Informática forense 2022
Informática forense 2022
Informática forense 2022
INFORMÁTICA FORENSE
1
UNIDAD 10: INFORMÁTICA FORENSE. La Prueba digital Informática Forense.
Concepto Incorporación en los Códigos de Forma. Análisis en escena y en laboratorio.
Informática Forense:
Uno de los propósitos de la Informática Forense consiste en determinar los responsables de los
delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular para
asegurarse que no vuelva a repetirse, por lo tanto, puede aplicarse tanto en los casos llevados a juicio como
en investigaciones particulares solicitadas por empresas u organismos privados. Por lo que se puede decir
que:
2.- Cada caso específico debe ser analizado como si fuera a juicio, de esta
manera cualquier investigación en Informática Forense puede soportar un escrutinio
legal.
2
Evidencia Digital:
De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence “la
evidencia digital, es un término utilizado de manera amplia para describir "cualquier
registro generado por o almacenado en un sistema computacional que puede ser utilizado
como evidencia en un proceso legal".
Registros almacenados en el equipo de tecnología informática (correos
electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
Derecho de Fondo:
Las partes pueden convenir una forma más exigente que la impuesta por la ley.
3
ARTÍCULO 285.- Forma impuesta. El acto que no se otorga en la forma exigida por la ley no queda
concluido como tal mientras no se haya otorgado el instrumento previsto, pero vale como acto en el que las
partes se han obligado a cumplir con la expresada formalidad, excepto que ella se exija bajo sanción de
nulidad.
ARTÍCULO 286.- Expresión escrita. La expresión escrita puede tener lugar por instrumentos
públicos, o por instrumentos particulares firmados o no firmados, excepto en los casos en que determinada
instrumentación sea impuesta. Puede hacerse constar en cualquier soporte, siempre que su contenido sea
representado con texto inteligible, aunque su lectura exija medios técnicos.
a. en cuanto a que se ha realizado el acto, la fecha, el lugar y los hechos que el oficial público
enuncia como cumplidos por él o ante él hasta que sea declarado falso en juicio civil o criminal;
b. en cuanto al contenido de las declaraciones sobre convenciones, disposiciones, pagos,
reconocimientos y enunciaciones de hechos directamente relacionados con el objeto principal del acto
instrumentado, hasta que se produzca prueba en contrario.
ARTÍCULO 319.- Valor probatorio. El valor probatorio de los instrumentos particulares debe ser
apreciado por el juez ponderando, entre otras pautas, la congruencia entre lo sucedido y narrado, la precisión
y claridad técnica del texto, los usos y prácticas del tráfico, las relaciones precedentes y la confiabilidad de
los soportes utilizados y de los procedimientos técnicos que se apliquen.
ARTÍCULO 288.- Firma. La firma prueba la autoría de la declaración de voluntad expresada en el texto
al cual corresponde. Debe consistir en el nombre del firmante o en un signo.
En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona
queda satisfecho si se utiliza una firma digital, que asegure indubitablemente la autoría e integridad del
instrumento.
Los terceros no pueden valerse de la correspondencia sin asentimiento del destinatario, y del
remitente si es confidencial.
Códigos de Forma:
La prueba digital:
En materia civil, nuestro CPCCLRyM establece, en su art. 382.1 que son medios de prueba los
documentos, la declaración de parte, la de testigos, el dictamen pericial, el examen judicial y las
4
reproducciones de hechos y en el art. 382.2. especifica que también podrán utilizarse otros medios
probatorios aplicando analógicamente las normas que disciplinan a los expresamente previstos por la ley.
Por su parte, en materia penal, el CPP provincial, establece el principio de libertad probatoria en su
art. 188.
Las acciones de salvaguarda constituyen actividades de resguardo o custodia que asume el particular
frente a la necesidad de tutelar sus bienes (materiales o inmateriales). Esa actividad se encauza mediante el
derecho a la seguridad o tranquilidad. Derecho que -como vimos- tiene por principal sujeto obligado al Estado
pero que no alcanza a excluir la actividad de los particulares frente al propio resguardo, que encuentra su
límite en la ley. De esta manera las actividades de salvaguardia desarrolladas no pueden interferir con
derechos de terceros de manera ilegítima. En esta perspectiva tales actividades pueden ser catalogadas como
de prevención o de investigación. El límite entre prevención e investigación no es preciso. Tal imprecisión se
advierte ante la posibilidad del sujeto de desarrollar actividades antes del inicio del proceso penal con el fin
de servir de prueba durante el desarrollo del mismo (incluso puede suceder que la actividad resulte paralela
al desarrollo del proceso).
Se ha señalado que las disposiciones del Código Procesal Penal Nacional no regulan los actos de los
particulares dirigidos a la obtención de medios de prueba para ser ofrecidos posteriormente en el proceso
penal. Ello no implica que la actividad de los particulares resulte ilimitada. Mientras concurren al proceso, la
actividad de las personas se reconduce por las instituciones reguladas en el mismo, debiendo sujetarse a las
disposiciones que establece, teniendo facultad de proposición y contralor de las medidas de prueba,
aportando las que posea e incluso actuando como órgano de prueba, pero no poseen facultad legal de
efectuar medidas asegurativas por propia iniciativa; pues conforme la ley procesal la autorización para la
ejecución de actividades coercitivas recae sobre el magistrado (o en el agente fiscal cuando así está previsto).
En ese sentido las acciones de salvaguarda no pueden consistir en acciones ilícitas. Es decir que un
individuo no puede interceptar correspondencia electrónica o comunicaciones, ni introducirse en la vivienda
de otro sin su autorización, como tampoco puede acceder por medios informáticos a aquellos ámbitos que
le están vedado por su titular por no estar destinado a su conocimiento. Cualquiera de estas actividades
constituye además de una accionar ilegítimo un avasallamiento de bienes jurídico encontrando su encuadre
normativo en las disposiciones del Código Penal. Desde esta perspectiva las acciones dirigidas a obtener
elementos de prueba (prueba documental) efectuadas empleando esta modalidad coercitiva no sólo invalida
el hallazgo, sino que resulta delictiva.
Cabe preguntase pues sobre qué pueden hacer los particulares que preocupa tanto a la doctrina y
divide a la jurisprudencia. Descartadas las actividades ilícitas queda remanente un conjunto de acciones por
parte de los particulares englobadas por lo general bajo la denominación de “grabaciones subrepticias” y
consisten en la toma de audio e imagen -en conjunto o independiente- de las acciones de un individuo para
llevarlas posteriormente al proceso. Ahora bien, negada la posibilidad de efectuar a los particulares medidas
de coerción, la actividad a desarrollarse para no caer en el campo de la ilicitud penal, debe consistir en
comunicaciones donde el aportante sea parte del proceso comunicacional, es decir el receptor de la
comunicación telefónica, el destinatario de la correspondencia, o sujeto presencial en la comunicación. De
esta manera el ámbito de lo subrepticio se ve drásticamente reducido pero no eliminado. Entonces podemos
5
plantearnos sobre qué es lo subrepticio que interfiere con la intimidad y privacidad de los terceros en el
proceso de obtención de prueba que no resulta delictivo (y que por añadidura importe descartar la
documental obtenida). El carácter subrepticio de una acción surge cuando ella se realiza de manera oculta,
secreta o encubierta, de modo tal que no es conocida por quien ejecuta la acción que está siendo
documentada. En este caso, la actividad desplegada por los particulares, sin que sea delictiva, puede interferir
o no en la esfera de reserva de otra persona. El baremo diferenciador en este último binomio señalado lo
encuentro en el “carácter de espectador consentido por quien realiza la acción receptada subrepticiamente”.
Los posibles escenarios en los que puede situarse a dicho espectador son múltiples. Pero situémonos
en el punto de vista de quien exterioriza la acción, respecto de quien la intimidad o privacidad será puesta
en crisis por las acciones del espectador y descartemos aquellas situaciones en las que el sujeto se mueve en
un ámbito público, esfera en la cual no habría (en principio) interferencia con lo privado. Dentro de los
posibles contextos donde se desarrollarían acciones privadas, aquí vimos las comunicaciones telefónicas, las
manifestaciones por vía correo, las desarrolladas en el interior de la vivienda o propiedad. Pero podemos
agregar otras situaciones como las reuniones que se desarrollan en una oficina alquilada, las conversaciones
privadas mantenidas vía chat en las redes sociales, nuestros datos sensibles que suministramos al
registrarnos en determinado sitio con el objeto de acceder al mismo pero solo para información del
administrador, entre otros contextos marcan la multiplicidad y proliferación de situaciones fácticas (dentro
y fuera de la red) donde nuestra intimidad puede ser afectada sin nuestro consentimiento. Entonces
podemos cuestionarnos sobre el punto donde cede nuestra intimidad frente a los demás en esos ámbitos.
En otros términos, si nuestras acciones trasuntan un proceso de comunicación (corporal o verbal, gestual o
discursiva) el caso pasa por cuando se interfiere arbitrariamente sobre el mismo desarrollado en la intimidad.
6
(de ser el caso) prestar declaración en el proceso. Entonces la voluntad de reserva ya no es guarecida con la
misma intensidad. Si el individuo graba una lesión en el proceso de interrelación no se inmiscuye en el ámbito
de reserva, ejecuta una acción de salvaguarda de sus intereses con el objeto de evitar una lesión o hacerla
cesar en pos del mantenimiento del derecho a la tranquilidad. El consentimiento surge de la aceptación
voluntaria de interrelación con quien efectúa la acción de resguardo o de quien en cuyo nombre actúa; de
quien no puede pedirse que devele su accionar por el incremento en el riesgo que importa ya de por sí su
posición, lo que anularía su derecho a la seguridad en favor de una intimidad desbordada. Así quien no
participa activa o pasivamente del proceso comunicacional (actuando o solo presenciando el mismo) para el
grabado resultará un tercero quien no puede interferir, en el modo visto en este punto, legítimamente en la
intimidad de la comunicación. El consentimiento, dado el carácter subrepticio de la acción de salvaguarda,
solo abarca al acto presencial. No reducido a la presencia meramente física dado que el mismo puede
desarrollarse por otros medios. Consecuentemente toda grabación subrepticia efectuada fuera de ese
ámbito de interrelación, ya sea porque se dejó un dispositivo activado en la vivienda luego del retiro de quien
concreta la grabación, ya sea porque se adoptó mediante elementos tecnológicos desde la oficina contigua
a la sala de reunión en la que no debía estar presente, ya fuere porque se captó la comunicación presencial
de otros con la intención de conocer su contenido deliberadamente, etc., carece de valor por interferir en un
ámbito de intimidad sobre el cual no se está llamado a participar.
La determinación de un estándar tempo especial a partir del cual una acción de salvaguarda resulta
legitima ante el derecho a la intimidad y privacidad no se sujeta a las variaciones tecnológicas. El momento
en el que surge la posibilidad de efectuar la grabación subrepticia difiere según el ámbito o el contexto en el
que se desarrolla. Así para determinar si hubo un accionar legítimo por quien efectúa la grabación debemos
situarnos antes del inicio de la misma y analizar la trama que dio origen al accionar de auto tutela.
Fte: Los avances tecnológicos y la prueba en el proceso penal frente al derecho a la intimidad, José
Luis Agüero Iturbe, El Dial.com
Cadena de custodia:
Es “el procedimiento de control documentado que se aplica a la evidencia física, para garantizar y
demostrar la identidad, integridad, preservación, seguridad, almacenamiento, continuidad y registro de la
misma”.
Por las características de la evidencia digital (volatibilidad, eliminación, sobre escritura, perdida de
datos, etc.) la preservación de la cadena de custodia se convierte en un punto crítico en cuanto a la validez
de la prueba informática.
