Академический Документы
Профессиональный Документы
Культура Документы
Aplicabilidad metodolgica de la
informtica forense en la
obtencin de resultados eficientes
en procesos judiciales argentinos.
Trabajo de Investigacin
Indice
Introduccin ........................................................................................................................................ 4
Antecedentes .................................................................................................................................. 4
La informtica forense. .................................................................................................................... 7
Definicin de informtica forense. ................................................................................................... 8
Seguridad Informtica e Informtica Forense ................................................................................... 9
Relacin entre Hackers y Forenses. ................................................................................................ 10
Informtica forense el Cybercrimen y la ley de los delitos informticos ............................................. 11
Cadena de Custodia. ...................................................................................................................... 11
El Cybercrimen............................................................................................................................... 13
Delitos informticos:...................................................................................................................... 15
Evidencia Digital: ........................................................................................................................... 17
Proceso Forense ................................................................................................................................ 19
Etapas de la informtica forense: ................................................................................................... 19
Identificacin y documentacin de la evidencia: ............................................................................ 20
Adquisicin de Datos ..................................................................................................................... 26
Validacin y Preservacin de la Informacin: ................................................................................. 32
Anlisis y descubrimiento de evidencia .......................................................................................... 34
Confeccin del Informe Final.......................................................................................................... 40
Conclusiones ..................................................................................................................................... 43
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situacin actual de la informtica
forense Argentina: ............................................................................................................................. 44
Anexo II Modelo de Informe final .................................................................................................... 46
Referencias ........................................................................................................................................... 53
Mariano Messina 2
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Abstract
Adems, se procede a abordar la metodologa de forma tal que el lector pueda conocer
diferentes controles preventivos que utilizan los peritos experimentados en los procesos,
los cuales evitan acciones que podran permitir que los distintos elementos probatorios,
involucrados en un proceso judicial, sean desestimados por alguna de las partes
intervinientes.
Mariano Messina 3
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Introduccin
Antecedentes
A su vez, conforme la tecnologa avanza, va ejerciendo cada vez mas influencia en muchas
reas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos
comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos
ltimos aquellos que de manera genrica se han denominado en nuestra legislacin como
delitos informticos.2
Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han
conllevado a distintas ciencias a tratar de no slo describir e interpretar el proceder de los
encargados de ejecutarlos, sino que adems, han orientado a poder desarrollar mtodos con el
fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o
mediante) diferentes medios informticos.3
1
Bocanegra C, Carlo A.: Impacto de la tecnologa informtica en los individuos,
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html
2
Aguilar Avils, D.: Impacto del Desarrollo socioeconmico en la resolucin de investigaciones forenses, en
Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm
3
Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012,
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas
Mariano Messina 4
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Hace meses atrs se dio a conocer cmo miembros de un estado han podido vulnerar
diferentes sistemas informticos, de alto peligro, correspondientes a una planta nuclear iran,
que tuvo como principal objetivo el de sabotear los planes nucleares que all se desarrollaban.
Gracias a la adecuada aplicacin de la Informtica forense se ha logrado el anlisis del malware
utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5
En nuestro pas se han identificado mltiples antecedentes en diversos procesos judiciales que
han resultado en una invalidacin de la evidencia debido a falencias en la aplicacin de las
prcticas forenses.
Uno de los ms recientes casos de invalidacin judicial es el famoso caso Ricardo Jaime, en
dnde se ha responsabilizado a la Polica Federal Argentina por no respetar la cadena de
custodia, mediante la aplicacin de una metodologa que asegure que los elementos
contenedores de informacin que van a ser presentados como evidencia ante el tribunal de
justicia, no sean contaminados durante las diferentes fases que comprenden al proceso
forense.6
Teniendo en cuenta el reciente caso Jaime, se ha probado que por ms que se tenga el mejor
software de informtica forense, si no se tiene la idoneidad necesaria para utilizarlo, los
resultados sern desastrosos y la prue-ba [SIC] nula. (Arellano G., 2012)
Debido a que dichas falencias podran permitir el desvo del proceso judicial en su bsqueda
de la verdad7, el propsito del presente trabajo es el de ampliar y proponer la adecuada
aplicacin metodolgica de las mejores prcticas forenses en la Argentina, en las cuales se debe
considerar prestar especial atencin a diversos puntos crticos que podran poner en riesgo la
investigacin o auditora. La finalidad es de brindar a la justicia una herramienta que sea eficaz
a la hora de realizar los procesos judiciales.
4
Aguirre, Alessio: Informtica Forense, 2012, http://alessioaguirre.com/informatica_forense.html
5
Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012,
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
6
Cappiello, Hernn: La invisibilidad de las pruebas de corrupcin, 23 de Febrero 2012,
http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion
7
Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012,
http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-
Jaime.html
Mariano Messina 5
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Por otra parte, una vez definida la base terica, se ha procedido a realizar una entrevista
personal a un reconocido perito forense con fuerte presencia nacional e internacional.8
8
Diario Clarn: La sugestiva y misteriosa accin de un espa privado, 22 de Diciembre 2011,
http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html
Mariano Messina 6
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
La informtica forense.
