la acción receptada subrepticiamente”.

Los posibles escenarios en los que puede situarse a dicho espectador son múltiples. Pero situémonos
en el punto de vista de quien exterioriza la acción, respecto de quien la intimidad o privacidad será puesta
en crisis por las acciones del espectador y descartemos aquellas situaciones en las que el sujeto se mueve en
un ámbito público, esfera en la cual no habría (en principio) interferencia con lo privado. Dentro de los
posibles contextos donde se desarrollarían acciones privadas, aquí vimos las comunicaciones telefónicas, las
manifestaciones por vía correo, las desarrolladas en el interior de la vivienda o propiedad. Pero podemos
agregar otras situaciones como las reuniones que se desarrollan en una oficina alquilada, las conversaciones
privadas mantenidas vía chat en las redes sociales, nuestros datos sensibles que suministramos al
registrarnos en determinado sitio con el objeto de acceder al mismo pero solo para información del
administrador, entre otros contextos marcan la multiplicidad y proliferación de situaciones fácticas (dentro
y fuera de la red) donde nuestra intimidad puede ser afectada sin nuestro consentimiento. Entonces
podemos cuestionarnos sobre el punto donde cede nuestra intimidad frente a los demás en esos ámbitos.
En otros términos, si nuestras acciones trasuntan un proceso de comunicación (corporal o verbal, gestual o
discursiva) el caso pasa por cuando se interfiere arbitrariamente sobre el mismo desarrollado en la intimidad.

Resulta parte de la manifestación de nuestro señorío de la voluntad la determinación y conducción


de un plan de vida escogido, el que resulta resguardado en la medida en que no dañe a terceros. En dicha
tarea hacemos y dejamos de hacer cuanto queremos. Aceptamos y excluimos de nuestros ámbitos de reserva
a terceros en la medida en que nos interrelacionamos. Pero cuando lo hacemos nuestro ámbito se entrelaza
con el de quienes entran en contacto con nosotros. Esos terceros, en la medida que no sean objeto de
obligación legal de resguardar nuestra información, actividades, etc., pueden exteriorizar cuanto adquieran
de conocimiento. Es decir que mientras no exista sobre ellos un deber legal de guardar secreto, no tendremos
más opción que efectuar una prudente selección respecto de con quienes interactuamos. Entonces, cuando
nos manifestamos con libertad, dicha manifestación exteriorizada se vuelca sobre un contexto determinado
respecto del cual carecemos de dominio. Deja de ser algo enteramente nuestro para compartirse con otro.
Así el mensaje contenido en la correspondencia una vez receptada por el destinatario seguirá siendo
manifestación de mi pensamiento, pero la propiedad de la epístola digital será del destinatario quien dado
el caso podrá presentarlo en sede judicial sin violentar la intimidad del creador de la carta. Lo mismo sucede
cuando hablamos por teléfono, intercambiamos datos con nuestro interlocutor, con quien accedimos a
concretar un diálogo, lo que él otro reciba de mí ya no será enteramente mío, pues es una manifestación que
me refleja como persona y que otorgué libremente. También sucede cuando dejamos entrar a nuestras
viviendas libremente a terceros para interactuar en nuestro ámbito material de reserva, lo que allí suceda,
lo que el otro vea o escuche, si no tiene obligación legal de guardarlo, quedará sujeto a su prudencia
guardarlo, pues ya no será mi intimidad la que se extienda sobra la situación, sino que será la intimidad de
ambos. Esas situaciones pueden darse también mediante video conferencias o mediante conversaciones
privadas en la red.

Si esa comunicación tiene por finalidad afectar ilegítimamente al interlocutor o a un tercero, la


misma trasciende el plan de vida resguardado por la Constitución y posibilita la denuncia del hecho u obliga

6
(de ser el caso) prestar declaración en el proceso. Entonces la voluntad de reserva ya no es guarecida con la
misma intensidad. Si el individuo graba una lesión en el proceso de interrelación no se inmiscuye en el ámbito
de reserva, ejecuta una acción de salvaguarda de sus intereses con el objeto de evitar una lesión o hacerla
cesar en pos del mantenimiento del derecho a la tranquilidad. El consentimiento surge de la aceptación
voluntaria de interrelación con quien efectúa la acción de resguardo o de quien en cuyo nombre actúa; de
quien no puede pedirse que devele su accionar por el incremento en el riesgo que importa ya de por sí su
posición, lo que anularía su derecho a la seguridad en favor de una intimidad desbordada. Así quien no
participa activa o pasivamente del proceso comunicacional (actuando o solo presenciando el mismo) para el
grabado resultará un tercero quien no puede interferir, en el modo visto en este punto, legítimamente en la
intimidad de la comunicación. El consentimiento, dado el carácter subrepticio de la acción de salvaguarda,
solo abarca al acto presencial. No reducido a la presencia meramente física dado que el mismo puede
desarrollarse por otros medios. Consecuentemente toda grabación subrepticia efectuada fuera de ese
ámbito de interrelación, ya sea porque se dejó un dispositivo activado en la vivienda luego del retiro de quien
concreta la grabación, ya sea porque se adoptó mediante elementos tecnológicos desde la oficina contigua
a la sala de reunión en la que no debía estar presente, ya fuere porque se captó la comunicación presencial
de otros con la intención de conocer su contenido deliberadamente, etc., carece de valor por interferir en un
ámbito de intimidad sobre el cual no se está llamado a participar.

La determinación de un estándar tempo especial a partir del cual una acción de salvaguarda resulta
legitima ante el derecho a la intimidad y privacidad no se sujeta a las variaciones tecnológicas. El momento
en el que surge la posibilidad de efectuar la grabación subrepticia difiere según el ámbito o el contexto en el
que se desarrolla. Así para determinar si hubo un accionar legítimo por quien efectúa la grabación debemos
situarnos antes del inicio de la misma y analizar la trama que dio origen al accionar de auto tutela.

Fte: Los avances tecnológicos y la prueba en el proceso penal frente al derecho a la intimidad, José
Luis Agüero Iturbe, El Dial.com

Cadena de custodia:
Es “el procedimiento de control documentado que se aplica a la evidencia física, para garantizar y
demostrar la identidad, integridad, preservación, seguridad, almacenamiento, continuidad y registro de la
misma”.

Por las características de la evidencia digital (volatibilidad, eliminación, sobre escritura, perdida de
datos, etc.) la preservación de la cadena de custodia se convierte en un punto crítico en cuanto a la validez
de la prueba informática.

Cabe recordar que la cadena de custodia ha sido definida como el conjunto de


procedimientos de seguridad destinados a garantizar que los elementos de pruebas materiales que
se incorporan y exhiben en el juicio guardan identidad física con el material que se sostiene ha sido
hallado, recolectado e incautado en el lugar donde se afirma, relacionado con el delito que se
investiga.
Por ende, no se trata de un hecho o acto sino de un procedimiento, que posee dos finalidades
fundamentales: la legalidad de la obtención, conservación y análisis de los elementos probatorios,
bajo las leyes procesales que se encuentren vigentes; y la autenticidad, lo que en la doctrina se ha
denominado también como "principio de mismidad" o conservación de la identidad fenomenológica
de la evidencia. Es decir que su función no se limita a la integridad, conservación e inalterabilidad

7
de la evidencia, sino que lo esencial es garantizar su "identidad fenomenológica" para ser
presentada en el juicio oral. La utilización correcta de la cadena de custodia y el cumplimiento de
sus procedimientos es una garantía para el derecho de defensa, así como una obligación de la parte
acusadora” ¿Hackeo con orden judicial?: Buscando el modo de sostener la facultad estatal de
monitorear comunicaciones en el nuevo contexto tecnológico- Blanco, Hernán

Ahora bien, sin perjuicio de la poca (o nula) importancia brindada al tema en cuestión, la
cadena de custodia de los elementos hallados en el marco de procedimientos penales resulta
fundamental para que el proceso penal pueda ser llevado con total transparencia y con resultados
efectivos.

En el mismo sentido, se ha dicho que “...cadena de custodia es la serie de registros que


permiten conocer la identidad, estado y ubicación de un determinado objeto de prueba, así como
también las diferentes operaciones técnicas aplicadas sobre aquél, con indicación de responsables
intervinientes, desde que es habido y puesto a disposición por su aparente potencial probatorio,
hasta que es incorporado al debate como prueba, ello tendiente a evitar su desaparición, destrucción
o sustitución sin control.” (Fenoll Alejandro Marcelo e Hidalgo Marcelo José, “Cadena de custodia
de la prueba material en el sistema adversarial. Comenzar por el final”, en Aproximaciones a un
nuevo modelo de proceso penal, Cafferata Nores José I, Compilador, Editorial Mediterránea, pág.
204)

Es posible advertir al menos tres modelos diferentes de regulación; los primeros se


caracterizan por la sanción legislativa de normas específicas sobre la materia; en los segundos es el
propio códigos de procedimientos el que establece una regulación –en la mayoría de los casos
mínima, delegando en el Ministerio Público Fiscal la especificaciones correspondientes- y,
finalmente, existen modelos procesales en los que si bien no establecen disposición legal alguna al
respecto, diseñan protocolos de actuación enmarcados en las facultades reglamentarias de
organismos oficiales, tales como el Ministerio Público Fiscal, aunque evidentemente sus normas
alcanzan la actuación de otros organismos (vgr. fuerzas de seguridad).

“Es común observar el trato desprejuiciado, indolente y desprevenido, respecto de los


elementos que se entregan en custodia, desde el momento en que son dejados en la barandilla
(rotura de lacre, sellos, fajas de clausura, incumplimiento de cadena de custodia, etc.) hasta el
almacenamiento (apilados en cualquier lugar, sometidos a condiciones extremas de temperatura,
presión por estiba inadecuada, campos electromagnéticos de todo tipo y accesibles por cualquier
persona que ingrese al reciento del Juzgado). Por una vez surge la duda respecto de la idoneidad
implícita en los Juzgados para proteger la prueba retenida en custodia y bajo su responsabilidad” …
El juez debe asegurar la protección estricta de los archivos informáticos secuestrados, durante toda
su gestión, incluyendo el almacenamiento de los mismos dentro del local del Juzgado”. (cfr.:
María Elena Darahuge y Luis E. Arellano González, Manual de Informática Forense Prueba
Indiciaria Informático Forense-, Errepar S.A., Argentina, Agosto 2011

CPP TDF- Custodia del objeto secuestrado


Artículo 208.- “Los efectos secuestrados serán inventariados y puestos, bajo segura custodia, a
disposición del Tribunal. En caso necesario podrá disponerse su depósito. El Juez podrá ordenar la obtención

8
de copias o reproducciones de las cosas secuestradas cuando éstas puedan desaparecer, alterarse, sean de
difícil custodia o convenga así a la instrucción.
Las cosas secuestradas serán aseguradas con el sello del Tribunal y con la firma del Juez y Secretario,
debiéndose firmar los documentos en cada una de sus hojas.
Si fuere necesario remover los sellos, se verificará previamente su identidad e integridad.
Concluido el acto, aquéllos serán repuestos y de todo se dejará constancia.”

El PROTOCOLO GENERAL DE ACTUACIÓN PARA LAS FUERZAS POLICIALES Y DE SEGURIDAD EN


LA INVESTIGACIÓN Y PROCESO DE RECOLECCIÓN DE PRUEBAS EN CIBERDELITOS del MINISTERIO
DE SEGURIDAD mediante Resolución 234/2016 en fecha 07/06/2016

Establece que la cadena de custodia debe contener:

A) una hoja de ruta, en donde se anotan los datos principales sobre descripción de la evidencia,
fechas, horas, identificación del encargado de custodia, identificaciones, cargo, y firmas de quien recibe y
quien entrega.

B) Rótulos que van pegados a los envases de la prueba.

C) Etiquetas con la misma información de los rótulos que van atadas con cuerda al paquete de
la prueba que corresponda.

D) Libros de registros de entradas y salidas, o cualquier otro sistema informático que se deben
llevar en los laboratorios.

Intervención de comunicaciones telefónicas o cualquier otro medio de comunicación:

El Código Procesal Penal provincial, establece en su art. 211, que el Juez podrá ordenar, mediante
auto fundado, la intervención de comunicaciones telefónicas o cualquier otro medio de comunicación del
imputado, para impedirlas o conocerlas.

Con relación a las comunicaciones, debemos distinguir:

Datos de abonado: Es la información que posee una ISP relacionada con los abonados de sus
servidores (identificación, dirección, n° de teléfono, datos de facturación, pago, lugar donde están los
equipos).
Datos de tráfico: Es la información sobre el circuito de una comunicación realizada por medio de un
sistema informático: origen, destino, ruta, hora, duración y fecha de la comunicación.
Datos de contenido: Son los que permiten determinar la información intercambiada por las partes
que intervinieron en la comunicación (por ejemplo el contenido de una conversación de voz por IP, el
contenido de un correo electrónico, un mensaje privado de twitter o FB, etc.)

9
En este sentido, la ley 25.873, que fuera conocida como ley espía, y modificatoria de la ley Nacional
de Telecomunicaciones, ley 19.798 establecía que:

Art. 45 Bis.- Todo prestador de servicios de telecomunicaciones deberá disponer de los recursos
humanos y tecnológicos necesarios para la captación y derivación de las comunicaciones que transmiten,
para su observación remota a requerimiento del Poder Judicial o el Ministerio Público de conformidad con
la legislación vigente. Los prestadores de servicios de telecomunicaciones deberán soportar los costos
derivados de dicha obligación y dar inmediato cumplimiento a la misma a toda hora y todos los días del año.

El Poder Ejecutivo nacional reglamentará las condiciones técnicas y de seguridad que deberán
cumplir los prestadores de servicios de telecomunicaciones con relación a la captación y derivación de las
comunicaciones para su observación remota por parte del Poder Judicial o el Ministerio Público.