7
de la evidencia, sino que lo esencial es garantizar su "identidad fenomenológica" para ser
presentada en el juicio oral. La utilización correcta de la cadena de custodia y el cumplimiento de
sus procedimientos es una garantía para el derecho de defensa, así como una obligación de la parte
acusadora” ¿Hackeo con orden judicial?: Buscando el modo de sostener la facultad estatal de
monitorear comunicaciones en el nuevo contexto tecnológico- Blanco, Hernán
Ahora bien, sin perjuicio de la poca (o nula) importancia brindada al tema en cuestión, la
cadena de custodia de los elementos hallados en el marco de procedimientos penales resulta
fundamental para que el proceso penal pueda ser llevado con total transparencia y con resultados
efectivos.
8
de copias o reproducciones de las cosas secuestradas cuando éstas puedan desaparecer, alterarse, sean de
difícil custodia o convenga así a la instrucción.
Las cosas secuestradas serán aseguradas con el sello del Tribunal y con la firma del Juez y Secretario,
debiéndose firmar los documentos en cada una de sus hojas.
Si fuere necesario remover los sellos, se verificará previamente su identidad e integridad.
Concluido el acto, aquéllos serán repuestos y de todo se dejará constancia.”
A) una hoja de ruta, en donde se anotan los datos principales sobre descripción de la evidencia,
fechas, horas, identificación del encargado de custodia, identificaciones, cargo, y firmas de quien recibe y
quien entrega.
C) Etiquetas con la misma información de los rótulos que van atadas con cuerda al paquete de
la prueba que corresponda.
D) Libros de registros de entradas y salidas, o cualquier otro sistema informático que se deben
llevar en los laboratorios.
El Código Procesal Penal provincial, establece en su art. 211, que el Juez podrá ordenar, mediante
auto fundado, la intervención de comunicaciones telefónicas o cualquier otro medio de comunicación del
imputado, para impedirlas o conocerlas.
Datos de abonado: Es la información que posee una ISP relacionada con los abonados de sus
servidores (identificación, dirección, n° de teléfono, datos de facturación, pago, lugar donde están los
equipos).
Datos de tráfico: Es la información sobre el circuito de una comunicación realizada por medio de un
sistema informático: origen, destino, ruta, hora, duración y fecha de la comunicación.
Datos de contenido: Son los que permiten determinar la información intercambiada por las partes
que intervinieron en la comunicación (por ejemplo el contenido de una conversación de voz por IP, el
contenido de un correo electrónico, un mensaje privado de twitter o FB, etc.)
9
En este sentido, la ley 25.873, que fuera conocida como ley espía, y modificatoria de la ley Nacional
de Telecomunicaciones, ley 19.798 establecía que:
Art. 45 Bis.- Todo prestador de servicios de telecomunicaciones deberá disponer de los recursos
humanos y tecnológicos necesarios para la captación y derivación de las comunicaciones que transmiten,
para su observación remota a requerimiento del Poder Judicial o el Ministerio Público de conformidad con
la legislación vigente. Los prestadores de servicios de telecomunicaciones deberán soportar los costos
derivados de dicha obligación y dar inmediato cumplimiento a la misma a toda hora y todos los días del año.
El Poder Ejecutivo nacional reglamentará las condiciones técnicas y de seguridad que deberán
cumplir los prestadores de servicios de telecomunicaciones con relación a la captación y derivación de las
comunicaciones para su observación remota por parte del Poder Judicial o el Ministerio Público.
Art. 45 Ter.- Los prestadores de servicios de telecomunicaciones deberán registrar y sistematizar los
datos filiatorios y domiciliarios de sus usuarios y clientes y los registros de tráfico de comunicaciones
cursadas por los mismos para su consulta sin cargo por parte del Poder Judicial o el Ministerio Público de
conformidad con la legislación vigente. La información referida en el presente deberá ser conservada por los
prestadores de servicios de telecomunicaciones por el plazo de diez años.
Art. 45 Quater.- El Estado nacional asume la reponsabilidad por los eventuales daños y perjuicios
que pudieran derivar para terceros, de la observación remota de las comunicaciones y de la utilización de
la información de los datos filiatorios y domiciliarios y tráfico de comunicaciones de clientes y usuarios,
provista por los prestadores de servicios de telecomunicaciones.
Pero, posteriormente, en el año 2005, por Decreto 357 se suspendió la aplicación del decreto
1563/2004 Reglamentario de la ley de de Regulación del Servicio de Comunicaciones.
H. 270. XLII. – “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley
16.986.” – CSJN – 24/02/2009
El Estado Nacional sostuvo que la vía del amparo no resultaba apta para debatir el planteo
del actor. Afirmó, además, que la cuestión se había tornado abstracta en virtud del dictado del
10
decreto 357/05, que suspendió la aplicación del decreto 1563/04, toda vez que con ello se disipó la
posibilidad de que exista un daño actual o inminente para el actor, o para cualquier usuario del
sistema.
Este Tribunal ha subraya do que sólo la ley puede justificar la intromisión en la vida privada
de una persona, siempre que medie un interés superior en resguardo de la libertad de los otros, la
defensa de la sociedad, las buenas costumbres o la persecución del crimen (Fallos: 306:1892;
316:703, entre otros). Es en este marco constitucional que debe comprenderse, en el orden del
proceso penal federal, la utilización del registro de comunicaciones telefónicas a los fines de la
investigación penal que requiere ser emitida por un juez competente mediante auto fundado (confr.
art. 236, segunda parte, del Código Procesal Penal de la Nación, según el texto establecido por la ley
25.760), de manera que el común de los habitantes está sometido a restricciones en esta esfera
semejantes a las que existen respecto a la intervención sobre el contenido de las comunicaciones
escritas o telefónicas. Esta norma concuerda con el artículo 18 de la ley 19.798 que establece que
"la correspondencia de telecomunicaciones es inviolable. Su interceptación sólo procederá a
requerimiento de juez competente".-
Cabe recordar que en el precedente de Fallos: 318: 1894 (en el voto de los jueces Fayt,
Petracchi y Boggiano) se afirmó que, para restringir válidamente la inviolabilidad de la
correspondencia, supuesto que cabe evidentemente extender al presente, se requiere:
a) que haya sido dictada una ley que determine los "casos" y los "justificativos" en que
podrá procederse a tomar conocimiento del contenido de dicha correspondencia;
b) que la ley esté fundada en la existencia de un sustancial o importante objetivo del
Estado, desvinculado de la supresión de la inviolabilidad de la correspondencia epistolar y de la
libertad de expresión;
c) que la aludida restricción resulte un medio compatible con el fin legítimo propuesto;
y
d) que dicho medio no sea más extenso que lo indispensable para el aludido logro. A su
vez, fines y medios deberán sopesarse con arreglo a la interferencia que pudiesen producir en otros
intereses concurrentes.-
Tal como ha sido apreciado por los magistrados de los tribunales intervinientes en las
instancias anteriores, es evidente que lo que las normas cuestionadas han establecido no es otra
cosa que una restricción que afecta una de las facetas del ámbito de la autonomía individual que
11
constituye el derecho a la intimidad, por cuanto sus previsiones no distinguen ni precisan de modo
suficiente las oportunidades ni las situaciones en las que operarán las interceptaciones, toda vez
que no especifican el tratamiento del tráfico de información de Internet en cuyo contexto es
indiscutible que los datos de navegación anudan a los contenidos.-
Se añade, a ello, la circunstancia de que las normas tampoco prevén un sistema específico
para la protección de las comunicaciones en relación con la acumulación y tratamiento
automatizado de los datos personales.-
En suma, como atinadamente ha sido juzgado en autos, resulta inadmisible que las
restricciones autorizadas por la ley estén desprovistas del imprescindible grado de determinación
que excluya la posibilidad de que su ejecución concreta por agentes de la Administración quede en
manos de la más libre discreción de estos últimos, afirmación que adquiere primordial relevancia si
se advierte que desde 1992 es la Dirección de Observaciones Judiciales de la SIDE, que actúa bajo la
órbita del poder político, la que debe cumplir con los requerimientos que formule el Poder Judicial
en orden a la interceptación de comunicaciones telefónicas u otros medios de transmisión que se
efectúen por esos circuitos.-
“Mas allá de la importancia que este fallo posee al haber traído a nuestro Derecho el tema
de la acción de clase, entendemos que la Justicia ha dado un mensaje muy claro a los gobernantes
acerca de cuáles son los límites que deben respetar en relación a los derechos de los ciudadanos.
Nuestra región íntima nos pertenece, y salvo muy contadas excepciones establecidas por ley y
ejecutadas por el poder correspondiente, debe ser respetada de manera inflexible.”
12
Pueden distinguirse dos clases de investigación en la informática forense: a) Análisis Forense:
consistente en la búsqueda de información específica, a la vista, oculta o eliminada (residual) y también el
análisis de tiempos y actividades y b) el Descubrimiento Electrónico (e-discovery), que se dedica a la
obtención de grandes volúmenes de información general para su posterior procesamiento y análisis o su
procesamiento y selección en tiempo real.
Quizás el mayor desafío que presentan los conflictos que tienen su origen en la informática, para ser
atendidos y entendidos en el ámbito jurídico sean el desconocimiento, la incomprensión del lenguaje y la
obvia desconfianza que estos extremos despiertan en los operadores del Derecho. En cualquier equipo
informático habrá datos que pueden ser obtenidos con herramientas comunes (p.ej Windows Explorer) pero
también datos adicionales, tales como los archivos borrados, renombrados, ocultos y otros, que sólo se
pueden obtener con herramientas de informática forense. Esta conjunción de datos visibles y ocultos se ha
presentado como una suerte de "iceberg".
El análisis forense de la evidencia informática nos permite lograr resultados de distinta naturaleza.
Con los datos visibles podemos capturar documentos, correos electrónicos, fotos digitales, listados y logs.
Con los "metadatos"podemos conocer los usuarios del sistema y sus claves, la actividad que se
desarrolló en el sistema operativo, las líneas de tiempo, la actividad en Internet, la ubicación geográfica de
una computadora, el uso del webmail, las impresiones realizadas, los medios removibles conectados
(disquetes, discos compactos, pendrive, etc), las fotos digitales y su relación con cámaras.
La evidencia puede encontrarse tanto en los "medios de almacenamiento" (disquetes, disco rígido,
CD/DVD, pendrive, compact Flash/ Memory stick, cinta magnética, cinta DAT, PC Card, minidisk, smart Card,
etc), así como en los "dispositivos de almacenamiento" tales como las computadoras personales, los
servidores, las computadoras portátiles, las manuales (PDA/Palm), los teléfonos celulares, los contestadores
electrónicos, los identificadores de llamadas, faxes con memoria, impresoras, escáners con memoria,
cámaras y filmadoras digitales, consolas de videojuegos, rastreadores digitales (GPS), dispositivos de acceso
biométricos, etc.
El proceso de almacenamiento y borrado, el acceso a Internet, la ejecución de
impresiones e incluso el sistema operativo de la computadora son fuente de "metadatos".
Como dijimos, es frecuente que se recurra a un escribano para constatar datos, pantallas, u otros
objetos encontrados en un equipo informático, con la idea de que posteriormente esa evidencia sirva como
prueba, o lo que hemos denominado etapa de adquisición de la evidencia. Los expertos aconsejan, como
complemento, el informe de un perito en informática forense, y el acta notarial puede incluir un acta técnica
o informe del experto presente en el acto de constatación, contenga los siguientes datos: datos filiatorios del
investigador, identificación de los medios magnéticos examinados, identificación de la plataforma empleada
para la obtención de la evidencia (hardware y software), explicación sucinta del procedimiento técnico
realizado, nombre del archivo de destino, algoritmo de autenticación y resultado (hash). Si se tratara de un
disco rígido extraído de una computadora, es necesario que quede constancia de los valores "rtc" y la
comparación con el tiempo real.
Aclaramos que "rtc" (del inglés, real-time clock, RTC), o "reloj en tiempo real" es un reloj de un
ordenador, incluido en un circuito integrado, que mantiene la hora actual. Aunque el término normalmente
se refiere a dispositivos en ordenadores personales, servidores y sistemas embebidos, los RTCs están
presentes en la mayoría de los aparatos electrónicos que necesitan guardar el tiempo exacto.