Tomemos como ejemplo a un sistema financiero informtico (que lo podramos conocer bajo
el nombre de Home Banking) que fue creado como un servicio que brinda una institucin
financiera a sus clientes, cuyo fin sera el de que una persona pueda administrar el dinero que
tiene a su disposicin. Ahora bien, supongamos adems a un individuo que anhele vulnerar el
sistema informtico financiero con el fin de obtener alguna retribucin econmica (aunque
tambin se podra considerar el hecho de generar perjuicio sobre el servicio brindado por la
institucin, como por ejemplo, realizar ataques de denegacin de servicio). Siguiendo el hilo
hipottico, imaginemos que un usuario malicioso logre no slo el acceso no autorizado a dicho
servicio sino que adems l logre, mediante la aplicacin de herramientas informticas, la
sustraccin de dinero desde varias cuentas bancarias. Dicha accin resultara en un perjuicio no
slo a la institucin que se encargue de brindar el servicio a sus clientes sino que adems
impactara de forma directa sobre la economa de cada uno de los titulares de las cuentas
afectadas (claro que tambin se podra mencionar el dao a la imagen que le produce a la
entidad, si el hecho tomara conocimiento pblico) Ante un escenario como el planteado (de
forma hipottica pero que muchas veces no escapa a la realidad) sera necesario un proceso
por el cul se pueda identificar quin fue el responsable de las acciones ilcitas que fueron
realizadas, teniendo en consideracin diferentes aspectos, tales como: en qu momento se
realizaron, en qu lugar, cul fue el impacto que tuvo, de qu forma se realizaron, si an
quedan restos remanentes del acto y cuales fueron las personas (jurdicas o fsicas)
damnificadas.10
9
Stuart, Keith: PlayStation 3 hack how it happened and what it means, 07 de Enero 2011,
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
10
La Nacin: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia
Mariano Messina 7
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del
85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de
seguridad.12
11
Ec-Council: http://www.eccouncil.org/
12
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 8
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Durante los actos pblicos o privados, y durante las diferentes etapas que comprenden al
proceso forense, es mandataria la existencia de una figura que ejerza un control y una
validacin al procedimiento que se est llevando a cabo por los peritos informticos, con el fin
de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los
mismos no afectaron la integridad de la informacin obtenida.14 En nuestro pas, un escribano
es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un
especialista en materia informtica, de lo que estara limitado en dar fe es de que lo que
realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como
evidencia.15
13
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
14
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
15
Zygier, Anala: En la era de Internet, los jueces no cazan una, 2012,
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina 9
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Mariano Messina 10
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
adems tenga como resultado un acceso no autorizado, o la violacin de alguna ley, se hace
presente el concepto de Cracker, distinguindolo efusivamente al trmino Hacker.16
Creo entonces que, al considerar a un forense informtico como a una persona que se
encarga de realizar un proceso metdico, en dnde debe utilizar sus elevados conocimientos
tcnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no
existe una diferenciacin entre un Hacker y un Forense informtico sino que por el contrario,
creo que ambos comparten la misma esencia, la curiosidad.
Cadena de Custodia.
un registro minucioso de las personas que han tomado contacto con la evidencia,
indicando claramente los intervalos de posesin. La idea es simple pero muy efectiva: Conocer
en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las
actividades que se efectuaron con relacin a la misma y conocer quien es el responsable por las
mismas. (Presman, 2009, pg. 2)
16
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
17
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigacin Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina 11
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Si en algn momento de todo el proceso, se especula con la idea de que la cadena de custodia
no ha sido realizada conforme a las mejores prcticas forenses, se podra solicitar la
invalidacin de la evidencia presentada ante las autoridades.19
Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe
entre la informacin que se encuentra almacenada dentro de un contenedor informtico
(comnmente llamada Evidencia digital) con el medio mismo dnde se encuentra almacenada
(Evidencia Electrnica). Cada uno de los tems debe ser claramente identificado, rotulados,
custodiados y tratados de forma idnea segn las mejores prcticas forenses.20
18
Pressman, G. D: Validez tcnica de evidencia digital en la empresa, 28 de Agosto 2009,
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf
19
Poder Judicial de la Nacin: Sala V, en autos V. C. W. E. s/infraccin ley 11723 (causa n 39.803), 22 de
Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
20
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informticos. Versin 2.0, 7 de
Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
21
Ministerio Pblico de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia,
http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Mariano Messina 12
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
4. Traspaso de la misma, ya sea a los laboratorios para su anlisis, o a las diferentes fiscalas
para su custodia.
El Cybercrimen
- La computadora como objetivo: resulta de atacar las computadoras de otras personas (la
propagacin de un virus es un ejemplo).
22
The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html
Mariano Messina 13
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
La legislacin actual contempla los siguientes casos, teniendo en consideracin que los
diferentes ataques pueden ocurrir por una persona dentro de la empresa, como tambin desde
el exterior de la misma:
23
Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002.
24
InfoLeg: Informacin Legislativa: Ley Delitos Informticos:
http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio
2008.
25
InfoLeg: Rgimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/40000-
44999/42755/texact.htm.
