Informática Forense

Informática Forense

1
1.1 Definiciones,
regulaciones y fases en
general
El devenir de las nuevas tecnologías, la Era Digital y el avenimiento
de una Sociedad cada vez más informatizada, han provocado un
profundo cambio en el mundo que nos rodea.

Las telecomunicaciones, la teleinformática, la informática, etc. están

vinculadas estrechamente con este fenómeno tan difundido de
comunicación e información masiva, posibilitando el acceso casi
ilimitado a un inmenso volumen de información.

En tal sentido, Internet posee una gran variedad de servicios, tales

como sitios de redes sociales, páginas web y blogs con diferente
contenido, correo electrónico, canales de chat, transferencia de datos
o archivos mediante redes P2P, etc.

Del mismo modo, las nuevas tecnologías de la información,

favorecieron la migración de los delitos convencionales al
ciberespacio. Contribuye de forma primordial el anonimato, como así
también la dificultad y problemática, que se afronta desde el punto de
vista pericial, para su descubrimiento, análisis y documentación
probatoria.

Por este motivo, es que el tema de abordaje, tiene como objetivo

desglosar cada uno de los conceptos básicos relacionados con la
informática forense, como así también las fases que la componen y
permitir una introducción al mundo de la evidencia digital, su
preservación y análisis.

1.1.1 Explicación de los conceptos básicos,

evaluación de la escena del delito
Las vulnerabilidades de los sistemas de información, las fallas
humanas, procedimentales o tecnológicas sobre infraestructuras
informáticas, constituyen un escenario propenso para el cibercrimen.
En tal sentido, los cibercriminales pueden tener diferentes
motivaciones, alcances y estrategias, cuya modalidad de ataque y

2
penetración a los sistemas varían permanentemente en función de la
evolución de la misma tecnología.

Por tal motivo, la informática forense se materializa como una

disciplina auxiliar de la criminalística, garantizando a la justicia
moderna el correcto tratamiento de la evidencia digital en el marco de
todo proceso legal, adquiriendo una significativa importancia, debido
al exponencial aumento del valor de la información.

En tal sentido, la informática forense, basada en procedimientos

estrictos y rigurosos, puede ayudar a resolver interrogantes criminales
mediante el método científico, recolectando, analizando y validando
las pruebas digitales.

Conceptos Básicos
A continuación se brindarán una serie de definiciones básicas
relacionadas estrechamente con la informática forense.

 Informática.

Ciencia de la información automatizada, que se vale

de computadoras o equipos de procesamiento
automático de información (Gispert, Año 2002).

 Forense.

Conjunto de disciplinas científicas que ayudan a la

policía y la justicia a determinar las circunstancias
exactas de la comisión de una infracción y a
identificar a sus autores (CONICET, 2018,
http://www.conicet.gov.ar/programas/ciencia-y-
justicia/ciencia-forense/).

 Análisis Forense Digital.

Disciplina de las ciencias forenses, que se encarga

de identificar, preservar, analizar y presentar datos
que han sido procesados electrónicamente, y

3
 almacenados en un medio digital (Noblett, 2000,
https://archives.fbi.gov/archives/about-
us/lab/forensic-science-
communications/fsc/oct2000/computer.htm).

 Computación Forense.

Rama del análisis forense digital cuyo objetivo es el

estudio de sistemas informáticos, medios de
almacenamiento o documentos electrónicos
(Tech4Law, 2015, https://www.tech4law.co.za/tech-
advisor/107-digital-foren-sics/1528-what-is-digital-
forensics).

 Análisis forense de dispositivos móviles.

Subdivisión del análisis forense digital relacionado

con la recuperación de evidencia digital desde
dispositivos móviles (Tech4Law, 2015,
https://www.tech4law.co.za/tech-advisor/107-
digital-foren-sics/1528-what-is-digital-forensics).

 Análisis Forense de redes

Variante del análisis forense digital que se ocupa de

la supervisión y el análisis del tráfico de la red
informática en sus diferentes formatos, a fin de
recolectar evidencia digital o detectar de intrusos por
medio de esta (Tech4Law, 2015,
https://www.tech4law.co.za/tech-advisor/107-
digital-foren-sics/1528-what-is-digital-forensics).

