UNIVERSIDAD RAFAEL LANDÍVAR

FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES

LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (PFS)

"PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCIÓN Y MANEJO DE LA EVIDENCIA

DIGITAL EN LA ESCENA DEL CRIMEN"
TESIS DE GRADO

JORGE DAVID SANTOS TELLO

CARNET21204-07

HUEHUETENANGO, SEPTIEMBRE DE 2013

CAMPUS "SAN ROQUE GONZÁLEZ DE SANTA CRUZ, S. J." DE HUEHUETENANGO
 UNIVERSIDAD RAFAEL LANDÍVAR
FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES
LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (PFS)

"PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCIÓN Y MANEJO DE LA EVIDENCIA

DIGITAL EN LA ESCENA DEL CRIMEN"
TESIS DE GRADO

TRABAJO PRESENTADO AL CONSEJO DE LA FACULTAD DE

CIENCIAS JURÍDICAS Y SOCIALES

POR
JORGE DAVID SANTOS TELLO

PREVIO A CONFERÍRSELE

EL TÍTULO Y GRADO ACADÉMICO DE LICENCIADO EN INVESTIGACIÓN CRIMINAL Y FORENSE

HUEHUETENANGO, SEPTIEMBRE DE 2013

CAMPUS "SAN ROQUE GONZÁLEZ DE SANTA CRUZ, S. J." DE HUEHUETENANGO
 AUTORIDADES DE LA UNIVERSIDAD RAFAEL LANDÍVAR
RECTOR: P. ROLANDO ENRIQUE ALVARADO LÓPEZ, S. J.
VICERRECTORA ACADÉMICA: DRA. MARTA LUCRECIA MÉNDEZ GONZÁLEZ DE PENEDO
VICERRECTOR DE DR. CARLOS RAFAEL CABARRÚS PELLECER, S. J.
INVESTIGACIÓN Y
PROYECCIÓN:
VICERRECTOR DE DR. EDUARDO VALDÉS BARRÍA, S. J.
INTEGRACIÓN UNIVERSITARIA:
VICERRECTOR LIC. ARIEL RIVERA IRÍAS
ADMINISTRATIVO:
SECRETARIA GENERAL: LIC. FABIOLA DE LA LUZ PADILLA BELTRANENA DE
LORENZANA

AUTORIDADES DE LA FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES

DECANO: DR. ROLANDO ESCOBAR MENALDO

VICEDECANO: MGTR. PABLO GERARDO HURTADO GARCÍA

SECRETARIO: MGTR. ALAN ALFREDO GONZÁLEZ DE LEÓN

NOMBRE DEL ASESOR DE TRABAJO DE GRADUACIÓN

LIC. EDWIN ROCAEL CARDONA AMBROSIO

TERNA QUE PRACTICÓ LA EVALUACIÓN

LIC. CARLOS ALFREDO RIOS MOLINA
Tabla de contenido
Resumen
Introducción………………………………………………………………………………………………..I
1 Informática Forense ............................................................................................................. 1
1.1 Introducción .................................................................................................................................. 1
1.2 Algunos Antecedentes Históricos.................................................................................................. 2
1.3 Definición ...................................................................................................................................... 3
1.4 Que es la Informática Forense ...................................................................................................... 4
1.5 Principios Forenses ........................................................................................................................ 4
1.6 Importancia ................................................................................................................................... 7
1.7 Objetivos ....................................................................................................................................... 7
1.8 Uso de la Informática Forense ...................................................................................................... 8
2 Delitos Informáticos .............................................................................................................. 8
2.1 Introducción: ................................................................................................................................. 8
2.2 Definición .................................................................................................................................... 10
2.3 Clasificación ................................................................................................................................. 12
2.4 Tipos ............................................................................................................................................ 14
2.5 Características ............................................................................................................................. 19
3 Evidencia Digital ................................................................................................................. 21
3.1 Antecedentes .............................................................................................................................. 21
3.2 Introducción ................................................................................................................................ 22
3.3 Definición .................................................................................................................................... 22
3.4 Clasificación ................................................................................................................................. 24
3.5 Características ............................................................................................................................. 25
4 Procedimientos en la Investigación, Recolección y manejo de la Evidencia Digital ........... 27
4.1 Característica del delito informático ........................................................................................... 27
4.2 Protección de la Escena del Crimen ............................................................................................ 28
4.3 Evaluación de la Escena del Crimen ............................................................................................ 30
4.4 Documentación de la Escena del Crimen .................................................................................... 33
4.5 Cadena de Custodia ..................................................................................................................... 43
4.6 Factores que intervienen en una escena del Crimen .................................................................. 43
4.7 Roles en la Investigación ............................................................................................................. 45
 4.7.1 Peritos Informáticos .......................................................................................................... 46
4.8 Informe Forense .......................................................................................................................... 48
5 Principios teóricos generales, para la propuesta del protocolo de acción de la escena del
crimen ....................................................................................................................................... 50
5.1 Diagrama de flujo de la propuesta de protocolo de acción ........................................................ 53
6 Planteamiento del Problema .............................................................................................. 54
6.1 Objetivos ..................................................................................................................................... 54
6.1.1 General ............................................................................................................................... 54
6.1.2 Específicos......................................................................................................................... 55
6.2 Alcances y Límites........................................................................................................................ 55
6.3 Aporte.......................................................................................................................................... 55
6.4 Método ........................................................................................................................................ 56
6.4.1 Sujetos................................................................................................................................ 56
6.4.2 Instrumento ........................................................................................................................ 56
6.4.3 Procedimiento ................................................................................................................... 56
6.5 Presentación de Resultados y Discusión ..................................................................................... 57
6.5.1 Presentación...................................................................................................................... 57
6.5.2 Discusión de resultados................................................................................................... 60
7 Propuesta del protocolo de acción, para el procesamiento de la evidencia digital en la
escena del crimen ..................................................................................................................... 62
7.1 Diagrama de flujo del protocolo para el procesamiento de la evidencia digital ........................ 67
8 Conclusiones...................................................................................................................... 72
9 Recomendaciones.............................................................................................................. 73
10 Referencias ........................................................................................................................ 74
11 Anexos ............................................................................................................................... 78
11.1 Encuestas al Personal del Ministerio Público .............................................................................. 79
11.2 Cuadros Estadísticos .................................................................................................................... 91
 RESUMEN

El objetivo de esta investigación es dar a conocer y establecer los procedimientos en la

investigación y manejo de la evidencia digital, con el fin de establecer lineamientos a
seguir cuando éstos sean requeridos para efectuar una investigación objetiva, clara y
precisa y de esta manera obtener los resultados deseados para poder aportar con
claridad y precisión indicios que orienten las decisiones en casos donde se requiera.
Es de suma importancia la capacitación en los sectores de justicia para estar
actualizados en el tema de la evidencia digital e informática forense, ya que en muchas
ocasiones se tiene los indicios, sin embargo por el desconocimiento del tema no se
puede requerir los análisis específicos que aporten información valiosa al caso en
investigación.

En el capítulo 1, se hace una breve introducción acerca de la Informática Forense como

una disciplina auxiliar de la justicia moderna.
En el capítulo 2, se hará referencia a los delitos informáticos como actitudes donde las
computadoras constituyen un instrumento o fin.
En el capítulo 3, se desarrolla el tema de la evidencia digital en cuanto a su definición,
clasificación y características.
En el capítulo 4, se detallan los procedimientos a seguir en la investigación, recolección
y manejo de la evidencia digital para que la misma sea objetiva.
En el capítulo 5, se indican los principios teóricos generales para el desarrollo del
protocolo de acción, como un instrumento técnico administrativo.
En el capítulo 6, se hace referencia del planteamiento del problema como centro de la
investigación.
En el capítulo 7, contiene una propuesta concreta para el procesamiento de la evidencia
digital en la escena del crimen.

Finalmente se incluyen conclusiones y recomendaciones, así como anexos que

contienen los instrumentos aplicados durante el proceso investigativo y graficas
estadísticas.
 INTRODUCCION

El propósito de esta investigación es abordar y establecer los parámetros que se debe

utilizar al momento de localizar indicios que sean considerados como evidencia digital
en el procesamiento de una escena del crimen, ya que se desconoce la manipulación
que la misma pueda tener por ser diferente a la evidencia convencional, requiriendo
ésta de una manipulación más específica; de esta manera se pretende dar a conocer
una guía básica con los procedimientos y lineamientos necesarios para el trabajo que
realiza el Ministerio Público, la Policía Nacional Civil o los mismos particulares quienes
proporcionan indicios de investigación al Ministerio Público.

La inexistencia de procesos y procedimientos ante indicios que pudiese considerarse

evidencia digital, hace que sea necesario el dar a conocer los lineamientos necesarios
al investigador forense para la recolección y análisis de dicha evidencia.

Un manejo inadecuado de la escena del crimen por parte del personal carente de la
capacitación y conocimientos necesarios da como resultado la contaminación de la
misma. Una deficiente recopilación de evidencias tiene como consecuencia la pérdida
de la objetividad de la investigación, de allí la importancia de una correcta aplicación de
los procedimientos en la investigación y el manejo adecuado de la evidencia digital,
como base fundamental para preservar todos aquellos indicios informáticos.

Asimismo, es preciso dar a conocer los riesgos de trabajar con este tipo de evidencia,
dadas sus características peculiares y que hacen de la misma una evidencia no
convencional en cuanto a su tratamiento y manipulación.

De esta manera se pretende identificar todos aquellos equipos, aparatos o dispositivos

de almacenamiento que pueden ser vitales a la hora de realizar la búsqueda de los
indicios dentro de una escena del crimen.

I
Se propone un protocolo de acción a seguir, donde se contempla procesos,
procedimientos y recomendaciones de acciones a evitar, dado que el mínimo descuido
puede llegar a tener graves consecuencias en cuanto a la objetividad de la
investigación.

Se espera que la presente investigación se constituya en una contribución, como guía

de desempeño de las actividades que desarrollan los técnicos de escena del crimen
del Ministerio Público.

II
1 Informática Forense

1.1 Introducción

El constante reporte de vulnerabilidades en sistemas de información, el

aprovechamiento de fallas bien sea humanas, procedimentales o tecnológicas sobre
infraestructuras de computación en el mundo, ofrecen un escenario perfecto para que
se cultiven tendencias relacionadas con intrusos informáticos. Estos intrusos poseen
diferentes motivaciones, alcances y estrategias pues sus modalidades de ataque y
penetración de sistemas varían de un caso a otro.

A pesar del escenario anterior, la criminalística nos ofrece un espacio de análisis y

estudio hacia una reflexión profunda sobre los hechos y las evidencias que se
identifican en el lugar donde se llevaron a cabo las acciones catalogadas como
criminales. En este momento, es preciso establecer un nuevo conjunto de
herramientas, estrategias y acciones para descubrir en los medios informáticos, la
evidencia digital que sustente y verifique las afirmaciones que sobre los hechos
delictivos se han materializado en el caso bajo estudio.

La informática forense hace entonces su aparición como una disciplina auxiliar de la

justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así
como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en
un proceso.

La informática forense está adquiriendo una gran importancia dentro del área de la
información electrónica, esto debido al aumento del valor de la información y/o al uso
que se le da a ésta y al extenso uso de computadores por parte de las compañías de
negocios tradicionales.

Es por esto que cuando se realiza un crimen muchas veces la información queda
almacenada en forma digital, sin embargo existe un gran problema debido a que los

1
computadores guardan la información de forma tal que no puede ser recolectada o
usada como prueba utilizando medios comunes, se deben utilizar mecanismos
diferentes a los tradicionales, es de aquí que surge el estudio de la computación
forense como una ciencia relativamente nueva.

La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar a

resolver grandes crímenes apoyándose en el método científico con el cual se puede
recolectar, analizar y validar todo tipo de pruebas digitales.

1.2 Algunos Antecedentes Históricos

Es difícil precisar el inicio de la informática forense o el comienzo del campo para el

caso, pero la mayoría de los expertos coincide en que la informática forense comenzó a
desarrollarse hace más de 30 años en los Estados Unidos, cuando la policía y los
investigadores militares comenzaron a ver que los delincuentes obtenían ayudas
técnicas en la comisión de sus delitos.

El campo de la informática forense se inició en la década de 1980, poco después que

las computadoras personales se convirtieran en una opción viable para los
consumidores.

A comienzo de los años 90, el FBI (Federal Bureau of Investigation) 1 observó que las
pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de
prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la
identificación por ADN. Para ello, mantuvo reuniones en su ámbito y a finales de los
años 90 se creó la IOCE (International Organization of Computer Evidence) 2 con la
intención de compartir información sobre las prácticas de informática forense en todo el
mundo.

1
Buró Federal de Investigación
2
Organización Internacional de Pruebas de Ordenador

2
1.3 Definición

Comencemos con algunas definiciones sobre Informática y Forense:

Informática:
Según el libro Introducción a la Informática “Es la ciencia que estudia el procesamiento
automático de la información”3

Según Carlos Gispert4 “es la ciencia de la información automatizada, todo aquello que
tiene relación con el procesamiento de datos, utilizando las computadoras y/o los
equipos de procesos automáticos de información”.

Forense:
Es la aplicación de prácticas científicas dentro del proceso legal, esencialmente esto se
traduce en investigadores altamente especializados o criminalistas, que localizan
evidencias que sólo proporcionan prueba concluyente al ser sometidas a pruebas en
laboratorios.5

Según el Glosario de la Enciclopedia CCI (Criminalística, Criminología e Investigación)

Se dice de todo aquello que está relacionado con juzgados y tribunales, y en general
con asuntos jurídicos y de derecho.6

Informática Forense:
Un proceso metodológico para la recogida y análisis de los datos digitales de un
sistema de dispositivos de forma que pueda ser presentado y admitido ante los
tribunales.7

3
Informática, Introducción a la Informática, 1ª Edición, 1994, pág. 17
4
Gispert, Carlos. Enciclopedia Autodidactica Interactiva, 6° Edición, México, Océano, 2002, pp. 1542
5
Tu discovery, Que es la ciencia forense, http://www.tudiscovery.com/crimen/ciencia_forense/ fecha de
consulta: 08.02.2013
6
Forense, Enciclopedia Criminalística, Criminología e Investigación, 1era. Edición, Bogotá, D.C. Sigma
Editores, 2010, Glosario
7
Derecho y cambio social, La informática forense; el rastro digital del crimen, Perú, 2004
http://www.derechoycambiosocial.com/revista025/informatica_forense.pdf. fecha de consulta: 12.03.2013

3
Disciplina auxiliar de la justicia moderna para enfrentar los desafíos y técnicas de los
intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital
que se pudiese aportar en un proceso.8

En conclusión diremos que la Informática Forense, es una disciplina auxiliar de la

justicia que a través de un proceso metodológico se encarga de la recolección y análisis
de la evidencia digital.

1.4 Que es la Informática Forense

Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura

tecnológica que permiten identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal.

Por tal razón la Informática Forense es una disciplina auxiliar de la justicia, ya que por
medio de ella se puede determinar mediante técnicas científicas y analíticas todo lo
relacionado a la informática en busca de la evidencia digital.