Mariano Messina 14
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Delitos informticos:
Una primera idea respecto al delito informtico la seala Tllez Valds, quien lo conceptualiza
desde dos pticas. Nos dice que desde un punto de vista atpico son actitudes ilcitas en que
se tiene al computador como instrumento o fin, y desde uno tpico son conductas tpicas,
antijurdicas y culpables en que se tiene a las computadoras como medio o fin.26
La ley 26.388 de delitos informticos argentina tipifica27 cuales son las conductas ilcitas en las
cuales se utiliza algn elemento informtico para causar una accin que requiera una sancin.
Establece adems la pena que debe cumplir la persona tras desarrollar tales acciones.
La falta de tipificacin penal de muchas conductas delictivas an hoy en da produce que las
mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las ms
discutidas son: el grooming, phishing y la suplantacin de la identidad.
26
Tllez Valds, J. Derecho Informtico, Ed. McGraw-Hill, Mxico, 1996, p. 104
27
Muoz Conde, Francisco (2002). Teora General del Delito. Temis. 2 Edicin. Bogot. Pg. 31
Mariano Messina 15
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Si bien es verdad que se encuentran tipificados muchos de los delitos informticos en nuestra
legislacin y que el campo de accin se podra pensar que se encuentra circunscripto a la
informtica, la prctica forense se debe extender y considerar como un proceso mandatario
cuando se produce algn otro delito con el fin de lograr un entendimiento de los hechos que
Mariano Messina 16
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Evidencia Digital:
un tipo de evidencia fsica que est construida de campos magnticos y pulsos electrnicos
que pueden ser recolectados y analizados con herramientas y tcnicas especiales. (Casey,
2000).
Adems de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los
procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida
mediante la aplicacin de rigurosos y metodolgicos procesos que aseguren su validez.
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa
informtica. (hojas de clculo financieras, consultas especializadas en bases de datos, vistas
parciales de datos, etc.). (Bolvar Pinzn Olmedo, 2007)
Existen varias diferencias entre la evidencia digital y la fsica. Una particularidad es que la
evidencia digital es sumamente frgil: la informacin digital se puede crear, alterar, copiar y
borrar muy fcilmente. Otra particularidad es que la duplicacin de la informacin digital no
establece per se forma alguna de poder identificar qu datos son originales y cules son
resultantes de haber realizado un proceso de copiado de informacin, por lo tanto, y como
28
Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.
Mariano Messina 17
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
veremos ms adelante en el desarrollo del presente trabajo, la informtica forense debe contar
con un proceso metodolgico lo suficientemente slido como para evitar cometer errores que
afecten a la evidencia y a su integridad. 29
Es voltil
Es annima
Duplicable
Alterable y modificable
Eliminable
Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.
Es malo para los Juristas ya que el concepto de original carece de sentido.
29
Bolvar Pinzn Olmedo, F.: Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de incidentes,
Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
30
Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving
Evidence of Computer Crimes, 2002.
Mariano Messina 18
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
establece la importancia de no slo recolectar informacin digital, sino que, el perito debe
observar el ambiente en su totalidad, realizando una bsqueda de hojas con contraseas,
anotaciones escritas a puo y letra, manuales de herramientas o dispositivos informticos
(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos
lineamientos que la evidencia digital.31
Proceso Forense
Anteriormente se ha hecho mencin que el proceso forense consta de diversas etapas para
lograr su objetivo, ellas comprenden: la Identificacin de la evidencia, adquisicin de datos,
validacin y preservacin de la informacin adquirida, anlisis y descubrimiento de la evidencia
y como ltima etapa, se encuentra la confeccin del informe que debe ser presentado a las
autoridades correspondientes.
Se debe destacar que resulta de gran importancia realizar la documentacin de todas las
acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del
proceso forense. Adems, es tambin es de gran importancia mantener una adecuada cadena
de custodia durante todas las etapas de la investigacin.32
31
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
32
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 19
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
33
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informticos v 2.0, 7 de Julio
2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Mariano Messina 20
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
como por ejemplo, tarjetas de crdito, informes, impresoras, scanners, etc, sin embargo, en
casos como la pornografa infantil, se debe establecer nfasis en otros objetos, cmo por
ejemplo, en las cmaras digitales.34 Tambin es necesario, antes de comenzar con el proceso de
adquisicin de datos, tener en cuenta cul va a ser la informacin que se debe recolectar, ya
que si se decide copiar la totalidad de los datos cuando en realidad slo se necesita una porcin
del conjunto, se podra incurrir en una prdida innecesaria de tiempo, adems de aumentar el
riesgo a contaminar la evidencia.35
Los diferentes elementos que van a ser analizados, y que son material probatorio en un
proceso judicial, deben encontrarse claramente identificados con el fin de evitar la prdida de
la informacin. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir
los elementos que son copia de lo que es evidencia original as como tambin permite llevar un
registro de la ubicacin de cada uno de ellos. Es posible evitar este tipo de inconvenientes
mediante la realizacin de un proceso que asegure que todos los dispositivos se encuentren
correctamente etiquetados y que todos incluyan firmas para lograr identificar cules son los
diferentes elementos que componen el caso.36
Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,
incluya tambin en el etiquetado la fecha y hora de creacin de la copia, nombre cada copia,
por ejemplo COPIA A, COPIA B para distinguirlas claramente del original. Traslade estos
datos a otra etiqueta y pguela en la caja contenedora del soporte, incluso sera conveniente
precintar el original para evitar su manipulacin inadecuada. (Delgado L., 2007)
34
Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,
http://nij.gov/nij/pubs-sum/199408.htm
35
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
36
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigacin Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina 21
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
prctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fcilmente
diversos dispositivos y cables conectores durante todo el proceso.