 Análisis Forense de Datos

Rama del análisis forense digital que tiene como

finalidad examinar datos estructurados con el
objetivo de descubrir y analizar patrones de
actividades fraudulentas (Tech4Law, 2015,

4
 https://www.tech4law.co.za/tech-advisor/107-
digital-foren-sics/1528-what-is-digital-forensics).

 Análisis Forense de Base de Datos

Subdivisión del análisis forense digital relacionada

con el estudio de bases de datos y sus metadatos
(Tech4Law, 2015, https://www.tech4law.co.za/tech-
advisor/107-digital-foren-sics/1528-what-is-digital-
forensics).

 Evidencia Digital

Es un tipo de evidencia física construida de campos

magnéticos y pulsos electrónicos, que por sus
características deben ser recolectados y analizados
con herramientas y técnicas especiales (CASEY,
2004, https://archives.fbi.gov/archives/about-
us/lab/forensic-science-
communications/fsc/oct2000/computer.htm).

 Artefacto Forense

Se entiende por artefacto forense a cualquier registro informático,

correspondiente a una aplicación o programa de software, que
desempeña alguna función específica.

 Cadena de custodia.

Es el registro cronológico y minucioso de la

manipulación adecuada de los elementos, rastros e
indicios hallados en el lugar del hecho, durante todo
el proceso judicial (Torales, 2014,
http://www.saij.gob.ar/manual-procedimiento-para-
preservacion-lugar-hecho-escena-crimen-
programa-nacional-criminalistica-autor-eloy-
emiliano-torales-colaboradores-marcelino-cottier-
jorge-norberto-delgado-ignacio-lombardi-ministerio-

5
 justicia-derechos-humanos-nacion-lb000061-2014-
07/123456789-0abc-defg-g16-0000blsorbil).

Evaluación de la escena del delito

Diferentes autores coinciden en caracterizar al lugar del hecho,
conocido también como escena del crimen, a todo aquel sitio o
espacio físico en el cual se ha cometido un hecho que podría ser
tipificado como un delito.

En tal sentido, la escena del delito puede estar constituida por un

espacio abierto (careciendo de límites geográficos), cerrado o mixto.

Por tal motivo, resulta de vital importancia identificar mediante

conceptos claros y una terminología adecuada el rol que desempeña
un sistema informático en el marco del delito, con la finalidad de
encauzar de forma adecuada el tipo de investigación, obtención de
indicios y elementos probatorios, permitiendo establecer
procedimientos óptimos para el tratamiento de la evidencia.

La evaluación de la escena del delito constituye la primera

aproximación al objeto de estudio, por cuanto posee gran importancia,
ya que permitirá establecer un plan organizado de acción y minimizará
realizar acciones imprevistas que modifiquen, deterioren o destruyan
la evidencia pertinente.

Para el desarrollo de las actividades, cualquiera sea el lugar del

hecho, en primera instancia se debe delimitar y preservar tal
escenario, realizando posteriormente una minuciosa y exhaustiva
observación del lugar, prosiguiendo a su respectiva graficación
mediante un croquis y tomas fotográficas, para finalmente proceder a
la recolección de indicios, los que tendrán como destino final el
laboratorio de análisis forense digital.

Cuando hacemos referencia a cibercrimen, debemos tener presente

que la escena virtual se encuentra ligada al medio físico o canal por
intermedio del cual se transmiten los datos.

Con la finalidad de brindar al investigador un método

adecuando para su recolección y preservación, las
fuentes más comunes de evidencia digital pueden
ser clasificadas en tres grandes grupos. (Acurio Del
Pino, 2010,

6
 https://www.oas.org/juridico/spanish/cyber/cyb47_
manual_sp.pdf).

 Sistemas de computación abiertos

Son aquellos sistemas donde se encuentran presente tanto

equipos de escritorio como computadores personales y/o
servidores. Dado que en la actualidad estos equipos cuentan con
dispositivos de almacenamiento interno de gran capacidad, se
consideran de vital importancia.

 Sistemas de comunicación

Otra fuente de evidencia digital comprende las redes

comunicacionales, ya sean enlaces físicos o inalámbricos.

 Sistemas convergentes de computación

Comprende dispositivos móviles, tales como equipos de telefonía

celular, computadoras tipo Tablet PC o cualquier otro aparato
electrónico donde sea posible almacenar evidencia digital.