Art. 45 Ter.- Los prestadores de servicios de telecomunicaciones deberán registrar y sistematizar los
datos filiatorios y domiciliarios de sus usuarios y clientes y los registros de tráfico de comunicaciones
cursadas por los mismos para su consulta sin cargo por parte del Poder Judicial o el Ministerio Público de
conformidad con la legislación vigente. La información referida en el presente deberá ser conservada por los
prestadores de servicios de telecomunicaciones por el plazo de diez años.

Art. 45 Quater.- El Estado nacional asume la reponsabilidad por los eventuales daños y perjuicios
que pudieran derivar para terceros, de la observación remota de las comunicaciones y de la utilización de
la información de los datos filiatorios y domiciliarios y tráfico de comunicaciones de clientes y usuarios,
provista por los prestadores de servicios de telecomunicaciones.

Por decreto 1563/2004, se reglamentó la ley de telecomunicaciones y en el mismo se dijo que el


objetivo de la ley era combatir el delito, y a la par servir al esquema de seguridad colectivo de la Nación, ello
mediante la utilización de modernas herramientas de captación y monitoreo de comunicaciones de las redes
públicas y/o privadas de telecomunicaciones, cualquiera sea su naturaleza, origen o tecnología, en tanto
operen en el territorio nacional, orientado a desbaratar las amenazas que resultan factibles de vislumbrar.

Pero, posteriormente, en el año 2005, por Decreto 357 se suspendió la aplicación del decreto
1563/2004 Reglamentario de la ley de de Regulación del Servicio de Comunicaciones.

H. 270. XLII. – “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley
16.986.” – CSJN – 24/02/2009

Ernesto Halabi promovió acción de amparo reclamando que se declare la


inconstitucionalidad de la ley 25.873 y de su decreto reglamentario 1563/04, en virtud de considerar
que sus disposiciones vulneran las garantías establecidas en los artículos 18 y 19 de la Constitución
Nacional, en cuanto autorizan la intervención de las comunicaciones telefónicas y por Internet sin
que una ley determine "en qué casos y con qué justificativos". Alegó que esa intromisión constituye
una violación de sus derechos a la privacidad y a la intimidad, en su condición de usuario, a la par
que menoscaba el privilegio de confidencialidad que, como abogado, ostenta en las comunicaciones
con sus clientes.

El Estado Nacional sostuvo que la vía del amparo no resultaba apta para debatir el planteo
del actor. Afirmó, además, que la cuestión se había tornado abstracta en virtud del dictado del

10
decreto 357/05, que suspendió la aplicación del decreto 1563/04, toda vez que con ello se disipó la
posibilidad de que exista un daño actual o inminente para el actor, o para cualquier usuario del
sistema.

La magistrada de primera instancia hizo lugar a la demanda y declaró la inconstitucionalidad


de los arts. 1° y 2° de la ley 25.873 y del decreto 1563/04. La Cámara Nacional de Apelaciones en lo
Contencioso Administrativo Federal confirmó dicho pronunciamiento. Sin perjuicio de advertir que
el recurso de apelación del Estado Nacional exhibía defectos técnicos que conducían a declararlo
desierto, estimó que, por la trascendencia de la cuestión debatida, correspondía tratar los
argumentos desarrollados en defensa de las normas impugnadas.- Al respecto y, en primer lugar,
aclaró que la pretensión no se había torna do abstracta, pues la ley cuestionada seguía vigente por
el hecho de que el decreto 1563/04 que la reglamentó sólo había sido suspendido "por tiempo
indeterminado" mediante el decreto 357/05 sin que hubiese sido "expulsado del plexo normativo
vigente".-

Este Tribunal ha subraya do que sólo la ley puede justificar la intromisión en la vida privada
de una persona, siempre que medie un interés superior en resguardo de la libertad de los otros, la
defensa de la sociedad, las buenas costumbres o la persecución del crimen (Fallos: 306:1892;
316:703, entre otros). Es en este marco constitucional que debe comprenderse, en el orden del
proceso penal federal, la utilización del registro de comunicaciones telefónicas a los fines de la
investigación penal que requiere ser emitida por un juez competente mediante auto fundado (confr.
art. 236, segunda parte, del Código Procesal Penal de la Nación, según el texto establecido por la ley
25.760), de manera que el común de los habitantes está sometido a restricciones en esta esfera
semejantes a las que existen respecto a la intervención sobre el contenido de las comunicaciones
escritas o telefónicas. Esta norma concuerda con el artículo 18 de la ley 19.798 que establece que
"la correspondencia de telecomunicaciones es inviolable. Su interceptación sólo procederá a
requerimiento de juez competente".-

Cabe recordar que en el precedente de Fallos: 318: 1894 (en el voto de los jueces Fayt,
Petracchi y Boggiano) se afirmó que, para restringir válidamente la inviolabilidad de la
correspondencia, supuesto que cabe evidentemente extender al presente, se requiere:
a) que haya sido dictada una ley que determine los "casos" y los "justificativos" en que
podrá procederse a tomar conocimiento del contenido de dicha correspondencia;
b) que la ley esté fundada en la existencia de un sustancial o importante objetivo del
Estado, desvinculado de la supresión de la inviolabilidad de la correspondencia epistolar y de la
libertad de expresión;
c) que la aludida restricción resulte un medio compatible con el fin legítimo propuesto;
y
d) que dicho medio no sea más extenso que lo indispensable para el aludido logro. A su
vez, fines y medios deberán sopesarse con arreglo a la interferencia que pudiesen producir en otros
intereses concurrentes.-

Tal como ha sido apreciado por los magistrados de los tribunales intervinientes en las
instancias anteriores, es evidente que lo que las normas cuestionadas han establecido no es otra
cosa que una restricción que afecta una de las facetas del ámbito de la autonomía individual que

11
constituye el derecho a la intimidad, por cuanto sus previsiones no distinguen ni precisan de modo
suficiente las oportunidades ni las situaciones en las que operarán las interceptaciones, toda vez
que no especifican el tratamiento del tráfico de información de Internet en cuyo contexto es
indiscutible que los datos de navegación anudan a los contenidos.-
Se añade, a ello, la circunstancia de que las normas tampoco prevén un sistema específico
para la protección de las comunicaciones en relación con la acumulación y tratamiento
automatizado de los datos personales.-
En suma, como atinadamente ha sido juzgado en autos, resulta inadmisible que las
restricciones autorizadas por la ley estén desprovistas del imprescindible grado de determinación
que excluya la posibilidad de que su ejecución concreta por agentes de la Administración quede en
manos de la más libre discreción de estos últimos, afirmación que adquiere primordial relevancia si
se advierte que desde 1992 es la Dirección de Observaciones Judiciales de la SIDE, que actúa bajo la
órbita del poder político, la que debe cumplir con los requerimientos que formule el Poder Judicial
en orden a la interceptación de comunicaciones telefónicas u otros medios de transmisión que se
efectúen por esos circuitos.-

El caso “Halabi” y la intervención en Internet, Por Fernando Adrián García


“El Estado Nacional, mediante uno de sus poderes, pretendió avasallar el derecho a la
intimidad de las personas mediante la recolección indiscriminada de información transmitida
básicamente por medios electrónicos, hoy fundamentalmente hablamos de Internet. ¿Por qué
hablamos de indiscriminada? Porque requería que las empresas proveedoras de servicios de
telecomunicaciones e Internet guardaran todos los datos transmitidos por sus respectivas redes
durante el término de diez años, no quedando claro quién o quiénes podrían tener acceso a dichos
datos. Es decir, se podría evitar que el Poder Judicial, el único capacitado por ley para solicitar una
intercepción en las telecomunicaciones, interviniera, quedando a pleno arbitrio del Poder Ejecutivo
el potencial uso de dichos datos.”

“Mas allá de la importancia que este fallo posee al haber traído a nuestro Derecho el tema
de la acción de clase, entendemos que la Justicia ha dado un mensaje muy claro a los gobernantes
acerca de cuáles son los límites que deben respetar en relación a los derechos de los ciudadanos.
Nuestra región íntima nos pertenece, y salvo muy contadas excepciones establecidas por ley y
ejecutadas por el poder correspondiente, debe ser respetada de manera inflexible.”

“El Estado, como organización de instituciones destinadas a gobernar a un conjunto de


individuos, debe respetar y hacer respetar a rajatabla tal derecho y libertad. Decimos que es
prácticamente absoluto, porque nos queda claro que algunas veces la intimidad debe ceder en favor
del bienestar general, sobre todo cuando se observen cuestiones que comprometan la paz y la
seguridad de la sociedad. Pero debe ser la excepción y no la regla. Y fundamentalmente, tal ruptura
del ámbito íntimo de la persona y de sus comunicaciones con terceros, debe ser dispuesta
exclusivamente por el poder jurisdiccional, con basamento en leyes que definan en modo claro y
conciso en qué casos procede.”
Citar: elDial DC1298 copyright © 2012 editorial albrematica - Tucumán 1440 (1050) - Ciudad
Autónoma de Buenos Aires – Argentina

Aspectos importantes para una prueba pericial:

12
Pueden distinguirse dos clases de investigación en la informática forense: a) Análisis Forense:
consistente en la búsqueda de información específica, a la vista, oculta o eliminada (residual) y también el
análisis de tiempos y actividades y b) el Descubrimiento Electrónico (e-discovery), que se dedica a la
obtención de grandes volúmenes de información general para su posterior procesamiento y análisis o su
procesamiento y selección en tiempo real.
Quizás el mayor desafío que presentan los conflictos que tienen su origen en la informática, para ser
atendidos y entendidos en el ámbito jurídico sean el desconocimiento, la incomprensión del lenguaje y la
obvia desconfianza que estos extremos despiertan en los operadores del Derecho. En cualquier equipo
informático habrá datos que pueden ser obtenidos con herramientas comunes (p.ej Windows Explorer) pero
también datos adicionales, tales como los archivos borrados, renombrados, ocultos y otros, que sólo se
pueden obtener con herramientas de informática forense. Esta conjunción de datos visibles y ocultos se ha
presentado como una suerte de "iceberg".
El análisis forense de la evidencia informática nos permite lograr resultados de distinta naturaleza.
Con los datos visibles podemos capturar documentos, correos electrónicos, fotos digitales, listados y logs.
Con los "metadatos"podemos conocer los usuarios del sistema y sus claves, la actividad que se
desarrolló en el sistema operativo, las líneas de tiempo, la actividad en Internet, la ubicación geográfica de
una computadora, el uso del webmail, las impresiones realizadas, los medios removibles conectados
(disquetes, discos compactos, pendrive, etc), las fotos digitales y su relación con cámaras.
La evidencia puede encontrarse tanto en los "medios de almacenamiento" (disquetes, disco rígido,
CD/DVD, pendrive, compact Flash/ Memory stick, cinta magnética, cinta DAT, PC Card, minidisk, smart Card,
etc), así como en los "dispositivos de almacenamiento" tales como las computadoras personales, los
servidores, las computadoras portátiles, las manuales (PDA/Palm), los teléfonos celulares, los contestadores
electrónicos, los identificadores de llamadas, faxes con memoria, impresoras, escáners con memoria,
cámaras y filmadoras digitales, consolas de videojuegos, rastreadores digitales (GPS), dispositivos de acceso
biométricos, etc.
El proceso de almacenamiento y borrado, el acceso a Internet, la ejecución de
impresiones e incluso el sistema operativo de la computadora son fuente de "metadatos".
Como dijimos, es frecuente que se recurra a un escribano para constatar datos, pantallas, u otros
objetos encontrados en un equipo informático, con la idea de que posteriormente esa evidencia sirva como
prueba, o lo que hemos denominado etapa de adquisición de la evidencia. Los expertos aconsejan, como
complemento, el informe de un perito en informática forense, y el acta notarial puede incluir un acta técnica
o informe del experto presente en el acto de constatación, contenga los siguientes datos: datos filiatorios del
investigador, identificación de los medios magnéticos examinados, identificación de la plataforma empleada
para la obtención de la evidencia (hardware y software), explicación sucinta del procedimiento técnico
realizado, nombre del archivo de destino, algoritmo de autenticación y resultado (hash). Si se tratara de un
disco rígido extraído de una computadora, es necesario que quede constancia de los valores "rtc" y la
comparación con el tiempo real.
Aclaramos que "rtc" (del inglés, real-time clock, RTC), o "reloj en tiempo real" es un reloj de un
ordenador, incluido en un circuito integrado, que mantiene la hora actual. Aunque el término normalmente
se refiere a dispositivos en ordenadores personales, servidores y sistemas embebidos, los RTCs están
presentes en la mayoría de los aparatos electrónicos que necesitan guardar el tiempo exacto.
También es frecuente que se impriman las pantallas de una computadora, o los correos electrónicos
y que un escribano autentique estos documentos, pero omita obtener evidencia del sitio web, o del servidor
de correo de donde se obtuvieron.
En supuestos como éste, la intervención de un experto, como señalamos previamente, es
fundamental para otorgar calidad probatoria a la evidencia que se recolecte.