Mariano Messina 22
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Adems, se ha concientizado sobre tener especial recaudo en las opciones de energa y del
uso horario del dispositivo encargado de la clonacin. Las consideraciones a tener en cuenta
fueron:
37
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
Mariano Messina 23
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexin de
algn medio que contenga evidencia segn corresponda, se debe realizar una preparacin del
ambiente de trabajo, mediante la creacin de una estructura de directorios en medios de
almacenamiento separados, en dnde se pueda extraer o recuperar archivos o informacin que
requieran ser analizadas y que resulte relevantes al caso.38
38
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina 24
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Mariano Messina 25
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Adquisicin de Datos
Luego de establecer los lmites de la adquisicin y de tener en claro cul debe ser el objetivo
de la investigacin forense, se procede a la segunda etapa del proceso, la cul se denomina
Adquisicin de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar
de forma especial el contenido de la informacin almacenada en el sistema que se encuentra
en observacin hacia un medio dnde se pueda realizar un anlisis y manipulacin del
contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptogrficos (Hash)
para determinar si la informacin copiada es un reflejo exacto de la original. Luego del clculo,
se debe trabajar sobre la informacin duplicada dejando intacto el contenedor original,
resguardndolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando
toda actividad en la cadena de custodia.
Si bien las situaciones que involucran componentes informticos podran resultar diferentes
segn la investigacin que se deba realizar, se debe tener ciertos recaudos para lograr proteger
la integridad de la informacin a recolectar. Si el perito forense se encuentra frente a un
escenario dnde el medio a analizar se encuentra encendido, resulta una buena prctica
documentar las acciones realizadas teniendo en consideracin lineamientos tales como:39
39
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 26
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
La siguiente tabla fue expuesta durante el curso de Adquisicin de datos e ilustra cules de los
diferentes sistemas operativos pueden ser apagados mediante la desconexin de la energa
elctrica sin ocasionar daos, mientras que a otros deben aplicarse mecanismos de apagado
seguro:
Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.
Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque
(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un telfono
celular) y que los mismos podran producir diferentes tipos de modificaciones en cuanto a
fechas y tambin en cuanto al contenido de por lo menos algunos archivos del sistema;
tambin, las diferentes etapas de los procesos de arranque pueden producir una variacin en la
Mariano Messina 27
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden
originar otras consecuencias dependiendo del medio en observacin. Los mismos resultados se
pueden observar cuando se realiza la apertura de un archivo, aunque su nico propsito no sea
otro que el de slo su propia lectura o impresin.
Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear
la escritura en dispositivos USB mediante la creacin de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies
40
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 28
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Existe otra consideracin a tener en cuenta cuando se debe realizar una adquisicin de
informacin de un dispositivo. Si se encuentra en un escenario dnde se debe reutilizar un
medio de almacenamiento que anteriormente fue empleado como parte de un proceso
forense, se debe aplicar con especial cuidado una metodologa slida con el fin de esterilizar los
contenedores que van a almacenar la informacin duplicada, si es que la copia forense no se va
a realizar bit a bit. La omisin de la esterilizacin del medio puede provocar que exista una
contaminacin de la evidencia y podra provocar que la misma sea descalificada por alguna de
las partes intervinientes.
41
EC-Council: Investigating Wireless Networks and Devices, 2010.
42
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 29
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Durante esta etapa se realiza la extraccin de informacin del disco a nivel fsico sin
considerar los archivos de sistema que se encuentren presentes. Las acciones que se podran
llevar a cabo son: la bsqueda de palabras claves, bsqueda de archivos y la extraccin de la
tabla de particiones y de espacio del disco fsico no utilizado.
Realizar una bsqueda de palabras claves a lo largo del disco fsico podra ser de utilidad
al analista forense para extraer datos relevantes y para identificar archivos que no
pertenezcan al sistema operativo.
Utilizar herramientas en la bsqueda y extraccin de archivos tiene como finalidad el
encontrar ficheros que podran no ser tenidos en cuenta por el sistema operativo y que
podran resultar relevantes en la investigacin.
Por otra parte, analizar la estructura de particiones del disco es til para comprender e
identificar la composicin del sistema de archivo, pudiendo determinar si todo el
espacio fsico del disco duro se encuentra utilizado.
Mariano Messina 30
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos
que existe desde el final de un archivo hasta el final del ltimo cluster que tiene asignado, en
otras palabras, el slack es considerado a la diferencia que existe cuando el tamao fsico de un
medio de almacenamiento supera a su tamao lgico)43 y el espacio en disco que an no ha
sido asignado.
Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.
Revisar los correos electrnicos almacenados en el dispositivo.
Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc)
Revisar el cach del dispositivo mvil.
