WWW.INFOGTM.

COM (502) 58666403

OBSERVATORIO@OGDI.ORG
WWW.OGDI.ORG (502) 59360666
 www.infogtm.com | www.ogdi.org

Uno de los grandes retos de los Peritos Forense digitales y en especial de los
primeros respondientes en la realización de un peritaje, donde se busca ex-
poner que la organización solicitante del servicio ha destruido o alterado
inadver damente la evidencia digital que esperaban localizar.
Las acciones que realice el personal de estas ins tuciones u organizaciones
sin experiencia en el manejo de evidencias digitales pueden dar como resul-
tado una situación en la que quedan muy pocos datos relevantes del hecho
para ser analizado o comprometer la validez de la misma por las malas prác-
cas en el proceso de recolección, llevando a todos el proceso a caer en la
teoría del fruto del árbol envenenado.
Tenemos que comprender como Peritos Digitales que cada caso es único y
ene su propia morfología. Es por ello, que hemos realizado una lista basa-
da en 10 puntos importantes para las buenas prác cas en los procesos de
peritajes digitales que de ser seguidas, nos ayudarán a realizar buenas prác-
cas en recolección de evidencias digitales en entornos judiciales y corpora-
vos.

José R. Leone
Perito Forense Digital / Redlif La noamérica
CEO/Founder Observatorio Guatemalteco de Delitos Informá cos—OGDI
Gerente Ciberseguridad INFO Y MAS Guatemala

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 01
 www.infogtm.com | www.ogdi.org

10 COSAS QUE NO DEBE DE HACER

1) No trate de “echar un vistazo'“ y manipular los datos del disposi vo.
2) No involucre personal de la unidad de TI a menos que estén familiarizados
con protocolos en el manejo de pruebas electrónicas y digitales.
3) No involucre personal de la unidad de TI a menos que estén familiarizados
con los estándares de admisibilidad legal de evidencias digitales.
4) No te demores: cuanto antes hagas el peritaje, mayor será la posibilidad de
conservar las evidencias.
5) No despiertes sospechas: no le digas a nadie sobre la inves gación o peritaje
que vas a realizar al menos que sea necesario.
6) No ignore a sus unidades de recursos humanos y Jurídica: ellos pueden ase-
sorarle sobre cualquier tema o asuntos legales.
7) No adivine sobre las mejores acciones o que debería de hacer: en caso de
duda es mejor llamar a una empresa o profesional en informá ca forense.
8) No dude en ponerse en contacto con la policía si cree que se ha come do un
delito.
9) No tengas la tentación de destruir ningún dato: generalmente se puede ras-
trear y ene graves consecuencias legales.
10) No ejecute nada en la computadora ni haga nada que pueda modificarlo de
ninguna manera (teoría del fruto del árbol envenenado).

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 02
 www.infogtm.com | www.ogdi.org

10 COSAS QUE SI DEBE DE HACER

1) Asegure el disposi vo que se encuentra bajo peritación para que ninguna
persona no autorizada tenga acceso a este.
2) Si el disposi vo está apagado (Muerto), déjelo apagado y si está encendido
(Vivo), déjelo encendido.
3) Prevea la u lización del equipo adecuado para el manejo de evidencia.
4) Si el disposi vo está encendido, desenchufe cualquier cable de red y apague
las conexiones Wi-Fi y / o Bluetooth u otro po de conexión a este.
5) Si el punto anterior no es posible, desconecte el disposi vo por medio del
enchufe (apáguelo si es un servidor) o re re la batería.
6) No informe a nadie más de lo necesario, indicándole que una inves gación o
Peritaje está en curso.
7) Anote y grabe absolutamente Todo; desde personas involucradas, alegatos,
pruebas, equipos, disposi vos, fechas y horarios, etc.
8) Reúna cualquier elemento al que tenga acceso legal que pueda contener evi-
dencia. Ejemplo: unidades USB, DVD, CD, papeleo, computadoras portá les,
cámaras, etc.
9) Si es posible, no le diga al sujeto propietario del disposi vo en peritación,
que está bajo una inves gación.
10) Solicite el asesoramiento de una empresa o experto en informá ca forense
cer ficado y con experiencia sobre otros pasos para recolección, almacena-
miento o análisis de las evidencias recabadas durante la peritación.

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 03
 www.infogtm.com | www.ogdi.org

10 CONSEJOS PARA PERITOS DIGITALES EN TI

1) Asegúrese que cada usuario tenga un perfil personalizado. No u lice cuentas
y contraseñas débiles o genéricas, por ejemplo, “admin” o password “123”.
2) Cada perfil de usuario, dentro de la red corpora va, debe estar protegido por
una contraseña que no sea compar da (definir en el contrato de confidencia-
lidad).
3) Todos los disposi vos de red deben tener suficientes registros y auditorías de
eventos encendidas, estos servirán de evidencias y análisis en los sistemas
postmortem.
4) Los registros de eventos se deben copiar en una ubicación segura que garan-
cen su uso al momento de un incidente.
5) ¿El procedimiento de backup se realiza correctamente ? Verificarlo ¿Se pue-
de restaurar? ¿funcionan bien los rollback? ¿Periodicidad de los backup?
6) Asegúrese de que todos los usuarios se hayan registrado en su computadora
y bajo las polí cas de uso aceptable en el uso de recursos de Internet.
7) Mantenga a mano el número de teléfono de una empresa de informá ca fo-
rense o especialista de computadoras confiable.
8) Asegúrese de que el personal esté familiarizado con los procedimientos y
protocolos correctos; Comience con las 10 cosas que no debe de hacer.
9) Asegúrese de que todos los disposi vos en su red estén usando la fecha y ho-
ras correctas (y las mismas)
10) Considere instalar un sistema de detección de intrusos o monitoreo que le
genere suficiente información de los que sucede en la red corpora va.