13
En la etapa siguiente, de conservación de la evidencia, una adecuada cadena de custodia debe incluir
el nombre de la persona y la fecha de contacto con la evidencia, el registro del pasaje de una persona a otra,
así como el registro del pasaje de una ubicación física a otra, las tareas realizadas durante la posesión del o
de los objetos y el sellado de la evidencia al finalizar la posesión. También deben registrarse testigos de este
procedimiento, fotografías de la evidencia en las tareas realizadas, así como el "log" de actividades durante
la posesión.
Existen varios procedimientos para obtener archivos de evidencia informática y resguardar un medio
magnético, tales como a) hacer una copia forense; b) hacer un clonado forense y c) aportar el disco original.
Un archivo de evidencia debe realizar una copia "bit a bit" del disco, lo que incluye también los
metadatos del sistema operativo, el espacio utilizado y el no utilizado, o sea que no se limita a los datos
visibles sino a la totalidad del contenido, independientemente del espacio utilizado.
Para crear el archivo de evidencia, se debe emplear una tecnología forense que permita cubrir
determinados requerimientos mínimos, tales obtener como una imagen "cruda" (formato raw) sin alterar el
original, el acceso a discos rígidos de cualquier tecnología, la posibilidad de verificar la integridad del archivo,
todo lo cual debe estar documentado y crear un "log" de errores.
La autenticación de la evidencia informática se logra utilizando un algoritmo de hash que se aplica al
contenido de la evidencia, fundamentalmente los más utilizados son el MD5 (128 bits) y el SHA-1(160 bits).
Los modos de adquisición del archivo de evidencia pueden dividirse de acuerdo al lugar en que se
adquieren (laboratorio o campo) o el método empleado (adquisición directa o indirecta).
Para elegir el modo de adquisición hay que tener en cuenta el lugar, la posibilidad y riesgo de apertura
del CPU, el tiempo disponible, el espacio de almacenamiento (con que cuenta el investigador).
Si la adquisición se lleva a cabo en el campo debe verificarse la secuencia de arranque, registrar la
fecha y hora RTC.
Cuando se va a adquirir la evidencia directamente del equipo se recomienda utilizar un bloqueador
de escritura (write blocker), que es un dispositivo de Hardware o Software para bloquear el acceso de
escritura al medio bajo análisis, garantizando la integridad de los datos durante el acto de adquisición.
Si se va a hacer un "clonado" de la evidencia, existen Duplicadores Forenses por Hardware.
En la adquisición por método directo, los pasos a seguir son: a) extraer el disco de la PC de origen; b)
montar dicho disco en la CPU del investigador; c) adquirir la imagen y d) reinstalar el disco en la PC de origen.
Cuando la adquisición es por método indirecto, se debe: a) conectar el equipo a investigar con el
Investigado; b) adquirir la imagen "a través del cable".
Existen varios formatos de archivo de evidencia: a) Formato Abierto "dd", que es el formato universal
de Linux/Unix; y los formatos comerciales: Expert Withness (ASR, Encase Forensic), FTK, Safeback, que son
formatos aceptados en numerosos tribunales del mundo, con funcionalidades adicionales.
También es posible la adquisición de evidencia en red, tanto en la modalidad de respuesta a
incidentes inmediata, como de servidores en producción, o de de imágenes de cualquier nodo e incluso la
adquisición en modo invisible.

En la etapa de obtención y de Análisis Forense se realizan búsquedas por tipo de archivos, por
contenidos, archivos ocultados. ¿Se efectúan análisis de logs, para saber Qué?; Quién?; Cuándo? Se llevan
a cabo exploraciones de áreas especiales en sistemas Windows, tales como archivos de intercambio, espacio
no utilizado, espacio descuidado (slack space).-
Independientemente de las herramientas empleadas, se trata de buscar suficiente evidencia para
sostener un caso, lo que usualmente incluye: obtención de elementos eliminados (particiones, carpetas y
archivos); búsquedas simples y complejas de palabras claves (en todas las áreas); de acceso a archivos
protegidos; análisis de signaturas (firmas) y hashes; actividades en Windows (archivos abiertos, apps

14
ejecutadas, impresiones); actividades en Internet (sitios visitados, actividades realizadas);intercambio de
correos (clientes, servidores y web mail).
Es fundamental no alterar el objeto de estudio, lo que puede ocurrir cuando se apaga y prende el
equipo antes de que intervenga el experto.
Para realizar una búsqueda de archivos que sirvan como evidencia es conveniente tener en cuenta
las características del sistema de archivos, ya que los sistemas de archivos muestran la estructura con la que
se organiza un volumen.
Cada Sistema operativo tiene sus propios sistemas de archivos.
Un sistema de archivos cumple las siguientes funciones de registro: a) registra el nombre de un
archivo o directorio; b) registra el punto donde el archivo comienza; c) registra la longitud del archivo; d)
registra la metadata del archivo (permisos, fechas, etc.); e) registra los bloques que el archivo utiliza; f)
registra los bloques que están siendo utilizados y los disponibles.
Para la recuperación de datos el investigador debe analizar las unidades de disco y determinar que
los mismos estén asignados a particiones de la unidad. En caso contrario debería realizar una recuperación y
montar las eventuales particiones eliminadas, recuperar los archivos eliminados, realizar una búsqueda de
posibles carpetas eliminadas.
El análisis de Hash permite restringir el objeto de estudio y el Investigador forense puede utilizar hash
sets públicos (NIST), privados (LE) o propios.
Este análisis de índices le permite también identificar unívocamente archivos "notables", y el
investigador realizará análisis de hashes y eventualmente creará sus propios hash sets. La "Papelera de
Reciclaje" de Windows es una fuente valiosa de información, ya que archivos que se creen eliminados se
encuentran allí. Estos archivos tienen la forma "Dxnn.ext" donde: la "D" significa "Deleted" (borrado); la "X"
indica la letra de unidad original; "Nn" es un numero secuencial comenzando desde 0 y "ext" informa la
extensión original. Por ejemplo: Un archivo imagen.jpg eliminado del disco C puede aparecer como: DC7.jpg.
La fecha y hora del archivo corresponden a su eliminación y la carpeta al usuario.
Los Archivos LNK representan enlaces a programas y archivos abiertos que permiten determinar
programas ejecutados y archivos abiertos, la existencia de medios removibles, fecha y hora de la ejecución,
el número de serie de la unidad (importante para medios removibles) y la ubicación del LNK (importante para
probar posesión).-
La esteganografia es una práctica que permite el ocultamiento de archivos de texto dentro de
archivos más complejos.
Otra faceta de la investigación informática forense es el análisis de los sitios visitados en Internet y
su correlación temporal con la investigación, que incluye la evaluación de las eventuales actividades.
Este análisis se realiza sobre las carpetas y archivos del espacio conocido como caché de Internet, el
cual es creado y mantenido por los navegadores de Internet (Internet Explorer, Firefox, Opera, Safari). El
navegador de Internet almacena los siguientes campos de un sitio visitado en el archivo Index.dat: a) URL; b)
Type: Browsed o Redirected; c) Modified Time (última vez que el sitio fue modificado); d) Access Time
(cuando fue accedido).
La investigación del correo electrónico puede ser de varias modalidades: a) estática (análisis del
contenido de un correo electrónico (cuerpo y adjuntos) sobre las bandejas de correo; b) Análisis de
depurados; c) análisis de intercambio.
Las búsquedas estáticas pueden ser simples o complejas, indexadas sobre contenido. Se realiza sobre
clientes locales, Web mail o servidores corporativos.
La Investigación dinámica comprende la investigación del origen geográfico y el análisis de logs de
servidores SMTP.

15
En cualquier correo los datos que se obtienen de su encabezado son fundamentales. Si se utiliza el
menú de "propiedades" se accede a la formación, que debe leerse de atrás para adelante, sobre el servidor
de correo saliente, el servidor de correo entrante, la cuenta e IP desde la que se envió y lo mismo sobre quien
lo recibió.
Desde un punto de vista de la pericia informática es bueno recordar que cuando enviamos un correo
electrónico, el mismo se prepara con el auxilio de un cliente de correo electrónico que es un programa que
permite editar y administrar los correos electrónicos, ordenarlos en carpetas y almacenarlos para su
posterior control o seguimiento y que también se almacenan a través del cliente de correo electrónico los
correos entrantes, es decir los dirigidos a una dirección determinada. Con independencia de cuál sea el
programa de correo electrónico empleado, el comportamiento de todos ellos es similar en cuanto a su
operación.
Para el análisis pericial del contenido de los correos electrónicos se debe tener presente donde están
almacenados los archivos de datos que contienen la información de las carpetas de correo electrónico, que
si bien usualmente son almacenadas el disco rígido de la computadora bajo investigación, podrían estar
almacenados en otra computadora o en un servidor de correo, especialmente si la computadora bajo
investigación forma parte de una red informática.
Aunque es posible ensayar diversas clasificaciones sobre los servidores de correo electrónico,
Presman los agrupa según su ubicación y almacenamiento en tres clases: Servidores generales, Servidores
corporativos y Servidores Web.
Los servidores generales son aquellos que son de propiedad y administración exclusiva de los
distintos proveedores de Internet (ISP) y que concentran las casillas de correo entrante y saliente de los
usuarios comunes que se han suscripto a ese servicio.
Los correos electrónicos dirigidos a un individuo bajo investigación que posea una casilla de correo
en este tipo de servidores son almacenados allí hasta que el usuario se conecte, a través de su cliente de
correo electrónico y baje esos correos, los cuales usualmente se eliminan del servidor ya que los mismos
cuentan con un límite de espacio de almacenamiento. A partir de ese momento los correos electrónicos
quedan almacenados en la ubicación que haya predeterminado el cliente de correo electrónico que
usualmente es el disco local de la computadora bajo investigación.
Los correos salientes siguen un proceso similar a los entrantes, pero con la diferencia de que estos
han sido redactados en la computadora bajo investigación, de manera que, aunque hayan sido eliminados
de la misma, existen tecnologías que permitirían recuperarlos del mismo modo que se recuperan archivos
eliminados de cualquier tipo de aplicación (texto, planillas de cálculo, etc...)
Los servidores corporativos son muy comunes en empresas medianas y grandes, ya que tienen
funciones colaborativas que permiten, entre otras, compartir correos, agendas y carpetas entre los usuarios
del sistema que forzosamente deben tener sus computadoras en red. En este caso la propiedad y la
administración de estos servidores está a cargo de la empresa.
El proceso de envío y recepción de correos es en todo similar al descripto para los servidores
generales, salvo que los archivos que contienen las bandejas de correo electrónico del usuario se encuentran
almacenados en el propio servidor de correo electrónico que a su vez se encuentra físicamente dentro del
perímetro de la empresa.
En este caso, resulta de vital importancia para el éxito de la medida tener en cuenta esta situación,
ya que la investigación y búsqueda de evidencia podría resultar infructuosa si solamente se analizara la
computadora del usuario bajo investigación, dejando de lado el servidor corporativo.
Los servidores Web, también conocidos como servicios de Webmail, son aquellos donde, a diferencia
de los otros dos casos descriptos, el usuario no necesita contar con un cliente de correo electrónico, dado
que los correos son enviados y recibidos en el mismo servidor, por lo que el contenido de los mismos está

16
entera y permanentemente almacenado en el servidor del proveedor, hasta que el usuario decida eliminarlo,
generalmente motivado por la limitación de espacio de estos servicios.
Estas casillas son las más complicadas para la obtención de resultados, ya que al no almacenar
archivos en la computadora del sujeto investigado, no siempre es posible obtener evidencia electrónica de
una zona de memoria de intercambio conocida como caché de Internet y frecuentemente solo es posible
reconstruir la secuencia de conexión al servicio y en ocasiones encontrar vestigios de archivos adjuntos que
se hayan visualizado en la computadora, por este motivo se recomienda tener especial cuidado en la
selección de los puntos de pericia, cuando la prueba pericial de correos electrónicos involucra direcciones en
este tipo de servidores de modo que la prueba no se torne ilusoria.
En cualquiera de las alternativas descriptas, puede ser oportuno contar con copias de seguridad o
Backup del correo electrónico, donde puede existir información que no se encuentra vigente o que se ha
resguardado por cuestiones de espacio físico y que puede contener aquello que estamos buscando.
En el caso de los servidores de correo electrónico, existen listados de las actividades de los mismos,
denominados logs que pueden ayudarnos a probar la recepción o el envío de un determinado correo
electrónico.
El análisis del contenido de un correo electrónico, incluyendo archivos adjuntos, debe ser realizado
por un investigador forense informático equipado con herramienta de análisis forense que permitan la
búsqueda en todo el contenido de la computadora y no solamente en aquellos lugares que el sistema
operativo muestra, esto incluye información eliminada o deliberadamente ocultada.
Es necesario tener presente, en función de la investigación a realizar, si necesitamos acceso a la
computadora del emisor del correo electrónico, del receptor o de ambos, sin perjuicio de la eventual
colaboración del proveedor de servicios de Internet de alguno de los dos usuarios involucrados, el cual no se
encuentra obligado por ley a conservar y resguardar la información de las comunicaciones, sobretodo luego
del caso "Halaba" al que nos referiremos más adelante. En caso de querer aportar el disco rígido de una
computadora, para que su contenido pueda ser posteriormente peritado, también es importante tener en
cuenta que el mismo debe ser adquirido con procedimientos de Informática forense que garanticen la
inalterabilidad de la prueba desde su extracción hasta la conclusión de la pericia informática. …”
Fte: “Eficacia probatoria de los correos y comunicaciones electrónicas” - Eduardo Molina Quiroga,
18/07/2013, elDial.com – Editorial Albrematica

Procedimiento del Análisis Forense:

En principio debemos distinguir el procedimiento forense en escena y en el laboratorio forense.