1.1.2 Fases
Conforme la definición de informática forense planteada, se pueden
observar cuatro etapas discriminadas taxativamente como:

Identificación
Constituye el primer acercamiento a los medios de prueba digitales,
implica procesos tendientes a su individualización unívoca (marca,
modelo, tipo de dispositivo, etc), a fin de dilucidar posteriormente
interrogantes como por ejemplo qué cosas pueden ser evidencias y
cuáles no, dónde y cómo están almacenados los registros, etc.

Brinda un punto de partida que permite al investigador establecer las

metodologías de adquisición y recuperación de evidencias
adecuadas, así como las herramientas forenses a utilizar en los pasos
subsiguientes, tanto de hardware como de software.

7
Preservación
Tiene como finalidad salvaguardar la integridad y autenticidad de las
evidencias digitales relevadas, garantizando la seguridad de la
cadena de custodia. Cualquier cambio en la evidencia deberá ser
documentado.

En tal sentido, se aplican firmas digitales que garantizan en todo

momento, la integridad y autenticidad de la evidencia digital.

Análisis
Consiste en el conjunto de técnicas y procedimientos empleados a fin
de inspeccionar y examinar los datos contenidos en los medios de
prueba remitidos para estudio, conforme la requisitoria pericial
planteada.

Debe contener un detalle de las herramientas informáticas

empleadas, así como las operaciones realizadas y resultados
obtenidos. La recolección de evidencia digital debe ser realizada con
herramientas de software y hardware adecuados, dada la fragilidad
de su naturaleza.

Presentación
Consiste en el proceso de elaborar un reporte a fin de presentar la
evidencia relevada en un formato legalmente aceptable y
comprensible, incluso por quien no posea experiencia relacionada con
la informática, caso contrario el esfuerzo impreso en el trabajo no
tendrá sentido.

Al mismo tiempo, se adjuntan las evidencias recolectadas mediante

dispositivos de almacenamiento, permitiendo disponer en todo
momento de un respaldo de los archivos que resultan de interés para
la investigación.

1.1.3 Introducción a la Evidencia Digital

Resulta factible enunciar que la evidencia digital es única, cuando se
compara con otras formas de evidencia física de tipo documental por
ejemplo, la evidencia digital por lo tanto es frágil y una copia de un
registro almacenado en un dispositivo de almacenamiento será
idéntico al original.

8
Cabe destacar que el término evidencia digital describe de forma
amplia todo registro informático, cuya clasificación puede realizarse
según sus características, naturaleza, orden de volatilidad y criterios
de admisibilidad que debe cumplir.

Características

La evidencia digital es la materia prima para los

investigadores forenses donde la tecnología
informática es parte fundamental del proceso, sin
embargo y considerando el ambiente tan cambiante
y dinámico de las infraestructuras de computación y
telecomunicaciones, es preciso detallar las
características propias de dicha evidencia en este
entorno (Cano, 2009,
http://52.0.140.184/typo43/fileadmin/Revista_96/do
s.pdf).

Acorde a lo expuesto precedentemente, podría decirse que la

evidencia digital es un constante desafío para los investigadores
forenses, destacándose por su:

1) Volatilidad: existe determinado tipo de información que se

pierde al interrumpirse el suministro de energía eléctrico.
2) Anonimato: si bien la información puede ser atribuida a un
usuario, no necesariamente puede ser vinculada con una
persona física.
3) Capacidad de duplicación: pueden existir infinidad de copias
idénticas respecto de un archivo informático.
4) Posibilidad de alteración y modificación: la integridad de la
información es susceptible a cambios.
5) Alta probabilidad de eliminación: la disponibilidad de la
información no se encuentra asegurada.

Su naturaleza

La presente clasificación engloba a la evidencia

digital en su totalidad, centrando especial atención
en el factor humano, dado que resulta determinante
identificar si fue una persona o un dispositivo
informático quien creó el contenido del registro o

9
 archivo (Standards Australia International, 2003,
https://www.saiglobal.com/PDFTemp/Previews/OS
H/as/misc/handbook/HB171.PDF).

Conforme el estándar señalado, podemos señalar la siguiente

categorización:

1) Registros almacenados localmente en el dispositivo informático

(por ejemplo, documentos de texto, planillas de cálculo,
fotografías, videos, e-mail, etc.).
2) Registros correspondientes al funcionamiento propio de los
equipos informáticos (registros de eventos del sistema
operativo, configuración del sistema, etc.).
3) Registros que fueron creados o almacenados temporalmente
en los equipos informáticos (por ejemplo, documentos de texto,
planillas de cálculo, fotografías, videos, e-mail, etc.).