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 04
 www.infogtm.com | www.ogdi.org

10 CONSEJOS PARA ENTORNOS DE TI

1) Asegúrese de que cada usuario tenga un perfil personalizado. No u li-
ce cuentas y contraseñas genéricas, por ejemplo, 'admin'
2) Cada perfil de usuario, dentro de la red corpora va, debe estar protegido
por una contraseña que no sea compar da (definir en el contrato de confi-
dencialidad). Recuerde no violar la privacidad e in midad del usuario.
3) Todos los disposi vos de red deben tener suficientes registros / auditorías
encendidas, estos servirán de evidencias en los sistemas postmortem.
4) Los registros de eventos se deben copiar en una ubicación segura que garan-
cen su uso al momento de un incidente.
5) ¿El procedimiento de respaldo se realiza correctamente ? ¿Se puede restau-
rar? ¿funcionan bien los rollback? Tenga un plan de con ngencia testeado.
6) Asegúrese de que todos los usuarios se hayan registrado en su computado-
ra/polí ca de uso aceptable en el uso de recursos de Internet
7) Mantenga a mano el número de teléfono de una empresa de informá ca fo-
rense o especialista de computadoras confiable.
8) Asegúrese que el personal esté familiarizado con los procedimientos y proto-
colos correctos; Comience con las 10 cosas que no debe de hacer y respete
las normas jurídicas establecidas en la empresa.
9) Asegúrese de que todos los disposi vos en su red estén usando la fecha y
horas correctas. Verifique también los sistemas CCTV.
10) Considere instalar un sistema de detección de intrusos o monitoreo que le
genere suficiente información de los que sucede en la red corpora va.

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 05
 www.infogtm.com | www.ogdi.org

10 CONSEJOS PARA ENTORNO JUDICIAL

1) Se recibe el pedido de parte de un juzgado o cliente en par cular. Recuerde siem-
pre tener una reunión previa para conocer a profundidad el caso.
2) Elaborar un plan de trabajo (Inteligencia) de los procedimientos y normas que se
aplicaran durante el proceso para evitar errores y contaminación de las evidencias
recolectadas
3) Realizar el Secuestro de evidencias digitales y electrónicas apegadas a los protoco-
los y normas, tantos nacionales como internacionales.
4) Realizar el proceso de sustracción de imagen y clonaciones forenses respec vas in
situ, según lo delicado del caso que se trabaja.
5) Inicializar las Cadenas de custodias sicas, electrónicas y de ser posible las digitales
apegadas al protocolos establecidos y apegados a las Ley.
6) Cuidar cada detalle del proceso de embalaje y transporte, así como almacenamie-
to de las evidencias electrónicas cuidando NO ABRIRLAS antes de su presentación
delante del juzgado o juez del caso (contaminación CoC).
7) Inicie el proceso de análisis de las evidencias obtenidas de la clonación de la ima-
gen original. Duplique la copia recibida para su estudio y preservación.
8) Mantenga cuidado y revise las veces que sean necesarias los me line para descar-
tar cualquier observación que complemente o amplíe el proceso de documenta-
ción
9) Realice los dictámenes correspondiente (técnico, mixto o ejecu vo) para ser pre-
sentado delante del Fiscal o Juez.
10) La oratoria y la psicología Forense es el punto culminante de este proceso. Como
perito digital prac quelas y esto garan zara en conjunto con el trabajo legal un exi-
to en la exhibición del mismo.

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 06
 www.infogtm.com | www.ogdi.org

Gracias por leer esta guía que no pretende ser una norma pero si una herra-
mienta que apoye a los actuales y futuros peritos digitales en sus procesos co -
dianos de peritaciones en dis ntos entornos para que sus procesos cumplan
con la admisibilidad respec va delante de la ley.
Compártela, difunde y estarás ayudando a que este guía llegue a cada rincón
del país y de Hispanoamérica. ES DE DISTRIBUCION LIBRE.

Con una cultura de prevención, avanzaremos en la lucha contra los Ciberdelitos

WWW.INFOGTM.COM (502) 58666403

OBSERVATORIO@OGDI.ORG
WWW.OGDI.ORG (502) 59360666

BIOGRAFIAS
 Cano Mar nes Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y
Análisis. Agosto de 2003. h p://www.alfa-redi.org/rdi-ar culo.shtml?x=1304
 h p://www.sic.gov.co/Norma vidad/Leyes/Ley%20446-98.php
 US DEPARTMENT OF JUSTICE, Electronic Crime Scene Inves ga on: A Guide for First Responders,
2001
 BREZINSKI, D. y KILLALEA, T. (2002) RFC 3227: Guidelines for Evidence Collec on and Archiving. Net-
work Working Group. February. Disponible: h p://www.rfceditor.org/rfc/

w w w. i n f o g t m . c o m | w w w. o g d i . o r g 07