1.5 Principios Forenses

El documento titulado como Informática Forense9, nos hace mención sobre algunos
principios forenses de la evidencia digital a la hora de ser localizada. Existe un gran
número de principios básicos que son necesarios independientemente si está
examinando un ordenador o un cadáver, estos principios son:

 evitar la contaminación: la esterilidad de los medios es una condición

fundamental para el inicio de cualquier procedimiento forense en informática,
pues al igual que en la medicina forense un instrumento contaminado puede ser

8
Cano M., Jeimy J. “Introducción a la Informática Forense”, Revista Sistemas N° 96, Abril/Junio 2006,
Colombia, Publicado por Asociación Colombiana de Ingeniero de Sistemas (ACIS), pág. 64.
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
9
Ebookbrowse, principios de la informática forense, http://ebookbrowse.com/informatica-forense-g3-pdf-
d13705718 fecha de consulta: 11.02.2013

4
 causa de una interpretación o análisis erróneo en la causa de la muerte del
paciente.

 actuar metódicamente: el investigador debe ser el custodio de su propio

proceso por lo tanto, cada uno de los pasos realizados, los instrumentos
utilizados y los resultados obtenidos del análisis deben estar claramente
documentados, de tal manera que cualquier persona externa pueda validar y
revisar los mismos.

 controlar la cadena de evidencia, es decir, conocer quien, cuando y donde

ha manipulado la evidencia: este punto es complemento del anterior; quién la
entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido
acceso a ella, cómo se ha efectuado su custodia, entre otras son las preguntas
que deben estar claramente resueltas para poder dar cuenta de la adecuada
administración de las pruebas a su cargo.

En el documento titulado la Informática Forense: el rastro digital del crimen10, también

nos hace referencia de algunos principios forenses los cuales fueron desarrollados por
la IOCE (International Organization of Computer Evidence)11 con una serie de principios
y procedimientos para actuaciones sobre pruebas digitales estos principios son:

 todos los principios generales de procedimientos y técnicas forenses

deben ser aplicados cuando se manipulen pruebas digitales: cualquier
institución con atribuciones en la búsqueda, recolección, y análisis de pruebas
debe tener una metodología o unos principios generales definidos con el objetivo
de proteger los intereses de todas las partes.

10
Derecho y cambio social, La Informática forense; el rastro digital del crimen. Op. cit. Pag. 04 Fecha de
consulta 11.02.2013
11
Organización Internacional de Pruebas de Ordenador

5
  en la manipulación de pruebas digitales, las acciones que se lleven a cabo
no deben alterar dicha prueba: en caso de que se tenga que actuar de tal
forma que se altere la prueba, las acciones deberán ser completamente
documentadas.

 cuando sea necesario que una persona tenga acceso a una prueba digital
original, dicha persona debe estar formada para ese propósito: la mejor
práctica es realizar una imagen digital de la prueba a analizar y actuar sobre la
copia para no alterar la original.

 toda actividad relativa a la recogida, acceso, almacenamiento, o

transferencia de pruebas digitales debe ser completamente documentada,
conservada y disponible para su estudio: todas las manipulaciones que se
lleven a cabo deben ser documentadas de tal forma que sea comprensible, de
manera que las acciones que se están registrando puedan ser reproducidas si
fuera necesario, es vital mantener la cadena de custodia.

 cada persona es responsable de todas las acciones tomadas con respecto

a la prueba digital mientras dicha prueba esté a su cargo: dicha
responsabilidad es personal y no corporativa.

 cualquier institución o grupo, que sea responsable de la recogida, acceso,

almacenamiento, o transferencia de una prueba digital, es responsable de
cumplir y hacer cumplir estos principios: las instituciones con atribuciones en
la recolección y manipulación de pruebas digitales, velarán para que estos
principios se lleven a cabo como un marco de referencia y trasladando éstos a
los procedimientos de actuación que se desarrollen en dichas instituciones.

Con estos principios nos podemos dar cuenta que, lo primordial es evitar la
contaminación a la hora de efectuar cualquier procedimiento forense en informática y
que todo el proceso debe de estar totalmente documentado, otra anotación importante

6
es la cadena de custodia la cual nos permite visualizar el adecuado manejo de la
evidencia. La persona que realiza este tipo análisis debe estar totalmente capacitada
en el área de informática forense.

1.6 Importancia

La informática forense nace en vista de la necesidad del personal del derecho en poder
afrontar nuevas tareas probatorias, esta necesidad crea el nacimiento de los llamados
detectives digitales o peritos informáticos. Los informáticos forenses tienen la ardua
labor de realizar investigaciones en busca de evidencia digital.

1.7 Objetivos

El objetivo de la informática forense es recobrar los registros y mensajes de datos

existentes dentro de un equipo informático, de tal manera que toda esa información
digital pueda ser utilizada como prueba ante un tribunal. 12
En el documento Informativa Forense: Generalidades, Aspectos Técnicos y
Herramientas13 nos hacen referencia sobre 3 objetivos:

 la compensación de los daños causados por los criminales o intrusos.

 la persecución y procesamiento judicial de los criminales.
 la creación y aplicación de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas entre ellas la principal, la recolección de
evidencia.
Concluimos que el objetivo de la informática forense es muy preciso, el cual se fija en la
recolección de todos aquellos datos dentro de un equipo informático, así como
presentar la evidencia ante un tribunal, el cual también tiene una finalidad preventiva.

12
Dr. Del Pino Acurio, Santiago, Introducción a la Informática Forense, Ecuador, Fiscalía General del
Estado Ecuador, 2009, pág. 9
13
López, Oscar. Amaya, Haver. León Ricardo, Informática Forense: Generalidades, Aspectos Técnicos y
Herramientas, Colombia, Universidad de los Andes Bogotá, Pág. 02

7
1.8 Uso de la Informática Forense

El documento Informática Forense, generalidades, aspectos técnicos y herramientas,

nos indica la temática siguiente:

 prosecución criminal: evidencia incriminatoria puede ser usada para procesar

una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y
venta de drogas, evasión de impuestos o pornografía infantil.

 temas corporativos: la información puede ser recolectada en casos sobre

acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.

 mantenimiento de la ley: la Informática Forense puede ser usada en la

búsqueda de información, una vez que se tenga orden judicial.

Como nos podemos dar cuenta la Informática Forense tiene muchos usos y es de gran
utilidad en cada uno de ellos, por ser una ciencia que utiliza la aplicación de técnicas
científicas en la infraestructura tecnológica para el proceso de identificar hasta
presentar los datos ante un tribunal

2 Delitos Informáticos

2.1 Introducción:
Internet sin duda cambió el ritmo de vida de las personas, facilitó realizar sus
actividades en un menor tiempo posible, conectarse con cualquier parte del mundo,
acceder a todo tipo de información y entablar otra serie de relaciones sociales. Sin
embargo, la facilidad que día a día tienen las personas para manejar su información, las
ha llevado a cometer uno de los errores más graves en el mundo virtual que puede
llegar a perjudicar en segundos su vida personal, social, económica y laboral.

8
A la par del avance de la tecnología informática y su influencia en casi todas las áreas
de la vida, han surgido una serie de comportamientos ilícitos denominados de manera
genérica como “delitos informáticos”. Los delitos que se pueden cometer en la
actualidad mediante el uso de la computadora, son múltiples y de tipos muy variados,
nadie puede estar seguro de que no va a ser víctima de alguno de ellos.

Los especialistas informáticos y legisladores deben trabajar juntos con el fin de

proporcionar un instrumento confiable que permita identificar y sancionar de una
manera correcta los delitos que con el uso de los equipos de cómputo se puedan
presentar, el mayor inconveniente relacionado con los delitos informáticos es el vacío
legal.

Actualmente Guatemala no cuenta con un ordenamiento jurídico que regule todos

aquellos ilícitos relacionados a los delitos informáticos, el código penal guatemalteco
hace referencia sobre este tipo de delitos en su capítulo VII haciendo referencia de
algunas normas, mismas que no responden a las necesidades actuales, debido a la
innegable variación de las tecnologías de la información.

El Congreso de Guatemala cuenta con la iniciativa número 4055, denominada Ley de

Delitos Informáticos, la cual fue conocida por el Honorable Pleno del Congreso de la
República el 18 de agosto del año 2009. Esta iniciativa pretende crear una normativa
de prevención y sanción de los delitos informáticos e inviolabilidad a los derechos de
toda persona en cuanto a la confidencialidad, integridad y disponibilidad de datos y
tecnologías de la información que posea y utilice. Tiene como finalidad crear un marco
jurídico que sea uniforme con los convenios internacionales sobre ciberdelincuencia a
efecto de crear mecanismos eficaces de prevención y sanción.

Debido a que en nuestro país ya existe regulación sobre el comercio electrónico, según
el contenido de la Ley para el Reconocimiento de las Comunicaciones y Firmas
Electrónicas, Decreto numero 47-2008 del Congreso de la República de Guatemala, se
hace necesario emitir una ley especial para prevenir y sancionar los delitos de

9
naturaleza informática que pudieran afectar el objeto o materia de la normativa del
comercio electrónico y todos aquellos actos ilícitos de naturaleza informática. Por tal
motivo es indispensable la aprobación de la iniciativa numero 4055, la cual establece
disposiciones que tienden a proteger los derechos de toda persona en cuanto a la
integridad, disponibilidad y confidencialidad de los sistemas que utilicen tecnologías de
la información y sus componentes.

2.2 Definición

Al hablar de los delitos informáticos primero se tiene que hablar de qué es un delito, y
luego de qué es la informática. Un delito es un acto u omisión sancionado por las leyes
penales. El ilustre penalista Cuello Calón14, enumera los elementos integrantes del
delito.

 el delito es un acto o acción humana, (ejecución u omisión) de carácter

antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido;

 el delito debe corresponder a un tipo legal (figura de delito), definido por la Ley,
ha de ser un acto típico.

 el acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y

una acción es imputable cuando puede ponerse a cargo de una determinada
persona.

 la ejecución u omisión del acto debe estar sancionada por una pena.

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado,
culpable y sancionado por una pena, mientras que la informática según el Dr. Julio

14
Jurista español. Fue catedrático de derecho penal en las universidades de Barcelona y de Madrid.
Escribió diversas obras, entre las que destacan Derecho penal: Penología (1920) y La nueva penología
(1958).

10
Alejandro Téllez Valdez15, es "un conjunto de técnicas destinadas al tratamiento lógico y
automático de la información para una mejor toma de decisiones".

Ahora si juntamos las definiciones tendremos que los delitos informáticos son: el
conjunto de técnicas de carácter antijurídico destinadas al tratamiento lógico y
automatizado de la información sancionada por las leyes penales.

De esta manera citaremos algunas definiciones de varios autores para saber el punto
de vista de cada uno de ellos en relación con los Delitos Informáticos:

Davara Rodríguez16 define al delito informático como, la realización de una acción que,
reuniendo las características que delimitan el concepto de delito, sea llevada a cabo
utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular
de un elemento informático, ya sea hardware o software.

Julio Téllez Valdés17 conceptualiza al delito informático en: forma típica y atípica,
entendiendo por la primera a “las conductas típicas, antijurídicas y culpables en que se
tienen a las computadoras como instrumento o fin” y por las segundas “actitudes ilícitas
en que se tienen a las computadoras como instrumento o fin”.

Núñez Ponce18 por su lado, nos refiere que los delitos informáticos son: todas aquellas
conductas que son ilícitas susceptibles de ser sancionadas por el derecho penal, que
hacen uso antijurídica y culpables en que se tienen computadoras o ordenadores en las
cuales se usan diversas técnicas y funciones; desempeñando así un papel ya sea como
método, medio o como instrumento o fin.

15
Investigador titular "B" de tiempo completo en el Instituto de Investigaciones Jurídicas de la UNAM,
México.
16
Davara Rodríguez, Miguel Ángel. Manual de Derecho Informático, Pamplona, Editorial Aranzadi, 1997,
págs. 285 a 326
17
Téllez V., Julio, Derecho Informático, 2° Edición, México, Editorial McGraw-Hill, 1996, Pág. 103-104
18
Dr. Núñez Ponce Julio, Derecho Informático, Perú, Editorial Marsol, 1996, pág. 101

11
María Cinta Castillo y Miguel Ramallo19 por lo tanto entienden que "delito informático es
toda acción dolosa que provoca un perjuicio a personas o entidades en cuya comisión
intervienen dispositivos habitualmente utilizados en las actividades informáticas.

Según Parker, D.B,20 define a los delitos informáticos como: todo acto intencional
asociado de una manera u otra a los computadores; en los cuales la víctima ha o habría
podido sufrir una pérdida; y cuyo autor ha o habría podido obtener un beneficio.

Con las ponencias anteriormente descritas sobre la definición del delito informático los
autores coinciden que, es una acción antijurídica que se lleva a cabo con la ayuda de
un elemento o medio informático, perjudicando tanto a personas como a entidades.

2.3 Clasificación

El autor mexicano Julio Téllez Valdez21, clasifica estos delitos de acuerdo a los
siguientes criterios:

 como Instrumento o medio:

Conductas criminales que se valen de las computadoras como método (utilizan una
computadora como medio o símbolo):

 falsificación de documentos vía computarizada (tarjetas de crédito, cheques,

etc.);
 lectura, sustracción o copiado de información confidencial;
 modificación de datos tanto en la entrada como en la salida;
 aprovechamiento indebido o violación de un código para penetrar a un sistema
introduciendo instrucciones inapropiadas. (caballo de Troya);

19
Jiménez Castillo, Cinta María, Romero Ramallo, Miguel. El delito informático, Facultad de Derecho de
Zaragoza, Congreso sobre Derecho Informático, 1989, págs. 22-24
20
Parker, D.B, Citado por Romeo Casabona Carlos M. Poder Informático y Seguridad Jurídica, Madrid,
Editorial Fundesco, Colección Impactos, 1987, p. 25
21
Téllez Valdez, Julio. Op. Cit. Pág. 105

12
  variación en cuanto al destino de pequeñas cantidades de dinero hacia una
cuenta bancaria ficticia. (Técnica de salami);
 alteración en el funcionamiento de los sistemas, a través de los virus
informáticos;
 intervención en las líneas de comunicación de datos o teleproceso.

 como fin u objetivo:

En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las
computadoras, accesorios o programas como entidad física. Conductas dirigidas a
causar daños en el hardware o en el software de un sistema.

 programación de instrucciones que producen un bloqueo total al sistema.

 destrucción de programas por cualquier método.
 daño a la memoria.
 atentado físico contra la máquina o sus accesorios.

Los métodos utilizados para causar destrozos en los sistemas informáticos son de
índole muy variada y han evolucionando hacia técnicas cada vez más sofisticadas y de
difícil detección. Básicamente, se puede diferenciar dos grupos de casos: las
conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a
causar daños lógicos.

Por su parte María Luz Lima22, presenta la siguiente clasificación de delitos

electrónicos:
 como método: conductas criminales en donde los individuos utilizan métodos
electrónicos para llegar a un resultado ilícito.

 como medio: conductas criminales en donde para realizar un delito utilizan una
computadora como medio o símbolo.

22
Lima De La Luz, María. "Delitos Electrónicos", en Criminalia No. 1-6. Año L., Enero-Junio 1984, México,
Academia Mexicana de Ciencias Penales, Editorial Porrúa, Pag.100

13
  como fin: conductas criminales dirigidas contra la entidad física del objeto o
máquina electrónica o su material con objeto de dañarla.

La clasificación de estos delitos es muy amplia, por una parte son conductas criminales
que se valen de las computadoras como método o medio, y por otro lado están las que
van dirigidas a efectuar daños tanto externos como internos a las computadoras, por
consiguiente es de suma importancia prestarle la debida atención ya que de una u otra
forma podemos ser víctimas de nuestra información o de nuestro propio equipo de
computo.