Revisar las citas, notas y el calendario del dispositivo en bsqueda de eventos o de
informacin relevante a la investigacin.
43
Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-file-
slack.html
44
EC-Council: Investigating Wireless Networks and Devices, 2010.
Mariano Messina 31
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector pblico
y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector
pblico realizar la gestin de recursos para desarrollar la coleccin de datos, mientras que para
el privado, existen menos procesos burocrticos que evitan la demora en el comienzo de la
etapa.
La generacin de los cdigos exclusivos deben ser lo suficientemente robustos para evitar
que los mismos sean generados de forma inversa con fines dolosos. Adems, deben
encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitindole
verificar la autenticidad de la informacin resultante del proceso de duplicacin de datos, que a
su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense.
45
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007
Mariano Messina 32
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Funciones Hash:
Las funciones Hash utilizan algoritmos criptogrficos para crear un mensaje de los datos a los
cuales fueron aplicados. Los Hashes representan grandes volmenes de informacin en una
relativamente pequea porcin de datos y debido a que su utilizacin no altera la informacin
analizada, sino que la representan de una forma ms pequea, se las utilizan en la informtica
forense para comparar la informacin original con aquella resultante de haber aplicado un
proceso de duplicacin. Cuando los Hashes coinciden, significa que tanto la informacin
original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulacin
y/o anlisis.46
A pesar de que se han encontrado mltiples fallas de seguridad en los Hashes tradicionales
MD5, CRC y SHA1, y hasta existen mtodos tericos prcticos de cmo vulnerarlos (en la
actualidad se encuentran disponibles en la web mltiples sitios que aducen realizar dicho
proceso de forma fcil y rpida), an se siguen utilizando como mtodo de control vlido en las
prcticas forenses, encontrndolos aceptados en los diferentes tribunales como mtodos de
validacin de la evidencia. 47 La razn por la cual an son vlidos dichos elementos es que al
utilizar la funcin hash como mtodo de reduccin de informacin a fines de lograr un control
efectivo, resultara imprctico poder modificar una porcin de un dato especfico de la
evidencia y aun as lograr generar el mismo hash de la evidencia original.48
Una vez que la informacin ha sido cotejada, se debe proceder a incluir la firma Hash en cada
uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita
a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez
duplicados para establecer copias de seguridad que permitan a los auditores realizar la
bsqueda de elementos probatorios.
46
EC Council: Computer Forensics Investigating Network intrusions & Cyber Crime, 2010.
47
Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,
http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/
48
Informtica Pericial: Consulta sobre colisiones MD5,
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobre-
colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Mariano Messina 33
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
A continuacin se listan algunas precauciones que se deben tener en cuenta cuando se debe
preservar la evidencia:49
Mantener la evidencia en un lugar seguro.
Empaquetar la evidencia en un envoltorio sellado para restringir el acceso fsico.
Mantener la evidencia fuera de temperaturas extremas y de altas humedades.
Mantener la evidencia alejada de medios magnticos.
Mantener la evidencia alejada de ambientes con polvo o energa esttica.
Mantener la evidencia alejada de ambientes con excesivas vibraciones.
Mantener la evidencia con las etiquetas correspondientes.
No se debe doblar, plegar o rayar los diversos medios informticos, como por ejemplo,
los dvds.
Mantener siempre una cadena de custodia apropiada.
Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la proteccin de
la integridad de la informacin, el perito podra encontrarse frente a un sistema protegido con
una contrasea que imposibilite el acceso a la informacin almacenada.
49
EC-Council: Investigating Wireless Networks and Devices, 2010.
50
Arnicelli, Crsitian: Virtualizacin de Imgenes Forense, 17 de Septiebre 2012,
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Mariano Messina 34
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Durante una charla de informtica forense en la 8va edicin de Eko Party51 realizada en
Argentina, el ingeniero Gustavo Presman ha hecho mencin sobre la importancia de utilizar
herramientas que posibiliten el descubrimiento de la contrasea administrador del equipo
relevante a la investigacin, siempre teniendo recaudos de no realizar la contaminacin del
medio. Tambin ha manifestado que dicha importancia se debe a que podra existir la
implementacin de mecanismos de autenticacin Single Sign-on (SSO)52 que permitan el
acceso a sistemas internos. Los cuales a su vez podran contener informacin relacionada a la
investigacin en proceso.
Debido a que la persona que ha originado el incidente pudo haber considerado la eliminacin
de informacin que lo comprometa, o realizar alguna accin no convencional para lograr
ocultarla, se debe realizar un anlisis de los contenedores de informacin desde diferentes
niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas
consideraciones que pueden ser utilizados como lineamientos para realizar el anlisis de la
informacin adquirida.53 Las mismas comprenden:
51
Eko Party Security Conference 8va edicin: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/.
52
The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/
53
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina 35
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
El anlisis del perodo de tiempo es til para determinar cuando ocurrieron los eventos sobre
un sistema informtico, con el fin de identificar y asociar quin ha utilizado el recurso en el
tiempo que han ocurrido los sucesos. Existen dos mtodos que se utilizan:
- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la ltima
modificacin, la ltima vez que se accedi al archivo o el cambio de estado). El resultado que se
busca es establecer una relacin entre los archivos de inters y los tiempos relevantes a la
investigacin.
- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podran ser
analizados comprenden, eventos de error, instalacin, de conexin, eventos de seguridad, etc..
Por ejemplo, el anlisis del registro de eventos de seguridad podra indicar cuando se utiliz un
usuario y una contrasea para autenticarse a un sistema.
-La correlacin de los encabezados de los archivos con las extensiones asociadas a los mismos
para identificar si existen diferencias. La discrepancia entre ambos podra indicar que un
usuario ha escondido informacin de forma intencional en el archivo.
-Revisin de los archivos protegidos por contraseas y tambin aquellos que se encuentren
comprimidos o cifrados. Se debe considerar que la contrasea utilizada para proteger el archivo
podra ser tan relevante en la investigacin como el contenido del mismo.
54
National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Mariano Messina 36
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
-Revisin del contenido de archivos (por ejemplo, una fotografa) en bsqueda de informacin
oculta. Este proceso de anlisis es conocido como estenografa.
-Revisin de host-protected area (HPA). El HPA es una seccin del disco duro que se encuentra
oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de
discos duros para ocultar un sistema de mantenimiento y recuperacin. Sin embargo, esta
seccin puede ser alterable y utilizable para ocultar informacin.55
Realizar un anlisis de las aplicaciones y de los archivos que contemplan al sistema podra
brindar al forense informacin relevante a la investigacin y adems, podra permitirle lograr
una comprensin de la capacidad de los mismos. Algunos ejemplos incluyen:
- Revisin de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del
navegador con archivos de correos o de cach.
- Revisin de metadata y de los archivos creados por los usuarios: generalmente se buscan
datos como: fechas de creacin, fecha de ltima modificacin, el autor del fichero y la ubicacin
de los mismos.
55
Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensic-
ediscovery-glossary/what-is-host-protected-area.html
Mariano Messina 37
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Durante la charla de Gustavo Pressman en la Eko Party tambin se ha hecho mencin que
podran existir volmenes TryeCrypt (software utilizado para el cifrado de informacin)
ubicados en el sistema que se encuentra siendo investigado, que podran contener informacin
relevante al caso. Adems, ha afirmado la dificultad en la que se encuentran los forenses para
reconocer dichos volmenes debido a que los mismos no poseen una extensin que los
identifique dentro del sistema operativo.
Hasta el momento, la nica caracterstica que podra guiar a un perito hacia la identificacin
de volmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamao de los
diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros
TrueCrypt.
Otra dificultad que se presenta, por cmo se encuentran cifrados y construidos los volmenes,
es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro
volumen cifrado.56
Posesin y propiedad:
Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a
archivos en el sistema debido a que puede resultar relevante en la investigacin. Tambin
podra ser relevante identificar el conocimiento y la posesin de dichos archivos teniendo en
cuenta los siguientes lineamientos:
- Los archivos de inters pueden estar ubicados en carpetas que no son creadas por defecto
por el sistema operativo. (Ver anlisis de aplicaciones y de archivos).
56
TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume
Mariano Messina 38
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
-Los nombres de archivos podran indicar el contenido del archivo. (Ver anlisis de
aplicaciones y de archivos).
- Informacin oculta en el sistema podra dar indicios de alguna persona que evita ser
detectado. (Anlisis de datos ocultos)
Figura 2: Resumen del Proceso forense obtenido del grupo de informtica forense:
http://espanol.groups.yahoo.com/group/informatica-forense/
Mariano Messina 39
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
La quinta etapa representa uno de los aspectos ms cruciales en una investigacin forense y
corresponde la produccin de un informe que detalle el proceso que se ha desarrollado. El
documento debe ser escrito para comunicar el resultado del anlisis digital forense y deber
exponer una teora entendible de la investigacin de forma tal que, la persona encargada de
realizar un juicio sobre la misma cuente con la informacin necesaria de forma clara y concisa.57
El propsito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque
exista evidencia que se considere que no resulta de apoyo a la investigacin, debe ser
mencionada de todas formas en el informe final. En el reporte adems, debe constar cul es el
objetivo principal de la investigacin que se ha realizado.
La confeccin del reporte debe ser escrito de forma lgica y ordenada, de manera tal que
pueda exponer cul es el interrogante que debe ser esclarecido, presentar los resultados de la
investigacin y adems, declare conclusiones y recomendaciones. Para lograr una estructura
lgica y centrarse en la narracin del proceso, se puede proceder a la utilizacin de apndices
que puedan incluir calendarios, tablas u otra informacin relevante.
Un buen informe debe responder a: quin, qu, cuando, dnde y por qu. Adems, debe
documentar qu acciones fueron realizadas durante el proceso y el porqu de las mismas. 58
Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba
en casos judiciales, deba prestar especial cuidado de evitar declarar conclusiones acerca de los
hechos sino que lo que en realidad deba hacer es centrarse en narrar los mismos mediante la
57
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
58
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina 40
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
eleccin cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara
que durante un juicio, se ha hecho mencin que un sonido provena de un hall de un hotel, a lo
que l siempre se ha preguntado cuales son las caractersticas acsticas que diferencian un hall
hotel, de una cancha de squash.