17
Registro y Secuestro de Datos Informáticos:
El registro y secuestro de datos informáticos a los fines de sr utilizados como evidencias de una causa
penal requiere, previamente, de un acceso al soporte físico en el que los datos están alojados (computadoras,
teléfonos móviles, discos externos, pendrives, cámaras digitales, etc.). Así, la búsqueda de datos informáticos
a los fines de su posterior aseguramiento, copia o secuestro se realiza en general luego de secuestra o tener
acceso material al soporte físico en el que los datos útiles para la investigación están alojados, ya sea que se
los encuentre en el lugar en el que el delitos sucedió (por ejemplo en el lugar donde se cometió un homicidio)
o en una inspección de un lugar o se obtenga a través de una requisa personal o del allanamiento de una
morada.
Es decir que, la obtención de evidencia digital requiere previamente el acceso de manera “legitima”
al soporte físico donde esta alojada (allanamiento de un lugar físico, secuestro de un soporte de
almacenamiento digital luego de una requisa personal) para luego realizar el análisis forense sobre los
soportes informáticos así obtenidos.
Conforme afirma Marcos Salt, en muchas ocasiones, las ordenes de allanamiento resultan
defectuosas en la descripción del objeto de búsqueda referido a la evidencia digital con formulas abiertas
que pueden conducir a la nulidad de la prueba que se obtenga. Así, por ejemplo, frases tales como
“cualquier otro documento físico o electrónico que pueda resultar de utilidad para la investigación”.
El mismo autor nos dice que usualmente, en la práctica, al momento de realizar un llamamiento en
el que está involucrada la necesidad de registrar y secuestras datos contenidos en soportes digitales, los
funcionarios a cargo del allanamiento se encuentran frente a una disyuntiva que resulta más difícil de
resolver día a día en la medida en que aumenta la cantidad de información digital almacenada. Pensemos
por ejemplo en un allanamiento a un banco en el que se encuentran cien (100) computadoras. Una
posibilidad es secuestrar todos los elementos físicos susceptibles de contener evidencia digital para luego
el registro y eventual secuestro de los datos digitales sea realizado por los peritos en el laboratorio forense.
No obstante, esta medida puede resultar perjudicial en términos de eficiencia para la administración de

18
justicia (costos para el deposito de las computadoras y colapso de los laboratorios forenses) y perjudicial
para terceros que pueden ver paralizada la actividad del banco cuando quizá la evidencia buscada estaba
en una sola computadora. Otra posibilidad es realizar copia segura de los datos contenidos en los diferentes
soportes físicos para evitar tener que secuestra las máquinas (medida también que puede ser costosa y
demanda mucho tiempo). Como tercera posibilidad, hoy muy utilizada y que ha demostrado ser beneficiosa
en términos prácticos, es el proceso técnico denominado “triage” que permite utilizar herramientas
especiales de informática forense para hacer búsquedas simples para determinar cuales de los soportes
informáticos pueden contener datos de relevancia para la investigación y así evitar tener que secuestrar
mayor cantidad de elementos de los necesarios. Esta metodología puede generar algún tipo de duda sobre
su legitimidad al no estar prevista expresamente en la legislación procesal. En principio no existiría
inconveniente si esta tecnica es utilizada solamente como una forma de búsqueda o registro sencillo de
datos. El problema legal aparece si se transforma, en una verdadera operación técnica que pos sus
características constituye un acto pericial en el que no se respetan las normas previstas en el ordenamiento
procesal, especialmente la participación de la defensa. En este supuesto se debe trabajar con técnicas de
bloqueo de escritura para evitar que se altere el contenido.

ISO/IEC 27037:2012 – Definición de DEFR y DES


Distinguió:

Digital Evidence First Responder (DEFR): que refiere a la persona que posee los conocimientos
necesarios y cuenta con la debida autorización y habilitación para poder recoger las evidencias digitales en
el lugar donde se ha producido el incidente.
Una de las herramientas que utilizan en el lugar donde se encuentra la evidencia es triage mediante
la cual el personal responsable de participar en un procedimiento judicial en el lugar del hecho a utiliza un
software con capacidad limitada que permite la inspección de archivos de imágenes digitales, de emails, la
enumeración de softwares instalados, la detección de archivos encriptados, y la búsqueda de palabras
claves sobre el sistema de archivos de un equipo informático sospechoso; pero no permite la localización
de información borrada y otras características de análisis avanzadas.
Digital Evidence Specialist (DES): El perito que estudia las evidencias que el DEFR ha recogido, tiene
conocimientos especializados, habilidades y destrezas para tratar una amplia gama de asuntos técnicos (ej.
adquisición de evidencia a través de la red, de la memoria ram, conocimiento del software del sistema
operativo o grandes ordenadores tipo servidores.

Procedimiento en escena:

Según el Protocolo General de Actuación para las Fuerzas Policiales y de Seguridad en la


Investigación y Proceso ee Recolección de Pruebas en Ciberdelitos, aprobado mediante Resolución N°
234/2016 del Ministerio de Seguridad, con fecha 7 de junio de 2016
Son objetos Susceptibles de Secuestro:

A) Computadoras: Gabinetes, motherboards, microprocesadores, discos rígidos, tarjetas de


memoria, laptops, baterías.

B) Dispositivos periféricos: Hardware que puede ser conectado a una computadora para
mejorar y expandir las funciones de la máquina: Monitores, teclados, parlantes, discos externos, mouse,
módems, routers, impresoras, escáners, faxes, micrófonos.

19
Estos son importantes dados que contienen pruebas biológicas (ADN, huellas digitales...), así
como también documentos recientemente escaneados, números entrantes y salientes de fax.
C) Dispositivos de almacenamiento de datos: Disquetes, CD, DVD, Pendrives (pueden estar
conectados a la computadora, venir en diferentes tamaños y formas, estar disfrazados u ocultos dentro
de otros objetos), Tarjetas de memoria, Micro SD, Discos rígidos, Discos externos.

D) Dispositivos de mano: Celulares, smartphones, tablets, GPS, videocámaras, equipos de


vigilancia, consolas de video juegos.

E) Cualquier otro dispositivo que pueda ser susceptible de contener evidencia digital.
Potencial prueba que pueden contener: Documentos, imágenes, fotos, emails, bases de datos,
información financiera, historial de navegación, log de los chats, discos externos, geolocalización.

Potencial Prueba Extraíble:


A) Registros de chats y blogs
B) Software de reproducción, captura y edición de video
C) Imágenes y videos de contenido sexual
D) Juegos infantiles o de contenido sexual
E) Registros de actividad en internet
F) Directorios de archivos encriptados o no visibles mediante los cuales clasifica el contenido
de las distintas víctimas.
G) Correos electrónicos, notas y cartas varias
H) Papeles con contraseñas anotadas, notas, manuales de hardware y software, calendarios,
material pornográfico, DVD, CD, Disquetes, etc.

En escena se debe:

➢ Observar y establecer los parámetros de la escena de los hechos:

▪ Si los hechos aún se están cometiendo

▪ Observar las características físicas del área circundante (todo sistema de información y de
red que se encuentre dentro de la escena)

➢ Asegurar físicamente la escena

Retirar a toda persona no autorizada a fin de evitar la contaminación o alteración de la evidencia


digital. Física y virtual (alcance inalámbrico

➢ Detección, Identificación y Registro de los elementos informáticos

El mismo protocolo establece la actuación de los agentes en el allanamiento, quienes deberán:


1. Fotografiar el estado en el que se encuentra el dispositivo y documentar, el estado en el
que se lo encontró y el estado en el que se secuestra en caso de que haya habido un cambio en la pantalla
del dispositivo. (Esto permite capturar la información que estaba a la vista en el instante del secuestro. Debe
considerarse que en sistemas operativos modernos una computadora puede tener hasta diez monitores
conectados.)

20
2. Documentar, fotografiar y hacer un esquema de todos los cables y otros dispositivos que
estén conectados a la computadora.
3. Desconectar y etiquetar el cable de suministro y los demás cables, alambres o dispositivos
USB conectados a la computadora.
4. No encender nunca un equipo apagado y si está encendido no apagarlo inmediatamente
para evitar la pérdida de información volátil, dependiendo si es necesario para el caso realizar la adquisición
de memoria volátil en el lugar del hecho. (Se conoce como información volátil a la contenida en
almacenamientos temporales, tales como memoria RAM, memoria caché o la memoria de dispositivos como
placas de red y placas de video. Se llama volátil porque la misma depende de la electricidad para
mantenerse. Dicho de otra forma, una vez que el equipo o dispositivo se apaga la información contenida en
este tipo de almacenamiento se destruye.)
5. No desconectar el equipo si el mismo es una estación de trabajo o servidor (conectado en
red) o está en un negocio. El desconectarla puede acarrear daño permanente al equipo. Anotar los números
de conexión IP y consultar con un técnico experto en redes.
6. Documentar la existencia de cámaras web y si éstas se encuentran activas.
7. Cuando se tengan dudas acerca de si un dispositivo electrónico se encuentra encendido o
apagado, mirar y escuchar si existe algún sonido o luz que indique que se encuentra encendido, como ser
el ruido de los ventiladores, o las luces led del gabinete si se trata de una computadora.
8. Verificar lo que muestra la pantalla del dispositivo para detectar si se está accediendo a ella
remotamente o bien si la información en ella está siendo destruida. Buscar palabras claves tales como
borrando, moviendo, limpiando.
9. Buscar señales de actividad de comunicación con otro dispositivo o usuarios a través de
ventanas emergentes de chats, de mensajería instantánea, etc.

Procedimientos especiales: el Protocolo regula procedimientos especiales para computadoras de


escritorio, laptos o computadoras portátiles y teléfonos celulares, así establece:

Computadora de Escritorio
1. Si el monitor está prendido sacarle una fotografía a la pantalla y anotar la información que
se ve.
2. Si el monitor está prendido pero se ve el protector de pantalla, mover ligeramente el mouse
sin tocar ningún botón ni mover la rueda. Fotografiar el estado en el que se encontró, anotando y
fotografiando lo que aparece posteriormente.
3. Si el monitor está apagado pero el gabinete está encendido, prender el monitor, fotografiar
la pantalla y registrar la información que aparezca.
4. Si el monitor está prendido pero la pantalla está en blanco como si estuviese apagada,
mover ligeramente el mouse sin tocar ningún botón ni mover la rueda. En el caso que aparezca la pantalla,
anotar el cambio de la pantalla, registrar la información y fotografiar el antes y después. Si la pantalla no
aparece, confirmar que el gabinete se encuentre encendido, de lo contrario la computadora está apagada.
Fotografiar y de ser posible, filmar la escena y documentar el estado en el que se encuentra.

Laptop o computadora portátil: Remover el cable de alimentación, localice y remueva la batería,


la cual por lo general se localiza debajo del equipo. Seguir los mismos pasos que si se trata de una
computadora de escritorio.

21
Dispositivos móviles y celulares:
1. Si el aparato está encendido, no lo apague. Si el aparato está apagado, déjelo apagado.
2. Si lo apaga puede iniciarse el bloqueo del aparato. Transcribir toda la información que
aparece en la pantalla y fotografiar el estado en el que se encontró y lo que apareció luego en la pantalla.
3. Revisar los dispositivos de almacenamiento removibles. (Algunos aparatos contienen en su
interior dispositivos de almacenamiento removibles tales como Tarjetas SD, Compact flash, Tarjetas XD,
Memory Stick, etc.)

Se recomienda, además:

• Inventariar todos los elementos utilizados identificando tipo marca, número de serie,
registros de garantía, estado (normal o defectuoso) etiquetando/documentando cada pieza secuestrada.
• Material impreso en la bandeja de impresora o circundantes
• Apagar el sistema de una forma segura, de acuerdo con el sistema operativo que utilice
• Anotar hora y fecha del sistema antes de apagarlo, documentando el hecho
• En lo posible, utilizar una muñequera antiestática o cualquier otro medio de tierra antes de
manipular placas electrónicas, discos o cualquier dispositivo sensible a la estática.
• Utilizar guantes de látex para preservar las huellas digitales
• Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, ubicación de los
equipos informáticos, de cualquier elemento inmobiliario, racks, cableados, para luego presentarlo con
cualquier herramienta de diseño.
• Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, ubicación de los
equipos informáticos, de cualquier elemento inmobiliario, racks, cableados, para luego presentarlo con
cualquier herramienta de diseño.
• Utilizar precintos de seguridad al momento del secuestro del equipo

➢ Identificación y clasificación de la evidencia

Identificar, clasificar rotular la evidencia encontrada

Al hacer la clasificación se debe rotular cada uno de los equipos y componentes, indicando tipo,
marca, número de serie y/o cualquier otro dato identificatorio.
Consignar el nombre del oficial encargado del embalaje, etiquetado y clasificación de la evidencia
encontrada.
¿Apagar o no apagar el equipo?

Contrariamente a lo que suele creer el imaginario popular, cerrar el sistema Windows de manera
"apropiada“atenta contra la salvaguarda de información importante a nivel forense.
Esto es así, porque el proceso de cierre de Windows indefectiblemente intenta eliminar los archivos
temporales que fueron utilizados durante la sesión por el sistema operativo y aplicaciones. Si bien esto es
un proceso lógico y útil bajo circunstancias normales, en el momento de recolectar evidencia estos archivos
pueden poseer datos importantes porque suelen contener información referida a las últimas operaciones
realizadas en el equipo.