También es frecuente que se impriman las pantallas de una computadora, o los correos electrónicos
y que un escribano autentique estos documentos, pero omita obtener evidencia del sitio web, o del servidor
de correo de donde se obtuvieron.
En supuestos como éste, la intervención de un experto, como señalamos previamente, es
fundamental para otorgar calidad probatoria a la evidencia que se recolecte.
13
En la etapa siguiente, de conservación de la evidencia, una adecuada cadena de custodia debe incluir
el nombre de la persona y la fecha de contacto con la evidencia, el registro del pasaje de una persona a otra,
así como el registro del pasaje de una ubicación física a otra, las tareas realizadas durante la posesión del o
de los objetos y el sellado de la evidencia al finalizar la posesión. También deben registrarse testigos de este
procedimiento, fotografías de la evidencia en las tareas realizadas, así como el "log" de actividades durante
la posesión.
Existen varios procedimientos para obtener archivos de evidencia informática y resguardar un medio
magnético, tales como a) hacer una copia forense; b) hacer un clonado forense y c) aportar el disco original.
Un archivo de evidencia debe realizar una copia "bit a bit" del disco, lo que incluye también los
metadatos del sistema operativo, el espacio utilizado y el no utilizado, o sea que no se limita a los datos
visibles sino a la totalidad del contenido, independientemente del espacio utilizado.
Para crear el archivo de evidencia, se debe emplear una tecnología forense que permita cubrir
determinados requerimientos mínimos, tales obtener como una imagen "cruda" (formato raw) sin alterar el
original, el acceso a discos rígidos de cualquier tecnología, la posibilidad de verificar la integridad del archivo,
todo lo cual debe estar documentado y crear un "log" de errores.
La autenticación de la evidencia informática se logra utilizando un algoritmo de hash que se aplica al
contenido de la evidencia, fundamentalmente los más utilizados son el MD5 (128 bits) y el SHA-1(160 bits).
Los modos de adquisición del archivo de evidencia pueden dividirse de acuerdo al lugar en que se
adquieren (laboratorio o campo) o el método empleado (adquisición directa o indirecta).
Para elegir el modo de adquisición hay que tener en cuenta el lugar, la posibilidad y riesgo de apertura
del CPU, el tiempo disponible, el espacio de almacenamiento (con que cuenta el investigador).
Si la adquisición se lleva a cabo en el campo debe verificarse la secuencia de arranque, registrar la
fecha y hora RTC.
Cuando se va a adquirir la evidencia directamente del equipo se recomienda utilizar un bloqueador
de escritura (write blocker), que es un dispositivo de Hardware o Software para bloquear el acceso de
escritura al medio bajo análisis, garantizando la integridad de los datos durante el acto de adquisición.
Si se va a hacer un "clonado" de la evidencia, existen Duplicadores Forenses por Hardware.
En la adquisición por método directo, los pasos a seguir son: a) extraer el disco de la PC de origen; b)
montar dicho disco en la CPU del investigador; c) adquirir la imagen y d) reinstalar el disco en la PC de origen.
Cuando la adquisición es por método indirecto, se debe: a) conectar el equipo a investigar con el
Investigado; b) adquirir la imagen "a través del cable".
Existen varios formatos de archivo de evidencia: a) Formato Abierto "dd", que es el formato universal
de Linux/Unix; y los formatos comerciales: Expert Withness (ASR, Encase Forensic), FTK, Safeback, que son
formatos aceptados en numerosos tribunales del mundo, con funcionalidades adicionales.
También es posible la adquisición de evidencia en red, tanto en la modalidad de respuesta a
incidentes inmediata, como de servidores en producción, o de de imágenes de cualquier nodo e incluso la
adquisición en modo invisible.
En la etapa de obtención y de Análisis Forense se realizan búsquedas por tipo de archivos, por
contenidos, archivos ocultados. ¿Se efectúan análisis de logs, para saber Qué?; Quién?; Cuándo? Se llevan
a cabo exploraciones de áreas especiales en sistemas Windows, tales como archivos de intercambio, espacio
no utilizado, espacio descuidado (slack space).-
Independientemente de las herramientas empleadas, se trata de buscar suficiente evidencia para
sostener un caso, lo que usualmente incluye: obtención de elementos eliminados (particiones, carpetas y
archivos); búsquedas simples y complejas de palabras claves (en todas las áreas); de acceso a archivos
protegidos; análisis de signaturas (firmas) y hashes; actividades en Windows (archivos abiertos, apps
14
ejecutadas, impresiones); actividades en Internet (sitios visitados, actividades realizadas);intercambio de
correos (clientes, servidores y web mail).
Es fundamental no alterar el objeto de estudio, lo que puede ocurrir cuando se apaga y prende el
equipo antes de que intervenga el experto.
Para realizar una búsqueda de archivos que sirvan como evidencia es conveniente tener en cuenta
las características del sistema de archivos, ya que los sistemas de archivos muestran la estructura con la que
se organiza un volumen.
Cada Sistema operativo tiene sus propios sistemas de archivos.
Un sistema de archivos cumple las siguientes funciones de registro: a) registra el nombre de un
archivo o directorio; b) registra el punto donde el archivo comienza; c) registra la longitud del archivo; d)
registra la metadata del archivo (permisos, fechas, etc.); e) registra los bloques que el archivo utiliza; f)
registra los bloques que están siendo utilizados y los disponibles.
Para la recuperación de datos el investigador debe analizar las unidades de disco y determinar que
los mismos estén asignados a particiones de la unidad. En caso contrario debería realizar una recuperación y
montar las eventuales particiones eliminadas, recuperar los archivos eliminados, realizar una búsqueda de
posibles carpetas eliminadas.
El análisis de Hash permite restringir el objeto de estudio y el Investigador forense puede utilizar hash
sets públicos (NIST), privados (LE) o propios.
Este análisis de índices le permite también identificar unívocamente archivos "notables", y el
investigador realizará análisis de hashes y eventualmente creará sus propios hash sets. La "Papelera de
Reciclaje" de Windows es una fuente valiosa de información, ya que archivos que se creen eliminados se
encuentran allí. Estos archivos tienen la forma "Dxnn.ext" donde: la "D" significa "Deleted" (borrado); la "X"
indica la letra de unidad original; "Nn" es un numero secuencial comenzando desde 0 y "ext" informa la
extensión original. Por ejemplo: Un archivo imagen.jpg eliminado del disco C puede aparecer como: DC7.jpg.
La fecha y hora del archivo corresponden a su eliminación y la carpeta al usuario.
Los Archivos LNK representan enlaces a programas y archivos abiertos que permiten determinar
programas ejecutados y archivos abiertos, la existencia de medios removibles, fecha y hora de la ejecución,
el número de serie de la unidad (importante para medios removibles) y la ubicación del LNK (importante para
probar posesión).-
La esteganografia es una práctica que permite el ocultamiento de archivos de texto dentro de
archivos más complejos.
Otra faceta de la investigación informática forense es el análisis de los sitios visitados en Internet y
su correlación temporal con la investigación, que incluye la evaluación de las eventuales actividades.
Este análisis se realiza sobre las carpetas y archivos del espacio conocido como caché de Internet, el
cual es creado y mantenido por los navegadores de Internet (Internet Explorer, Firefox, Opera, Safari). El
navegador de Internet almacena los siguientes campos de un sitio visitado en el archivo Index.dat: a) URL; b)
Type: Browsed o Redirected; c) Modified Time (última vez que el sitio fue modificado); d) Access Time
(cuando fue accedido).
La investigación del correo electrónico puede ser de varias modalidades: a) estática (análisis del
contenido de un correo electrónico (cuerpo y adjuntos) sobre las bandejas de correo; b) Análisis de
depurados; c) análisis de intercambio.
Las búsquedas estáticas pueden ser simples o complejas, indexadas sobre contenido. Se realiza sobre
clientes locales, Web mail o servidores corporativos.
La Investigación dinámica comprende la investigación del origen geográfico y el análisis de logs de
servidores SMTP.
15
En cualquier correo los datos que se obtienen de su encabezado son fundamentales. Si se utiliza el
menú de "propiedades" se accede a la formación, que debe leerse de atrás para adelante, sobre el servidor
de correo saliente, el servidor de correo entrante, la cuenta e IP desde la que se envió y lo mismo sobre quien
lo recibió.
Desde un punto de vista de la pericia informática es bueno recordar que cuando enviamos un correo
electrónico, el mismo se prepara con el auxilio de un cliente de correo electrónico que es un programa que
permite editar y administrar los correos electrónicos, ordenarlos en carpetas y almacenarlos para su
posterior control o seguimiento y que también se almacenan a través del cliente de correo electrónico los
correos entrantes, es decir los dirigidos a una dirección determinada. Con independencia de cuál sea el
programa de correo electrónico empleado, el comportamiento de todos ellos es similar en cuanto a su
operación.
Para el análisis pericial del contenido de los correos electrónicos se debe tener presente donde están
almacenados los archivos de datos que contienen la información de las carpetas de correo electrónico, que
si bien usualmente son almacenadas el disco rígido de la computadora bajo investigación, podrían estar
almacenados en otra computadora o en un servidor de correo, especialmente si la computadora bajo
investigación forma parte de una red informática.
Aunque es posible ensayar diversas clasificaciones sobre los servidores de correo electrónico,
Presman los agrupa según su ubicación y almacenamiento en tres clases: Servidores generales, Servidores
corporativos y Servidores Web.
Los servidores generales son aquellos que son de propiedad y administración exclusiva de los
distintos proveedores de Internet (ISP) y que concentran las casillas de correo entrante y saliente de los
usuarios comunes que se han suscripto a ese servicio.
Los correos electrónicos dirigidos a un individuo bajo investigación que posea una casilla de correo
en este tipo de servidores son almacenados allí hasta que el usuario se conecte, a través de su cliente de
correo electrónico y baje esos correos, los cuales usualmente se eliminan del servidor ya que los mismos
cuentan con un límite de espacio de almacenamiento. A partir de ese momento los correos electrónicos
quedan almacenados en la ubicación que haya predeterminado el cliente de correo electrónico que
usualmente es el disco local de la computadora bajo investigación.
Los correos salientes siguen un proceso similar a los entrantes, pero con la diferencia de que estos
han sido redactados en la computadora bajo investigación, de manera que, aunque hayan sido eliminados
de la misma, existen tecnologías que permitirían recuperarlos del mismo modo que se recuperan archivos
eliminados de cualquier tipo de aplicación (texto, planillas de cálculo, etc...)
Los servidores corporativos son muy comunes en empresas medianas y grandes, ya que tienen
funciones colaborativas que permiten, entre otras, compartir correos, agendas y carpetas entre los usuarios
del sistema que forzosamente deben tener sus computadoras en red. En este caso la propiedad y la
administración de estos servidores está a cargo de la empresa.
El proceso de envío y recepción de correos es en todo similar al descripto para los servidores
generales, salvo que los archivos que contienen las bandejas de correo electrónico del usuario se encuentran
almacenados en el propio servidor de correo electrónico que a su vez se encuentra físicamente dentro del
perímetro de la empresa.
En este caso, resulta de vital importancia para el éxito de la medida tener en cuenta esta situación,
ya que la investigación y búsqueda de evidencia podría resultar infructuosa si solamente se analizara la
computadora del usuario bajo investigación, dejando de lado el servidor corporativo.
Los servidores Web, también conocidos como servicios de Webmail, son aquellos donde, a diferencia
de los otros dos casos descriptos, el usuario no necesita contar con un cliente de correo electrónico, dado
que los correos son enviados y recibidos en el mismo servidor, por lo que el contenido de los mismos está
16
entera y permanentemente almacenado en el servidor del proveedor, hasta que el usuario decida eliminarlo,
generalmente motivado por la limitación de espacio de estos servicios.