2.4 Tipos
Tipos de Delitos Informáticos reconocidos por Naciones Unidas23.
CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA
Fraudes cometidos mediante manipulación de computadoras.
 manipulación de los datos de entrada: este tipo de fraude informático conocido
también como sustracción de datos, representa el delito informático más común
por ser fácil de cometer y difícil de descubrir. Este delito no requiere de
conocimientos técnicos de informática y puede realizarlo cualquier persona que
tenga acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos.

 la manipulación de programas: es muy difícil de descubrir y a menudo pasa

inadvertido debido a que el delincuente debe tener conocimientos técnicos
concretos de informática. Este delito consiste en modificar los programas
existentes en el sistema de computadoras o en insertar nuevos programas o
nuevas rutinas. Un método común utilizado por las personas que tienen
conocimientos especializados en programación informática es el denominado
Caballo de Troya, que consiste en insertar instrucciones de computadora de

23
Tipos de delitos informáticos reconocidos por las Naciones Unidas, disponible en:
http://www.forodeseguridad.com/artic/discipl/disc_4016.htm Fecha de consulta 22.02.2013

14
 forma encubierta en un programa informático para que pueda realizar una
función no autorizada al mismo tiempo que su función normal.

 manipulación de los datos de salida: se efectúa fijando un objetivo al

funcionamiento del sistema informático. El ejemplo más común es el fraude a
los cajeros automáticos mediante la falsificación de instrucciones para la
computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes
se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se
usan ampliamente equipo y programas de computadora especializados para
codificar información electrónica falsificada en las bandas magnéticas de las
tarjetas bancarias y de las tarjetas de crédito.

 fraude efectuado por manipulación informática: aprovecha las repeticiones

automáticas de los procesos de cómputo. Es una técnica especializada que se
denomina "técnica del salchichón" en la que "rodajas muy finas" apenas
perceptibles, de transacciones financieras se van sacando repetidamente de una
cuenta y se transfieren a otra.

Falsificaciones informáticas
 como objeto: cuando se alteran datos de los documentos almacenados en
forma computarizada.

 como instrumentos: las computadoras pueden utilizarse también para efectuar

falsificaciones de documentos de uso comercial. Cuando empezó a disponerse
de fotocopiadoras computarizadas en color a base de rayos láser surgió una
nueva generación de falsificaciones o alteraciones fraudulentas, estas
fotocopiadoras pueden hacer copias de alta resolución, pueden modificar
documentos e incluso pueden crear documentos falsos sin tener que recurrir a
un original, y los documentos que producen son de tal calidad que sólo un
experto puede diferenciarlos de los documentos auténticos.

15
Daños o modificaciones de programas o datos computarizados.
 sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización
funciones o datos de computadora con intención de obstaculizar el
funcionamiento normal del sistema, las técnicas que permiten cometer sabotajes
informáticos son:

 virus: es una serie de claves programáticas que pueden adherirse a los

programas legítimos y propagarse a otros programas informáticos, un virus
puede ingresar en un sistema por conducto de una pieza legítima de soporte
lógico que ha quedado infectada, así como utilizando el método del Caballo de
Troya.

 gusanos: se fabrica de forma análoga al virus con miras ha infiltrarlo en

programas legítimos de procesamiento de datos o para modificar o destruir, pero
es diferente del virus porque no puede regenerarse.

 bomba lógica o cronológica: exige conocimientos especializados ya que

requiere la programación de la destrucción o modificación de datos en un
momento dado a futuro. Ahora bien, al revés de los virus o los gusanos, las
bombas lógicas son difíciles de detectar antes de que exploten y son las que
poseen el máximo potencial de daño, su detonación puede programarse para
que tenga lugar mucho tiempo después de que se haya marchado el delincuente.
 acceso no autorizado a servicios y sistemas informáticos: por motivos
diversos desde la simple curiosidad, como en el caso de muchos piratas
informáticos (hackers) hasta el sabotaje o espionaje informático.

 piratas informáticos o hackers: el delincuente puede aprovechar la falta de

rigor de las medidas de seguridad para obtener acceso, descubrir deficiencias en
las medidas vigentes de seguridad o en los procedimientos del sistema. Esto
suele suceder con frecuencia en los sistemas en los que los usuarios pueden

16
 emplear contraseñas comunes o contraseñas de mantenimiento que están en el
propio sistema.

 reproducción no autorizada de programas informáticos de protección legal:

esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos, algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas.

Por otra parte, existen diversos tipos de delitos que pueden ser cometidos y que se
encuentran ligados directamente a acciones efectuadas contra los propios sistemas
como son:

 acceso no autorizado: uso ilegitimo de password y entrada a un sistema

informático sin la autorización del propietario.

 infracción al copyright de bases de datos: uso no autorizado de información

almacenada en una base de datos.

 interceptación de e−mail: lectura de un mensaje electrónico ajeno.

 "Pesca" u "olfateo" de claves secretas: los delincuentes suelen engañar a los

usuarios nuevos e incautos del internet para que revelen sus claves personales
haciéndose pasar por agentes de la Ley o empleados del proveedor del servicio,
para hacer uso no autorizado de sistemas de computo hasta delitos financieros,
vandalismo o actos de terrorismo.

 estafas electrónicas: la proliferación de las compras telemáticas permite que

aumenten también los casos de estafa. No obstante seguiría existiendo una
laguna legal en aquellos países cuya legislación no prevea los casos en los que
la operación se hace engañando al ordenador.

17
  juegos de azar: el juego electrónico de azar se ha incrementado a medida que
el comercio brinda facilidades de crédito y transferencia de fondos en la red, los
problemas ocurren en países donde ese juego es un delito o las autoridades
nacionales exigen licencias.

 transferencias de fondos: engaños en la realización de este tipo de

transacciones.

Por otro lado, la red Internet24 permite dar soporte para la comisión de otro tipo de
delitos:

 espionaje: se ha dado casos de acceso no autorizado a sistemas informáticos

gubernamentales e interceptación de correo electrónico, estos actos podrían ser
calificados de espionaje si el destinatario final de esa información fuese un
gobierno u organización extranjera. Se evidencia la vulnerabilidad de los
sistemas de seguridad gubernamentales.

 espionaje industrial: accesos no autorizados a sistemas informáticos de

grandes compañías, usurpando diseños industriales, fórmulas, sistemas de
fabricación y que posteriormente ha sido aprovechado en empresas
competidoras o ha sido objeto de una divulgación no autorizada.

 terrorismo: mensajes anónimos aprovechados por grupos terroristas para

remitirse consignas y planes de actuación a nivel internacional.

 narcotráfico: transmisión de fórmulas para la fabricación de estupefacientes,

para el blanqueo de dinero y para la coordinación de entrega y recepción.

24
Internet (La Red): Se denomina así a la red de telecomunicaciones que surgió en los Estados Unidos
en 1969 por el Departamento de Defensa de los Estados Unidos, más precisamente. Se la llamó primero
ARPAnet y fue pensada para cumplir funciones de carácter meramente militar, para convertirse en uno
de los principales medios de comunicación que de manera global afecta la sociedad en diversos aspectos
como son el social, cultural, económico, etc. Internet es además una red multiprotocolo capaz de soportar
cualquier tecnología. Actualmente es un espacio público utilizado por millones de personas en todo el
mundo como herramienta de comunicación e información.

18
  fraude: se han hecho ofertas fraudulentas al consumidor tales como la cotización
de acciones, bonos y valores o la venta de equipos de computadora en regiones
donde existe el comercio electrónico.

 delitos informáticos contra la privacidad: grupo de conductas que de alguna

manera pueden afectar la esfera de privacidad del ciudadano mediante la
acumulación, archivo y divulgación indebida de datos contenidos en sistemas
informáticos. Esta tipificación se refiere a quién, sin estar autorizado, se
apodere, utilice o modifique, en perjuicio de tercero, datos reservados de
carácter personal o familiar de otro que se hallen registrados en ficheros o
soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo
o registro público o privado.

2.5 Características

De acuerdo a las características que menciona en su libro Derecho Informático el Dr.

Julio Téllez Valdés25, se puede observar el modo de operar de estos ilícitos:

 son conductas criminógenas de cuello blanco, (Lima) en tanto que sólo

determinado número de personas con ciertos conocimientos (en este caso
técnicos) pueden llegar a cometerlas.

 son acciones ocupacionales, en cuanto que muchas veces se realizan cuando el

sujeto se halla trabajando.

 son acciones de oportunidad, en cuanto que se aprovecha una ocasión creada o

altamente intensificada en el mundo de funciones y organizaciones del sistema
tecnológico y económico.

25
Téllez Valdez, Julio. Op. Cit. Págs. 104-105

19
  provocan serias pérdidas económicas, ya que casi siempre producen "beneficios
de más de cinco cifras a aquellos que los realizan.

 ofrecen facilidades de tiempo y espacio, ya que en milésimas de segundo y sin

una necesaria presencia física pueden llegar a consumarse.

 son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta
de regulación por parte del Derecho.

 son muy sofisticados y relativamente frecuentes en el ámbito militar.

 presentan grandes dificultades para su comprobación, esto por su mismo

carácter técnico.

 en su mayoría son imprudenciales y no necesariamente se cometen con

intención.

 ofrecen facilidades para su comisión a los mentores de edad.

 tienden a proliferar cada vez más, por lo que requieren una urgente regulación.

 por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.

Las características de este tipo de delitos son aspectos técnicos los cuales hacen que
se distingan de los demás, ya que operan de una manera muy sofisticada y son
acciones de oportunidad. Haciendo un análisis muy concreto es importante señalar
que se debe actuar de la manera más eficaz para evitar ser víctima de estos delitos y
contrarrestar a que estos se sigan realizando, por tal motivo es de suma importancia
legalizar este ilícito para que se reduzca su accionar.

20
3 Evidencia Digital

3.1 Antecedentes

Desde la década de los noventa ha existido un incremento de tendencia por el uso de la

tecnología, y ha tenido un crecimiento exponencial llevando a distintas disciplinas del
conocimiento a estudiar las condiciones en que se desarrollan los nuevos negocios y
por ende las nuevas formas de delinquir.

Desde los años noventas hasta hoy en día, la evidencia digital cobra más importancia,
sin embargo, aún hay un largo camino por recorrer especialmente en los aspectos
siguientes:

 Especialización
 Legislación
 estudio
 actualización.

El desarrollo e innovación que presenta el mundo tecnológico es impresionante y la

evidencia digital sigue cobrando importancia y realce especialmente a partir del siglo
XXI, donde la revolución tecnológica ha marcado un paso importante en la humanidad.

Actualmente la evidencia digital ha llegado a un nivel interesante de especialización,

incluso ya se escucha hablar de delitos informáticos y auditorias forenses de tecnología,
entre otros temas. De esa cuenta, en la actualidad cada vez las organizaciones se
ven abocadas a tratar de establecer medios probatorios digitales, dada la alta inter
conectividad de las operaciones y relaciones con terceros.

21
3.2 Introducción
La evidencia digital es única, cuando se le compara con otras formas de evidencia
documental, la evidencia computacional es frágil y una copia de un documento
almacenado en un archivo es idéntica al original.

Otro aspecto único de la evidencia digital es el potencial de realizar copias no

autorizadas de archivos sin dejar rastro, esta situación genera problemas con respecto
al robo de información.

3.3 Definición

Comencemos con algunas definiciones que nos proporcionan ciertos autores en

relación al tema:

Según el autor Jeimy J. Cano M., la evidencia digital se considera como: “El listado de
conceptos en lenguaje técnico que puede ser catalogado como elementos materiales
probatorios”.26

Eoghan Casey27 define la evidencia de digital como “cualquier dato que puede
establecer que un crimen se ha ejecutado (commit) o puede proporcionar un enlace
(link) entre un crimen y su víctima o un crimen y su autor”.
Handbook Guidelines for the management of IT evidence28 (Manual de directrices para
la dirección de pruebas), define la evidencia digital como: “cualquier información, que
sujeta a una intervención humana u otra semejante, ha sido extraída de un medio
informático”

26
Cano M. Jeimy J., Computación Forense, descubriendo los rastros informáticos , México, Editorial Alfaomega,
2009
27
Casey, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet,
second edition, USA, ELSEVIER ACADEMIC PRESS, 2004, Pág. 11
28
HB171:2003 Handbook Guidelines for the management of IT evidence, Disponible en:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf Fecha de consulta
18.02.2013

22
Como nos podemos dar cuenta varias definiciones coinciden en que la evidencia digital
puede ser cualquier dato o información, que sujeta a una intervención humana ha sido
extraída de un medio informático y nos puede proporcionar un enlace entre el crimen y
su autor. De esta manera podemos indicar que evidencia digital son todos aquellos
datos que se encuentran o se localizan en cualquier medio informático o dispositivos de
almacenamiento de información29.

Jeimy J. Cano M.30 refiere la evidencia digital es la materia prima para los
investigadores donde la tecnología informática es parte fundamental del proceso, sin
embargo y considerando el ambiente tan cambiante y dinámico de las infraestructuras
de computación y comunicaciones, es preciso detallar las características propias de
dicha evidencia en este entorno. La evidencia digital posee, entre otros los siguientes
elementos que la hacen un constante desafío para aquellos que la identifican y analizan
en la búsqueda de la verdad:

 volátil
 anónima
 duplicable
 alterable y modificable
 eliminable

Estas características nos advierten sobre la exigente labor que se requiere por parte de
los especialistas en temas de informática forense, tanto en procedimientos, como en
técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y
presentar la evidencia presente en una escena del delito.

29
Son dispositivos capaces de grabar datos en su memoria, facilitando así, el transporte de información y
la distribución de la misma en distintos equipos.
30
Cano M., Jeimy J. Op. cit. Pág. 67

23
3.4 Clasificación
Jeimy J. Cano clasifica la evidencia digital en tres categorías31:

 registros generados por computador: estos registros son aquellos que como
dice su nombre, son generados como efecto de la programación de un
computador. Estos registros son llamados registros de eventos de seguridad
(logs) y sirven como prueba tras demostrar el correcto y adecuado
funcionamiento del sistema o computador que generó el registro.

 registros no generados sino simplemente almacenados por o en

computadores: estos registros son aquellos generados por una persona, y que
son almacenados en el computador, por ejemplo, un documento realizado con un
procesador de palabras. En estos registros es importante lograr demostrar la
identidad del generador, y probar hechos o afirmaciones contenidas en la
evidencia misma.

 registros híbridos que incluyen tanto registros generados por computador

como almacenados en los mismos: los registros híbridos son aquellos que
combinan afirmaciones humanas y logs, para que estos registros sirvan como
prueba deben cumplir los dos requisitos anteriores.

La diferencia entre las tres categorías mencionadas radica en el factor humano, es decir
lo determinante es si una persona o un computador crearon o generaron el contenido
del registro.

31
José Alejandro Mosquera González, Andrés Felipe Cetain Jaramillo, Jeimy J. Cano, “Evidencia Digital:
contexto, situación e implicaciones nacionales”, Revista de Derecho, Comunicaciones y Nuevas
Tecnologías N° 1, Abril de 2005, Bogota, Colombia, GECTI, Pág. 179
http://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics90.pdf

24
Entonces se entiende que la evidencia digital se clasifica en tres categorías para una
mejor individualización, como los registros generados desde un computador entiéndase
un software creado para una aplicación especifica, también se menciona de los
registros que solamente se almacenan generados por una persona por ejemplo un
documento de Word, finalmente se habla de los registros híbridos los cuales es la
combinación de ambos registros.

3.5 Características

Cuando ha sucedido un incidente, generalmente, las personas involucradas en el

crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier
rastro que pueda dar muestras del daño, sin embargo, este problema es mitigado con
algunas características que posee la evidencia digital32:

 la evidencia digital puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera la original. Esto se hace comúnmente
para no manejar los originales y evitar el riesgo de dañarlos.

 actualmente con los instrumentos existentes, es muy fácil comparar la evidencia

digital con su original, y determinar si la evidencia digital ha sido alterada.

 la evidencia digital es muy difícil de eliminar. Aún cuando un registro es borrado

del disco duro del computador, y éste ha sido formateado, es posible recuperarlo.