22
Precisamente, para evitar la destrucción de estos archivos se recomienda que al momento de
secuestrar equipos con cualquier sistema operativo Windows de Microsoft se desenchufe el equipo
directamente, sin realizar la operación de cierre.
Análisis Forense de Memoria RAM

La memoria RAM es uno de los componentes principales de un ordenador, es la memoria en la que


se cargan todas las instrucciones que ejecuta el procesador y otras unidades de cómputo. Esta memoria es
volátil, lo que quiere decir que cuando se apaga el ordenador y pierde la fuente de alimentación la
información que contiene se pierde.
Debido a esto, en la fase de recogida de evidencias de un análisis forense si uno de los equipos está
encendido, uno de los procesos a realizar será obtener una captura de su memoria RAM para su posterior
estudio. A través de ella se puede conocer que se hizo recientemente, contiene las llaves de descifrado, y a
través de ella acceder a recursos en la nube.
SUSPENDER: Cuando seleccionamos este modo, el equipo no se apaga realmente, sino que se
queda en un estado de bajo consumo. Está concebido para ofrecer un rápido reinicio (apenas unos
segundos) del equipo a su estado anterior a cuando lo suspendimos, con lo que no necesitamos guardar los
documentos abiertos, aplicaciones, etc. antes de ponerlo en suspensión.
Al Suspender, Windows guarda la sesión actual en la memoria RAM, con lo que el reinicio es
rapidísimo. Tras guardar la sesión, desconecta los dispositivos internos y externo a la energía eléctrica, pero
mantiene la alimentación de las memorias RAM y algunos otros circuitos que garantizan que estás no se
vacíen accidentalmente. Si bien es un modo de ahorro de energía, es de los modos que más consumen.
Mientras que si elegimos la opción de hibernar, todo estos datos se almacenan en el disco duro en un
archivo llamado hiberfil.sys. De esta manera, nuestros documentos y programas abiertos no se perderán,
incluso aunque se agote la batería o haya un corte de luz, ya que al arrancar, lo recuperará de este archivo
y nos encontraremos todo tal y como lo teníamos

Procedimiento durante el transporte:

Las evidencias Físicas deberán ser cuidadosamente trasladadas con la finalidad de evitar la
modificación, alteración y/o destrucción de las mismas. En esta fase del proceso es importante haber
cumplido cuidadosamente con el precintaje de éstas, para reforzar las medidas de seguridad, respetando
la cadena de custodia
Transportar las piezas sensibles en una bolsa antiestática o bolsas FARADAY asegurándose de
mantenerlas alejadas de fuentes de calor y electromagnéticas.
La ISO/IEC 27037:2012, documento sumamente importante para el análisis forense de evidencias
digitales, en el apartado 7.2.2.2, habla de las directrices a seguir para la recogida de dispositivos conectados
en red, diciendo que el DEFR debe valorar el utilizar bolsas de Faraday o cajas blindadas.

En el siguiente punto, es decir en el 7.2.2.3 vienen recogidas las directrices a seguir para la
adquisición de los dispositivos conectados en, indicando que para realizar esta operación se deberá hacer
en un lugar blindado electromagnéticamente.

Ese lugar se puede establecer blindando todo el lugar de trabajo o haciendo uso de una bolsa de
Faraday, permitiendo utilizarla en cualquier sitio fuera del laboratorio.

23
Referente al uso de las bolsas de Faraday, dice la ISO que el alimentar el dispositivo mientras que
está dentro de la citada bolsa, puede ocasionar problemas, porque puede suponer que el cable haga de
antena, y por lo tanto producir que el teléfono se conecte a alguna red (gsm, wifi, bluetooth, gprs, 3g).
También añade que el blindar electromagnéticamente una zona completa de trabajo puede ser también
muy restrictiva.

En primer lugar ¿por qué dice que es necesario realizar la adquisición del dispositivo en una zona
blindada electromagnéticamente?

Pues muy sencillo, para evitar la “alteración” o “destrucción” de la evidencia.

Imaginemos que la policía detiene a un individuo miembro de una organización criminal y éste porta
un teléfono que permite el borrado remoto.

Los agentes que han realizado la detención del individuo proceden al apagado del teléfono y lo
remiten al laboratorio forense competente, junto con el correspondiente documento de cadena de
custodia, para que extraigan la información de interés que pudiera contener.

Mientras, un “amigo y compañero de fatigas” del detenido se ha enterado de lo ocurrido, y


siguiendo los protocolos de actuación que previamente establecieron entre ellos, realiza una orden para
un borrado remoto al teléfono de su amigo. Con esto lo que intenta es borrar cualquier información que le
relacione con el detenido y del mismo modo, borrar posibles pruebas que puedan utilizar contra su amigo.

Pues bien…al estar el teléfono apagado, una vez que se ha ordenado el borrado seguro, se activará
en cuanto el teléfono se conecte a la red y reciba la instrucción.

El teléfono móvil, una vez que llega al laboratorio, si el perito lo enciende sin las precauciones que
indica la normativa ISO seguramente se conectaría a la red y comenzaría el borrado remoto, lo que
complicaría seriamente el poder obtener datos de interés para la investigación.

¿Qué es lo que tiene que hacer el perito entonces? Pues como bien indica la norma, se debe
disponer de una zona blindada electromagnéticamente o de una bolsa de Faraday que impida que el móvil
se conecte a la red.

En caso de que no se tenga esta opción, existen en el mercado una especie de urna o caja de
seguridad donde una vez depositado el teléfono y cerrada, se puede manipular el dispositivo con la
seguridad de que no se va a conectar a ninguna red.

Otra solución son las propias “bolsas de Faraday”, que son simplemente unas bolsas hechas con
un material conductor que impide que el teléfono móvil se conecte a la red

Embalaje:
El Protocolo General de Actuación para las Fuerzas Policiales y de Seguridad en la Investigación
y Proceso en Recolección de Pruebas en Ciberdelitos, Res. 234/2016 del Ministerio de Seguridad especifica
con relación al embalaje:

24
A) Embalaje: Tener en cuenta que la prueba digital es frágil y sensible a altas temperaturas,
humedad, electricidad estática y campos magnéticos.
i) Embalar toda la evidencia digital en bolsas antiestáticas. Solo utilizar bolsas de papel, sobres
o cajas de cartón. No deben utilizarse materiales plásticos ya que pueden producir electricidad estática, lo
que hace que penetre la humedad.

ii) Todo lo que pertenezca a una misma computadora será identificado (etiquetado),
embalado y transportado en su conjunto, para evitar que se mezcle con las partes de otros dispositivos y
poder luego reconfigurar el sistema.

iii) Fajar con fajas de papel y pegamento los puertos y todas las entradas. Sellar cada entrada
o puerto de información, tornillos del sistema de manera que no se puedan remover o reemplazar las piezas
internas del mismo con cinta de evidencia. Asegurarse que las bandejas de CD o DVD estén cerradas y
anotar si estaban vacías o no y fajarlos con cinta adhesiva. iv) Desconectar el cable de suministro.

v) Guardar las baterías de forma separada al equipo.

vi) Embalar toda la evidencia teniendo cuidado de no dañar ni alterar nada durante el
transporte y almacenamiento.

Transporte:

Con relación al transporte establece:

1. Documentar quiénes participaron del empaquetamiento y transporte para registrar la


cadena de custodia.
2. Mantener la prueba alejada de campos magnéticos como transmisores de radios, parlantes.
3. Evitar mantener la prueba por tiempo prolongado en el vehículo que la transporte.

Almacenamiento:

1. Inventariar correctamente toda la prueba.


2. Almacenarla en un ambiente seguro y con un clima controlado para evitar altas
temperaturas y humedad.
3. Asegurarse que no esté expuesta a campos magnéticos, humedad, polvo, vibración u otros
elementos que puedan dañarla o destruirla.
4. Si se secuestró más de una computadora, almacenar cada una con sus respectivos cables y
dispositivos electrónicos por separado.

Procedimiento en Laboratorio Forense:

El investigador debe intentar contestar a las siguientes preguntas en la fase de análisis:

1. ¿Quién? Reunir la información sobre el/los individuo/s involucrados en el compromiso.

2. ¿Qué? Determinar la naturaleza exacta de los eventos ocurridos.

3. ¿Cuándo? Reconstruir la secuencia temporal de los hechos.

25
4 ¿Cómo? Descubrir que herramientas se han usado para cometer el delito.
El Protocolo regula también la extracción de la prueba:
Una parte es extraída mediante procedimientos forenses de la propia terminal de la víctima y
de los elementos secuestrados.
Otra es facilitada por los proveedores del servicio de Internet, quienes son depositarios de la
mayoría de los datos de tráfico válidos para la investigación. Para poder acceder a esta información se
requiere de una autorización judicial.
No se debe trabajar con la prueba original si no realizar una copia forense del dispositivo.
En el caso de trabajar con computadoras, se debe realizar primero una copia del disco duro, y
luego precintarlo debidamente.
La copia forense puede realizarse por medio de un copiador de hardware o un software.
Es obligatorio para este procedimiento:
A) Utilizar un bloqueador de escritura al momento de realizar la copia forense ya que este
dispositivo permite operar la computadora asegurando que no se modifique absolutamente la más
mínima información, por ejemplo, nos restringirá la mera lectura y copiado de los archivos.

B) Por otro lado, una vez finalizado el copiado, el agente debe realizar el cálculo hash de dicha
copia forense.

Procedimiento: Se recomienda hacer dos copias por cualquier eventualidad. Asegurarse que la
copia es exacta al original y que durante el proceso del mismo el original permanezca inalterado.
Obtener un código (hash) que identifique al disco y corroborar que el mismo sea igual al código
de la copia. Por lo tanto, ante el mínimo cambio tanto en el original como en la copia, se daría como
resultado un código distinto.
¿Cómo asegurar la no alteración de la evidencia?

Haciendo una imagen del disco y/o dispositivos, esto es un copiados bit a bit de los contenidos
de los archivos, la distribución de los archivos, fragmentos de archivos, archivos eliminados no
sobreescritos, espacio remanente al final de los archivo y información respecto de versiones anteriores
del archivo.
Se denomina "imagen" a una copia exacta de una unidad realizada con una herramienta
específica que duplica toda la información contenida en el disco original. Esta imagen no es una simple
copia de archivos de un disco a otro, sino que se realiza una copia bitstream, o sea una copia bit a bit
del contenido del disco, consiguiendo que no sólo el contenido de los archivos sea el mismo sino que la
distribución de los archivos sea exactamente igual, y también permite recuperar fragmentos de
archivos, archivos eliminados que no han sido sobrescritos y el espacio remanente al final de los
archivos, donde muchas veces se puede encontrar información respecto de versiones anteriores del
archivo.

Debe utilizar un bloqueadores de escritura y jaulas de Faraday.


En todo momento se debe respetar la cadena de custodia y proteger la evidencia digital.
Categorías de datos a analizar:

Datos lógicamente accesibles: Almacenados en dispositivos de almacenamiento internos,


externos y extraíbles. En estos datos pueden existir algunas dificultades en estos datos como una gran
cantidad de información a analizar, la posibilidad que los datos estén cifrados o que existan datos

26
corruptos o que incluyan alguna trampa como código hostil, que al producirse cierta situación puede
hacer que se formatee el disco duro.
Datos que han sido eliminados: Mientras los datos no hayan sido completamente sobrescritos
se pueden recuperar. Para recuperar los datos que han sido eliminados se utilizan herramientas de
software que permiten recuperar archivos incluso después de haber formateado el disco duro.
Datos en “ambient data”: Datos en espacio no asignado, archivos de intercambio, espacio entre
sectores, entre particiones, flujos alternativos de datos, etc.
Datos ocultos: Los forenses informáticos pueden usar técnicas especificas para buscar y
detectar información oculta en los sistemas o ficheros.
Borrado y recuperación de datos del disco rígido

El disco duro o disco rígido (en inglés Hard Disk Drive, HDD) es un dispositivo de
almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar
datos digitales. Se compone de uno o más platos o discos rígidos, unidos por un mismo eje que gira a
gran velocidad dentro de una caja metálica sellada. Sobre cada plato, y en cada una de sus caras, se
sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina de aire generada por la rotación
de los discos.
¿Cómo es que se pueden recobrar archivos eliminados?

Al eliminar cualquier archivo en Windows, la información no es borrada en lo absoluto del disco


duro, de momento lo que se elimina es la referencia que existe hacia esos datos en el index, toda la
información del archivo continua intacta, hasta que es sobre escrita al copiar nuevos datos al disco.

¿Cómo es que funciona el proceso de eliminación de archivos?

Un disco duro está formado por miles de clusters, especie de minúsculas celdas o
compartimentos donde se graba la información. Al escribir un archivo en el disco es dividido en múltiples
porciones, cada una es escrita en un cluster diferente (miden 512 bytes), los que no tienen que estar
necesariamente adyacentes, pueden estar diseminados por toda la estructura del disco.

¿Cómo es posible en este "rompecabezas" saber la posición y secuencia de todos los clusters
que forman un archivo?

La información para armar el "rompecabezas" se encuentra registrado en la MFT (master file


table) especie de registro del contenido del disco, se encuentra en los primeros sectores y es similar al
índice de un libro gigantesco que contiene exactamente el número de la página que necesitamos y como
llegar a ella.

Al ver un archivo en el explorador de Windows lo que estamos viendo es el dato que nos
muestra la MFT.
Por ejemplo, tenemos un archivo nombrado nota.txt su tamaño es de solo 2 kb por lo que se
encuentra repartido en 4 cluster, la MFT contiene el número exacto del sector del disco donde se
encuentra el primer cluster, este a su vez contiene grabado el número del sector donde se encuentra el
cluster que sigue, así como otros datos para asegurar el correcto ensamblaje y así sucesivamente.
Al abrir en el explorador la carpeta que contiene nuestro archivo estamos solamente viendo la
información que nos muestra la MFT, al dar dos clic en el archivo, el cabezal del disco se desplaza

27
rápidamente a los 4 clusters y los lee en el orden necesario, por supuesto esto se efectúa a una velocidad
gigantesca por lo que vemos la información contenida en nota.txt de forma instantánea.
¿Qué pasa si eliminamos el archivo nota.txt?

Al eliminar nota.txt y vaciar la papelera se elimina la referencia existente en la MFT, por lo que
ahora se reportará a Windows ese espacio como vacío y disponible para grabar en él información
cuando sea necesario.
Mientras tanto los clusters contienen aun intactos los datos del archivo y continuaran allí hasta
que se escriba encima de ellos nueva información, eso puede suceder a los pocos instantes, en días o
en meses.
Funcionamiento de los programas de recuperación de datos

Que hacen los programas de recuperación de datos, escanean la superficie del disco en busca
de clusters a los que no exista referencia en la MFT, es decir se hayan eliminado del index, se nos
muestra el listado disponible.