Orden de volatilidad

Por otro lado, la evidencia digital puede ser

clasificada según su grado de volatilidad, es decir su
capacidad de permanecer en el tiempo, desde
aquellos registros que se perderán o modificarán si
apaga o reinicia el sistema hasta los que perduran
en el tiempo bajo condiciones normales de uso y una
adecuada cadena de custodia (Network Working
Group, 2002, https://www.ietf.org/rfc/rfc3227.txt).

Según el orden de volatilidad, la recolección de evidencia debe tener

presente:

1) Elementos almacenados en caché.

2) Registros contenidos en la memoria RAM.
3) Conexiones de red tanto internas como externas.
4) Listado de procesos en ejecución.
5) Archivos almacenaos localmente en los equipos informáticos.
6) Archivos almacenados en otros dispositivos recolectados en el
lugar del hecho.

10
Criterios de admisibilidad

En legislaciones modernas existen ciertos criterios

que se deben tener en cuenta (Cano, 2003,
https://dialnet.unirioja.es/servlet/articulo?codigo=64992
1).

Los mismos son:

1) Admisibilidad, las evidencias recolectadas deben ser

admisibles en el proceso legal.
2) Autenticidad, los registros deben ser legítimos y no haber
sufrido ediciones. A tal fin se calculan firmas digitales que
garantizan su integridad.
3) Completitud, las pruebas deben ser presentadas sin mediar
apreciaciones subjetivas y ser una representación del todo
analizado.
4) Credibilidad, los registros deben ser creíbles y de fácil
comprensión.
5) Confiabilidad, en cuanto a su recolección no debe existir duda
sobre su veracidad y autenticidad.

1.1.4 Incautación y conservación de la prueba

La incautación y conservación de la prueba constituyen los aspectos
de mayor relevancia durante la recolección de evidencia digital, dado
que este tipo de procedimientos puede ser único e irrepetible, por tal
motivo se deberá tener especial cuidado durante su materialización.

En tal sentido, el ciclo de vida de la evidencia digital inicia desde el

momento de su búsqueda y recolección en la escena del delito,
debiéndose tener presente los siguientes aspectos.

Búsqueda
El investigador debe tener la habilidad y autonomía suficiente para
implementar diferentes sistemas de búsqueda, según la escena del
delito, entre tales métodos se pueden señalar:

1) Punto a punto: se trata de movilizarse a través de la escena del

crimen de un objeto a otro sin orden establecido.

11
 2) Espiral o circular: consiste en desplazarse mediante círculos en
forma de espiral, desde el punto focal de la escena del delito
hasta el más distante seleccionado, puede emplearse de forma
invertida.
3) Por franjas: se procede a dividir la escena del crimen en
diferentes franjas y cada investigador recorrerá en una zona
que le será asignada. Este método es aplicable a espacios
grandes y abiertos.
4) Cuadriculado o de rejilla: se trata de una variante del método
de franjas, pero cada sector será revisado dos veces, por
diferentes investigadores, incrementando la calidad de la
búsqueda.
5) Zonas o sectores: la escena se divide en zonas o sectores,
asignando cada uno de ellos a un investigador que los revisará
de forma simultánea.
6) Forma de rueda: se considera una escena de forma circular,
trazando líneas como los radios de una rueda, donde cada
investigador recorrerá una zona asignada.

Fijación:
Una vez que se ubicaron los indicios en la escena del delito, deben
ser identificados de forma unívoca mediante letras o números
correlativos, para distinguirlos entre sí a lo largo de toda la
investigación e incluso en la instancia judicial, dicho orden lógico de
fijación debe encontrarse relacionado con el método de búsqueda
establecido.

Manipulación
El inadecuado manejo de los indicios puede llegar a conducir a su
contaminación, deterioro o destrucción, impidiendo su posterior
examen en el laboratorio. Por tal motivo, llegado el momento de su
manipulación, deberá ser realizado con la debida cautela a fin de
evitar inconvenientes posteriores, recomendándose tener en cuenta
los siguientes aspectos:

1) Manipular la evidencia lo menos posible, para evitar la

contaminación, deterioro o destrucción.
2) Evitar contaminar la evidencia con los instrumentos que se
utilizan para su levantamiento.
3) Recolectar las diferentes evidencias por separado, evitando
que se mezclen entre sí.