 Cuando los individuos involucrados en un crimen tratan de destruir la evidencia,

existen copias que permanecen en otros sitios.
En el documento consideraciones técnicas y procedimiento para la investigación de
delitos informáticos33, se hace referencia a algunas características que hacen que la

32
Casey, Eoghan. Op. cit. Pág. 12
33
Daniel Torres, Sandra Rueda, Jeimy Cano, Algunas consideraciones técnicas y de procedimiento para
la investigación de delitos informáticos, Universidad de Los Andes Colombia, Pág. 03
http://www.cse.psu.edu/~ruedarod/papers/recsi04.pdf fecha de consulta 28.02.2013

25
evidencia digital deba ser tratada de manera especial, su volatilidad y su posible
distribución.

La volatilidad se refiere principalmente, a que parte de la información se encuentra en

dispositivos de almacenamiento temporal y que la mayoría de sistemas operativos y
paquetes de software actuales son diseñados con un esquema multiusuario y
multiproceso, ocasionando la reescritura constante de los dispositivos de
almacenamiento temporal, además al apagar el computador se pierde toda la
información que se encontraba almacenada en estos dispositivos.

La posible distribución es ocasionada porque, los delitos informáticos se pueden llevar a

cabo por medio de redes de computadores y la escena del crimen puede encontrarse
en uno o más computadores localizados en jurisdicciones diferentes, teniendo el debido
cuidado la evidencia digital puede ser duplicada y con las herramientas apropiadas se
puede verificar fácilmente si ha sido alterada.

Debido a estas características, el investigador se ve obligado a seguir procedimientos

incluso más rigurosos que los tradicionales, es por esto que la preparación tanto técnica
como metodológica es fundamental para toda persona que planee trabajar en el área
de la informática forense.

Es importante tener presente que la evidencia digital debe ser tratada con mucho
cuidado debido a sus características ya que pude ser duplicada exactamente igual a la
original, es importante poder establecer si la evidencia que estamos trabajando no ha
sido alterada y que nos pueda brindar la información que se requiere, por tal motivo es
necesario contar con el equipo indicado para su análisis respectivo aunque esta sea
eliminada puede recuperarse mediante un proceso especifico.

También se hace referencia de dos características muy importantes, la volatilidad que la

evidencia pueda tener al ser manipulada de forma incorrecta pudiendo esta perderse, y

26
la posible distribución no es más que la facilidad con que se pueden llevar a cabo los
delitos informáticos, ya que el lugar del hecho puede estar en un punto y el lugar de
origen de donde se cometió o de donde se llevo a cabo puede ser en otro lugar, esto
debido a la facilidad que se tiene de acceder a los computadores.

4 Procedimientos en la Investigación, Recolección y manejo de la Evidencia

Digital

4.1 Característica del delito informático

Antes de comenzar con la investigación criminal debemos analizar la secuencia típica

de un ataque informático o del uso de un medio electrónico, equipo o dispositivo de
almacenamiento para la comisión de un delito, los pasos habituales en la comisión de
un delito informático son:

 definir Objetivo
 reunir Información
 procesar Información
 analizar Información
 ejecutar Acción o atacar

Por lo tanto, no necesaria y únicamente encontraremos pistas en el dispositivo afectado

o utilizado, el atacante ha tenido que reunir la información y bajo el principio de Locard34
ha dejado huellas electrónicas que debemos encontrar, cada caso es peculiar según el
atacante. Por supuesto que debemos tomar en cuenta la naturaleza e intelecto del
atacante que puede haber utilizado técnicas anti forenses35, en cuyo caso estaremos
frente a un atacante o perpetrador del hecho muy sofisticado que si bien minimiza la

34
El principio de intercambio de Locard, menciona que cuando dos objetos entran en contacto siempre
existe una trasferencia de material entre el uno y el otro. Es decir que cuando una persona está en una
escena del crimen, esta deja algo de si misma dentro de la escena, y a su vez cuando sale de ella esta
se lleva algo consigo.
35
Es la eliminación segura de datos almacenados en dispositivos magnéticos.

27
posibilidad de encontrar rastros, también limita en sentido positivo el espectro de
posibles atacantes, dado el conocimiento y las técnicas utilizadas.

4.2 Protección de la Escena del Crimen

Para evitar la contaminación del lugar y poder documentar la condición original del
escenario, todo el personal que interviene debe hacer el máximo esfuerzo para poder
mantener asegurada y protegida dicha escena. El aseguramiento requiere conservar
en forma original el espacio físico donde aconteció el hecho con la finalidad de evitar
cualquier alteración, manipulación, contaminación, destrucción, pérdida o sustracción
de los elementos, rastros o indicios que en el lugar se localicen.

La protección inicial de la escena del crimen implica mantener de inmediato la

intangibilidad del espacio físico en el que pudieran hallarse elementos, rastros o indicios
vinculados con el suceso.

Una escena del crimen es caracterizada frecuentemente con un espacio físico

delimitado de alguna manera, por paredes, por un área más extensa o simplemente
delimitadas por el suelo, en función de estas características se dice que la escena es
cerrada, abierta o mixta. Un componente electrónico puede hallarse en cualquiera de
estas escenas, cuando se encuentra en escena abierta se puede asumir que el
dispositivo electrónico se halla en una escena virtual cerrada, con esa misma lógica de
los opuestos complementarios, cuando la escena física es cerrada por ejemplo,
delimitada por un edificio u oficina se puede asumir que la escena virtual será abierta o
mixta en el supuesto de que exista algún tipo de red.

Cuando se sospecha o se tiene certeza de la ocurrencia de un hecho anormal, se debe

bloquear el uso y acceso a todos los dispositivos, medios electrónicos, magnéticos u
ópticos que puedan estar comprometidos.

28
Si en una escena física se procede con el acordonamiento del lugar, en casos de
escenas que comprendan ordenadores se debe tomar en cuenta que éstos pueden
estar conectados a redes, por lo tanto se aislara de la forma más eficiente y así evitar
cualquier tipo de contaminación. Consideremos, por ejemplo una oficina probablemente
un puesto de trabajo puede contener algunos, o todos los dispositivos siguientes:

a) un ordenador de sobremesa o móvil;

b) teléfono móvil;
c) agenda electrónica;
d) memorias flash;
e) discos compactos (Cd o Dvd);
f) impresora;
g) teléfono / fax que puede tener memoria de grabación;
h) dispositivos USB, de diferentes tipos;

Tales son estos dispositivos que pueden llegar a manejar y almacenar información
variada y valiosa para el caso en investigación, por tal motivo es muy importante ser
metódico en todos los procedimientos a realizar, comenzando con un buen
acordonamiento de la escena y de esta manera asegurando los dispositivos que
posteriormente van a ser analizados.

En caso de las computadoras, si en la pantalla se ve algo que podría perderse y si

estas se apaga, es recomendable redactar un acta donde se exponga y se describa
todo lo que se muestra en dicha pantalla, de la misma manera documentarlo por medio
de fotografía y video para que de esta manera quede constancia de lo que se está
realizando.

Una de las mejores maneras de aislar la escena electrónica del hecho es quitar la
alimentación de forma inmediata, en caso de ordenadores personales se quitará la
energía eléctrica sin apagar vía sistema operativo, en caso de un ordenador portátil se

29
apagará quitando la batería o en su defecto por el botón de energía, se debe tomar en
cuenta que lo que se llega a perder es poco comparado con la protección que se logra.

La escena del delito informática es idéntica a la física en los cuidados requeridos, no se

deben utilizar, encender o apagar los dispositivos dado que estaría contaminando las
evidencias, tenga en cuenta que con el solo hecho de conectar una memoria (USB)
modifica la escena del delito introduciendo elementos ajenos al hecho en investigación.

4.3 Evaluación de la Escena del Crimen

Es importante clarificar los conceptos y describir la terminología adecuada que nos

señale el rol que tiene un sistema informático dentro del Inter criminis o camino del
delito, esto a fin de encaminar correctamente el tipo de investigación, la obtención de
indicios y posteriormente los elementos probatorios necesarios. De esta misma
manera diseñar los procedimientos adecuados para tratar cada tipo de evidencia, ya
sea convencional o digital.

En esta etapa de la investigación se desarrollan los fundamentos básicos de la

administración, organización y logística, la evaluación comienza cuando se toma
conciencia de que el lugar ha sido totalmente asegurado y protegido. La evaluación es
el paso más importante ya que promueve un plan organizado de acción y evita la
actividad física impensada que destruiría la evidencia pertinente.

Una vez comenzada la evaluación de la escena del crimen no debe interrumpirse, salvo
que se den circunstancias que impliquen peligro físico para el personal o daño para los
objetos que se pudiesen localizar en la escena del crimen.

Determinación del escenario:

Si la escena física está determinada por los componentes: piso, pared y techo, en la
escena virtual tiene que ver con la propiedad del medio físico o canal por el cual se
transmiten los datos.

30
  cerrado – PCs sin conexión a redes
 abierto – PCs con conexión a Internet vía ISP (proveedor de servicio de internet)
 mixto – PCs en LAN/MAN/WAN.

A fin de establecer que los investigadores forenses tengan una idea de dónde buscar la
evidencia digital, éstos deben de identificar las fuentes más comunes de evidencia,
situación que brindará al investigador el método más adecuando para su posterior
recolección y preservación. Las fuentes de evidencia digital pueden ser clasificadas
en tres grande grupos:

 sistemas de computación abierto; son aquellos que están compuestos de las

llamadas computadores personales y todos sus periféricos como teclados,
ratones y monitores, las computadoras portátiles, y los servidores. Actualmente
estos computadores tiene la capacidad de guardar gran cantidad de información
dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia
digital.

 sistemas de comunicación; estos están compuestos por las redes de

telecomunicaciones, la comunicación inalámbrica y el Internet. Son también
una gran fuente de información y de evidencia digital.

 sistemas convergentes de computación; son los que están formados por los
teléfonos celulares llamados inteligentes o Smartphone, los asistentes
personales digitales PDAs, las tarjetas inteligentes y cualquier otro aparato
electrónico que posea convergencia digital y que puede contener evidencia
digital.

Dada la ubicuidad de la evidencia digital, es raro el delito que no esté asociado a un

mensaje de datos guardado y trasmitido por medios informáticos, un investigador
capacitado puede usar el contenido de ese mensaje de datos para descubrir la

31
conducta del infractor, también puede realizar un perfil de su actuación, de sus
actividades individuales y relacionarlas con sus víctimas.

Ejemplos de algunos aparatos electrónicos e informáticos que puedan poseer y

almacenar la evidencia digital:

 computador de escritorio: es una computadora personal que es diseñada para

ser usada en una ubicación fija, la computadora de escritorio es la herramienta
de trabajo por excelencia, el uso que se le da está relacionado normalmente con
las tareas productivas y administrativas.

 computador portátil: es un ordenador personal móvil o transportable, los

ordenadores portátiles son capaces de realizar la mayor parte de las tareas que
realizan los ordenadores de escritorio, con similar capacidad y con la ventaja de
su peso y tamaño reducidos, sumado también a que tienen la capacidad de
operar por un período determinado sin estar conectadas a una red eléctrica.

 estación de trabajo: en informática una estación de trabajo es un

minicomputador de altas prestaciones destinado para trabajo técnico o científico,
que facilita a los usuarios el acceso a los servidores y periféricos de la red.

 hardware de red: normalmente se refiere a los equipos que facilitan el uso de

una red informática, el tipo más común de hardware de red en la actualidad son
los adaptadores Ethernet, ayudados en gran medida por su inclusión en la
mayoría de los sistemas informáticos modernos.

 servidor: aparato que almacena o transfiere datos electrónicos por el Internet

 teléfono celular: es un dispositivo inalámbrico con el cual se puede acceder y

utilizar los servicios de la red de la telefonía celular o móvil, en el mismo también
se pueden almacenar datos.

32
  aparato para identificar llamadas: es un aparato que se utiliza para la
identificación de números telefónicos, el cual también almacena un historial de
datos.

 localizador – beeper: es un dispositivo de telecomunicaciones muy simple que

recibe mensajes de texto corto.

 “GPS” (sistema de posicionamiento global): es un sistema global de

navegación por satélite que permite ubicar geográficamente la posición de un
objeto, una persona o un vehículo.

 cámaras: dispositivos capaces de captar y almacenar imágenes y audio.

 memoria “flash” (USB): Pequeño dispositivo que puede conservar hasta 4

gigabytes de datos o 4,000,000,000 bytes de información.

 palm: asistente personal electrónico que almacena datos y posiblemente tiene

conectividad inalámbrica con el Internet.

 discos, disquetes, cintas magnéticas: medios de almacenamiento de datos.

4.4 Documentación de la Escena del Crimen

La documentación de la escena del crimen es la etapa siguiente a la evaluación,

mediante la cual se detectó la presencia de indicios relacionados al hecho investigado,
la documentación debe tener un orden establecido con el fin de que los distintos
procedimientos se realicen sin alterar los indicios.

Los métodos de documentación más usuales son: la descripción escrita, el croquis, la

fotografía, y el video, los cuales a continuación se detallan:

33
 descripción escrita: la descripción escrita o acta, consiste en la narración por
escrito de lo que se encuentra en la escena del crimen, es decir de lo general a
lo particular, de lo particular al detalle y del detalle al detalle mínimo.
La descripción del lugar de la escena del crimen, características, ubicación
geográfica, orientación, dimensiones y formas, elementos y su distribución,
descripción y ubicación precisa de cada elemento, rastro o indicio que se
observe y todo lo relacionado con el hecho investigado. Así mismo, registrar las
condiciones climáticas (temperatura, estado del tiempo) y de visibilidad.

 croquis: el croquis es un dibujo a mano alzada de la escena del crimen,

esquemático, orientado, con leyenda explicativa, utilizando medidas reales a
escala y/o referencial sin usar las medidas reales. En el croquis se deben
considerar algunos puntos importantes:

a) reflejar dimensiones del lugar, distribución del escenario y localización de víctima

o víctimas, objetos y rastros del hecho investigado susceptibles de registro.

b) indicar la dirección del Norte.

c) incorporar a la escena del crimen y anotar cualquier circunstancia que pueda

tener relación con el hecho que se investiga.

d) relacionar los elementos físicos de la escena del crimen y numerarlos.

e) anotar, previo a su levantamiento y traslado, la ubicación de los indicios

localizados.

f) registrar la distancia de los edificios aledaños, si los hubiera.

g) todo croquis debe contar con una leyenda explicativa o referencia.

34
 fotografía: la fotografía registra y fija una visión total y detallada del lugar del
hecho o escena del crimen, que permite acreditar fehacientemente el estado en
que se encontraban las evidencias físicas, como las operaciones realizadas al
momento de la recolección de los elementos, rastros o indicios. Para el efecto
se deben utilizar las técnicas adecuadas debiendo captar fotografías
panorámicas, de mediana distancia y de detalle. Para a fotografía se debe
considerar:

a) los puntos de referencia, a efecto de permitir situar objetos, cadáveres y

vehículos entre otros en la escena del crimen.

b) específicamente aquello que es necesario resaltar, para lo cual la fotografía

deberá efectuarse con aproximación al detalle mínimo.

c) anexar siempre un testigo métrico como un elemento de referencia a las

fotografías que lo consideren.

d) la aplicación del ángulo adecuado en cada fotografía.

e) iluminación adecuada y necesaria.

 video: el video al igual que la fotografía registra el lugar del hecho o escena del
crimen, se debe procurar que el medio a utilizar sea en un formato estándar MP3
por ejemplo. Para el video se debe considerar:

a) la aplicación del ángulo adecuado

b) la utilización del testigo métrico

c) iluminación adecuada y necesaria.