Estas casillas son las más complicadas para la obtención de resultados, ya que al no almacenar
archivos en la computadora del sujeto investigado, no siempre es posible obtener evidencia electrónica de
una zona de memoria de intercambio conocida como caché de Internet y frecuentemente solo es posible
reconstruir la secuencia de conexión al servicio y en ocasiones encontrar vestigios de archivos adjuntos que
se hayan visualizado en la computadora, por este motivo se recomienda tener especial cuidado en la
selección de los puntos de pericia, cuando la prueba pericial de correos electrónicos involucra direcciones en
este tipo de servidores de modo que la prueba no se torne ilusoria.
En cualquiera de las alternativas descriptas, puede ser oportuno contar con copias de seguridad o
Backup del correo electrónico, donde puede existir información que no se encuentra vigente o que se ha
resguardado por cuestiones de espacio físico y que puede contener aquello que estamos buscando.
En el caso de los servidores de correo electrónico, existen listados de las actividades de los mismos,
denominados logs que pueden ayudarnos a probar la recepción o el envío de un determinado correo
electrónico.
El análisis del contenido de un correo electrónico, incluyendo archivos adjuntos, debe ser realizado
por un investigador forense informático equipado con herramienta de análisis forense que permitan la
búsqueda en todo el contenido de la computadora y no solamente en aquellos lugares que el sistema
operativo muestra, esto incluye información eliminada o deliberadamente ocultada.
Es necesario tener presente, en función de la investigación a realizar, si necesitamos acceso a la
computadora del emisor del correo electrónico, del receptor o de ambos, sin perjuicio de la eventual
colaboración del proveedor de servicios de Internet de alguno de los dos usuarios involucrados, el cual no se
encuentra obligado por ley a conservar y resguardar la información de las comunicaciones, sobretodo luego
del caso "Halaba" al que nos referiremos más adelante. En caso de querer aportar el disco rígido de una
computadora, para que su contenido pueda ser posteriormente peritado, también es importante tener en
cuenta que el mismo debe ser adquirido con procedimientos de Informática forense que garanticen la
inalterabilidad de la prueba desde su extracción hasta la conclusión de la pericia informática. …”
Fte: “Eficacia probatoria de los correos y comunicaciones electrónicas” - Eduardo Molina Quiroga,
18/07/2013, elDial.com – Editorial Albrematica
17
Registro y Secuestro de Datos Informáticos:
El registro y secuestro de datos informáticos a los fines de sr utilizados como evidencias de una causa
penal requiere, previamente, de un acceso al soporte físico en el que los datos están alojados (computadoras,
teléfonos móviles, discos externos, pendrives, cámaras digitales, etc.). Así, la búsqueda de datos informáticos
a los fines de su posterior aseguramiento, copia o secuestro se realiza en general luego de secuestra o tener
acceso material al soporte físico en el que los datos útiles para la investigación están alojados, ya sea que se
los encuentre en el lugar en el que el delitos sucedió (por ejemplo en el lugar donde se cometió un homicidio)
o en una inspección de un lugar o se obtenga a través de una requisa personal o del allanamiento de una
morada.
Es decir que, la obtención de evidencia digital requiere previamente el acceso de manera “legitima”
al soporte físico donde esta alojada (allanamiento de un lugar físico, secuestro de un soporte de
almacenamiento digital luego de una requisa personal) para luego realizar el análisis forense sobre los
soportes informáticos así obtenidos.
Conforme afirma Marcos Salt, en muchas ocasiones, las ordenes de allanamiento resultan
defectuosas en la descripción del objeto de búsqueda referido a la evidencia digital con formulas abiertas
que pueden conducir a la nulidad de la prueba que se obtenga. Así, por ejemplo, frases tales como
“cualquier otro documento físico o electrónico que pueda resultar de utilidad para la investigación”.
El mismo autor nos dice que usualmente, en la práctica, al momento de realizar un llamamiento en
el que está involucrada la necesidad de registrar y secuestras datos contenidos en soportes digitales, los
funcionarios a cargo del allanamiento se encuentran frente a una disyuntiva que resulta más difícil de
resolver día a día en la medida en que aumenta la cantidad de información digital almacenada. Pensemos
por ejemplo en un allanamiento a un banco en el que se encuentran cien (100) computadoras. Una
posibilidad es secuestrar todos los elementos físicos susceptibles de contener evidencia digital para luego
el registro y eventual secuestro de los datos digitales sea realizado por los peritos en el laboratorio forense.
No obstante, esta medida puede resultar perjudicial en términos de eficiencia para la administración de
18
justicia (costos para el deposito de las computadoras y colapso de los laboratorios forenses) y perjudicial
para terceros que pueden ver paralizada la actividad del banco cuando quizá la evidencia buscada estaba
en una sola computadora. Otra posibilidad es realizar copia segura de los datos contenidos en los diferentes
soportes físicos para evitar tener que secuestra las máquinas (medida también que puede ser costosa y
demanda mucho tiempo). Como tercera posibilidad, hoy muy utilizada y que ha demostrado ser beneficiosa
en términos prácticos, es el proceso técnico denominado “triage” que permite utilizar herramientas
especiales de informática forense para hacer búsquedas simples para determinar cuales de los soportes
informáticos pueden contener datos de relevancia para la investigación y así evitar tener que secuestrar
mayor cantidad de elementos de los necesarios. Esta metodología puede generar algún tipo de duda sobre
su legitimidad al no estar prevista expresamente en la legislación procesal. En principio no existiría
inconveniente si esta tecnica es utilizada solamente como una forma de búsqueda o registro sencillo de
datos. El problema legal aparece si se transforma, en una verdadera operación técnica que pos sus
características constituye un acto pericial en el que no se respetan las normas previstas en el ordenamiento
procesal, especialmente la participación de la defensa. En este supuesto se debe trabajar con técnicas de
bloqueo de escritura para evitar que se altere el contenido.
Digital Evidence First Responder (DEFR): que refiere a la persona que posee los conocimientos
necesarios y cuenta con la debida autorización y habilitación para poder recoger las evidencias digitales en
el lugar donde se ha producido el incidente.
Una de las herramientas que utilizan en el lugar donde se encuentra la evidencia es triage mediante
la cual el personal responsable de participar en un procedimiento judicial en el lugar del hecho a utiliza un
software con capacidad limitada que permite la inspección de archivos de imágenes digitales, de emails, la
enumeración de softwares instalados, la detección de archivos encriptados, y la búsqueda de palabras
claves sobre el sistema de archivos de un equipo informático sospechoso; pero no permite la localización
de información borrada y otras características de análisis avanzadas.
Digital Evidence Specialist (DES): El perito que estudia las evidencias que el DEFR ha recogido, tiene
conocimientos especializados, habilidades y destrezas para tratar una amplia gama de asuntos técnicos (ej.
adquisición de evidencia a través de la red, de la memoria ram, conocimiento del software del sistema
operativo o grandes ordenadores tipo servidores.
Procedimiento en escena:
B) Dispositivos periféricos: Hardware que puede ser conectado a una computadora para
mejorar y expandir las funciones de la máquina: Monitores, teclados, parlantes, discos externos, mouse,
módems, routers, impresoras, escáners, faxes, micrófonos.
19
Estos son importantes dados que contienen pruebas biológicas (ADN, huellas digitales...), así
como también documentos recientemente escaneados, números entrantes y salientes de fax.
C) Dispositivos de almacenamiento de datos: Disquetes, CD, DVD, Pendrives (pueden estar
conectados a la computadora, venir en diferentes tamaños y formas, estar disfrazados u ocultos dentro
de otros objetos), Tarjetas de memoria, Micro SD, Discos rígidos, Discos externos.
E) Cualquier otro dispositivo que pueda ser susceptible de contener evidencia digital.
Potencial prueba que pueden contener: Documentos, imágenes, fotos, emails, bases de datos,
información financiera, historial de navegación, log de los chats, discos externos, geolocalización.
En escena se debe:
▪ Observar las características físicas del área circundante (todo sistema de información y de
red que se encuentre dentro de la escena)
20
2. Documentar, fotografiar y hacer un esquema de todos los cables y otros dispositivos que
estén conectados a la computadora.
3. Desconectar y etiquetar el cable de suministro y los demás cables, alambres o dispositivos
USB conectados a la computadora.
4. No encender nunca un equipo apagado y si está encendido no apagarlo inmediatamente
para evitar la pérdida de información volátil, dependiendo si es necesario para el caso realizar la adquisición
de memoria volátil en el lugar del hecho. (Se conoce como información volátil a la contenida en
almacenamientos temporales, tales como memoria RAM, memoria caché o la memoria de dispositivos como
placas de red y placas de video. Se llama volátil porque la misma depende de la electricidad para
mantenerse. Dicho de otra forma, una vez que el equipo o dispositivo se apaga la información contenida en
este tipo de almacenamiento se destruye.)
5. No desconectar el equipo si el mismo es una estación de trabajo o servidor (conectado en
red) o está en un negocio. El desconectarla puede acarrear daño permanente al equipo. Anotar los números
de conexión IP y consultar con un técnico experto en redes.
6. Documentar la existencia de cámaras web y si éstas se encuentran activas.
7. Cuando se tengan dudas acerca de si un dispositivo electrónico se encuentra encendido o
apagado, mirar y escuchar si existe algún sonido o luz que indique que se encuentra encendido, como ser
el ruido de los ventiladores, o las luces led del gabinete si se trata de una computadora.
8. Verificar lo que muestra la pantalla del dispositivo para detectar si se está accediendo a ella
remotamente o bien si la información en ella está siendo destruida. Buscar palabras claves tales como
borrando, moviendo, limpiando.
9. Buscar señales de actividad de comunicación con otro dispositivo o usuarios a través de
ventanas emergentes de chats, de mensajería instantánea, etc.
Computadora de Escritorio
1. Si el monitor está prendido sacarle una fotografía a la pantalla y anotar la información que
se ve.
2. Si el monitor está prendido pero se ve el protector de pantalla, mover ligeramente el mouse
sin tocar ningún botón ni mover la rueda. Fotografiar el estado en el que se encontró, anotando y
fotografiando lo que aparece posteriormente.
3. Si el monitor está apagado pero el gabinete está encendido, prender el monitor, fotografiar
la pantalla y registrar la información que aparezca.
4. Si el monitor está prendido pero la pantalla está en blanco como si estuviese apagada,
mover ligeramente el mouse sin tocar ningún botón ni mover la rueda. En el caso que aparezca la pantalla,
anotar el cambio de la pantalla, registrar la información y fotografiar el antes y después. Si la pantalla no
aparece, confirmar que el gabinete se encuentre encendido, de lo contrario la computadora está apagada.
Fotografiar y de ser posible, filmar la escena y documentar el estado en el que se encuentra.
21
Dispositivos móviles y celulares:
1. Si el aparato está encendido, no lo apague. Si el aparato está apagado, déjelo apagado.
2. Si lo apaga puede iniciarse el bloqueo del aparato. Transcribir toda la información que
aparece en la pantalla y fotografiar el estado en el que se encontró y lo que apareció luego en la pantalla.
3. Revisar los dispositivos de almacenamiento removibles. (Algunos aparatos contienen en su
interior dispositivos de almacenamiento removibles tales como Tarjetas SD, Compact flash, Tarjetas XD,
Memory Stick, etc.)
Se recomienda, además:
• Inventariar todos los elementos utilizados identificando tipo marca, número de serie,
registros de garantía, estado (normal o defectuoso) etiquetando/documentando cada pieza secuestrada.
• Material impreso en la bandeja de impresora o circundantes
• Apagar el sistema de una forma segura, de acuerdo con el sistema operativo que utilice
• Anotar hora y fecha del sistema antes de apagarlo, documentando el hecho
• En lo posible, utilizar una muñequera antiestática o cualquier otro medio de tierra antes de
manipular placas electrónicas, discos o cualquier dispositivo sensible a la estática.