En el anexo II del presente documento se puede observar un modelo de informe final utilizado
por peritos argentinos. El material fue obtenido de un foro dnde diversos expertos en materia
forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,
al que se ha tenido el agrado de ser invitado a participar como miembro.
Las tcnicas de visualizacin permiten generar grficos, mapas o redes que relacionan la
informacin de forma tal que problemas de alta complejidad puedan ser comprendidos por el
pblico sin la necesidad de utilizar un lenguaje especfico o enredado. 59
Creo que en la etapa de confeccin y presentacin del informe final, se podran utilizar
herramientas de visualizacin de informacin que permitan a los jueces de los tribunales, y las
diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr
un entendimiento ms claro de los resultados de la investigacin, relacionando por ejemplo los
diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60
Una vez finalizadas todas las etapas de la investigacin forense digital y, una vez concluido y
presentado el informe a las autoridades pertinentes se debera resguardar toda informacin en
59
Visualizing: http://www.visualizing.org/about
60
ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina 41
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
un lugar seguro por si en algn momento futuro se decide volver a indagar en los elementos
intervinientes. 61
Debatiendo dicha situacin con diversos peritos se ha logrado encontrar diversas opiniones,
algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de
pocos aos, el medio de almacenamiento ptico podra estropearse, por ms que se tengan
recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.
61
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
62
NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Mariano Messina 42
Aplicabilidad metodolgica de la informtica forense en la obtencin de
resultados eficientes en procesos judiciales argentinos.
Conclusiones
A travs del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que
el cumplimiento de la aplicacin metodolgica de los estndares definidos, y de las mejores
prcticas en los procesos forenses, mitiga el riesgo de guiar una investigacin hacia su
invalidacin.
Por otra parte, debido a que an hoy en da la informtica forense es considerada una ciencia
nueva, lo cul se considera que complica a personas fuera del mbito informtico en la
comprensin tcnica de diversos escenarios, se cree conveniente la utilizacin de diversas
tcnicas de capacitacin y de representacin de datos, como por ejemplo las de visualizacin de
informacin.
Las tcnicas de visualizacin resultan de gran utilidad al transmitir a las diferentes autoridades
un mensaje claro. Esto permite explicar problemas complejos mediante la abstraccin de
cuestiones tcnicas, logrando que dicha herramienta sea utilizada como base para el anlisis y
la toma de decisiones.
Por ltimo, destacar que el valor de utilidad que tiene la informtica forense radica en su
posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva
de incidentes en las diferentes organizaciones.
Mariano Messina 43
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
1. Alessio, en la actualidad, cul piensa que es el mayor desafo, o la mayor dificultad que
debe afrontar un perito forense a la hora de realizar una investigacin en la Argentina?
Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe
lo que hace a nivel tcnico, claro est). Si es estatal quiz el reto mayor ser logstico; el
almacenamiento y procesamiento de altos volmenes de datos requiere de forma dinmica una
cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas
veces destina recursos a los laboratorios forense de las distintas dependencias.
2. Segn su experiencia en la prctica forense, en qu partes del proceso piensa que se debe
hacer hincapi? Por qu?
En la documentacin de todos los pasos. Uno deber prestar testimonio aos despus de lo que
ocurri y si no est todo bien documentado puede perderse todo el trabajo realizado. (esto
tambin dando por sentado que se utiliza hardware y software forense as como los mtodos
forense)
Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los
trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)
No; ambas se deben llevar a cabo de igual manera. La informtica forense naci en el Estado, se
potenci por la lucha contra la pornografa infantil y luego creci exponencialmente de la mano del
sector privado cuando se comenz a aplicar a IF en investigaciones y auditoras.
Mariano Messina 44
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
La ley que equipara los documentos digitales a los de papel tiene menos de diez aos. La justicia, y
el sistema judicial, tardarn un tiempo en adecuarse a la nueva normativa.
El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que
afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la
adquisicin de herramientas de ltima generacin y capacitacin.
6. Si bien muchos autores consideran a la informtica forense como una ciencia an nueva,
Considera que la aplicacin de la metodologa y de las buenas prcticas forenses existentes mitigan
el riesgo de que la evidencia sea susceptible a la invalidacin durante el proceso judicial?
Cuando naci la papiloscopa el perito se apersonaba en el lugar del hecho y levantaba las huellas;
terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el
comisario. La gente tard unos aos en comprender que la escena del crimen debe ser resguardada
y toda la comisara pasaba por el lugar de los hechos con la intencin de ayudar. . Lo mismo ocurrir
con la informtica forense. Sin duda que el perito deber tener el hardware, software y
capacitacin necesaria, pero hasta que no se capacite a todos los involucrados en la investigacin
de un delito, habr impugnaciones.
7. En su opinin y para concluir con la entrevista, Cules son los aspectos que se deben tener
en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades
correspondientes?
Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidar un informe que le en
Honduras, donde un perito de audio forense dice que en la grabacin se escucha una ampliacin
en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel.
Siempre me pregunt qu caractersticas acsticas tiene el hall de un hotel que no tenga el hall de
un museo, mansin, cancha de squash, etc.