35
Búsqueda:

Concluida la etapa de la documentación que nos impedían tocar la escena del crimen,
en esta fase podemos alterar la escena en busca de algún rastro, mover todo tipo de
objetos en busca de posibles indicios, huellas digitales así como evidencia digital. El
investigador es autónomo para el empleo de los sistemas de búsqueda y los utilizará de
acuerdo con el lugar sujeto a análisis, utilizando diferentes métodos:

 método punto a punto: consiste en movilizarse de un objeto a otro sin ningún

orden establecido, desplazándose como lo considere el fiscal o el investigador.

 método espiral o circular: se trata de ir dando círculos en forma de espiral,

partiendo desde el punto focal de la escena hasta el más distante seleccionado,
se utiliza igualmente en forma invertida.

 método por franjas: se divide la escena en franjas y los investigadores

encargados de la búsqueda se dirigen en línea recta por la zona que les
corresponde, haciendo una búsqueda minuciosa. Este método es aplicable a
espacios abiertos y grandes.

 método cuadriculado o de rejilla: es una variante del método de las franjas,

pero permite que cada sector sea revisado dos veces dando mayor certeza
sobre la calidad de la búsqueda.

 método de zonas o sectores: la escena se divide en zonas o sectores,

asignando cada sector a un investigador, pudiéndose revisar varios sectores en
forma simultánea.

 método en forma de rueda: la escena se considera en forma circular a la cual

se le trazan líneas como los radios de una rueda, cada investigador recorre la
zona asignada. Este método presenta el inconveniente de que a medida que
uno se va alejando de la zona central, el área se hace más amplia.

36
Fijación:

Ubicados los indicios en la escena del crimen, se les asigna un número respectivo que
será el que los distinga entre sí y que sirva para identificarlos durante toda la
investigación incluso en el debate, siempre y cuando siguiendo un orden lógico de
fijación de los indicios con relación al método de búsqueda establecido.

Manipulación:

El manejo inadecuado de los indicios conduce a su contaminación, deterioro o

destrucción, siendo ésta la causa más frecuente que impide su posterior examen en el
laboratorio. Por esta razón, cuando se llegue al momento de proceder a su
manipulación se realizará con la debida técnica a fin de evitar inconvenientes, a
continuación se recomienda tomar en cuenta y seguir los siguientes aspectos:

 manipular lo menos posible, para evitar la contaminación o destrucción.

 evitar contaminarla con los instrumentos que se utilizan para su levantamiento.

 levantarla por separado, evitando que se mezclen.

 marcarla en aquellos sitios que no ameriten estudio ulterior.

 embalarla individualmente, procurando que se mantenga la integridad de su

naturaleza.

Es recomendable que el embalador sea la misma persona que buscó y fijó, a cada
indicio debe anotarle en un lugar que no altere la forma ni contenido del mismo, una
seña particular con la cual lo pueda identificar.

37
Recolección y Embalaje:
Antes de empezar esta etapa hay que disponer de todos los elementos necesarios, no
se debe utilizar material de la misma escena del delito. Las guías del FBI36
recomiendan contar con dispositivos confiables, pero pueden ser sustituidos por otros
basados en el principio físico de la evidencia digital, se recomienda tener en cuenta lo
siguiente:

 recoger todos los medios móviles y removibles, teniendo en cuenta su rol en el

esquema tecnológico.

 levantamiento del acta respectiva, documentación por medio de fotografía y

video.
 registro de los números de serie y demás características de los equipos, si no
tiene número de serie márquelo y fírmelo con un rotulador indeleble. Deje
constancia de la marca en el acta del levantamiento.

El objetivo de esta fase en el ciclo de vida de la administración de la evidencia digital,

es localizar todo tipo de evidencia y asegurar que todos los registros electrónicos
originales no han sido alterados. Se establecen algunos elementos a considerar como:

 establecer buenas prácticas y estándares para recolección de evidencia digital.

 preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro.

 mantener y verificar la cadena de custodia.

 respetar y validar las regulaciones y normativas alrededor de la recolección de la

evidencia digital

36
La Oficina Federal de Investigaciones (FBI) es una agencia gubernamental que pertenece al
Departamento de Justicia de Estados Unidos, que funciona como una investigación criminal federal y
una agencia de inteligencia.

38
  desarrollar criterios para establecer la relevancia o no de la evidencia
recolectada.

Algunos Puntos a Considerar:

 establecer un criterio de recolección de evidencia digital según su volatilidad, de

la más volátil a la menos volátil

 archivos temporales.

 almacenamiento de datos en memorias USB, CD, DVD.

 documentar todas las actividades que el profesional a cargo de la recolección ha

efectuado durante el proceso, de tal manera que se pueda auditar.

 asegurar el área donde ocurrió el siniestro, con el fin de custodiar el área o

escena del delito y así fortalecer la cadena de custodia y recolección de la
evidencia.

 registrar en medio fotográfico y video la escena del posible ilícito, detallando los
elementos informáticos allí involucrados.

 levantar un croquis o diagrama de conexiones de los elementos informáticos

involucrados, los cuales deberán ser parte del reporte del levantamiento de
información en la escena del posible ilícito.

Pasos para la Recolección de Evidencia

Para el procedimiento de recolección de evidencia digital podemos mencionar tres
requisitos muy importantes:

 utilizar medios forenses estériles.

 mantenimiento y control de la integridad del medio original.

39
  etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigación.

Existen también algunas guías básicas, las cuales mencionan aspectos muy
importantes que pueden ayudar a cualquier investigador forense en el trabajo que esté
realizando, entre las cuales podemos mencionar:

 Forensic Examination on Digital Evidence: A Guide for Law Enforcement37 (El

examen forense de la Evidencia Digital: Una Guía para Aplicación de la ley), nos
indica que existen tres principios generales para el manejo de la evidencia digital:

 las acciones tomadas para recoger la evidencia digital no deben afectar

nunca la integridad de la misma.

 las personas encargadas de manejar y recoger evidencia digital deben ser

capacitadas para tal fin.

 las actividades dirigidas a examinar, conservar o transferir evidencia digital

deben ser documentadas y reservadas para una futura revisión.

La IOCE38 define cinco puntos como los principios para el manejo y recolección
de evidencia computacional:

 sobre recolectar evidencia digital, las acciones tomadas no deben cambiar

por ningún motivo este tipo de evidencia.

37
Esta guía está destinada a los miembros responsables del examen de la evidencia digital. Trata de
situaciones comunes que se encuentran durante el procesamiento y manejo de evidencia digital, así
como ser utilizada para ayudar a las agencias a desarrollar sus propias políticas y procedimientos.
38
Organización Internacional de Pruebas de Ordenador. Es un organismo internacional compuesto por
agencias gubernamentales que realizan investigaciones que involucran o contienen evidencia digital.

40
  cuando es necesario que una persona tenga acceso a evidencia digital
original, esa persona debe ser un profesional forense.

 toda la actividad referente a la recolección, el acceso, almacenamiento o a

la transferencia de la evidencia digital, debe ser documentada
completamente, preservada y disponible para la revisión.

 un individuo es responsable de todas las acciones tomadas con respecto a

la evidencia digital mientras que ésta esté en su posesión.

 cualquier agencia que sea responsable de recolectar, tener acceso,

almacenar o transferir evidencia digital es responsable de cumplir con
estos principios.

La IOCE también menciona otros puntos a considerar para el manejo y recolección:

a) cuando se maneje evidencia digital, deben ser aplicados todos los principios
procedimentales y forenses generales.

b) al obtener evidencia digital, las acciones que se hayan tomado no pueden

modificar esta evidencia.

c) cuando sea necesario que una persona acceda a evidencia digital original, esa
persona debe estar capacitada y calificada para este propósito.

d) todas las actividades relacionadas con obtención, acceso, conservación y

transferencia de evidencia digital, deben estar completamente documentadas,
preservadas y disponibles para revisión.

e) el individuo es responsable por todas las acciones que realice con respecto al
manejo de evidencia digital mientras ésta se encuentre bajo su cuidado.

41
 f) cualquier agencia gubernamental que sea responsable de obtener, acceder,
conservar y transferir evidencia digital, es responsable de cumplir con estos
principios.

La importancia radica en que estos principios se han convertido en guías

interdisciplinarias y estándares para la recuperación, preservación y examen de la
evidencia digital, incluyendo audio, imágenes y dispositivos electrónicos para que los
investigadores tengan una formación profesional uniforme, que promueva la
cooperación y haga posible la interacción entre jurisdicciones en los casos en que se
presenten delitos que abarquen varias de ellas.

Hardware

El hardware es uno de los elementos que se deben tener en cuenta a la hora de la

recolección de evidencia, debido a que puede ser usado como instrumento, como
objetivo del crimen, o como producto del crimen. Lo primero que se debe preguntar el
investigador es en qué partes se deben buscar o investigar, para posteriormente
comenzar con la recolección y el embalaje respectivo.

Cuidados en la Recolección de Evidencia

La recolección de la evidencia digital es un aspecto frágil de la computación forense,

especialmente porque requiere de prácticas y cuidados adicionales que no se tienen en
la recolección de evidencia convencional, es por esto que:

 se debe proteger los equipos del daño.

 se debe proteger la información contenida dentro de los sistemas de

almacenamiento de información (muchas veces, estos pueden ser alterados
fácilmente por causas ambientales, o por un simple campo magnético).

42
  algunas veces, será imposible reconstruir la evidencia (o el equipo que la
contiene), si no se tiene cuidado de recolectar todas las piezas que se necesiten.

Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en
la captura de la/s evidencia/s. Por evidencia entendemos toda información que
podamos procesar en un análisis, por supuesto que el único fin del análisis de la/s
evidencia/s es saber con la mayor exactitud qué fue lo que ocurrió.

4.5 Cadena de Custodia

La cadena de custodia es el mecanismo que garantiza la autenticidad de los elementos

probatorios recogidos y examinados, esto significa que las pruebas correspondan al
caso investigado sin que se dé lugar a confusión, adulteración, pérdida, ni sustracción
alguna. Por lo tanto, toda persona que participe en el proceso de cadena de custodia
debe velar por la seguridad, integridad y conservación de dichos elementos.

Es un procedimiento de seguridad para garantizar que el perito informático reciba del

responsable de la investigación, los elementos de prueba en el mismo estado en que
fueron reunidos en el lugar del hecho, igualmente que sean devueltos al responsable
de la investigación en la misma situación, de forma que al ser presentados ante el
tribunal se pueda comprobar su autenticidad y no existan dudas sobre la misma.
Toda transferencia de custodia debe quedar consignada en las hojas del registro de la
cadena de custodia, indicando fecha, hora, nombre y firma de quien recibe y de quien
entrega.

4.6 Factores que intervienen en una escena del Crimen

Cuando en una escena del crimen se tiene que trabajar en condiciones adversas, como
en incendios, inundaciones, derrames de gasolina o químicos peligrosos, es
indispensable que el investigador tome las medidas de seguridad necesarias para
asegurar en primer lugar su integridad física, luego deberá implementar el

43
procedimiento más adecuado para incrementar las posibilidades de recuperar las
evidencias de la manera más completa. El investigador forense nunca tendrán la
oportunidad de revisar una escena del crimen en su estado original, siempre habrá
algún factor que haga que la escena del crimen presente algunas anomalías o
discrepancias. Con la finalidad de dar una mejor explicación, a continuación se
expondrán algunas de las posibles situaciones en donde se ve afectada la evidencia
dentro de una escena del crimen:

 equipos de emergencias: en el caso de un incendio, los sistemas informáticos

pueden ser afectados por el fuego y el humo, posteriormente sometidos a una
gran presión de agua al tratar de apagar este. Esto provoca que los técnicos
forenses no puedan determinar a ciencia cierta si los sistemas informáticos
encontrados en la escena estuvieron comprometidos, fueron atacados o usados
indebidamente, en otras ocasiones los equipos de emergencia manipulan la
escena cuando es necesario para salvar la vida de una persona.

 personal de criminalística: En algunas ocasiones el personal de criminalística

por accidente cambia, reubica, o altera la evidencia, por ejemplo en el caso de
que se quiera sacar una muestra de sangre de una gota precipitada sobre un
disco compacto, una memoria etc. mediante el uso de un escarpelo, esto puede
accidentalmente comprometer los datos e información almacenada en dichos
soportes.

 el sospechoso o el imputado tratando de cubrir sus rastros: cuando el

sospechoso o el imputado deliberadamente borra o altera los datos, registros u
otros mensajes de datos considerados como evidencia dentro de un disco duro.

 acciones de la víctima: la victima de un delito, puede borrar correos

electrónicos que le causen aflicción o le provoquen alguna situación
embarazosa.

44
  transferencia secundaria: en algunas ocasiones, los sistemas informáticos
usados en el acometimiento de un delito, son usados posteriormente por alguna
persona de forma inocente, causando con ello la destrucción y alteración de
evidencia.

 testigos: un administrador del sistema puede borrar cuentas de usuarios

sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su
acceso y utilización futura.

 el clima y la naturaleza: los campos electromagnéticos pueden corromper la

información guardada en discos magnéticos.

 descomposición: en algunos casos la información almacenada en discos

magnéticos, o en otros soportes puede perderse o tornarse ilegible para los
sistemas de información, a causa del tiempo y de las malas condiciones de
almacenamiento.

En resumen el investigador forense debe entender como los factores humanos, de la

naturaleza y de los propios equipos informáticos pueden alterar, borrar o destruir la
evidencia, se debe comprender como dichas variables actúan sobre la escena misma
del delito, por lo tanto se debe encaminar la investigación desde su etapa más
temprana tomando en cuenta estos cambios, a fin de adecuar el mejor método para
adquirir, preservar y luego analizar las pistas obtenidas, y así reducir de manera
considerable los posibles efectos de la dinámica de la evidencia.

4.7 Roles en la Investigación

La investigación científica de una escena del crimen es un proceso formal donde el

investigador forense, documenta y adquiere toda clase de evidencias, usa su
conocimiento científico y sus técnicas para identificarla y generar indicios suficientes
probatorios. Es por tanto, dejar en claro cuáles son los roles y la participación que

45
tiene ciertas personas dentro de una escena del crimen de carácter informático o digital,
estas personas son:

 técnicos en escenas del crimen: son los primeros en llegar a la escena del
crimen, son los encargados de recolectar las evidencias que ahí se encuentran,
tienen una formación básica en el manejo de evidencia y documentación, al igual
que en reconstrucción del delito, y la localización de elementos de convicción.

 examinadores de la evidencia digital o informática: son los responsables de

procesar toda la evidencia digital o informática obtenida por los Técnicos en
Escenas del Crimen, para este punto las personas requieren tener un alto grado
de especialización en el área de sistemas e informática.

 investigadores de delitos informáticos: son los responsables de realizar la

investigación y la reconstrucción de los hechos de los delitos informáticos de
manera general, son personas que tiene una capacitación en cuestiones de
informática forense, son profesionales en seguridad informática, abogados,
policías, y examinadores forenses.

4.7.1 Peritos Informáticos

Por otro lado, se hace indispensable para la valoración de las pruebas o elementos de
convicción la intervención de personas que tengan conocimientos en materias
especiales, en este caso de la materia informática, los cuales prestan un servicio
especial al fiscal y al juez al momento de ilustrar sobre las materias, técnicas o artes
que son de su conocimiento.