• Utilizar guantes de látex para preservar las huellas digitales
• Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, ubicación de los
equipos informáticos, de cualquier elemento inmobiliario, racks, cableados, para luego presentarlo con
cualquier herramienta de diseño.
• Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, ubicación de los
equipos informáticos, de cualquier elemento inmobiliario, racks, cableados, para luego presentarlo con
cualquier herramienta de diseño.
• Utilizar precintos de seguridad al momento del secuestro del equipo
Al hacer la clasificación se debe rotular cada uno de los equipos y componentes, indicando tipo,
marca, número de serie y/o cualquier otro dato identificatorio.
Consignar el nombre del oficial encargado del embalaje, etiquetado y clasificación de la evidencia
encontrada.
¿Apagar o no apagar el equipo?
Contrariamente a lo que suele creer el imaginario popular, cerrar el sistema Windows de manera
"apropiada“atenta contra la salvaguarda de información importante a nivel forense.
Esto es así, porque el proceso de cierre de Windows indefectiblemente intenta eliminar los archivos
temporales que fueron utilizados durante la sesión por el sistema operativo y aplicaciones. Si bien esto es
un proceso lógico y útil bajo circunstancias normales, en el momento de recolectar evidencia estos archivos
pueden poseer datos importantes porque suelen contener información referida a las últimas operaciones
realizadas en el equipo.
22
Precisamente, para evitar la destrucción de estos archivos se recomienda que al momento de
secuestrar equipos con cualquier sistema operativo Windows de Microsoft se desenchufe el equipo
directamente, sin realizar la operación de cierre.
Análisis Forense de Memoria RAM
Las evidencias Físicas deberán ser cuidadosamente trasladadas con la finalidad de evitar la
modificación, alteración y/o destrucción de las mismas. En esta fase del proceso es importante haber
cumplido cuidadosamente con el precintaje de éstas, para reforzar las medidas de seguridad, respetando
la cadena de custodia
Transportar las piezas sensibles en una bolsa antiestática o bolsas FARADAY asegurándose de
mantenerlas alejadas de fuentes de calor y electromagnéticas.
La ISO/IEC 27037:2012, documento sumamente importante para el análisis forense de evidencias
digitales, en el apartado 7.2.2.2, habla de las directrices a seguir para la recogida de dispositivos conectados
en red, diciendo que el DEFR debe valorar el utilizar bolsas de Faraday o cajas blindadas.
En el siguiente punto, es decir en el 7.2.2.3 vienen recogidas las directrices a seguir para la
adquisición de los dispositivos conectados en, indicando que para realizar esta operación se deberá hacer
en un lugar blindado electromagnéticamente.
Ese lugar se puede establecer blindando todo el lugar de trabajo o haciendo uso de una bolsa de
Faraday, permitiendo utilizarla en cualquier sitio fuera del laboratorio.
23
Referente al uso de las bolsas de Faraday, dice la ISO que el alimentar el dispositivo mientras que
está dentro de la citada bolsa, puede ocasionar problemas, porque puede suponer que el cable haga de
antena, y por lo tanto producir que el teléfono se conecte a alguna red (gsm, wifi, bluetooth, gprs, 3g).
También añade que el blindar electromagnéticamente una zona completa de trabajo puede ser también
muy restrictiva.
En primer lugar ¿por qué dice que es necesario realizar la adquisición del dispositivo en una zona
blindada electromagnéticamente?
Imaginemos que la policía detiene a un individuo miembro de una organización criminal y éste porta
un teléfono que permite el borrado remoto.
Los agentes que han realizado la detención del individuo proceden al apagado del teléfono y lo
remiten al laboratorio forense competente, junto con el correspondiente documento de cadena de
custodia, para que extraigan la información de interés que pudiera contener.
Pues bien…al estar el teléfono apagado, una vez que se ha ordenado el borrado seguro, se activará
en cuanto el teléfono se conecte a la red y reciba la instrucción.
El teléfono móvil, una vez que llega al laboratorio, si el perito lo enciende sin las precauciones que
indica la normativa ISO seguramente se conectaría a la red y comenzaría el borrado remoto, lo que
complicaría seriamente el poder obtener datos de interés para la investigación.
¿Qué es lo que tiene que hacer el perito entonces? Pues como bien indica la norma, se debe
disponer de una zona blindada electromagnéticamente o de una bolsa de Faraday que impida que el móvil
se conecte a la red.
En caso de que no se tenga esta opción, existen en el mercado una especie de urna o caja de
seguridad donde una vez depositado el teléfono y cerrada, se puede manipular el dispositivo con la
seguridad de que no se va a conectar a ninguna red.
Otra solución son las propias “bolsas de Faraday”, que son simplemente unas bolsas hechas con
un material conductor que impide que el teléfono móvil se conecte a la red
Embalaje:
El Protocolo General de Actuación para las Fuerzas Policiales y de Seguridad en la Investigación
y Proceso en Recolección de Pruebas en Ciberdelitos, Res. 234/2016 del Ministerio de Seguridad especifica
con relación al embalaje:
24
A) Embalaje: Tener en cuenta que la prueba digital es frágil y sensible a altas temperaturas,
humedad, electricidad estática y campos magnéticos.
i) Embalar toda la evidencia digital en bolsas antiestáticas. Solo utilizar bolsas de papel, sobres
o cajas de cartón. No deben utilizarse materiales plásticos ya que pueden producir electricidad estática, lo
que hace que penetre la humedad.
ii) Todo lo que pertenezca a una misma computadora será identificado (etiquetado),
embalado y transportado en su conjunto, para evitar que se mezcle con las partes de otros dispositivos y
poder luego reconfigurar el sistema.
iii) Fajar con fajas de papel y pegamento los puertos y todas las entradas. Sellar cada entrada
o puerto de información, tornillos del sistema de manera que no se puedan remover o reemplazar las piezas
internas del mismo con cinta de evidencia. Asegurarse que las bandejas de CD o DVD estén cerradas y
anotar si estaban vacías o no y fajarlos con cinta adhesiva. iv) Desconectar el cable de suministro.
vi) Embalar toda la evidencia teniendo cuidado de no dañar ni alterar nada durante el
transporte y almacenamiento.
Transporte:
Almacenamiento:
25
4 ¿Cómo? Descubrir que herramientas se han usado para cometer el delito.
El Protocolo regula también la extracción de la prueba:
Una parte es extraída mediante procedimientos forenses de la propia terminal de la víctima y
de los elementos secuestrados.
Otra es facilitada por los proveedores del servicio de Internet, quienes son depositarios de la
mayoría de los datos de tráfico válidos para la investigación. Para poder acceder a esta información se
requiere de una autorización judicial.
No se debe trabajar con la prueba original si no realizar una copia forense del dispositivo.
En el caso de trabajar con computadoras, se debe realizar primero una copia del disco duro, y
luego precintarlo debidamente.
La copia forense puede realizarse por medio de un copiador de hardware o un software.
Es obligatorio para este procedimiento:
A) Utilizar un bloqueador de escritura al momento de realizar la copia forense ya que este
dispositivo permite operar la computadora asegurando que no se modifique absolutamente la más
mínima información, por ejemplo, nos restringirá la mera lectura y copiado de los archivos.
B) Por otro lado, una vez finalizado el copiado, el agente debe realizar el cálculo hash de dicha
copia forense.
Procedimiento: Se recomienda hacer dos copias por cualquier eventualidad. Asegurarse que la
copia es exacta al original y que durante el proceso del mismo el original permanezca inalterado.
Obtener un código (hash) que identifique al disco y corroborar que el mismo sea igual al código
de la copia. Por lo tanto, ante el mínimo cambio tanto en el original como en la copia, se daría como
resultado un código distinto.
¿Cómo asegurar la no alteración de la evidencia?
Haciendo una imagen del disco y/o dispositivos, esto es un copiados bit a bit de los contenidos
de los archivos, la distribución de los archivos, fragmentos de archivos, archivos eliminados no
sobreescritos, espacio remanente al final de los archivo y información respecto de versiones anteriores
del archivo.
Se denomina "imagen" a una copia exacta de una unidad realizada con una herramienta
específica que duplica toda la información contenida en el disco original. Esta imagen no es una simple
copia de archivos de un disco a otro, sino que se realiza una copia bitstream, o sea una copia bit a bit
del contenido del disco, consiguiendo que no sólo el contenido de los archivos sea el mismo sino que la
distribución de los archivos sea exactamente igual, y también permite recuperar fragmentos de
archivos, archivos eliminados que no han sido sobrescritos y el espacio remanente al final de los
archivos, donde muchas veces se puede encontrar información respecto de versiones anteriores del
archivo.
26
corruptos o que incluyan alguna trampa como código hostil, que al producirse cierta situación puede
hacer que se formatee el disco duro.
Datos que han sido eliminados: Mientras los datos no hayan sido completamente sobrescritos
se pueden recuperar. Para recuperar los datos que han sido eliminados se utilizan herramientas de
software que permiten recuperar archivos incluso después de haber formateado el disco duro.
Datos en “ambient data”: Datos en espacio no asignado, archivos de intercambio, espacio entre
sectores, entre particiones, flujos alternativos de datos, etc.
Datos ocultos: Los forenses informáticos pueden usar técnicas especificas para buscar y
detectar información oculta en los sistemas o ficheros.
Borrado y recuperación de datos del disco rígido
El disco duro o disco rígido (en inglés Hard Disk Drive, HDD) es un dispositivo de
almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar
datos digitales. Se compone de uno o más platos o discos rígidos, unidos por un mismo eje que gira a
gran velocidad dentro de una caja metálica sellada. Sobre cada plato, y en cada una de sus caras, se
sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina de aire generada por la rotación
de los discos.
¿Cómo es que se pueden recobrar archivos eliminados?
Un disco duro está formado por miles de clusters, especie de minúsculas celdas o
compartimentos donde se graba la información. Al escribir un archivo en el disco es dividido en múltiples
porciones, cada una es escrita en un cluster diferente (miden 512 bytes), los que no tienen que estar
necesariamente adyacentes, pueden estar diseminados por toda la estructura del disco.
¿Cómo es posible en este "rompecabezas" saber la posición y secuencia de todos los clusters
que forman un archivo?
Al ver un archivo en el explorador de Windows lo que estamos viendo es el dato que nos
muestra la MFT.
Por ejemplo, tenemos un archivo nombrado nota.txt su tamaño es de solo 2 kb por lo que se
encuentra repartido en 4 cluster, la MFT contiene el número exacto del sector del disco donde se
encuentra el primer cluster, este a su vez contiene grabado el número del sector donde se encuentra el
cluster que sigue, así como otros datos para asegurar el correcto ensamblaje y así sucesivamente.
Al abrir en el explorador la carpeta que contiene nuestro archivo estamos solamente viendo la
información que nos muestra la MFT, al dar dos clic en el archivo, el cabezal del disco se desplaza
27
rápidamente a los 4 clusters y los lee en el orden necesario, por supuesto esto se efectúa a una velocidad
gigantesca por lo que vemos la información contenida en nota.txt de forma instantánea.
¿Qué pasa si eliminamos el archivo nota.txt?
Al eliminar nota.txt y vaciar la papelera se elimina la referencia existente en la MFT, por lo que
ahora se reportará a Windows ese espacio como vacío y disponible para grabar en él información
cuando sea necesario.
Mientras tanto los clusters contienen aun intactos los datos del archivo y continuaran allí hasta
que se escriba encima de ellos nueva información, eso puede suceder a los pocos instantes, en días o
en meses.
Funcionamiento de los programas de recuperación de datos
Que hacen los programas de recuperación de datos, escanean la superficie del disco en busca
de clusters a los que no exista referencia en la MFT, es decir se hayan eliminado del index, se nos
muestra el listado disponible.