12
 4) Realizar el embalaje de forma individual, procurando la
integridad de su naturaleza.

Recolección y Embalaje
Estos procedimientos tienen como objetivo asegurar que las
evidencias digitales recolectadas no sean alteradas.

Existen tres principios generales para el manejo de la

evidencia digital (U.S. Department of Justice,
2004,https://www.ncjrs.gov/pdffiles1/nij/199408.pdf).

1) Las actividades realizadas durante la etapa de análisis no

deben afectar la integridad de los medios de prueba.
2) El personal que realiza actividades de manipulación y
recolección de evidencia digital debe contar con el
conocimiento necesario para desarrollar sus actividades.
3) La cadena de custodia de permitirá realizar la trazabilidad y
auditoría sobre la evidencia digital.

13
1.2 Definiciones,
regulaciones y fases en
general II
La fase de identificación y recolección de evidencia digital posee un
alto grado de criticidad por la naturaleza de los indicios colectados,
por tal motivo resulta de vital importancia que el investigador posea
determinadas habilidades y conocimiento necesario para garantizar
en todo momento el ciclo de vida de la evidencia digital.

Por tal motivo, el rol del perito informático forense juega un papel
preponderante, quien deberá realizar múltiples previsiones, en caso
de ser posible, respecto de la escena del delito, metodologías a
implementar y equipamiento necesario para dar acabo cumplimiento
a los requerimientos planteados.

En tal sentido, la evaluación de la escena del delito permitirá

determinar el tipo de procedimiento a implementar en función del
grado de criticidad de información a relevar, proporcionando una
correcta planificación de actividades y tareas para la obtención de
evidencia digital.

Del mismo modo, al arribar a la escena del delito, garantizar su

preservación y resguardo minimizará los riesgos de contaminación,
manteniendo la evidencia digital íntegra, condición fundamental para
el análisis forense digital.

Por otro lado, contar con determinada información sobre qué

evidencia digital resulta de interés, será un factor de éxito clave, a fin
garantizar el éxito en la intervención del investigador forense.

Lo expresado precedentemente significa que el investigador forense

deberá poseer ciertos conocimientos mínimos que le permitan adoptar
una visión estratégica en la escena del delito y disponer la correcta
recolección de evidencia digital, avalando su integridad y resguardo,
administrando además las herramientas y medios disponibles.

14
1.2.1 Cadena de custodia
La cadena de custodia es el mecanismo que garantizará el origen,
identidad e integridad de la evidencia digital, evitando su pérdida,
destrucción o alteración. Incluye toda actividad tendiente a su
identificación, recolección, obtención, resguardo, traslado,
almacenamiento, entrega, recepción y análisis de la evidencia digital,
preservando su autenticidad e integridad.

En la cadena de custodia intervendrán todas aquellas personas que

participen durante las diferentes etapas del ciclo de vida de la
evidencia digital, desde su obtención hasta su presentación como
medio de prueba, debiendo quedar consignado todo traspaso entre
una etapa y otra, indicando fecha, hora, nombre y firma de quien
recibe y de quien entrega.

Deberá prestarse especial atención en el método empleado para la

preservación, identificación y rotulado de las evidencias obtenidas en
la escena del crimen, cuyas características deberán impedir su
modificación, alteración, contaminación o destrucción.

Cabe destacar que la recolección de evidencia digital dependerá de

la capacidad y preparación técnica del investigador forense
encargado de extraer o colectar los indicios, por otro lado las
actividades periciales llevadas a cabo deberán encontrarse
plasmadas mediante la documentación correspondiente, labrada de
forma descriptiva y con el mayor detalle posible sobre las evidencias
digitales relevadas.

En tal sentido, si el proceso de cadena de custodia no presenta

alteración de ninguna índole, esta permitirá garantizar la integridad y
autenticidad de la evidencia digital como medio de prueba.

Por otro lado, la cadena de custodia permitirá registrar de forma

explícita todo cambio o alteración eventual que pueda llegar a sufrir la
evidencia digital durante su ciclo de vida.