Al formatear un disco duro tampoco se elimina la información grabada en él, solo se limpia la
MTR, solo en el formateo de bajo nivel es que queda verdaderamente limpio un disco duro. Los archivos
de imágenes o documentos de texto pueden ser recuperados en forma parcial y es probable que sean
legibles, pero si se trata de programas se requiere recuperarlo en forma total para su funcionamiento.
Existen factores potenciales que pueden sobrescribir los archivos eliminados, cuanto mayor sea
la actividad del disco rígido o cuanto más tiempo este ocupado, menor será la posibilidad de recuperar
los datos eliminados, por ejemplo, la creación de nuevos archivos en la partición, los archivos existentes
aumentan de tamaño, la instalación de un nuevo programa en la partición, etc.

Principio de Intercambio:

En materia informática se aplica el principio de Intercambio o principio de Edmond Locard


viene a decir que cuando existe interacción entre dos elementos cualesquiera, siempre se produce un
intercambio entre los mismos y se deja una “huella” del intercambio producido.

Si esto lo extrapolamos a la realidad de un contexto de informático tendríamos que el Iniciador


de la acción (sospechoso, presunto delincuente o acusado) accede a lo que es propiedad o
responsabilidad del Receptor (víctima, quien sufre el ataque o daño) por medio del Escenario (los
dispositivos o la tecnología informática).

Al producirse esta interacción, quedan evidencias de la misma en los medios o canales utilizados
para llevar a cabo la acción.

Es aquí donde el perito forense, con sus conocimientos y habilidades puestas en práctica quien
puede identificar dichas evidencias, preservarlas y determinar toda la información posible y susceptibles
de ser extraídas de la mismas (quién, cómo, cuándo, dónde, etc.) que permita su posterior presentación
y la acción probatoria ante el tribunal o el cliente final (tercero particular).

Función hash

28
Se define la función hash como la certificación digital que garantiza la integridad de la evidencia
digital, a través de la generación de un valor hash (alfanumérico) a partir de un conjunto de datos, el
cambio de un bit en la evidencia digital conlleva producir un valor hash diferente. El valor numérico es
de longitud fija con independencia de la longitud, tamaño o contenido de la entrada.
El valor hash es generación unidireccional e irreversible.
Los hash son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una
contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que
representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la
entrada crea una cadena que solo puede volverse a crear con esos mismos datos).
El propósito del hash es asegurar que no se ha modificado un archivo en una transmisión, hacer
ilegible una contraseña o firmar digitalmente un documento.
Siempre que se deba realizar una adquisición de evidencia digital es bien conocida la técnica de
generación de un valor hash (alfanumérico) a partir de un conjunto de datos. Existen diferentes
algoritmos para calcular un valor hash de un corpus digital. Los más utilizados en informática forense
son MD5 (128 bits) y SHA256 (256 bits).
Ser resistente a la colisión implica que, dada una salida a partir del hash, la búsqueda de otra
entrada que produzca el mismo resultado (llamado un choque) no es trivial, y se necesitarían complejos
procesos matemáticos para producirlo.
Matemáticamente, el computo del valor hash es de una naturaleza tal, que el cambio de un bit
en cualquier ítem de la evidencia digital deberá causar un efecto cascada durante el proceso de cálculo,
lo que conlleva producir un valor hash diferente.
Si un artefacto que conforma la evidencia digital fuer certificado mediante un algoritmo hash, y
si al volver a calcular el valor hash en un momento posterior, si ambos valores coinciden significa que la
integridad de la evidencia se mantiene incólume y puede ser admitida en el proceso judicial.
El cálculo realizado es un proceso de generación unidireccional e irreversible puesto que
tomando una entrada y aplicando el algoritmo se obtiene siempre el mismo valor de salida, pero
conociendo el valor la salida no se puede llevar a cabo el proceso inverso y llegar a conocer la entrada
utilizada para la generación de dicha salida.
Información que puede contener los smartphones:

Los smartphones son en realidad computadoras de bolsillo que, además, vienen cargadas de
sensores con los que, entre otras cosas, pueden determinar nuestra posición (por GPS o Wi-Fi). Incluso
las fotos que sacamos quedan etiquetadas, de forma transparente, con las coordenadas geográficas.
Archivos (aún los borrados)
Fotografías (coordenadas geográficas)
Lista de contacto
Agenda
Llamadas realizadas y recibidas (fecha, hora y duración)
Videos
Correo electrónico
Redes sociales
Mensajes de Texto (Skype, what´s up)
Información almacenada en la nube
Los Galaxy, además, tienen una prestación llamada Samsung Live, que permite rastrear un
equipo en una página de Internet. Allí se puede ver el recorrido de las últimas doce horas que hizo el
equipo o eliminar, remotamente, toda la información del dispositivo para que los datos personales no

29
caigan en manos no deseadas. "Para poder utilizar este servicio el usuario debe tener una clave y,
además, activar la prestación en el celular. En caso de robo, cuando los delincuentes cambian la tarjeta
SIM se manda un mensaje de alerta“.
Actualmente existen muchas funciones y aplicaciones que permiten tomar recaudos para evitar
que nuestros datos caigan en manos indeseadas. Para Android, iPhone y BlackBerry hay apps que
permiten el borrado remoto y el backup de información en la nube.
Tarjeta SIM (Subscriber Identity Module)

Procesador con memoria no volátil, dispositivo de almacenamiento de información relacionada


con el subscritor:
Identificador de área local
Número de serie
Número de cliente (IMSI)
Número de teléfono celular

Recolección de datos en un móvil

Antenas y Wi-Fi

Para poder funcionar, las antenas deben saber dónde está el teléfono. También se nos puede
localizar al conectarnos a los Wi-Fi conocidos
GPS
Usando satélites de geoposicionamiento, conoce con mayor precisión nuestra ubicación. De
hecho, sabe si nos estamos moviendo y a qué velocidad
Cámara
Los smartphones no sólo pueden sacar fotos, sino que además son capaces de etiquetar las
imágenes con coordenadas geográficas de forma automática
La nube

Los proveedores de apps y servicios registran nuestra actividad, clics y ubicación geográfica con
el fin de dirigir publicidad y ofertas. Mediante la nube, además, nuestros contactos, fotos y calendarios
residen online.

Análisis de dispositivos móviles

El dispositivo debe ser totalmente cargado previo al examen


El análisis se debe empezar con una copia de la información que se extrae del dispositivo
Tres tipos de almacenamiento :

Tarjeta SIM:

evidencia registrada en la información del servicio, el listado de llamadas, directorio telefónico


y los mensajes de texto o multimedia
Memoria interna:

Identidad del teléfono, mensajes de texto, configuración del teléfono, grabaciones de audio,
calendario, imágenes, archivos, programas, e-mail e historial web

30
Memoria Externa:

Imágenes, música, video, documentos.

https://findmymobile.samsung.com/

¿Has perdido tu teléfono?


No te alarmes. Buscar mi móvil te ayudará a localizar tu dispositivo y a proteger tus datos.
Incluso puedes utilizar esta función para desbloquear tu teléfono si has olvidado la contraseña o el PIN.

Samsung

1. Seguir por 12 horas con intervalos de 15 minutos, la posición de su teléfono vía GPS. Si el
GPS de su teléfono está desactivado, este método no funcionará.

2. Puede comenzar a llamar a su celular. Este comenzará a sonar con un tono y volumen
elevado, sin importar la configuración que le tenga. Si por casualidad el celular está cerca de usted,
podrá ubicar su dispositivo por el sonido.

3. Digitar un mensaje de máximo 100 caracteres en la página para que si alguien lo encuentra,
vea el mensaje y sepa a dónde comunicarse con usted.

También podrá desviar las llamadas al número de celular que usted desee. Con esto todas las
llamadas que entren a su celular, se desviarán al que usted haya digitado en el mensaje.

4. Desbloquear el equipo. Si por casualidad dejó su celular en algún lugar, y una persona lo
llama desde otro teléfono a avisarle que lo tiene, usted puede desde su computador desbloquear el
equipo para que esa persona pueda usarlo o llamarlo.

31
Iphone - iCloud:

Buscar mi iPhone es una aplicación web de icloud.com que puedes usar para
localizar los dispositivos iOS u ordenadores Mac que pierdas.

Puedes usar Buscar mi iPhone para:

Ver las ubicaciones de tus dispositivos en un mapa

Bloquear y seguir la ubicación de tu dispositivo mediante el


modo de pérdida

Hacer que tu dispositivo emita un sonido

Borrar el contenido del dispositivo


© - Prof. Mgtr. Norma Vecchi – Taller de
Informática - UCES 2017

Presentación del Dictamen Pericial:

Para hacer que la tarea de asimilación de la información sea tan fácil como sea posible la
presentación del dictamen debe ser en forma clara, concisa, estructurado y sin ambigüedad.
Debe ser entendible por personas no conocedoras del tema en discusión y en lo posible debe
tratar de utilizarse terminología técnica.
Análisis de la información:

Los nuevos desafíos que deben afrontar los peritos informáticos versan sobre la existencia el
mercado de dispositivos cada vez más heterogéneos, el cifrado de datos y el almacenamiento en la
nube.

Solicitud de informes a Facebook e Instagram

Estas normas operativas están pensadas para los miembros de las fuerzas del orden que
solicitan información sobre cuentas de Instagram o Facebook.
Con relación a la solicitud de información sobre los usuarios, se se informa que solo se divulga
datos de cuentas de acuerdo con suscondiciones del servicio y la legislación aplicable, incluida la ley
federal estadounidense de almacenamiento de datos (Stored Communications Act, "SCA"), U.S.C. 18,
artículos 2701-2712. En virtud de la ley de los EE. UU.
Se necesita una citación válida emitida en relación con una investigación penal oficial para exigir
la divulgación de datos básicos del suscriptor (definidos en U.S.C. 18, artículo 2703(c)(2)), entre los que
se pueden incluir: nombre, duración del servicio, información de la tarjeta de crédito, direcciones de
correo electrónico y direcciones IP de inicio o cierre de sesión recientes, si están disponibles.
Se necesita una orden judicial emitida por un tribunal, en virtud de U.S.C. 18, artículo 2703(d))
para exigir la divulgación de ciertos datos u otra información de la cuenta, sin incluir el contenido de las
comunicaciones, que pueden ser encabezados de mensajes y direcciones IP, además de los datos
básicos del suscriptor identificados con anterioridad.
Se necesita una orden de registro emitida según los procedimientos descritos en la normativa
federal sobre procedimientos penales o según los procedimientos equivalentes de cada estado, en el

32
caso de que exista una causa probable, para exigir la divulgación del contenido almacenado en una
cuenta, en el que se pueden incluir mensajes, fotos, comentarios y datos de ubicación.
Es importante tener en cuenta que parte de la información que almacenamos se recopila
automáticamente, mientras que otra parte la proporciona el usuario. No requerimos una verificación
por teléfono o correo electrónico, y no exigimos que las personas usen sus nombres o identidades reales
en Instagram.

Retención y disponibilidad de los datos

Conservan distintos tipos de información durante diferentes períodos. Dado el volumen de


contenido en tiempo real de Instagram, es posible que solo se almacene cierta información durante un
período breve. No conservan datos para fines de cumplimiento de la ley, a menos que reciban una
solicitud de conservación legalmente válida.

Información que se debe incluir

Todas las solicitudes deben identificar los siguientes puntos:

Nombre de la autoridad que realiza la solicitud, número de identificación/placa del agente


responsable, dirección de correo electrónico correspondiente a un dominio de las fuerzas del orden y
un número de teléfono de contacto directo.
El nombre de usuario de la cuenta de Instagram en cuestión en la fecha en que se vio la cuenta
y detalles sobre la información específica solicitada y la relación que tiene esta con la investigación.
Los nombres de usuario no son estáticos, por lo que no pueden procesar solicitudes que no incluyan la
fecha en que se vio la cuenta y el nombre de usuario. Si tienes acceso a la URL abreviada de una imagen,
puedes acceder al enlace y ver el nombre de usuario en la parte superior derecha junto a la imagen. Si
tienes acceso a la aplicación de Instagram, puedes localizar el nombre de usuario en la parte superior
del perfil de la cuenta.
Solicitudes urgentes

En respuesta a una situación que implique un daño inminente a un menor o el riesgo de muerte
o lesiones físicas graves a cualquier persona, y que requiera la divulgación de información de forma
inmediata, los miembros de las fuerzas del orden pueden presentar una solicitud a través del sistema
de solicitudes por internet para fuerzas del orden en facebook.com/records.

No responden los mensajes enviados por personas que no pertenezcan a las fuerzas del orden.
Los usuarios que tengan constancia de una situación de emergencia deben comunicarse de forma
directa e inmediata con las autoridades locales.

Requisitos para procesos jurídicos internacionales

Solo divulgamos datos de cuentas de nuestros usuarios de acuerdo con nuestras condiciones
del servicio y la legislación aplicable. Para exigir la divulgación del contenido de una cuenta, es posible

33
que se deba presentar un exhorto o una solicitud en virtud del acuerdo de asistencia judicial. Puedes
encontrar más información en nuestra Política de datos.

Conservación de cuentas

Tomaremos medidas para conservar los datos de cuentas en relación con una investigación
penal oficial durante 90 días, tras recibir la notificación formal del proceso jurídico correspondiente.
Puedes presentar solicitudes formales de conservación de forma expeditiva a través del sistema de
solicitudes por internet para fuerzas del orden en facebook.com/records o por correo electrónico, como
se indica a continuación.

Consentimiento del usuario

Si los miembros de las fuerzas del orden buscan información sobre un usuario de Instagram que
les dio su consentimiento para acceder a la información de su cuenta o para obtenerla, se debe indicar
al usuario en cuestión que obtenga esa información por sus propios medios. Para el contenido de la
cuenta, como mensajes, fotos y videos, los usuarios pueden acceder a la función "Descarga tu
información" de Instagram desde la configuración de la cuenta.