De acuerdo a lo que dispone el Art. 226 del Código procesal Penal, “Los peritos
deberán ser titulados en la materia a que pertenezca el punto sobre el que han de
pronunciarse, siempre que la profesión, arte o técnica estén reglamentados. Si, por

46
obstáculo insuperable no se pudiera contar en el lugar del procedimiento con un perito
habilitado, se designará a una persona de idoneidad manifiesta.”

Peritos son las personas que por disposición legal aportan con sus conocimientos los
datos necesarios para que el juez o el fiscal adquieran un grado de conocimiento para
determinar las circunstancias en que se cometió una infracción, en otras palabras el
conocimiento del perito suple al del juez y el fiscal en cierta área del conocimiento del
cual estos no son expertos, por tanto el perito entrega los elementos de convicción que
permita al operador de justicia crear un razonamiento que desemboque en la resolución
del caso propuesto, en fin aportan elementos que tanto el fiscal como el juez valoraran
al emitir su resolución.

Jeimy Cano llama a los peritos informáticos forenses: investigadores en informática y

los define como “profesionales que contando con un conocimiento de los fenómenos
técnicos en informática, son personas preparadas para aplicar procedimientos legales y
técnicamente válidos para establecer evidencias en situaciones donde se vulneran o
comprometen sistemas, utilizando métodos y procedimientos científicamente probados
y claros que permitan establecer posibles hipótesis sobre el hecho y contar con la
evidencia requerida que sustente dichas hipótesis”39
La pericia es un medio de prueba específicamente mencionado por la ley procesal, “con
el cual se intenta obtener para el proceso, un dictamen fundado en especiales
conocimientos científicos, técnicos o artísticos, útil para el descubrimiento o valoración
de un elemento de prueba”.

Un informe pericial, sus conclusiones u observaciones no son definitivos ni

concluyentes, la valoración jurídica del informe pericial queda a criterio del fiscal o del
juez, quienes pueden aceptarlo o no con el debido sustento o motivación. Se
fundamenta en la necesidad de suplir la falta de conocimiento del juez o del fiscal,
porque una persona no puede saberlo todo, sobre todo en un mundo tan globalizado
donde las ciencias se han multiplicado y diversificado, así como los actos delictivos.

39
Cano, Jeimy. Estado del Arte del Peritaje Informático en Latinoamérica, Colombia, ALFA-REDI, 2005

47
El Perito debe regirse por los siguientes principios:

 objetividad: el perito debe ser objetivo, debe observar los códigos de ética
profesional.
 autenticidad y conservación: durante la investigación, se debe conservar la
autenticidad e integridad de los medios probatorios.
 legalidad: el perito debe ser preciso en sus observaciones, opiniones y
resultados, conocer la legislación respecto de sus actividades periciales y cumplir
con los requisitos establecidos por ella.
 idoneidad: los medios probatorios deben ser auténticos, ser relevantes y
suficientes para el caso.
 inalterabilidad: en todos los casos, existirá una cadena de custodia
debidamente asegurada que demuestre que los medios no han sido modificados
durante la pericia.
 documentación: deberá establecerse por escrito los pasos dados en el
procedimiento pericial.

Estos principios deben cumplirse en todos los procedimientos y por todos los peritos
involucrados.

4.8 Informe Forense

El último paso que se debe realizar en el proceso de investigación es la presentación de

la información recopilada como evidencia, esta consiste en la elaboración del informe
con los resultados obtenidos en cada una de las etapas de la investigación. El informe
que presentemos debe ser totalmente imparcial sin mostrar una sentencia de conducta
del acusado, esto puede llevar a que su trabajo sea descalificado.

El informe es el documento redactado por el perito informático, en el que se exponen

las conclusiones obtenidas por el experto, tras la investigación.

48
Expuesta esta situación debemos tener muy en cuenta cómo debemos presentar un
informe sobre la investigación de tal manera que sea, objetiva, precisa y que contenga
suficientes argumentos que determinen la fiabilidad de la investigación.

En el informe forense debemos incluir:

 los datos de la persona o institución.

 los objetivos de la investigación.

 la declaración previa del perito informático, en la que se establecen los principios

de profesionalidad, veracidad e independencia.

 documentación sobre el proceso de adquisición de pruebas.

 detalle de las acciones que el perito informático lleva a cabo durante la

investigación.

 resultados de la investigación informática y conclusiones.

La elaboración del informe consta a su vez de tres fases:

1. fase de adquisición de las pruebas:

La documentación del proceso de adquisición de las pruebas es una información
que debe formar parte del informe pericial.

2. fase de la investigación:
Constarán en el informe todas las acciones realizadas durante la fase de
investigación, como las herramientas empleadas para la adquisición de la evidencia
electrónica y el detalle y resultado de los procesos efectuados sobre el dispositivo o
unidad que se está analizando.

49
 3. fase de elaboración de la memoria:
En esta última fase, el perito informático recopila la información que ha obtenido
durante todo el proceso de investigación y redacta el informe que se presentará
ante los tribunales.

5 Principios teóricos generales, para la propuesta del protocolo de acción de la

escena del crimen

El protocolo es un conjunto de procedimientos específicos establecidos en un plan de

ejecución, siendo éste una serie de lineamientos que paso a paso nos explica el
procedimiento a seguir. En esta oportunidad se propone un protocolo de acción como
un instrumento técnico que establece los parámetros de las actividades relacionadas
con la aplicación adecuada de las técnicas forenses y de criminalística en el
procesamiento de una escena del crimen.

Es muy importante tener en cuenta y seguir éste protocolo para la manipulación y

recolección de las evidencias digitales, con lo cual se reduce la posibilidad de que estas
se alteren o destruyan.

El protocolo tiene como objetivo, transformar la idea inicial en un verdadero plan de

acción respetando las diferentes fases; también facilita la discusión previa para tomar
una estrategia adecuada de trabajo, sirve como un marco referencial y proporciona una
buena comunicación para desarrollar el trabajo más eficiente.

Las características que garanticen la eficacia del protocolo de acción son; una directriz
completa seria y legible para desarrollar de la mejor manera las fases que este
conlleve.

A continuación se presenta en detalle los pasos a seguir:

50
 1. Asegurar la Escena del Crimen

La primera persona en llegar a la escena del crimen, tiene como objetivo asegurarla,
utilizando cinta de acordonamiento o cualquier otro medio, evitando la aglomeración de
personas y dejando un espacio prudente para que el personal de escena del crimen
pueda trabajar de la mejor manera. Al momento de llegar al lugar de los hechos el
personal técnico deberá ponerse en contacto con la primera autoridad que se presentó
a dicho lugar para obtener la información preliminar relacionada con el caso.

2. Manejar la Escena del Crimen

En cualquier escena del crimen hay varias personas caminando a su alrededor

desempeñando diferentes tareas. Es imperativo que la persona a cargo de la
investigación maneje la logística en la escena, y de esta manera, definir el plan de
procesamiento y emitir las directrices necesarias a todo el personal técnico.

3. Observar la Escena del Crimen

En esta fase, la persona encargada de la investigación conjuntamente con el personal

de escena del crimen tienen como objetivo, observar todo el lugar de los hechos a fin
de establecer hipótesis y crear teorías de lo que pudo haber sucedido, es importante no
tomar decisiones rápidas, hay que ser muy metódico en lo que se observa.

4. Documentar la Escena del Crimen

La documentación en la escena del crimen es muy importante y debe desarrollarse de

la mejor manera, ya que sirve como un registro para una evaluación posterior, de esta
manera la documentación debe realizarse por medio de la descripción escrita,
fotografías, video y el croquis. Cada aspecto con sus propias técnicas para un mejor
resultado. Cada persona documentará la escena del crimen según el rol que se le
haya asignado.

51
 5. Búsqueda

Con base en lo que se pudo determinar en la fase de observación y el método de

procesamiento establecido se comienza con la búsqueda de todos aquellos indicios que
se pudiesen localizar en la escena del crimen, estableciendo un orden lógico en el que
se va a recolectar dichos indicios.

6. Recolección

Se designará a la persona encargada de la recolección de los indicios, debiendo ésta

preservar los mismos evitando que se contaminen o se pierdan. Cada indicio debe ser
manipulado cuidadosamente para que no se altere o se pierda algún rastro importante;
el mismo debe ser marcado por la persona que lo recolecta y embalado con las
técnicas necesarias para evitar su destrucción y comenzar con la cadena de custodia.

52
5.1 Diagrama de flujo de la propuesta de protocolo de acción

Inicio

No Escena Si
del Asegurar la Escena del Crimen
Crimen

No se realiza ningún movimiento

No
Asegurada

Si

Manejar la Escena del Crimen

Documentar la Escena del Crimen Observar la Escena del Crimen

Búsqueda Localización
de indicios
Si

No
Documentar los indicios localizados

Recolección de los indicios

Embalaje de los indicios

Inicio de la Cadena de Custodia Fin

53
6 Planteamiento del Problema

Durante el procesamiento de una escena del crimen podemos observar indicios

convencionales, no obstante, también se pueden localizar indicios que sean
considerados como evidencia digital. Este tipo de evidencia requiere de un tratamiento
más específico ya que posee elementos que la caracteriza como: volátil, anónima,
duplicable, alterable y modificable y eliminable que la hacen un constante desafío en la
búsqueda de la verdad, estos aspectos nos advierten sobre la exigente labor que se
requiere para obtener, custodiar, revisar, analizar y presentar dicha evidencia.

En Guatemala el sector justicia carece de conocimientos en relación a la evidencia

digital debido a la falta de capacitación, por tal razón se generan muchas incógnitas
relacionadas a este tipo de evidencia. El ente encargado de la recopilación de las
evidencias es el Ministerio Publico, específicamente la Dirección de Investigación
Criminal (DICRI), y su personal técnico de escena del crimen, siendo éstas las primeras
personas que tienen contacto directo con todo tipo de evidencias durante el
procesamiento de una escena del crimen. En la actualidad el personal de la escena
del crimen del Ministerio Publico no cuenta con capacitaciones sobre la evidencia
digital, tampoco se tiene una directriz donde se indique el protocolo a seguir cuando se
tenga o se trabaje con la evidencia digital.

La evidencia digital se está convirtiendo en una pieza fundamental para el desarrollo de

un proceso legal, la cual si es obtenida legalmente puede brindar suficiente información
para acreditar o desmentir un hecho.

6.1 Objetivos

6.1.1 General
La aplicación de un protocolo de acción con los aspectos técnicos y prácticos para el
procesamiento de la evidencia digital.

54
6.1.2 Específicos
 dar a conocer al personal del Ministerio Publico los lineamientos a seguir cuando
se trabaje con la evidencia digital.

 determinar los pasos a seguir en la manipulación de la evidencia digital por las

características que posee.

6.2 Alcances y Límites

Este estudio abarca los procedimientos en la investigación, recolección y manejo de la

evidencia digital en las escenas del crimen que se comenten en Guatemala, por
consiguiente se dará a conocer y se analizará los lineamientos a seguir en los
procedimientos donde se tiene que trabajar con este tipo de evidencia.

Se considera que una de las limitantes en esta investigación y quizá las más
significativa radica en la falta de conocimientos sobre el tema, así como la falta de una
legislación específica sobre la evidencia digital la cual regule su actuar.

6.3 Aporte

El propósito de esta investigación es, abordar y establecer los parámetros que se deben
de utilizar al momento de localizar indicios que sean considerados como evidencia
digital, en el procesamiento de una escena del crimen. De esta manera se pretende
formular una guía básica con los procedimientos y lineamientos necesarios para el
trabajo que realiza el Ministerio Público, la Policía Nacional Civil o los mismos
particulares, quienes proporcionan indicios de investigación al Ministerio Público.

Se aporta un protocolo de acción para el manejo de la evidencia digital, con lo cual se

pretende disminuir la alteración o destrucción de este tipo de evidencia.

55
6.4 Método

6.4.1 Sujetos

El presente estudio se realizó con personal de la Fiscalía Distrital del Ministerio Público
del Departamento de Huehuetenango, entre los cuales podemos citar Agentes Fiscales,
Auxiliares Fiscales y Técnicos en Escena del Crimen, siendo un total de 14 personas
integradas como sigue:

Puesto en que labora Población Porcentaje de Población

Agente Fiscal 2 14.29 %
Auxiliar Fiscal 4 28.57 %
Técnico en Escena del Crimen 8 57.14 %

6.4.2 Instrumento

Para el desarrollo de esta investigación se utilizó como método de recopilación de

información el cuestionario, el cual consta de 15 preguntas dirigidas hacia el personal
del Ministerio público relacionadas con el trabajo de desempeñan.

6.4.3 Procedimiento

 Para la elección del tema se estableció que dentro del manual de procesamiento
de la escena del crimen por parte del Ministerio Publico, no existe un protocolo
de acción en cuanto a la evidencia digital, siendo un instrumento inevitable
dentro del procesamiento de las evidencias;

 para que esta investigación se llevara a cabo y tuviera la validez necesaria se

seleccionó a una parte del personal de la Fiscalía Distrital del Ministerio Público
de Huehuetenango;

56
  se procedió explicarle al personal seleccionado en qué consiste esta
investigación y el uso que se le pretende dar;

 se desarrolló el procesamiento y análisis de la información y se efectuó la

discusión de resultados, conclusiones y recomendaciones.

6.5 Presentación de Resultados y Discusión

6.5.1 Presentación

A continuación se presentan los resultados obtenidos durante la investigación, de

acuerdo con cada una de las preguntas incluidas en los diferentes instrumentos.

 ¿Tiene conocimientos sobre lo que es la evidencia digital?

Los entes encuestados conocen el concepto general de la evidencia digital, dado que el
75% respondió afirmativamente, sin embargo el 25% de ellos desconoce las
características específicas que ésta posee.

 ¿Ha tenido una capacitación específica sobre lo que es la evidencia

digital?
El personal encuestado menciona que nunca ha recibido una capacitación sobre la
evidencia digital, por lo tanto desconocen muchos aspectos de este tipo de evidencia.

 ¿Conoce usted, cuál es el procedimiento para la manipulación de este tipo

de evidencia?
El 14.29% de los entes encuestados indica que la evidencia digital debe ser manipulada
por personal técnico apropiado, sin embargo el 28.57% menciona que se desconoce
por la falta de capacitación; el 57.14% hace referencia que se ha manipulado como una
evidencia convencional.

57
  ¿Se le ha otorgado una instrucción, donde se indique las directrices a
seguir cuando se tenga a la vista algún indicio que sea considerado como
evidencia digital?
Los encuestados han coincidido en que no han recibido ninguna instrucción para el
procesamiento de la evidencia digital. Por tal motivo siempre se tiene el
desconocimiento sobre este tipo de evidencia.

 ¿Conoce usted en que aparatos, equipos o dispositivos se puede localizar

evidencia digital?
Los entes encuestados conocen donde se puede localizar la evidencia digital de una
manera general, coincidiendo todos en los dispositivos electrónicos, sin embargo el
28.57% y el 57.14% de la población indica que también se puede localizar en los
equipos de almacenamientos de datos.

 ¿De las escenas del crimen que usted ha trabajado, ha localizado algún tipo
de evidencia digital?
El personal encuestado afirma que ha localizado evidencia digital de una manera
general en las escenas del crimen, siendo estas computadoras, teléfonos celulares,
memorias USB, etc.

 ¿Cuál ha sido el procedimiento que ha tomado al momento de localizar

algún tipo de evidencia digital?
El 14.29% de la población encuestada hace mención que depende de la evidencia
localizada, sin embargo el 28.57% coincide que se ha tratado como una evidencia
convencional, por lo tanto el 57.14% hace referencia que se le ha dado un trato
especifico, no obstante se desconoce los lineamientos a seguir.