Al formatear un disco duro tampoco se elimina la información grabada en él, solo se limpia la
MTR, solo en el formateo de bajo nivel es que queda verdaderamente limpio un disco duro. Los archivos
de imágenes o documentos de texto pueden ser recuperados en forma parcial y es probable que sean
legibles, pero si se trata de programas se requiere recuperarlo en forma total para su funcionamiento.
Existen factores potenciales que pueden sobrescribir los archivos eliminados, cuanto mayor sea
la actividad del disco rígido o cuanto más tiempo este ocupado, menor será la posibilidad de recuperar
los datos eliminados, por ejemplo, la creación de nuevos archivos en la partición, los archivos existentes
aumentan de tamaño, la instalación de un nuevo programa en la partición, etc.
Principio de Intercambio:
Al producirse esta interacción, quedan evidencias de la misma en los medios o canales utilizados
para llevar a cabo la acción.
Es aquí donde el perito forense, con sus conocimientos y habilidades puestas en práctica quien
puede identificar dichas evidencias, preservarlas y determinar toda la información posible y susceptibles
de ser extraídas de la mismas (quién, cómo, cuándo, dónde, etc.) que permita su posterior presentación
y la acción probatoria ante el tribunal o el cliente final (tercero particular).
Función hash
28
Se define la función hash como la certificación digital que garantiza la integridad de la evidencia
digital, a través de la generación de un valor hash (alfanumérico) a partir de un conjunto de datos, el
cambio de un bit en la evidencia digital conlleva producir un valor hash diferente. El valor numérico es
de longitud fija con independencia de la longitud, tamaño o contenido de la entrada.
El valor hash es generación unidireccional e irreversible.
Los hash son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una
contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que
representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la
entrada crea una cadena que solo puede volverse a crear con esos mismos datos).
El propósito del hash es asegurar que no se ha modificado un archivo en una transmisión, hacer
ilegible una contraseña o firmar digitalmente un documento.
Siempre que se deba realizar una adquisición de evidencia digital es bien conocida la técnica de
generación de un valor hash (alfanumérico) a partir de un conjunto de datos. Existen diferentes
algoritmos para calcular un valor hash de un corpus digital. Los más utilizados en informática forense
son MD5 (128 bits) y SHA256 (256 bits).
Ser resistente a la colisión implica que, dada una salida a partir del hash, la búsqueda de otra
entrada que produzca el mismo resultado (llamado un choque) no es trivial, y se necesitarían complejos
procesos matemáticos para producirlo.
Matemáticamente, el computo del valor hash es de una naturaleza tal, que el cambio de un bit
en cualquier ítem de la evidencia digital deberá causar un efecto cascada durante el proceso de cálculo,
lo que conlleva producir un valor hash diferente.
Si un artefacto que conforma la evidencia digital fuer certificado mediante un algoritmo hash, y
si al volver a calcular el valor hash en un momento posterior, si ambos valores coinciden significa que la
integridad de la evidencia se mantiene incólume y puede ser admitida en el proceso judicial.
El cálculo realizado es un proceso de generación unidireccional e irreversible puesto que
tomando una entrada y aplicando el algoritmo se obtiene siempre el mismo valor de salida, pero
conociendo el valor la salida no se puede llevar a cabo el proceso inverso y llegar a conocer la entrada
utilizada para la generación de dicha salida.
Información que puede contener los smartphones:
Los smartphones son en realidad computadoras de bolsillo que, además, vienen cargadas de
sensores con los que, entre otras cosas, pueden determinar nuestra posición (por GPS o Wi-Fi). Incluso
las fotos que sacamos quedan etiquetadas, de forma transparente, con las coordenadas geográficas.
Archivos (aún los borrados)
Fotografías (coordenadas geográficas)
Lista de contacto
Agenda
Llamadas realizadas y recibidas (fecha, hora y duración)
Videos
Correo electrónico
Redes sociales
Mensajes de Texto (Skype, what´s up)
Información almacenada en la nube
Los Galaxy, además, tienen una prestación llamada Samsung Live, que permite rastrear un
equipo en una página de Internet. Allí se puede ver el recorrido de las últimas doce horas que hizo el
equipo o eliminar, remotamente, toda la información del dispositivo para que los datos personales no
29
caigan en manos no deseadas. "Para poder utilizar este servicio el usuario debe tener una clave y,
además, activar la prestación en el celular. En caso de robo, cuando los delincuentes cambian la tarjeta
SIM se manda un mensaje de alerta“.
Actualmente existen muchas funciones y aplicaciones que permiten tomar recaudos para evitar
que nuestros datos caigan en manos indeseadas. Para Android, iPhone y BlackBerry hay apps que
permiten el borrado remoto y el backup de información en la nube.
Tarjeta SIM (Subscriber Identity Module)
Antenas y Wi-Fi
Para poder funcionar, las antenas deben saber dónde está el teléfono. También se nos puede
localizar al conectarnos a los Wi-Fi conocidos
GPS
Usando satélites de geoposicionamiento, conoce con mayor precisión nuestra ubicación. De
hecho, sabe si nos estamos moviendo y a qué velocidad
Cámara
Los smartphones no sólo pueden sacar fotos, sino que además son capaces de etiquetar las
imágenes con coordenadas geográficas de forma automática
La nube
Los proveedores de apps y servicios registran nuestra actividad, clics y ubicación geográfica con
el fin de dirigir publicidad y ofertas. Mediante la nube, además, nuestros contactos, fotos y calendarios
residen online.
Tarjeta SIM:
Identidad del teléfono, mensajes de texto, configuración del teléfono, grabaciones de audio,
calendario, imágenes, archivos, programas, e-mail e historial web
30
Memoria Externa:
https://findmymobile.samsung.com/
Samsung
1. Seguir por 12 horas con intervalos de 15 minutos, la posición de su teléfono vía GPS. Si el
GPS de su teléfono está desactivado, este método no funcionará.
2. Puede comenzar a llamar a su celular. Este comenzará a sonar con un tono y volumen
elevado, sin importar la configuración que le tenga. Si por casualidad el celular está cerca de usted,
podrá ubicar su dispositivo por el sonido.
3. Digitar un mensaje de máximo 100 caracteres en la página para que si alguien lo encuentra,
vea el mensaje y sepa a dónde comunicarse con usted.
También podrá desviar las llamadas al número de celular que usted desee. Con esto todas las
llamadas que entren a su celular, se desviarán al que usted haya digitado en el mensaje.
4. Desbloquear el equipo. Si por casualidad dejó su celular en algún lugar, y una persona lo
llama desde otro teléfono a avisarle que lo tiene, usted puede desde su computador desbloquear el
equipo para que esa persona pueda usarlo o llamarlo.
31
Iphone - iCloud:
Buscar mi iPhone es una aplicación web de icloud.com que puedes usar para
localizar los dispositivos iOS u ordenadores Mac que pierdas.
Para hacer que la tarea de asimilación de la información sea tan fácil como sea posible la
presentación del dictamen debe ser en forma clara, concisa, estructurado y sin ambigüedad.
Debe ser entendible por personas no conocedoras del tema en discusión y en lo posible debe
tratar de utilizarse terminología técnica.
Análisis de la información:
Los nuevos desafíos que deben afrontar los peritos informáticos versan sobre la existencia el
mercado de dispositivos cada vez más heterogéneos, el cifrado de datos y el almacenamiento en la
nube.
Estas normas operativas están pensadas para los miembros de las fuerzas del orden que
solicitan información sobre cuentas de Instagram o Facebook.
Con relación a la solicitud de información sobre los usuarios, se se informa que solo se divulga
datos de cuentas de acuerdo con suscondiciones del servicio y la legislación aplicable, incluida la ley
federal estadounidense de almacenamiento de datos (Stored Communications Act, "SCA"), U.S.C. 18,
artículos 2701-2712. En virtud de la ley de los EE. UU.
Se necesita una citación válida emitida en relación con una investigación penal oficial para exigir
la divulgación de datos básicos del suscriptor (definidos en U.S.C. 18, artículo 2703(c)(2)), entre los que
se pueden incluir: nombre, duración del servicio, información de la tarjeta de crédito, direcciones de
correo electrónico y direcciones IP de inicio o cierre de sesión recientes, si están disponibles.
Se necesita una orden judicial emitida por un tribunal, en virtud de U.S.C. 18, artículo 2703(d))
para exigir la divulgación de ciertos datos u otra información de la cuenta, sin incluir el contenido de las
comunicaciones, que pueden ser encabezados de mensajes y direcciones IP, además de los datos
básicos del suscriptor identificados con anterioridad.
Se necesita una orden de registro emitida según los procedimientos descritos en la normativa
federal sobre procedimientos penales o según los procedimientos equivalentes de cada estado, en el
32
caso de que exista una causa probable, para exigir la divulgación del contenido almacenado en una
cuenta, en el que se pueden incluir mensajes, fotos, comentarios y datos de ubicación.
Es importante tener en cuenta que parte de la información que almacenamos se recopila
automáticamente, mientras que otra parte la proporciona el usuario. No requerimos una verificación
por teléfono o correo electrónico, y no exigimos que las personas usen sus nombres o identidades reales
en Instagram.
En respuesta a una situación que implique un daño inminente a un menor o el riesgo de muerte
o lesiones físicas graves a cualquier persona, y que requiera la divulgación de información de forma
inmediata, los miembros de las fuerzas del orden pueden presentar una solicitud a través del sistema
de solicitudes por internet para fuerzas del orden en facebook.com/records.
No responden los mensajes enviados por personas que no pertenezcan a las fuerzas del orden.
Los usuarios que tengan constancia de una situación de emergencia deben comunicarse de forma
directa e inmediata con las autoridades locales.
Solo divulgamos datos de cuentas de nuestros usuarios de acuerdo con nuestras condiciones
del servicio y la legislación aplicable. Para exigir la divulgación del contenido de una cuenta, es posible
33
que se deba presentar un exhorto o una solicitud en virtud del acuerdo de asistencia judicial. Puedes
encontrar más información en nuestra Política de datos.
Conservación de cuentas
Tomaremos medidas para conservar los datos de cuentas en relación con una investigación
penal oficial durante 90 días, tras recibir la notificación formal del proceso jurídico correspondiente.
Puedes presentar solicitudes formales de conservación de forma expeditiva a través del sistema de
solicitudes por internet para fuerzas del orden en facebook.com/records o por correo electrónico, como
se indica a continuación.
Si los miembros de las fuerzas del orden buscan información sobre un usuario de Instagram que
les dio su consentimiento para acceder a la información de su cuenta o para obtenerla, se debe indicar
al usuario en cuestión que obtenga esa información por sus propios medios. Para el contenido de la
cuenta, como mensajes, fotos y videos, los usuarios pueden acceder a la función "Descarga tu
información" de Instagram desde la configuración de la cuenta.
Notificación
Nuestra política es notificar a las personas que usan nuestro servicio cuando alguien solicita su
información antes de divulgarla, a menos que lo prohíba la ley o en circunstancias excepcionales, como
casos de explotación infantil, emergencias o cuando una notificación previa podría resultar
contraproducente. Enviaremos la notificación correspondiente con posterioridad, una vez finalizado el
período de confidencialidad especificado en la orden judicial, si creemos de buena fe que ya no existen
circunstancias excepcionales y si no lo prohíbe la ley de ningún otro modo. Los miembros de las fuerzas
del orden que consideren que notificar a la persona en cuestión podría poner en riesgo una investigación
deben presentar la orden judicial correspondiente o seguir el procedimiento adecuado para prohibir la
notificación. Si, debido a la solicitud de datos que realizaste, detectamos que se infringen nuestras
condiciones de uso, tomaremos las medidas necesarias para impedir que se sigan incumpliendo las
normas pertinentes, lo que incluye una posible notificación al usuario infractor.
Testimonios
Reembolso de gastos
34
daños a menores, a nosotros o a nuestros usuarios, así como en solicitudes urgentes, podemos
prescindir de la aplicación de estos cargos.