Notificación

Nuestra política es notificar a las personas que usan nuestro servicio cuando alguien solicita su
información antes de divulgarla, a menos que lo prohíba la ley o en circunstancias excepcionales, como
casos de explotación infantil, emergencias o cuando una notificación previa podría resultar
contraproducente. Enviaremos la notificación correspondiente con posterioridad, una vez finalizado el
período de confidencialidad especificado en la orden judicial, si creemos de buena fe que ya no existen
circunstancias excepcionales y si no lo prohíbe la ley de ningún otro modo. Los miembros de las fuerzas
del orden que consideren que notificar a la persona en cuestión podría poner en riesgo una investigación
deben presentar la orden judicial correspondiente o seguir el procedimiento adecuado para prohibir la
notificación. Si, debido a la solicitud de datos que realizaste, detectamos que se infringen nuestras
condiciones de uso, tomaremos las medidas necesarias para impedir que se sigan incumpliendo las
normas pertinentes, lo que incluye una posible notificación al usuario infractor.

Testimonios

No ofrecemos testimonios periciales. Además, los datos proporcionados se autentican


automáticamente, por lo que no se requiere el testimonio de un custodio de registros. Si se requiere
algún tipo especial de certificación, adjúntala a tu solicitud.

Reembolso de gastos

Es posible que solicitemos el reembolso de los gastos generados al responder a solicitudes de


información, tal como contempla la ley. Podemos aplicar cargos adicionales por gastos incurridos al
responder a solicitudes inusuales o gravosas. En asuntos relacionados con la investigación de posibles

34
daños a menores, a nosotros o a nuestros usuarios, así como en solicitudes urgentes, podemos
prescindir de la aplicación de estos cargos.

Presentación de solicitudes

Internet: Los miembros de las fuerzas del orden que solicitan datos de cuentas de Instagram
deben enviar sus solicitudes a Facebook, Inc.

Recomiendan que los miembros de las fuerzas del orden usen el sistema de solicitudes por
Internet para fuerzas del orden en facebook.com/records para el envío, seguimiento y procesamiento
de solicitudes. Se necesita una dirección de correo electrónico oficial para acceder al sistema de
solicitudes por internet para fuerzas del orden.
Correo postal:
Attn: Law Enforcement Response Team
Facebook, Inc.
1601 Willow Road
Menlo Park, CA 94025
El tiempo de respuesta será más largo si los miembros de las fuerzas del orden no utilizan el
sistema de solicitudes por internet para fuerzas del orden en facebook.com/records.

Notas
La aceptación del proceso jurídico por cualquiera de estos medios responde a motivos prácticos
y no anula ninguna objeción, incluida la falta de jurisdicción o notificación adecuada.
No responderemos la correspondencia enviada a las direcciones anteriores por personas que
no pertenezcan a las fuerzas del orden.”
Fte: https://www.facebook.com/help/instagram/494561080557017/ (visita el
20/10/18)

Facebook

Imágenes En Facebook las imágenes se llaman Photoprint. Se retienen, es decir se almacena,


todas las imágenes que el usuario haya subido hasta el momento de la petición , excepto las que haya
eliminado. No hay un histórico de todas ellas. También se guarda la información de que imágenes
subieron otros usuarios añadiendo un tag, etiquetándonos, a nuestra cuenta.
Dirección IP´s del usuario Los logs (archivos de texto) de las Ip´s se guardan al menos 90 días,
sujeto a la disponibilidad del sistema.
Mensajes privados No se retiene información histórica sobre ellos. Si el usuario los ha
eliminado, no aparecerán.
Mensajes enviados Se almacena indefinidamente, a no ser que el usuario los elimine
Mensajes eliminados No se retienen si el usuario los elimina a su vez
Password del perfil No se guarda, ni se puede acceder al password, entendiendo que me refiero
a la “palabra” con la que accedía el usuario, para que todos nos entendamos.
ID de Facebook Es único para cada usuario y no se reutiliza. Sólo un ID por usuario y siempre
nuevo Información de grupos Se guarda los ids de los usuarios que pertenecen al grupo en ese
momento. No se guarda un histórico del movimiento del mismo (altas. bajas, etc ).

35
La información que presenta Facebook ante un requerimiento depende de lo que
específicamente la justicia requiera. Facebook ofrece varios niveles de “paquetes de información” sobre
los usuarios.
Ver política en: https://www.facebook.com/safety/groups/law/guidelines/

Cuando Facebook advierte una cuenta de un menor de 13 años, la elimina de inmediato junto
con toda la información asociada. El padre o madre o tutor legal, puede solicitar información de la
cuenta de su hijo antes de que se elimine, para lo cual debe proporcionar una copia de una declaración
certificada en la que consten los derechos como padre o madre o tutor legal junto con tu reporte.
Se realiza a través de un formulario online en

https://www.facebook.com/help/contact/174263416008051?helpref=faq_content Visita el

28/19/18

Whatsapp

Seguridad automática

Cifrado de extremo a extremo de WhatsApp está disponible entre el remitente y las personas a
las que les envías mensajes. Muchas aplicaciones de mensajería únicamente cifran los mensajes entre
remitente y destinatario, pero el cifrado de extremo a extremo de WhatsApp asegura que el remitente
y el receptor puedan leer lo que es enviado, y que nadie; ni siquiera WhatsApp lo puedan hacer. Esto es
porque los mensajes están seguros con un candado y solo emisory el receptor tienen el código/llave
para abrirlo y leer los mensajes. Para mayor protección, cada mensaje que se envia tienen su propio
candado y código único. Todos esto pasa de manera automática; sin necesidad de ajustar o crear chats
secretos especiales para asegurar los mensajes.
Así como los mensajes, las llamadas WhatsApp también están cifradas de extremo a extremo
para que terceros ni WhatsApp las puedan escuchar.
WhatsApp no mantiene un registro de los mensajes en sus servidores una vez que se entregan.
Además, el cifrado de extremo a extremo significa que terceros ni WhatsApp los pueden leer. WhatsApp
Messenger permite intercambiar mensajes (incluyendo chats, grupos de chat, imágenes, vídeos,
mensajes de voz y archivos) y hacer que WhatsApp llama a todo el mundo. mensajes de

WhatsApp, llamadas de voz y video entre un emisor y un receptor que utilizan software de
cliente de
Whatsapp liberado después del 31 de marzo de, el año 2016 son de extremo a extremo
encriptada.
Los archivos que se guardan en Google Drive no están protegidos por el cifrado de extremo a
extremo.
Fte: https://www.whatsapp.com/security/ 28/10/18

Deep Web y Dark Web – TOR (The Onion Router)

36
TOR (The Onion Router)
Clear Web versus Deep Web:

Es probable que alguna vez haya oído hablar de la Web superficial y la Web profunda, pero a
que se refieren estos términos. Lo primero que es importante aclarar, es que la Web superficial y la Web
profunda no se deben al proyecto Tor, ni tiene relación directa con el anonimato.

La Web superficial es el termino con el que se denomina a todo el contenido que cualquiera de
nosotros puede encontrar y acceder como resultado de una búsqueda en un buscador de Internet, como
por ejemplo Google o Bing por mencionar algunos. Es decir que si buscamos la palabra “Delito” en un
motor de búsqueda cualquiera de los contenidos que nos aparezcan como resultado forman parte de
lo que se conoce como web Superficial. Esto no quiere decir que ese contenido es el único contenido
que está publicado y accesible en Internet que tiene alguna relación con la palabra delito, sino que en
realidad hay mucho más. Suele compararse por analogía a la Web superficial como la punta de un
Iceberg y claramente lo es, dado que lo que está en la web superficial es solo una parte del total de
contenido de Internet.

La Web profunda, es todo lo contrario, es todo aquel contenido que nunca encontraremos como
resultado de una búsqueda en un motor de búsqueda de Internet, dado que por diferentes motivos,
quienes lo publican en Internet no quieren que se identifique por esta vía. Al igual que en el caso de la
Web superficial se hacen analogías con el Iceberg, pero esta vez con la porción que permanece
sumergida bajo el agua y que en realidad es la más grande. Esto quiere decir que la mayoría del
contenido de la Web forma parte de la Web profunda, a abril de 2016 hay aproximadamente 1.3 billones
de sitios Web en la Web superficial y se cree que la Web Profunda es unas 500 veces más grande.

Lo motivos por los que un motor de búsqueda puede no mostrar este contenido en los
resultados son varios, pero a continuación mencionare algunos, por ejemplo, todo aquel contenido que
esté detrás de una página Web que requiera que se ingrese un usuario y una clave, nunca aparecerá en
los resultados de un motor de búsqueda, dado que el mismo no podría acceder a relevarlos para luego
poner a disposición como lo hace con el contenido de acceso público. Otro ejemplo de contenido de la
Web Profunda es el contenido dinámico que se genera en algunos sitios Web, dado que su esencia hace
que solo esté disponible en un momento en particular y nada más, no dando tiempo a que los procesos
de relevamiento de los motores de búsqueda puedan identificarlos. Más allá de su particular nombre,
la mayoría de la información de la Deep Web no está asociada a sitios ilegales o información prohibida
y la misma coexiste en el mismo ámbito de la Web Superficial

Por último y no menos importante, una de las razones que conforman la Deep Web, es porque
existe mucha cantidad de contenido, que solo es accesible a través de un sistema específico, es decir
que para poder verlo previamente el usuario debe conectarse a un sistema particular. El contenido que
allí se encuentra se denomina Dark Web.

En 2003 surge lo que hoy se conoce como el “Proyecto Tor”, un servicio online que mediante
un software específico, de código abierto y multi plataforma, permite conectarse a una red de
comunicaciones de baja latencia que brinda anonimato para consumir y publicar contenido en Internet
a quien lo desee.

37
Está basado en un proyecto del laboratorio de investigación naval de los Estados Unidos, entidad
que financio el proyecto hasta que en 2004 paso a manos de la EFF www.eff.org, un organismo que
brega por los derechos de privacidad de los ciudadanos de Internet. En la actualidad y desde el 2005 el
proyecto está en manos de Tor Project, una entidad sin fines de lucro dedicada a la investigación, en la
actualidad cientos de miles de usuarios utilizan alrededor del mundo esta herramienta para acceder a
Internet (https://www.torproject.org). Por supuesto esta no es hoy la única herramienta de este tipo,
existen otras como L2P2, I2P, Freenet, TOX entre otras.
Como funciona TOR
Su funcionamiento no es simple, pero aquí van algunos aspectos relevantes para entender lo
más importante. Partamos de que TOR Project brinda un software denominado TOR Browser, que
cualquiera de nosotros y sin requerir un conocimiento elevado puede descargar e instalar en la mayoría
de las computadoras y los teléfonos inteligentes que hoy son accesibles en el mercado. Esto significa
que en cuestión de algunos minutos tendremos instalado un navegador de Internet (basado en Firefox)
que nos permitirá navegar, consumir y publicar contenidos de manera totalmente anónima. Para que
esto ocurra el software Tor Browser interactúa de manera transparente con un conjunto de elemento
que componen la infraestructura de TOR, estos son el servicio de directorios, el nodo de entrada, el
nodo intermedio y el nodo de salida. Lo primero que el Tor Browser hace una vez que se ejecuta, es
consultar al servicio de directorios de la red Tor.

La red Tor es dinámica y los nodos que la componen (maquinas dedicadas conectadas a Internet
distribuidas alrededor del mundo) cambian por lo que el servicio de directorio es responsable de dibujar
la red Tor y sus componentes en cada momento que un navegador Tor se lo requiera, de esta forma, el
navegador Tor con la topología actual de la red, selecciona un nodo de entrada, un nodo intermedio y
un nodo de salida, y a partir de allí comienza a consumir y publicar contenido siempre a través de estos
nodos, y nunca de forma directa con el destino de la comunicación. En la actualidad la cantidad de nodos
que componen la red TOR es de aproximadamente unos 7000, los cuales vienen manteniendo un
crecimiento constante a medida que pasa el tiempo. Hasta aquí el concepto resulta muy similar al
detallado anteriormente, en donde se utilizaba equipos intermedios para llegar a un destino ocultando
un origen, pero existe una diferencia fundamental, y es que en este caso los nodos se comunican entre
sí cifrando la comunicación de manera tal que cada nodo del camino solo conozca la porción de trafico
de Internet que le corresponda, y nunca, de ningún modo, conozca más. De esta manera técnicamente
no hay forma de rehacer el camino hacia atrás, por lo que el anonimato del origen de la comunicación
está garantizado. A mayor dificultad la red Tor y de forma totalmente automática cambia los nodos cada
10 minutos y nunca utiliza nodos de salida que estén en un mismo país que el resto de los nodos,
asegurando con esta medidas que si alguien tiene la capacidad de “escuchar el tráfico de la red tor”
nunca va a escuchar la “historia completa” sino que solo escuchara una parte de ella.

En resumen, el nodo de salida puede saber dónde va el tráfico que se publica o se consume,
pero no tiene la capacidad de saber de dónde viene. el nodo de entrada, tiene contacto con el cliente y
sabe de dónde viene la conexión, pero no tiene la capacidad de saber hacia dónde va. El nodo
intermedio sabe en el medio de quienes esta, pero no sabe ni de dónde viene el trafico ni adonde esta
va. El único que conoce la “historia completa” es el navegador TOR que esta justamente instalado en el
dispositivo que utiliza quien quiere resguardar el anonimato.

38
El navegador TOR permite que podamos hacer casi cualquier actividad que habitualmente
realizamos en Internet, por ejemplo acceder a redes sociales, realizar transacciones bancarias
electrónicas, consumir videos y música, acceder a noticias, intercambiar archivos, enviar correos
electrónicos, comunicarnos a través de programas de mensajería instantánea y muchas actividades más,
pero esto no es lo único que permita, dado que como mencionamos antes, no solo permite que se
consuma contenido de manera anónima, sino que también permite que se pueda publicar contenido de
manera anónima en Internet. Es decir que además de las actividades que mencionamos antes, si alguno
de nosotros quisiera publicar un sitio Web en línea sin tener que mostrar donde está alojado y a quien
pertenece ese sitio, podría hacerlo utilizando los servicios del proyecto Tor. Para ello deberíamos utilizar
lo que se conoce dentro de la red Tor como un “servicio oculto” el cual nos da la posibilidad de que
tengamos un nombre de dominio en donde poder crear un sitio web y publicar contenido, donde los
dominios no son ni .com. ni .edu, ni .net sino que son .onion y tiene el siguiente aspecto
3g2upl4pq6kufc4m.onion.