 ¿Si se localiza algún tipo de evidencia digital en la escena del crimen, sabe
usted a donde remitirla?
El 14.29% de los entes encuestados indica que depende del tipo de evidencia, sin
embargo el 28.57% indica que posteriormente se coordina, por lo tanto el 57.14%

58
menciona que se remite a la Unidad de Asistencia Técnica de la Dirección de
Investigación Criminal –DICRI-.

 ¿Conoce usted qué tipo de análisis se le puede solicitar a la evidencia

digital?
El 14.29% de la población indica que desconoce el tipo de análisis específico, por lo
tanto el 28.57% y el 57.14% coincide en la extracción de datos como un análisis que se
le puede solicitar a la evidencia digital.

 ¿Conoce usted cuál es el procedimiento para el embalaje respectivo de la

evidencia digital?
El 14.29% de la población encuestada indica que depende del tipo de evidencia, por lo
tanto el 28.57% y el 57.14% indicó que específicamente desconoce el procedimiento de
embalaje.

 ¿Sabe usted qué aportes se pueden obtener con la evidencia digital?

Los entes encuestados afirman que el aporte que brinda la evidencia digital es
información científica.

 ¿Considera usted importante la evidencia digital, durante un proceso de

investigación?
El 14.29% indica que sí, siempre y cuando sea obtenida de forma legal, sin embargo el
28.57% indica que es importante por el dictamen que se imite, por lo tanto el 57.14% de
la población hace referencia por la información que se desea obtener.

 ¿Considera usted importante la evidencia digital como prueba en un

debate?
El 14.29% indica que sí, siempre que sea obtenida de forma legal, el 28.57% indica que
es una prueba científica, y 57.14% menciona que puede brindar argumentos reales
sobre la investigación.

59
  ¿Desde su punto de vista, qué consideración le merece la Evidencia
Digital?
El 14.29% y el 57.14% de los entes encuestados coinciden que la evidencia digital es
necesaria, por lo tanto el 28.57% hace referencia que la evidencia digital es importante.

6.5.2 Discusión de resultados

Sin tener una capacitación específica sobre la evidencia digital, el personal encuestado
ha desarrollado sus actividades laborales, teniendo en cuenta siempre el
desconocimiento sobre los lineamientos a seguir cuando se trabaja con este tipo de
evidencia.

Es inesperado que el personal encuestado no esté capacitado sobre el tema de la

evidencia digital, en la actualidad el “modus operandi” del delincuente ha variado
grandemente; con el paso del tiempo ha ido evolucionando su forma de actuar y el no
saber cómo procesar o manipular una evidencia digital deja una brecha grande en la
búsqueda de la verdad.

Es sorprendente, que la institución para la cual laboran los entes encuestados no tenga
una instrucción donde se indique las directrices a seguir para el procesamiento de la
evidencia digital, principalmente el personal de la escena del crimen quien debiera de
tener estos lineamientos específicos por tener contacto directo con las evidencias,
existe un manual de procesamiento de escena del crimen por parte del Ministerio
Público, sin embargo, en el mismo no se incluye ningún elemento relacionado con la
evidencia digital.

El personal encuestado coincide y sabe dónde localizar la evidencia digital, pero de

manera general; esto quiere decir, que tienen conocimientos que la evidencia digital
puede localizarse en equipos electrónicos o dispositivos de almacenamiento de datos
como por ejemplo; computadoras, teléfonos celulares, memorias USB, CDS, y demás.

60
El procedimiento que se ha aplicado para la manipulación de un indicio que sea
considerado como evidencia digital, ha sido de manera muy general, ya que los entes
encuestados varían en su punto de vista en relación con la forma en que han trabajado
con este tipo de evidencia; cada uno aplicando su criterio. Una parte indica que se ha
trabajado como evidencia convencional, pero otros refieren que se la ha dado un trato
específico; sin embargo, desconocen los procesos y procedimientos que técnicamente
este tipo de evidencia debería tener para que de esta manera se evite la contaminación
o la perdida de la misma, dadas las características que esta evidencia posee.

Se considera que el procesamiento de la evidencia digital tiene que constar de una

serie de pasos detallados y sistemáticamente establecidos, en los cuales se debe de
puntualizar el actuar de cada persona que tenga contacto con este tipo de evidencia.

Remitir la evidencia digital constituye punto crítico, ya que se desconoce el destino que
ésta tendrá. Los entes encuestados han indicado que dependiendo de la naturaleza de
la evidencia, se coordina posteriormente para establecer hacia dónde enviarla para su
análisis respectivo; sin embargo, se hace referencia que este tipo de evidencia ha sido
remitida hacia la Unidad de Asistencia Técnica de la Dirección de Investigación Criminal
(DICRI) del Ministerio Público.
De la misma manera, el personal encuestado desconoce el tipo de análisis que se le
puede requerir a ésta evidencia, ignorando también el embalaje que ésta debe de tener
por carecer de una instrucción especifica que oriente a las personas que trabajan y
manipulan la evidencia digital.

Lo que se espera de la evidencia digital es el aporte que pueda brindar a un proceso de

investigación, se indica que este tipo de evidencia sería admisible cuando se obtenga
de forma legal. Los entes encuestados hacen referencia que durante el proceso de
debate, la evidencia digital constituiría una prueba importante, la cual brindaría
información orientadora para contribuir a una resolución confiable y justa de lo que se
está investigando y, de esta manera apoyar a los jueces en la aplicación objetiva de las
leyes.

61
7 Propuesta del protocolo de acción, para el procesamiento de la evidencia
digital en la escena del crimen

La aplicación de un protocolo es base fundamental para el desarrollo de las actividades,

ya que nos permite actuar de forma segura y al mismo tiempo reforzar el área de
trabajo. Al ejecutar este protocolo las personas involucradas no tendrán problemas
para ponerlo en práctica, ya que consiste en una serie de pasos detallados indicando
en cada punto el trabajo a realizar.

El siguiente protocolo contiene una propuesta concreta para el procesamiento de la

evidencia digital en la escena del crimen, presentando lineamientos específicos para su
desarrollo y de esta manera evitando que la misma se deteriore o se destruya. El
mismo coadyuvara el trabajo que realiza el personal del Ministerio Publico y Policía
Nacional Civil.

PROTOCOLO

Qué hacer al encontrar indicios considerados como evidencia digital en la Escena

del Crimen.

 al encontrar un equipo informático o un dispositivo de almacenamiento de

información en la escena del crimen, lo primero que se debe realizar es la
documentación por medio de fotografía y video a manera de establecer cómo se
encontraron dichos indicios, posteriormente la persona encargada de la
investigación anota en el acta respectiva los objetos localizados.

 al momento de realizar la manipulación de los objetos localizados utilizar siempre

guantes, por ningún motivo se debe tocar los objetos sin guantes, ya que esta
acción podría alterar o hacer desaparecer las huellas dactilares que puedan
presentar dichos objetos.

62
 no use el indicio que está siendo investigado, ni intente buscar evidencias sin la
capacitación adecuada para lo que va a realizar. Posteriormente a su
documentación y manipulación, debe ser resguardado en un lugar seguro para
su embalaje respectivo.

 asegurar los indicios de cualquier tipo de intervención física o electrónica hecha

por extraños.

 si el equipo se encuentra apagado, no lo encienda (para evitar el inicio de

cualquier tipo de programa de autoprotección).

 si el equipo está encendido, no lo apague inmediatamente (para evitar la pérdida

de información “volátil”). Los especialistas en Informática Forense serán los
encargados de darle tratamiento específico al equipo.

 si se tiene a la vista un equipo informático (computadora) se debe de mover el

“mouse” cada minuto para no permitir que este se bloquee. Se debe anotar la
información de los menús y de los archivos activos, sin utilizar el teclado,
cualquier movimiento del teclado puede borrar información importante, fotografiar
la pantalla del equipo, las conexiones y cables con los que se cuente, colocar
etiquetas en los cables para facilitar una re conexión posteriormente si así se
desea.

 si usted cree razonablemente que el equipo informático o electrónico está

destruyendo la evidencia debe desconectarlo inmediatamente, ante esto
documente con fotografía y video.

 si se localiza una computadora portátil (Laptop) y no se apaga cuando es

removido el cable de alimentación, se debe localizar la batería y removerla de su
lugar, ésta generalmente se encuentra debajo del equipo y tiene un botón para
poder ser liberada. Una vez que ésta es removida debe guardarse en un lugar

63
 seguro y no dentro de la misma máquina, a fin de prevenir un encendido
accidental.

 si el aparato está conectado a una red, anotar y documentar los números de

conexión (Dirección IP).

 si se encuentra un disco, una memoria USB, un CD u otro medio de grabación

en alguna unidad del equipo deberá ser retirado, protegido y guardado en una
bolsa especial, posteriormente deberá ser embalado. Antes de ser manipularlo
debe ser documentado respectivamente.

 sellar cada entrada o puerto del equipo con cinta de evidencia, de esta manera
se evitará que se pueda extraer información.

 de igual manera se debe sellar los tornillos del equipo a fin de que no se puedan
remover o reemplazar las piezas internas del mismo.

 mantener el equipo o el dispositivo de almacenamiento alejados de cualquier

tipo de imán, o campo magnético, para evitar que estos sean destruidos.

 al llevarse cualquier equipo o dispositivos de almacenamiento se debe de

anotar la identificación del mismo y los números de serie, para mantener siempre
la cadena de custodia. Asimismo se debe llevar todo cable, accesorio y cualquier
otro objeto que tenga relación con el equipo principal.

 cuando se tenga indicios ya localizados y documentados, la persona encargada

procederá a recogerlos y embalarlos con las técnicas y el equipo adecuado para
que éstos no sean alterados o destruidos, y ser enviados para los análisis
posteriores.

 se debe usar bolsas especiales antiestáticas para almacenar todo tipo de

indicios que sean electromagnéticos, si no se cuenta con ello, puede utilizarse

64
 bolsas de papel madera. Evitar el uso de bolsas plásticas, ya que pueden
causar una descarga de electricidad estática que puede destruir los datos que en
los dispositivos se puedan localizar.

 es recomendable que el embalador sea la misma persona que buscó y fijó los
indicios, por lo tanto esta persona será quien comience la cadena de custodia a
los indicios velando por la seguridad, integridad y conservación de los mismos.

 todos los indicios recolectados en la escena del crimen deben ser remitidos a la
unidad correspondiente para su análisis respectivo. En relación con los indicios
que tengan que ver con evidencia digital, la persona encargada de la
investigación indicará a qué unidad será remitida y el tipo de análisis a solicitar.
Actualmente, en el Instituto Nacional de Ciencias Forenses (INACIF) no existe
un departamento específico para la informática forense.40

Unidad para el análisis de indicios considerados como evidencia digital.

La Unidad de Métodos Especiales, de la Dirección de Investigación Criminal del

Ministerio Público, es la encargada de realizar los análisis correspondientes a los
indicios que le son remitidos relacionándose siempre con la evidencia digital, esta
unidad se apoya con el equipo UFED Physical Analyzer41 para el trabajo que realiza.

En esta unidad se realizará una serie de análisis como:

 extracción física de datos;

 volcado de la memoria;
 clonación de tarjeta Sim;
 otras técnicamente pertinentes.

40
Vamos a crear laboratorios de Informática y Auditoria Forense, Elperiódico, Guatemala, 04.11.12,
http://www.elperiodico.com.gt/es/20121104/pais/220128
41
Es un avanzado dispositivo autónomo para la extracción de datos que se puede usar tanto en el
terreno como en el laboratorio forense.

65
El UFED Physical Analyzer es un software de análisis, decodificación y generación de
informes más avanzado de la industria forense en relación a la telefonía móvil.

El dispositivo UFED Physical Analyzer incluye una decodificación mejorada, que admite
múltiples tipos de datos: chat, correo electrónico, marcadores web (favoritos), historial
web, datos SIM, cookies, notas, MMS, mensajes instantáneos, dispositivos Bluetooth,
ubicaciones, viajes, posiciones GPS, registros de llamadas, mensajes de texto,
contactos y más.

El UFED Physical Analyzer permite:

 extracción y decodificación de dispositivos de almacenamiento masivo USB.

 extracción física de datos de varios dispositivos.
 decodificación avanzada de contenido borrado, oculto o existente en todas las
principales plataformas y dispositivos móviles.

UFED ofrece la máxima experiencia en análisis forense de teléfonos móviles y es

utilizado por organismos militares, fuerzas de seguridad y administraciones públicas de
todo el mundo.

Se requiere que el Instituto Nacional de Ciencias Forenses (INACIF) desarrolle la

creación del departamento de Informática Forense para realizar los peritajes científicos
en relación con la evidencia digital y de esa manera darle más certeza a los
procedimientos de investigación.

66
7.1 Diagrama de flujo del protocolo para el procesamiento de la evidencia digital

Inicio

Localización Si
Búsqueda Documentación
de índicos

No
Manipulación siempre con guantes

No utilizar el indicio localizado

Tratamiento del Equipo Asegurar los indicios de cualquier intervención

Tratamiento de dispositivos
de almacenamiento de datos
2

Identificación conexión a red

Mantener los indicios Sellar todos los tornillos Sellar cada entrada o
alejados de cualquier a fin de no poder mover puerto del equipo con
Imán o campo magnético o reemplazar piezas cinta de evidencia

67
 Anotar toda la información del Cuando los índicos ya estén documentados,
equipo que se esté llevando para se procederá a su recolección y embalaje
mantener la cadena de custodia para los análisis posteriores

El embalador debe ser la misma persona Usar bolsas especiales

que busco y fijo, por lo tanto esta persona antiestáticas para indicios
comenzara la cadena de custodia electromagnéticos

Los indicios recolectados deberán ser Unidad de Métodos Especiales de la DICRI,

remitidos a la unidad correspondiente para indicios que tengan que ver con la
para su análisis respectivo evidencia digital

Fin

68
 Tratamiento del Equipo

No Si
Equipo
encendido

Llamar a los especialistas

Documentación en Informática Forense

Marcar y etiquetar los

dispositivos del equipo

Embalaje

Cadena de Custodia

Unidad de análisis para el

tratamiento de la evidencia

Fin de Proceso

69
Tratamiento de dispositivos de almacenamiento de datos

No Dispositivos de Si
almacenamiento
de datos

Documentación como se
encontró el dispositivo

Retirar el dispositivo del

lugar donde fue localizado

Documentar el dispositivo

Marcar el dispositivo

Embalaje

Unidad de análisis para el

tratamiento de la evidencia

Fin de Proceso

70
 Identificación de conexión a red

Si No
Conexión
Documentación del equipo
a red

Búsqueda de IP, pública o privada

Si Localización No
de números
IP

Documentación dirección IP

Fin de Proceso

71
8 Conclusiones

1. En Guatemala actualmente no existe una normativa específica en cuanto a la

evidencia digital. Sin embargo, de alguna manera se logra incluirla en los
procesos penales, de acuerdo con lo establecido en el Código Procesal Penal,
en cuanto a las pruebas en general.

2. Con el incremento de la tecnología, la criminalidad informática se ha elevado y

desarrollado de diferentes maneras y formas, dejando al sector justicia sin poder
de actuación debido al desconocimiento con que se cuenta.

3. Es importante resaltar la falta de capacitación que tiene el personal del Ministerio

Público en relación con la evidencia digital, especialmente el personal que
trabaja directamente con la escena del crimen.