Si el informe dice que se encontr una computadora cuyo sistema operativo indica como ltima
fecha de utilizacin medianoche de una fecha, quin lea el informe comprender las implicancias. Si
uno dice esta computadora fue encendida por ltima vez el X est asegurando algo que no tiene
manera de probar.
Mariano Messina 45
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
AL
S / D
Mariano Messina 46
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
I. OBJETO DE LA PERICIA:
Mariano Messina 47
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
Mariano Messina 48
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
ARGUMENTACIN DEMOSTRATIVA
Mariano Messina 49
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
IV. CONCLUSIONES:
Mariano Messina 50
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
TOTAL 39
Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida
la tarea pericial encomendada y regule mis honorarios profesionales acorde a la
magnitud de los estudios experiencias y demostraciones tcnicas efectuadas.
Mariano Messina 51
Juzgado Criminal de Instruccin 14, Sec 17 Causa Nro 13331
(si lo hubo)
Aclaracin
Ttulo y cargo
Aclaracin
Ttulo y cargo
1
Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)
escrito por ambos lados y conste de un nmero par de paginas. De esta manera el sello de recepcin
queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de
responsabilidades, sobre la integridad o destino a posteriori de la prueba analizada
Mariano Messina 52
Referencias
Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage
Learning.
Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informticos.
Versin 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:
http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Aguilar Avils, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde
www.eumed.net/rev/cccss/07/daa7.htm
Alessio, A. (2012). Informtica Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:
http://alessioaguirre.com/informatica_forense.html
Arellano G., L. E. (2012, Marzo 15). La accin penal, por delitos de accin pblica, en manos
exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community
LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ila-
accion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html
Arnicelli, C. (2012, Septiembre 17). Virtualizacin de Imgenes Forense. Accedido en Septiembre 23,
2012, accedido desde MKit - IT & Security Solutions:
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido
desde National Institute of Standards and Technology:
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf
Bocanegra C., C. A. (n.d.). Rincn del Vago. Accedido en Junio 12, 2012, accedido desde Rincn del Vago:
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-
individuos.html
Bolvar Pinzn Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Informacin. Accedido en Mayo 23,
2012, accedido desde Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de
incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley
Publishing INC.
Mariano Messina 53
Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido
desde La Relevancia De La Custodia De La Evidencia En La Investigacin Judicial:
http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Cappiello, H. (2012, Febrero 23). Diario La Nacin. Accedido en Mayo 23, 2012, accedido desde La
invisibilidad de las pruebas de corrupcin: http://www.lanacion.com.ar/1450864-la-
invisibilidad-de-las-pruebas-de-corrupcion
Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.
Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.
Academic Press.
Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,
NY: Cengage Learning.
Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido
desde Computer Forensics Procedures and Methods:
http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf
Delgado L., M. (2007, Junio). Anlisis forense digital. Accedido en Agosto 22, 2012, accedido desde
Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780-
analisisforenseed2-criminalistica.net.pdf
Diario Clarn. (2011, Diciembre 22). La sugestiva y misteriosa accin de un espa privado. Accedido en
Septiembre 01, 2012, accedido desde Clarn: http://www.clarin.com/politica/sugestiva-
misteriosa-accion-espia-privado_0_613738660.html
Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.
Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde
Informtica Pericial:
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons
ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame
created by US and Israel to slow Iranian nuke program:
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,
accedido desde A Tour through the Visualization Zoo:
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina 54
Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.
Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431-
Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html
InfoLeg: Informacin Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos
Informticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000-
144999/141790/norma.htm
Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.
Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.
Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/199408.htm
Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido
en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-
sum/219941.htm
Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics
Investigators. Burlington, MA: Elsevier INC.
La Nacin, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de
pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nacin:
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-
acusado-de-pedofilia
Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:
Syngress Publishing, INC.
Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and
Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:
Auerbach Publications.
Ministerio Pblico Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de
Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Pblico Fiscal de
la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer
Science+Business Media.
Muoz Conde, F. (2002). Teora General del Delito Segunda Edicin. Bogot: Tirant Lo Blanch.
Nacin, P. J. (2010, Septiembre 22). Sala V, en autos V. C. W. E. s/infraccin ley 11723 (causa n
39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nacin:
http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
Mariano Messina 55
National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and
Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,
2012, accedido desde Optical Disc Longevity Study.:
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The
McGraw-Hill Companies.
Presman, G. D. (2008). Validez tcnica de evidencia digital en la empresa. In C. Community, El rol del
oficial de seguridad. Buenos Aires, Arg.: CXO Community.
Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the
Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in
_courtroom.pdf
Stuart, K. (2011, Enero 07). PlayStation 3 hack how it happened and what it means. Accedido en Julio
22, 2012, accedido desde
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,
accedido desde The Cyber Citizen Partnership:
http://www.cybercitizenship.org/crime/crime.html
The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open
Group: http://www.opengroup.org/security/sso/
TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:
http://www.truecrypt.org/docs/?s=hidden-volume
Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,
accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscovery-
glossary/what-is-host-protected-area.html
Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,
accedido desde Diario Judicial:
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina 56
Mariano Messina 57