A fines de tener una dimensión del uso de TOR a nivel mundial es útil obtener las métricas
oficiales que la propia herramienta brinda a través de su sitio https://metrics.torproject.org, en la
actualidad hay aproximadamente unos 2.000.000 de usuarios conectados de forma diaria, los cuales se
mantienen de forma regular en los últimos tres a cuatro años. Los países donde esta herramienta tiene
mayor cantidad de usuarios son Estados Unidos, Rusia, Alemania, Francia, Reino Unido entre otros.
Argentina tiene aproximadamente unos 25.000 usuarios conectados de forma diaria y esta, junto con
México y Brasil, dentro de los países de Sur y Centro América que más utilizan esta herramienta

© - Prof. Mgtr. Norma Vecchi– Taller de Informática- UCES -


© - Prof. Mgtr. Norma Vecchi– Taller de Informática- UCES -
2017
2017

Tomado del artículo “Desafíos de la investigación de los delitos informáticos en la Deep & Dark
Web” de Ezequiel Salli

Deep
DeepWeb
WebyyDark
DarkWeb
Web––TOR
TOR(The
(TheOnion
OnionRouter))
Router

© - Prof. Mgtr. Norma Vecchi – Taller de Informática - UCES -


© - Prof. Mgtr. Norma Vecchi – Taller de Informática - UCES -
2017
2017

39
Video https://www.youtube.com/watch?v=EPPjjLFRdZ8
Entornos digitales (parte 2) – Ezequiel Sallis - visita 25/5/17

Registro y secuestro de datos realizados a distancia. Acceso remoto:

Conforme vimos, el análisis forense de datos digitales, requiere el secuestro del soporte físico o
la copia forense realizada con acceso directo al soporte físico y la posterior búsqueda de datos que se
realiza en un laboratorio forense.
No obstante, hoy en día existen instrumentos tecnológicos de búsqueda y secuestro de
evidencia digital que permiten obtener importantes pruebas ya sea accediendo a distancia a
información almacenada en diferentes equipos informáticos o capturando información que circula en
Internet, sin necesidad de tener contacto o acceso físico a los elementos de almacenamiento (sin que
ningún funcionario esté presente en el lugar donde se encuentra el soporte físico que almacena los
datos).
Consisten en programas informáticos que subrepticiamente permiten interceptar en tiempo
real y grabar los datos transmitidos o recibidos a través de diferentes medios de comunicación
electrónica (puede incluir tanto datos de contenido como datos de trafico de comunicaciones e, incluso
datos de geolocalización que permitan la ubicación física de un dispositivo, datos de archivos
almacenados).
Así, el Estado puede utilizar programas espías o maliciosos a través de Internet introduciendo
subrepticiamente en el sistema objeto de la medida de investigación el programa que enviará la
información a la autoridad estatal. Pueden, además, obtener las claves de todo tipo que el usuario utiliza
para acceder a documentos, sitios de Internet, lugares de almacenamiento de información en el nube,
servidores de correo electrónico, evitando los inconvenientes al acceso a los datos protegidos por claves
y sistemas de encriptación cada vez más efectivos.
Conforme manifiesta Marcos Salt, las posibilidades de éxito en la obtención de evidencia digital
mediante el acceso a los soportes físicos, en un futuro no tan lejano, se tornen prácticamente nulas
como consecuencia de la tendencia a alojar la información más relevante en servidores externos o la
denominada “nube” con claves de difícil acceso. Por lo que las computadoras, teléfonos celulares u
otros dispositivos que se encuentren durante un allanamiento o requisa personal, no sirvan de nada a
los fines probatorios yq que la información relevante ha sido almacenada en servidores externos.
El mismo autor refiere a dos casos en donde el procedimiento de acceso remoto podría ser de
gran utilidad.
Así en el caso 1 refiere en la investigación sobre lavado de dinero a un sistema informático que
cuenta con complejas medidas de seguridad que incluyen la posibilidad de borrar datos de manera
rápida si se advierte el riesgo de un allanamiento. En este caso es posible técnicamente enviar
remotamente al sistema informático (por ejemplo mediante un email engañoso) un programa
maliciosos que permita obtener los datos buscados sin necesidad de allanar el espacio físico, sin que los
imputados se enteren evitándose no solo el riegos del borrado sino que además al ser una medida
subrepticia permitiría avanzar con otras medidas de investigación de acuerdo con la información que se
obtenga y quizá descubrir otras ramificaciones de la organización.
En el caso Salt plantea si ¿es legítimo que el Estado se valga de la utilización de un programa
malicioso y lleve a cabo maniobras que realizadas por un particular constituirían un acceso ilegitimo a
un sistema informático ajeno punible de acuerdo con el art. 153 del C.P.? por otra parte presenta el
interrogante si se pueden aplicar para la realización de estas medidas de investigación analógicamente
las normas y garantías previstas para el allanamiento.

40
El caso 2 en una investigación sobre una red de distribución de pornografía infantil refiere de
archivos protegidos por un sistema de encriptación que difícilmente pueda ser descifrado y que parte
del material se encontraría alojado en servidores ubicados fuera del domicilio a los que solo se puede
acceder conociendo las claves de acceso correspondientes. También en este supuesto el allanamiento
del domicilio resultaría infructuoso ya que las medidas de seguridad adoptadas impedirían la tarea
forense efectiva aun obteniendo acceso a los soportes físicos en los que la evidencia digital esta
contenida. A través de un programa malicioso (troyano) se podría acceder a los servidores y a las claves
de cifrado, pues permite grabar todas las claves utilizadas por el usuario y mediante un programa espía
se podría registrar las direcciones IP con las que el sistema se comunique. Toda la información podría
ser enviada a una cuenta de email de la fiscalía o del juez. Cuestiona en este caso si la medida ordenada
por un juez podría ser asimilable a la intervención de comunicaciones como para avalar la aplicación
analógica de las normas que la habilitan sin afectar garantías constitucionales.
Desde el ámbito tecnológico dicho autor afirma que para que el programa pueda ser instalado
y comencé a funcionar resulta necesario instalarlo subrepticiamente ya sea por tener acceso al
hardware o bien a través de Internet mediante el envío de un correo electrónico, siendo que el Estado
cuenta con la ventaja de poder utilizar como fuente de envío direcciones electrónicas estatales
existentes (ej. AFIP) pudiendo generar de manera más sencilla el engaño en la persona investigada.
También manifiesta que este tipo de medidas pueden generar problemas jurídicos, ya que un
troyano incorporado a una computadora puede informar y mandar datos incluso si la computadora se
traslada a otra jurisdicción (si el imputado viaja con su computadora a otra provincia o al extranjero)
generaría problemas de territorialidad difíciles de solucionar para el derecho procesal penal actual.
Por otra parte, observa que estas herramientas trabajan de manera semiautomática, o sea sin
la intervención directa del controlador humanos por lo que su búsqueda puede que no se limite a los
datos realmente necesario para la investigación (conforme el objeto procesal y el alcance de la orden
judicial de autorización) obligando a un importante análisis ex post de los elementos de prueba
obtenidos previo a admitir su incorporación al proceso.
Refiere, además que, la cantidad de datos que un programa de estas características puede
copiar y enviar a las autoridades durante una investigación es potencialmente muy grande, ya que
pueden monitorear cualquier actividad del dispositivo, incluso aunque no fuera usado por el imputado
sino por un tercero ajeno a la investigación. Estos programas envían tanto la información relevante
como información que nada tiene que ver con el objeto procesal y que, incluso puede resultar
confidencial protegida por el derecho a la intimidad.
Sopesa que la recolección sencilla y eficiente de datos puede resultar a la larga engorrosa a la
hora de su análisis tanto técnico como jurídico para su posterior utilización en un proceso penal; sin
embargo refiere que los problemas presentados, con el avance de la tecnología se han alcanzado
soluciones técnicas que permiten un uso más acotado pudiendo direccionarlos hacia funciones y
elementos de prueba más específicos como ser correos recibidos o enviados en un periodo de tiempo
acotado o bien limitarlo a archivos de imágenes fotográficas o videos, etc.
Advierte que siendo la estructura de este tipo de programas no difiere de un programa malicioso
tradicional podría ser detectado por antivirus.
El hecho que el imputado no conozca que está siendo investigado tiene una similitud con la
intervención de comunicaciones.
Con respecto a la funcionalidad de este tipo de programas establece:
Búsqueda de información almacenada en soportes informáticos
Grabación y preservación de datos de tráfico cobre las comunicaciones

41
Claves de acceso a servidores remotos o de encriptación de archivos contenidos en el sistema
(cuentas de correo electrónicos, acceso a cuentas bancarias, o redes sociales, etc.)
Grabar información procesada a través de la computadora pero que no queda grabada de
manera permanente en el disco rígido (comunicaciones por voz IP tales como Skype o Google app)
Activar mecanismos de vigilancia como cámaras o micrófonos.
Este tipo de herramientas esta prevista expresamente en el Código Procesal de la Provincia de
Neuquén y en algunos proyectos de reforma del Código Procesal Penal de la Nación que no alcanzaron
sanción legislativa.
Estados Unidos: Un primer antecedente fue la utilización de un Key loggers (graba toda actividad
que se realiza mediante el teclado ya sea por medio de un software o hardware y envia la información
a un tercero, en este caso al FBI) en una investigación penal donde fuera imputado por pertenecer a la
mafia y participar en actividades de juego ilegal. Se utilizó atento que los investigadores tenían
información que los archivos se encontraban encriptados siendo imposible acceder a ellos sin la clave
de desencriptación. En este caso se realizó mediante un hardware entre la computadora y el teclado y
no mediante un programa malicioso enviado vía Internet.
En el año 2001 fue ampliamente discutido el caso del denominado proyecto “Linterna mágica”
del FBI. Consistía en un programa espía para investigaciones en Internet que permitía grabar todo lo
que marca u usuario en los teclados de computadora. El programa podía ser instalado subrepticiamente
y a distancia mediante Internet.
En el año 2007 se utilizó la herramienta denominada “CIPAV” que permite el rastreo de
comunicaciones que utilizan mecanismos diseñados para permitir el anonimato. De acuerdo a lo
informado por el FBI este programa en ningún caso implicaría el acceso al contenido de las
comunicaciones por lo que fue aceptado jurisprudencialmente ya que la expectativa de privacidad de
estos datos es menor.
En Estados Unidos, un juez de una jurisdicción en la que ocurrió un delito que está bajo su
jurisdicción podría dictar una orden de acceso remoto que alcanzaría a sistemas informáticos en otras
jurisdicciones en caso de:
No se conozca el lugar en el que la información esta alojada por la utilización de un
software especial que permite la utilización de Internet de manera anónima.
Cuando el ataque a sistemas informáticos afecte a computadoras ubicadas
geográficamente en cinco o mas distritos.
El Proyecto de Reforma del Código Procesal Penal de la Nación Argentina establece:
Art. 175 novies: escucha y grabación en forma no ostensible de conversaciones privadas del
imputado que tengan lugar fuera del domicilio de cualquiera de los interlocutores.

Art. 175 decies: Acceso no ostensible al contenido de las comunicaciones del imputado a través de
la intervención de las terminales o de los medios de comunicación que utiliza habitual y ocasionalmente.
Las empresas que brinden el servicio de comunicación deberán posibilitar el cumplimiento
inmediato de la diligencia bajo apercibimiento de incurrir en responsabilidad penal.

Art. 175 undeceis: Vigilancia remota sobre equipos informáticos. Utilizaciones no ostensibles de un
software que permite o facilite el acceso remoto al contenido de ordenadores, dispositivos electrónicos,

42
sistemas informáticos, bases de datos o instrumentos de almacenamiento masivo de datos informáticos. El
fiscal deberá precisar los datos o archivos informáticos que se procura obtener con la medida y la forma
qne la que se procederá a su acceso y captación; la identificación el software mediante el cual se ejecutará,
individualización de los ordenadores o dispositivos electrónicos, sistemas informáticos, bases de datos o
instrumentos de almacenamiento masivo de datos informáticos y duración estimada de la medida.

Links a videos vistos en clase:


Dcho. de la Nuevas Tecnologías
Marco Salt
Publicado el 29 sept. 2016
Jornada de cibercrimen, 12 de julio 2016, La Plata
https://www.youtube.com/watch?v=R7bRDVZ8pjQ visita 25/5/17

Marco Salt
https://www.youtube.com/watch?v=7xzbi9DHT9M TEDx visita 25/5/17

Daniela Dupuy
Publicado el 29 sept. 2016
Jornada de cibercrimen, 12 de julio 2016, La Plata
http://youtube.com/watch?v=wAfyDMeunJI grooming y pornografía infantil en la red. - Daniela
Dupuy
visita 25/5/17

Ezequiel Sallis
Publicado el 29 sept. 2016
Jornada de cibercrimen, 12 de julio 2016, La Plata

"Utilización de la tecnología en la investigación de delitos en Entornos Digitales"


https://www.youtube.com/watch?v=Ag9B8tzosdI entornos digitales (parte 1) – Ezequiel Sallis visita
25/5/17 https://www.youtube.com/watch?v=EPPjjLFRdZ8 Entornos Digitales (parte 2) – Ezequiel
Sallis visita 25/5/17

43
Sweetie la niña virtual creada para cazar abusadores de niños

http://youtube.com/watch?v=5kDnz66gUBI Visita 25/5/17

44

También podría gustarte