Presentación de solicitudes
Internet: Los miembros de las fuerzas del orden que solicitan datos de cuentas de Instagram
deben enviar sus solicitudes a Facebook, Inc.
Recomiendan que los miembros de las fuerzas del orden usen el sistema de solicitudes por
Internet para fuerzas del orden en facebook.com/records para el envío, seguimiento y procesamiento
de solicitudes. Se necesita una dirección de correo electrónico oficial para acceder al sistema de
solicitudes por internet para fuerzas del orden.
Correo postal:
Attn: Law Enforcement Response Team
Facebook, Inc.
1601 Willow Road
Menlo Park, CA 94025
El tiempo de respuesta será más largo si los miembros de las fuerzas del orden no utilizan el
sistema de solicitudes por internet para fuerzas del orden en facebook.com/records.
Notas
La aceptación del proceso jurídico por cualquiera de estos medios responde a motivos prácticos
y no anula ninguna objeción, incluida la falta de jurisdicción o notificación adecuada.
No responderemos la correspondencia enviada a las direcciones anteriores por personas que
no pertenezcan a las fuerzas del orden.”
Fte: https://www.facebook.com/help/instagram/494561080557017/ (visita el
20/10/18)
35
La información que presenta Facebook ante un requerimiento depende de lo que
específicamente la justicia requiera. Facebook ofrece varios niveles de “paquetes de información” sobre
los usuarios.
Ver política en: https://www.facebook.com/safety/groups/law/guidelines/
Cuando Facebook advierte una cuenta de un menor de 13 años, la elimina de inmediato junto
con toda la información asociada. El padre o madre o tutor legal, puede solicitar información de la
cuenta de su hijo antes de que se elimine, para lo cual debe proporcionar una copia de una declaración
certificada en la que consten los derechos como padre o madre o tutor legal junto con tu reporte.
Se realiza a través de un formulario online en
https://www.facebook.com/help/contact/174263416008051?helpref=faq_content Visita el
28/19/18
Seguridad automática
Cifrado de extremo a extremo de WhatsApp está disponible entre el remitente y las personas a
las que les envías mensajes. Muchas aplicaciones de mensajería únicamente cifran los mensajes entre
remitente y destinatario, pero el cifrado de extremo a extremo de WhatsApp asegura que el remitente
y el receptor puedan leer lo que es enviado, y que nadie; ni siquiera WhatsApp lo puedan hacer. Esto es
porque los mensajes están seguros con un candado y solo emisory el receptor tienen el código/llave
para abrirlo y leer los mensajes. Para mayor protección, cada mensaje que se envia tienen su propio
candado y código único. Todos esto pasa de manera automática; sin necesidad de ajustar o crear chats
secretos especiales para asegurar los mensajes.
Así como los mensajes, las llamadas WhatsApp también están cifradas de extremo a extremo
para que terceros ni WhatsApp las puedan escuchar.
WhatsApp no mantiene un registro de los mensajes en sus servidores una vez que se entregan.
Además, el cifrado de extremo a extremo significa que terceros ni WhatsApp los pueden leer. WhatsApp
Messenger permite intercambiar mensajes (incluyendo chats, grupos de chat, imágenes, vídeos,
mensajes de voz y archivos) y hacer que WhatsApp llama a todo el mundo. mensajes de
WhatsApp, llamadas de voz y video entre un emisor y un receptor que utilizan software de
cliente de
Whatsapp liberado después del 31 de marzo de, el año 2016 son de extremo a extremo
encriptada.
Los archivos que se guardan en Google Drive no están protegidos por el cifrado de extremo a
extremo.
Fte: https://www.whatsapp.com/security/ 28/10/18
36
TOR (The Onion Router)
Clear Web versus Deep Web:
Es probable que alguna vez haya oído hablar de la Web superficial y la Web profunda, pero a
que se refieren estos términos. Lo primero que es importante aclarar, es que la Web superficial y la Web
profunda no se deben al proyecto Tor, ni tiene relación directa con el anonimato.
La Web superficial es el termino con el que se denomina a todo el contenido que cualquiera de
nosotros puede encontrar y acceder como resultado de una búsqueda en un buscador de Internet, como
por ejemplo Google o Bing por mencionar algunos. Es decir que si buscamos la palabra “Delito” en un
motor de búsqueda cualquiera de los contenidos que nos aparezcan como resultado forman parte de
lo que se conoce como web Superficial. Esto no quiere decir que ese contenido es el único contenido
que está publicado y accesible en Internet que tiene alguna relación con la palabra delito, sino que en
realidad hay mucho más. Suele compararse por analogía a la Web superficial como la punta de un
Iceberg y claramente lo es, dado que lo que está en la web superficial es solo una parte del total de
contenido de Internet.
La Web profunda, es todo lo contrario, es todo aquel contenido que nunca encontraremos como
resultado de una búsqueda en un motor de búsqueda de Internet, dado que por diferentes motivos,
quienes lo publican en Internet no quieren que se identifique por esta vía. Al igual que en el caso de la
Web superficial se hacen analogías con el Iceberg, pero esta vez con la porción que permanece
sumergida bajo el agua y que en realidad es la más grande. Esto quiere decir que la mayoría del
contenido de la Web forma parte de la Web profunda, a abril de 2016 hay aproximadamente 1.3 billones
de sitios Web en la Web superficial y se cree que la Web Profunda es unas 500 veces más grande.
Lo motivos por los que un motor de búsqueda puede no mostrar este contenido en los
resultados son varios, pero a continuación mencionare algunos, por ejemplo, todo aquel contenido que
esté detrás de una página Web que requiera que se ingrese un usuario y una clave, nunca aparecerá en
los resultados de un motor de búsqueda, dado que el mismo no podría acceder a relevarlos para luego
poner a disposición como lo hace con el contenido de acceso público. Otro ejemplo de contenido de la
Web Profunda es el contenido dinámico que se genera en algunos sitios Web, dado que su esencia hace
que solo esté disponible en un momento en particular y nada más, no dando tiempo a que los procesos
de relevamiento de los motores de búsqueda puedan identificarlos. Más allá de su particular nombre,
la mayoría de la información de la Deep Web no está asociada a sitios ilegales o información prohibida
y la misma coexiste en el mismo ámbito de la Web Superficial
Por último y no menos importante, una de las razones que conforman la Deep Web, es porque
existe mucha cantidad de contenido, que solo es accesible a través de un sistema específico, es decir
que para poder verlo previamente el usuario debe conectarse a un sistema particular. El contenido que
allí se encuentra se denomina Dark Web.
En 2003 surge lo que hoy se conoce como el “Proyecto Tor”, un servicio online que mediante
un software específico, de código abierto y multi plataforma, permite conectarse a una red de
comunicaciones de baja latencia que brinda anonimato para consumir y publicar contenido en Internet
a quien lo desee.
37
Está basado en un proyecto del laboratorio de investigación naval de los Estados Unidos, entidad
que financio el proyecto hasta que en 2004 paso a manos de la EFF www.eff.org, un organismo que
brega por los derechos de privacidad de los ciudadanos de Internet. En la actualidad y desde el 2005 el
proyecto está en manos de Tor Project, una entidad sin fines de lucro dedicada a la investigación, en la
actualidad cientos de miles de usuarios utilizan alrededor del mundo esta herramienta para acceder a
Internet (https://www.torproject.org). Por supuesto esta no es hoy la única herramienta de este tipo,
existen otras como L2P2, I2P, Freenet, TOX entre otras.
Como funciona TOR
Su funcionamiento no es simple, pero aquí van algunos aspectos relevantes para entender lo
más importante. Partamos de que TOR Project brinda un software denominado TOR Browser, que
cualquiera de nosotros y sin requerir un conocimiento elevado puede descargar e instalar en la mayoría
de las computadoras y los teléfonos inteligentes que hoy son accesibles en el mercado. Esto significa
que en cuestión de algunos minutos tendremos instalado un navegador de Internet (basado en Firefox)
que nos permitirá navegar, consumir y publicar contenidos de manera totalmente anónima. Para que
esto ocurra el software Tor Browser interactúa de manera transparente con un conjunto de elemento
que componen la infraestructura de TOR, estos son el servicio de directorios, el nodo de entrada, el
nodo intermedio y el nodo de salida. Lo primero que el Tor Browser hace una vez que se ejecuta, es
consultar al servicio de directorios de la red Tor.
La red Tor es dinámica y los nodos que la componen (maquinas dedicadas conectadas a Internet
distribuidas alrededor del mundo) cambian por lo que el servicio de directorio es responsable de dibujar
la red Tor y sus componentes en cada momento que un navegador Tor se lo requiera, de esta forma, el
navegador Tor con la topología actual de la red, selecciona un nodo de entrada, un nodo intermedio y
un nodo de salida, y a partir de allí comienza a consumir y publicar contenido siempre a través de estos
nodos, y nunca de forma directa con el destino de la comunicación. En la actualidad la cantidad de nodos
que componen la red TOR es de aproximadamente unos 7000, los cuales vienen manteniendo un
crecimiento constante a medida que pasa el tiempo. Hasta aquí el concepto resulta muy similar al
detallado anteriormente, en donde se utilizaba equipos intermedios para llegar a un destino ocultando
un origen, pero existe una diferencia fundamental, y es que en este caso los nodos se comunican entre
sí cifrando la comunicación de manera tal que cada nodo del camino solo conozca la porción de trafico
de Internet que le corresponda, y nunca, de ningún modo, conozca más. De esta manera técnicamente
no hay forma de rehacer el camino hacia atrás, por lo que el anonimato del origen de la comunicación
está garantizado. A mayor dificultad la red Tor y de forma totalmente automática cambia los nodos cada
10 minutos y nunca utiliza nodos de salida que estén en un mismo país que el resto de los nodos,
asegurando con esta medidas que si alguien tiene la capacidad de “escuchar el tráfico de la red tor”
nunca va a escuchar la “historia completa” sino que solo escuchara una parte de ella.
En resumen, el nodo de salida puede saber dónde va el tráfico que se publica o se consume,
pero no tiene la capacidad de saber de dónde viene. el nodo de entrada, tiene contacto con el cliente y
sabe de dónde viene la conexión, pero no tiene la capacidad de saber hacia dónde va. El nodo
intermedio sabe en el medio de quienes esta, pero no sabe ni de dónde viene el trafico ni adonde esta
va. El único que conoce la “historia completa” es el navegador TOR que esta justamente instalado en el
dispositivo que utiliza quien quiere resguardar el anonimato.
38
El navegador TOR permite que podamos hacer casi cualquier actividad que habitualmente
realizamos en Internet, por ejemplo acceder a redes sociales, realizar transacciones bancarias
electrónicas, consumir videos y música, acceder a noticias, intercambiar archivos, enviar correos
electrónicos, comunicarnos a través de programas de mensajería instantánea y muchas actividades más,
pero esto no es lo único que permita, dado que como mencionamos antes, no solo permite que se
consuma contenido de manera anónima, sino que también permite que se pueda publicar contenido de
manera anónima en Internet. Es decir que además de las actividades que mencionamos antes, si alguno
de nosotros quisiera publicar un sitio Web en línea sin tener que mostrar donde está alojado y a quien
pertenece ese sitio, podría hacerlo utilizando los servicios del proyecto Tor. Para ello deberíamos utilizar
lo que se conoce dentro de la red Tor como un “servicio oculto” el cual nos da la posibilidad de que
tengamos un nombre de dominio en donde poder crear un sitio web y publicar contenido, donde los
dominios no son ni .com. ni .edu, ni .net sino que son .onion y tiene el siguiente aspecto
3g2upl4pq6kufc4m.onion.
A fines de tener una dimensión del uso de TOR a nivel mundial es útil obtener las métricas
oficiales que la propia herramienta brinda a través de su sitio https://metrics.torproject.org, en la
actualidad hay aproximadamente unos 2.000.000 de usuarios conectados de forma diaria, los cuales se
mantienen de forma regular en los últimos tres a cuatro años. Los países donde esta herramienta tiene
mayor cantidad de usuarios son Estados Unidos, Rusia, Alemania, Francia, Reino Unido entre otros.