4. El auxiliar fiscal o el encargado del procesamiento de una escena del crimen, no

tiene establecida una directriz a seguir cuando se localiza evidencia digital, por
consiguiente, se ignora el destino que ésta pueda tener para los análisis
respectivos.

5. La aplicación de un protocolo de acción para la manipulación y procesamiento de

la evidencia digital es un instrumento inevitable, sabiendo que un mal trabajo en
la escena del crimen puede perjudicar toda la investigación que se realiza.

72
9 Recomendaciones

1. Es necesaria la creación de una legislación específica para la evidencia digital y

de esta manera tener una mejor aplicación de las sanciones correspondientes a
los diferentes hechos ilícitos en este ámbito.

2. Desarrollar estrategias y planes de capacitaciones horizontales y verticales para

el personal que trabaja en el sector justicia, en cuanto a Informática Forense,
Derecho Informático y evidencia digital se refiere.

3. Es importante la creación de la Unidad de Informática Forense dentro del

Instituto Nacional de Ciencias Forenses (INACIF), para realizar los análisis y
peritajes científicos y de esta manera darle más certeza a los procesos de
investigación.

4. Capacitar y tener actualizado al personal de escena del crimen del Ministerio

Publico en materia de Informática Forense, ya que estas personas son las
primeras que interactúan con las evidencias localizadas en el lugar de los
hechos.

5. Tener una capacitación constante es elemental para el sector Justicia, ya que

derivado del uso de la tecnología en toda actividad humana, la evidencia digital
siempre estará inmersa en la comisión de algún hecho ilícito.

6. Implementar el protocolo de acción que acá se propone.

73
10 Referencias

LIBROS

 Cristóbal Pareja, Ángel Andeyro, Manuel Ojeda, Introducción a la Informática, 1ª

Edición, 1994

 Cano M. Jeimy J., Computación Forense, descubriendo los rastros informáticos,

México, Editorial Alfaomega, 2009

 Cano, Jeimy. Estado del Arte del Peritaje Informático en Latinoamérica,

Colombia, ALFA-REDI, 2005

 Casey, Eoghan. Digital Evidence and Computer Crime: Forensic Science,

Computers, and the Internet, second edition, USA, ELSEVIER ACADEMIC
PRESS, 2004

 Davara Rodríguez, Miguel Ángel. Manual de Derecho Informático, Pamplona,

Editorial Aranzadi, 1997

 Dr. Del Pino Acurio, Santiago, Introducción a la Informática Forense, Ecuador,

Fiscalía General del Estado Ecuador, 2009

 Dr. Núñez Ponce Julio, Derecho Informático, Perú, Editorial Marsol, 1996

 Gispert, Carlos. Enciclopedia Autodidactica Interactiva, 6° Edición, México,

Océano, 2002

74
  Jiménez Castillo, Cinta María, Romero Ramallo, Miguel. El delito informático,
Facultad de Derecho de Zaragoza, Congreso sobre Derecho Informático

 López, Oscar. Amaya, Haver. León Ricardo, Informática Forense: Generalidades,

Aspectos Técnicos y Herramientas, Colombia, Universidad de los Andes Bogotá

 Parker, D.B, Citado por Romeo Casabona Carlos M. Poder Informático y

Seguridad Jurídica, Madrid, Editorial Fundesco, Colección Impactos, 1987

 Téllez V. Julio, Derecho Informático, 2° Edición, México, Editorial McGraw-Hill,

1996

ENCICLOPEDIAS O DICCIONARIOS:

 Forense, Enciclopedia Criminalística, Criminología e Investigación, 1era. Edición,

Bogotá, D.C. Sigma Editores, 2010, Glosario

REVISTAS:

 Cano M., Jeimy J. “Introducción a la Informática Forense”, Revista Sistemas N°

96, Abril/Junio 2006, Colombia, Publicado por Asociación Colombiana de
Ingeniero de Sistemas (ACIS), http://www.acis.org.co/fileadmin/Revista_96/dos.pdf

 LIMA DE LA LUZ, María. "Delitos Electrónicos", en Criminalia No. 1-6. Año L.,
Enero-Junio 1984, México, Academia Mexicana de Ciencias Penales, Editorial
Porrúa

75
  José Alejandro Mosquera González, Andrés Felipe Certain Jaramillo, Jeimy J.
Cano, Evidencia “Digital: contexto, situación e implicaciones nacionales”, Revista
de Derecho, Comunicaciones y Nuevas Tecnologías N° 1, Abril de 2005, Bogotá,
Colombia, GECTI
http://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoyti
cs/ytics90.pdf

NORMATIVAS:
 Congreso de la República de Guatemala, Código Penal, Decreto número 17-73

 Congreso de la República de Guatemala, Código Procesal Penal, Decreto

número 51-92

 Manual de procesamiento de la Escena del Crimen del Ministerio Publico,

Instrucción General Numero 16-2009

PERIODICOS:

 Vamos a crear laboratorios de Informática y Auditoria Forense, Elperiódico,

Guatemala, 04.11.12, http://www.elperiodico.com.gt/es/20121104/pais/220128

ELECTRONICAS:
 Que es la ciencia forense, disponible en:
http://www.tudiscovery.com/crimen/ciencia_forense/ fecha de consulta:
08.02.2013

 Derecho y cambio social, La informática forense; el rastro digital del crimen, Perú,
2004

76
 http://www.derechoycambiosocial.com/revista025/informatica_forense.pdf fecha
de consulta: 12.03.2013
 Ebookbrowse, principios de la informática forense,
http://ebookbrowse.com/informatica-forense-g3-pdf-d13705718 fecha de
consulta: 11.02.2013

 Tipos de delitos informáticos reconocidos por las Naciones Unidas,

http://www.forodeseguridad.com/artic/discipl/disc_4016.htm fecha de consulta
22.02.2013

 HB171:2003 Handbook Guidelines for the management of IT evidence,

Disponible en:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf
Fecha de consulta 18.02.2013

 Daniel Torres, Sandra Rueda, Jeimy Cano, Algunas consideraciones técnicas y

de procedimiento para la investigación de delitos informáticos, Universidad de
Los Andes Colombia
http://www.cse.psu.edu/~ruedarod/papers/recsi04.pdf fecha de consulta
28.02.2013

77
11 Anexos

78
11.1 Encuestas al Personal del Ministerio Público

ENCUESTA DIRIGIDA Al PERSONAL DEL MINISTERIO PÚBLICO

TESIS:
“PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCION Y MANEJO DE LA
EVIDENCIA DIGITAL EN LA ESCENA DEL CRIMEN”

Indicaciones: a continuación se le presentan una serie de cuestionamientos sobre

procedimientos en la Investigación, Recolección y manejo de la Evidencia Digital en la
Escena del Crimen, de antemano se le agradece responderlas en el espacio
correspondiente.

TÉCNICO EN ESCENA DEL CRIMEN.

 ¿Tiene usted conocimiento sobre lo que es la evidencia digital?

Si _______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Ha tenido una capacitación específica sobre lo que es la evidencia digital?

Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para la manipulación de este tipo de

evidencia?
Si________ No_______

79
 Observación
_________________________________________________________________
_________________________________________________________________

 ¿Se le ha otorgado una instrucción donde se indiquen las directrices a seguir

cuando se tenga a la vista algún indicio que usted considere evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted en que aparatos, equipos o dispositivos se puede localizar

evidencia digital?
Si________ No_______
Indique cuales:
_________________________________________________________________
_________________________________________________________________

 ¿De las escenas del crimen que usted ha trabajado ha localizado en alguna
ocasión algún tipo de evidencia digital?
Si________ No_______
Qué tipo de evidencia:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________

 ¿Cuál ha sido el procedimiento que ha tomado al momento de localizar algún tipo

de evidencia digital?
Como una evidencia convencional_______
Se le ha dado un trato especifico _______
Ni uno de los anteriores _______

80
 Observación
_________________________________________________________________
_________________________________________________________________

 ¿Si se localiza algún tipo de evidencia digital en la escena del crimen, sabe usted
a donde remitirla?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted qué tipo de análisis se le puede solicitar a la evidencia digital?

Si________ No_______
Indique algún ejemplo del tipo de análisis:
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para el embalaje respectivo de la

evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Sabe usted que aportes se pueden obtener con la evidencia digital?

Si_______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

81
 ¿Considera usted importante la evidencia digital, durante un proceso de
investigación?
Si_______ No_______
Porque:
_________________________________________________________________
_________________________________________________________________

 ¿Considera usted importante la evidencia digital como prueba en un debate?

Si_______ No_______
Porque:
_________________________________________________________________
_________________________________________________________________

 ¿A su punto de vista que consideración le merece la Evidencia Digital?

Importante___ Valiosa___ Necesaria___ Ni una de las anteriores___
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Cuál es su punto de vista sobre la evidencia digital?

Observación
_________________________________________________________________
_________________________________________________________________

82
 ENCUESTA DIRIGIDA Al PERSONAL DEL MINISTERIO PÚBLICO
TESIS:
“PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCION Y MANEJO DE LA
EVIDENCIA DIGITAL EN LA ESCENA DEL CRIMEN”

Indicaciones: a continuación se le presentan una serie de cuestionamientos sobre

procedimientos en la Investigación, Recolección y manejo de la Evidencia Digital en la
Escena del Crimen, de antemano se le agradece responderlas en el espacio
correspondiente.

AUXILIAR FISCAL.

 ¿Tiene usted conocimiento sobre lo que es la evidencia digital?

Si _______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Ha tenido una capacitación específica sobre lo que es la evidencia digital?

Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para la manipulación de este tipo de

evidencia?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

83
 ¿Se le ha otorgado una instrucción donde se indiquen las directrices a seguir
cuando se tenga a la vista algún indicio que usted considere evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted en que aparatos, equipos o dispositivos se puede localizar

evidencia digital?
Si________ No_______
Indique cuales:
_________________________________________________________________
_________________________________________________________________

 ¿De las escenas del crimen que usted ha trabajado ha localizado en alguna
ocasión algún tipo de evidencia digital?
Si________ No_______
Qué tipo de evidencia:
_________________________________________________________________
_________________________________________________________________

 ¿Cuál ha sido el procedimiento que ha tomado al momento de localizar algún tipo

de evidencia digital?
Como una evidencia convencional_______
Se le ha dado un trato especifico _______
Ni uno de los anteriores _______
Observación
_________________________________________________________________
_________________________________________________________________

84
 ¿Si se localiza algún tipo de evidencia digital en la escena del crimen, sabe usted
a donde remitirla?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted qué tipo de análisis se le puede solicitar a la evidencia digital?

Si________ No_______
Indique algún ejemplo del tipo de análisis:
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para el embalaje respectivo de la

evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Sabe usted que aportes se pueden obtener con la evidencia digital?

Si_______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Considera usted importante la evidencia digital, durante un proceso de

investigación?
Si_______ No_______
Porque:

85
 _________________________________________________________________
_________________________________________________________________

 ¿Considera usted importante la evidencia digital como prueba en un debate?

Si_______ No_______
Porque:
_________________________________________________________________
_________________________________________________________________

 ¿A su punto de vista que consideración le merece la Evidencia Digital?

Importante___ Valiosa___ Necesaria___ Ni una de las anteriores___
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Cuál es su punto de vista sobre la evidencia digital?

Observación
_________________________________________________________________
_________________________________________________________________

86
 ENCUESTA DIRIGIDA Al PERSONAL DEL MINISTERIO PUBLICO
TESIS:
“PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCION Y MANEJO DE LA
EVIDENCIA DIGITAL EN LA ESCENA DEL CRIMEN”

Indicaciones: a continuación se le presentan una serie de cuestionamientos sobre

procedimientos en la Investigación, Recolección y manejo de la Evidencia Digital en la
Escena del Crimen, de antemano se le agradece responderlas en el espacio
correspondiente.

AGENTE FISCAL.

 ¿Tiene usted conocimiento sobre lo que es la evidencia digital?

Si _______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Ha tenido una capacitación específica sobre lo que es la evidencia digital?

Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para la manipulación de este tipo de

evidencia?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

87
 ¿Se le ha otorgado una instrucción donde se indiquen las directrices a seguir
cuando se tenga a la vista algún indicio que usted considere evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted en que aparatos, equipos o dispositivos se puede localizar

evidencia digital?
Si________ No_______
Indique cuales:
_________________________________________________________________
_________________________________________________________________

 ¿De las escenas del crimen que usted ha trabajado ha localizado en alguna
ocasión algún tipo de evidencia digital?
Si________ No_______
Qué tipo de evidencia:
_________________________________________________________________
_________________________________________________________________

 ¿Cuál ha sido el procedimiento que ha tomado al momento de localizar algún tipo

de evidencia digital?
Como una evidencia convencional_______
Se le ha dado un trato especifico _______
Ni uno de los anteriores _______
Observación
_________________________________________________________________
_________________________________________________________________

88
 ¿Si se localiza algún tipo de evidencia digital en la escena del crimen, sabe usted
a donde remitirla?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted qué tipo de análisis se le puede solicitar a la evidencia digital?

Si________ No_______
Indique algún ejemplo del tipo de análisis:
_________________________________________________________________
_________________________________________________________________

 ¿Conoce usted cual es el procedimiento para el embalaje respectivo de la

evidencia digital?
Si________ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Sabe usted que aportes se pueden obtener con la evidencia digital?

Si_______ No_______
Observación
_________________________________________________________________
_________________________________________________________________

 Considera usted importante la evidencia digital, durante un proceso de

investigación?
Si_______ No_______
Porque:

89
 _________________________________________________________________
_________________________________________________________________
_________________________________________________________________

 ¿Considera usted importante la evidencia digital como prueba en un debate?

Si_______ No_______
Porque:
_________________________________________________________________
_________________________________________________________________

 ¿A su punto de vista que consideración le merece la Evidencia Digital?

Importante___ Valiosa___ Necesaria___ Ni una de las anteriores___
Observación
_________________________________________________________________
_________________________________________________________________

 ¿Cuál es su punto de vista sobre la evidencia digital?

Observación
_________________________________________________________________
_________________________________________________________________

90
11.2 Cuadros Estadísticos

 Grafica No. 01

Entes Encuestados

 Grafica No.02

El 75% poseen conocimientos generales.

El 25% desconocen las características específicas.

91
 Grafica No. 03

El 14.29% indica que debe ser manipulada por personal técnico apropiado.
El 28.57% desconoce por la falta de capacitación.
El 57.14% como una evidencia convencional.

 Grafica No. 04

Los entes encuestados coinciden que no han recibido ninguna instrucción

para el procesamiento de dicha evidencia hasta el momento.

92
 Grafica No. 05

Localización de evidencia
digital.

 Grafica No. 06

El 14.29% depende de la evidencia localizada.

El 28.57% evidencia convencional.
El 57.14% trato específico.

93
 Grafica No. 07

El 14.29% depende de la evidencia localizada.

El 28.57% posteriormente se coordina.
El 57.14% Unidad de Asistencia Técnica (DICRI).

 Grafica No. 08

El 14.29% desconocen el tipo de análisis.

El 85.71% extracción de datos.

94
 Grafica No. 09

El 14.29% depende del tipo de evidencia.

El 85.71% desconocen el procedimiento específico.

 Grafica No. 10

El 14.29% tiene que ser obtenida de forma legal.

El 28.57% importante por el dictamen que se emite.
El 57.14% por la información que se desea obtener.

95
 Grafica No. 11

El 14.29% siempre que se obtenida de forma legal.

El 28.57% por ser una prueba científica.
El 57.14% por los argumentos reales que puede bridar.

 Grafica No. 12

El 71.43% necesaria.
El 28.57% importante.

96