Argentina tiene aproximadamente unos 25.000 usuarios conectados de forma diaria y esta, junto con
México y Brasil, dentro de los países de Sur y Centro América que más utilizan esta herramienta
Tomado del artículo “Desafíos de la investigación de los delitos informáticos en la Deep & Dark
Web” de Ezequiel Salli
Deep
DeepWeb
WebyyDark
DarkWeb
Web––TOR
TOR(The
(TheOnion
OnionRouter))
Router
39
Video https://www.youtube.com/watch?v=EPPjjLFRdZ8
Entornos digitales (parte 2) – Ezequiel Sallis - visita 25/5/17
Conforme vimos, el análisis forense de datos digitales, requiere el secuestro del soporte físico o
la copia forense realizada con acceso directo al soporte físico y la posterior búsqueda de datos que se
realiza en un laboratorio forense.
No obstante, hoy en día existen instrumentos tecnológicos de búsqueda y secuestro de
evidencia digital que permiten obtener importantes pruebas ya sea accediendo a distancia a
información almacenada en diferentes equipos informáticos o capturando información que circula en
Internet, sin necesidad de tener contacto o acceso físico a los elementos de almacenamiento (sin que
ningún funcionario esté presente en el lugar donde se encuentra el soporte físico que almacena los
datos).
Consisten en programas informáticos que subrepticiamente permiten interceptar en tiempo
real y grabar los datos transmitidos o recibidos a través de diferentes medios de comunicación
electrónica (puede incluir tanto datos de contenido como datos de trafico de comunicaciones e, incluso
datos de geolocalización que permitan la ubicación física de un dispositivo, datos de archivos
almacenados).
Así, el Estado puede utilizar programas espías o maliciosos a través de Internet introduciendo
subrepticiamente en el sistema objeto de la medida de investigación el programa que enviará la
información a la autoridad estatal. Pueden, además, obtener las claves de todo tipo que el usuario utiliza
para acceder a documentos, sitios de Internet, lugares de almacenamiento de información en el nube,
servidores de correo electrónico, evitando los inconvenientes al acceso a los datos protegidos por claves
y sistemas de encriptación cada vez más efectivos.
Conforme manifiesta Marcos Salt, las posibilidades de éxito en la obtención de evidencia digital
mediante el acceso a los soportes físicos, en un futuro no tan lejano, se tornen prácticamente nulas
como consecuencia de la tendencia a alojar la información más relevante en servidores externos o la
denominada “nube” con claves de difícil acceso. Por lo que las computadoras, teléfonos celulares u
otros dispositivos que se encuentren durante un allanamiento o requisa personal, no sirvan de nada a
los fines probatorios yq que la información relevante ha sido almacenada en servidores externos.
El mismo autor refiere a dos casos en donde el procedimiento de acceso remoto podría ser de
gran utilidad.
Así en el caso 1 refiere en la investigación sobre lavado de dinero a un sistema informático que
cuenta con complejas medidas de seguridad que incluyen la posibilidad de borrar datos de manera
rápida si se advierte el riesgo de un allanamiento. En este caso es posible técnicamente enviar
remotamente al sistema informático (por ejemplo mediante un email engañoso) un programa
maliciosos que permita obtener los datos buscados sin necesidad de allanar el espacio físico, sin que los
imputados se enteren evitándose no solo el riegos del borrado sino que además al ser una medida
subrepticia permitiría avanzar con otras medidas de investigación de acuerdo con la información que se
obtenga y quizá descubrir otras ramificaciones de la organización.
En el caso Salt plantea si ¿es legítimo que el Estado se valga de la utilización de un programa
malicioso y lleve a cabo maniobras que realizadas por un particular constituirían un acceso ilegitimo a
un sistema informático ajeno punible de acuerdo con el art. 153 del C.P.? por otra parte presenta el
interrogante si se pueden aplicar para la realización de estas medidas de investigación analógicamente
las normas y garantías previstas para el allanamiento.
40
El caso 2 en una investigación sobre una red de distribución de pornografía infantil refiere de
archivos protegidos por un sistema de encriptación que difícilmente pueda ser descifrado y que parte
del material se encontraría alojado en servidores ubicados fuera del domicilio a los que solo se puede
acceder conociendo las claves de acceso correspondientes. También en este supuesto el allanamiento
del domicilio resultaría infructuoso ya que las medidas de seguridad adoptadas impedirían la tarea
forense efectiva aun obteniendo acceso a los soportes físicos en los que la evidencia digital esta
contenida. A través de un programa malicioso (troyano) se podría acceder a los servidores y a las claves
de cifrado, pues permite grabar todas las claves utilizadas por el usuario y mediante un programa espía
se podría registrar las direcciones IP con las que el sistema se comunique. Toda la información podría
ser enviada a una cuenta de email de la fiscalía o del juez. Cuestiona en este caso si la medida ordenada
por un juez podría ser asimilable a la intervención de comunicaciones como para avalar la aplicación
analógica de las normas que la habilitan sin afectar garantías constitucionales.
Desde el ámbito tecnológico dicho autor afirma que para que el programa pueda ser instalado
y comencé a funcionar resulta necesario instalarlo subrepticiamente ya sea por tener acceso al
hardware o bien a través de Internet mediante el envío de un correo electrónico, siendo que el Estado
cuenta con la ventaja de poder utilizar como fuente de envío direcciones electrónicas estatales
existentes (ej. AFIP) pudiendo generar de manera más sencilla el engaño en la persona investigada.
También manifiesta que este tipo de medidas pueden generar problemas jurídicos, ya que un
troyano incorporado a una computadora puede informar y mandar datos incluso si la computadora se
traslada a otra jurisdicción (si el imputado viaja con su computadora a otra provincia o al extranjero)
generaría problemas de territorialidad difíciles de solucionar para el derecho procesal penal actual.
Por otra parte, observa que estas herramientas trabajan de manera semiautomática, o sea sin
la intervención directa del controlador humanos por lo que su búsqueda puede que no se limite a los
datos realmente necesario para la investigación (conforme el objeto procesal y el alcance de la orden
judicial de autorización) obligando a un importante análisis ex post de los elementos de prueba
obtenidos previo a admitir su incorporación al proceso.
Refiere, además que, la cantidad de datos que un programa de estas características puede
copiar y enviar a las autoridades durante una investigación es potencialmente muy grande, ya que
pueden monitorear cualquier actividad del dispositivo, incluso aunque no fuera usado por el imputado
sino por un tercero ajeno a la investigación. Estos programas envían tanto la información relevante
como información que nada tiene que ver con el objeto procesal y que, incluso puede resultar
confidencial protegida por el derecho a la intimidad.
Sopesa que la recolección sencilla y eficiente de datos puede resultar a la larga engorrosa a la
hora de su análisis tanto técnico como jurídico para su posterior utilización en un proceso penal; sin
embargo refiere que los problemas presentados, con el avance de la tecnología se han alcanzado
soluciones técnicas que permiten un uso más acotado pudiendo direccionarlos hacia funciones y
elementos de prueba más específicos como ser correos recibidos o enviados en un periodo de tiempo
acotado o bien limitarlo a archivos de imágenes fotográficas o videos, etc.
Advierte que siendo la estructura de este tipo de programas no difiere de un programa malicioso
tradicional podría ser detectado por antivirus.
El hecho que el imputado no conozca que está siendo investigado tiene una similitud con la
intervención de comunicaciones.
Con respecto a la funcionalidad de este tipo de programas establece:
Búsqueda de información almacenada en soportes informáticos
Grabación y preservación de datos de tráfico cobre las comunicaciones
41
Claves de acceso a servidores remotos o de encriptación de archivos contenidos en el sistema
(cuentas de correo electrónicos, acceso a cuentas bancarias, o redes sociales, etc.)
Grabar información procesada a través de la computadora pero que no queda grabada de
manera permanente en el disco rígido (comunicaciones por voz IP tales como Skype o Google app)
Activar mecanismos de vigilancia como cámaras o micrófonos.
Este tipo de herramientas esta prevista expresamente en el Código Procesal de la Provincia de
Neuquén y en algunos proyectos de reforma del Código Procesal Penal de la Nación que no alcanzaron
sanción legislativa.
Estados Unidos: Un primer antecedente fue la utilización de un Key loggers (graba toda actividad
que se realiza mediante el teclado ya sea por medio de un software o hardware y envia la información
a un tercero, en este caso al FBI) en una investigación penal donde fuera imputado por pertenecer a la
mafia y participar en actividades de juego ilegal. Se utilizó atento que los investigadores tenían
información que los archivos se encontraban encriptados siendo imposible acceder a ellos sin la clave
de desencriptación. En este caso se realizó mediante un hardware entre la computadora y el teclado y
no mediante un programa malicioso enviado vía Internet.
En el año 2001 fue ampliamente discutido el caso del denominado proyecto “Linterna mágica”
del FBI. Consistía en un programa espía para investigaciones en Internet que permitía grabar todo lo
que marca u usuario en los teclados de computadora. El programa podía ser instalado subrepticiamente
y a distancia mediante Internet.
En el año 2007 se utilizó la herramienta denominada “CIPAV” que permite el rastreo de
comunicaciones que utilizan mecanismos diseñados para permitir el anonimato. De acuerdo a lo
informado por el FBI este programa en ningún caso implicaría el acceso al contenido de las
comunicaciones por lo que fue aceptado jurisprudencialmente ya que la expectativa de privacidad de
estos datos es menor.
En Estados Unidos, un juez de una jurisdicción en la que ocurrió un delito que está bajo su
jurisdicción podría dictar una orden de acceso remoto que alcanzaría a sistemas informáticos en otras
jurisdicciones en caso de:
No se conozca el lugar en el que la información esta alojada por la utilización de un
software especial que permite la utilización de Internet de manera anónima.
Cuando el ataque a sistemas informáticos afecte a computadoras ubicadas
geográficamente en cinco o mas distritos.
El Proyecto de Reforma del Código Procesal Penal de la Nación Argentina establece:
Art. 175 novies: escucha y grabación en forma no ostensible de conversaciones privadas del
imputado que tengan lugar fuera del domicilio de cualquiera de los interlocutores.
Art. 175 decies: Acceso no ostensible al contenido de las comunicaciones del imputado a través de
la intervención de las terminales o de los medios de comunicación que utiliza habitual y ocasionalmente.
Las empresas que brinden el servicio de comunicación deberán posibilitar el cumplimiento
inmediato de la diligencia bajo apercibimiento de incurrir en responsabilidad penal.
Art. 175 undeceis: Vigilancia remota sobre equipos informáticos. Utilizaciones no ostensibles de un
software que permite o facilite el acceso remoto al contenido de ordenadores, dispositivos electrónicos,
42
sistemas informáticos, bases de datos o instrumentos de almacenamiento masivo de datos informáticos. El
fiscal deberá precisar los datos o archivos informáticos que se procura obtener con la medida y la forma
qne la que se procederá a su acceso y captación; la identificación el software mediante el cual se ejecutará,
individualización de los ordenadores o dispositivos electrónicos, sistemas informáticos, bases de datos o
instrumentos de almacenamiento masivo de datos informáticos y duración estimada de la medida.
Marco Salt
https://www.youtube.com/watch?v=7xzbi9DHT9M TEDx visita 25/5/17
Daniela Dupuy
Publicado el 29 sept. 2016
Jornada de cibercrimen, 12 de julio 2016, La Plata
http://youtube.com/watch?v=wAfyDMeunJI grooming y pornografía infantil en la red. - Daniela
Dupuy
visita 25/5/17
Ezequiel Sallis
Publicado el 29 sept. 2016
Jornada de cibercrimen, 12 de julio 2016, La Plata
43
Sweetie la niña virtual creada para cazar abusadores de niños
44