1.2.2 Documentación a generar

La documentación de la escena del crimen tiene como finalidad dejar
plasmada toda aquella actividad realizada por parte del investigador
forense, al igual que permitirá fijar en tiempo y espacio las condiciones
en que se encontraba el lugar del hecho, como así también aquellos
indicios que serán colectados como evidencia digital y la forma en que

15
fueron ubicados, identificados y preservados, siendo los métodos más
usuales la descripción escrita, el croquis, la fotografía, y el video.

Descripción escrita
También denominada constancia o acta, consiste en realizar una
narración por escrito del estado de la escena del delito, abordando la
misma de lo general a lo particular, de lo particular al detalle y del
detalle al mínimo detalle.

En la descripción de la escena del delito, deberán tenerse presente

diferentes características, como por ejemplo ubicación geográfica,
orientación, dimensiones y formas, detalle de los elementos y su
distribución, contando con una descripción y ubicación precisa de
cada rastro o indicio observado y toda otra circunstancia que pudiera
encontrarse relacionada con el hecho investigado.

Croquis
Consiste en un dibujo a mano alzada de la escena del delito con
referencias textuales, debiéndose considerar algunos puntos
fundamentales:

1) Reflejar dimensiones del lugar, distribución del escenario y

localización de objetos e indicios del hecho investigado
susceptibles de registro.
2) Indicar la dirección del Norte.
3) Incorporar de forma global la escena del delito y plasmar
circunstancias que pudieran tener relación con el hecho que se
investiga.
4) Identificar, previo a su levantamiento y traslado, la ubicación de
los diferentes indicios en la escena del delito y numerarlos.
5) Dejar plasmados textos explicativos o referencias.

Fotografía

Mediante la fotografía resulta posible registrar y fijar una visión total y

en detalle de la escena del delito, permitiendo acreditar
fehacientemente el estado en que se encontraban las evidencias,
como así también las operaciones llevadas a cabo al momento de su
identificación y recolección.

16
Por tal motivo, se deben utilizar técnicas adecuadas para captar
tomas fotográficas panorámicas, a distancia media y en detalle,
debiéndose tener presente:

1) Puntos de referencia, para permitir situar objetos y/o indicios

en la escena del crimen.
2) El objeto o aquello que resulta necesario resaltar, debiendo
efectuarse aproximaciones al mínimo detalle.
3) Agregar una referencia métrica en caso que se estime
pertinente.
4) Adoptar el ángulo adecuado en cada fotografía.
5) Verificar que la iluminación sea la adecuada y necesaria.

Video
Como medio auxiliar audiovisual, permitirá también registrar la escena
del delito, debiéndose considerar:

1) Aplicación del ángulo de visión adecuado.

2) Utilización de referencias métricas.
3) Verificar que la iluminación sea la adecuada y necesaria.

1.2.3 Normas internacionales

Bien vale destacar que no existe un procedimiento estándar empleado
para el análisis forense digital, sin embargo, un gran número de
instituciones y organismos han creado diferentes directrices
consideradas guías o reglas de buena práctica, las que abordan la
temática desde diferentes enfoques, con el objetivo gestionar e
identificar la evidencia digital para ser empleada dentro de una
investigación.

Guía para recolectar y archivar evidencia (NWG

3227/2002)

Provee reglas de buena práctica para determinar la

volatilidad de la evidencia digital, decidir qué y cómo
recolectarla, determinando su almacenamiento y
documentación (Network Working Group, 2002,
https://www.ietf.org/rfc/rfc3227.txt).

17
Dentro de estructura se aprecian:

1) Principios a tener presente durante la recolección de evidencia

digital: volatilidad posibles inconvenientes, cumplimiento.
2) Etapa de recolección: confiabilidad y proceso de
recolección.
3) Etapa de archivo: importancia de la cadena de custodia,
gestión documental.

Guía para el manejo de evidencia en IT (SAI/2003)

Es una guía creada con el fin de asistir a las

organizaciones para combatir el crimen electrónico
estableciendo puntos de referencia para la
preservación y recolección de la evidencia digital
(Standards Australia International, 2003,
http://unpan1.un.org/intradoc/groups/public/docume
nts/APCITY/UNPAN016411.pdf), detallando el ciclo
de administración de evidencia de la siguiente
forma:

1) Tipo de Diseño de la evidencia.

2) Producción de la evidencia.
3) Recolección de la evidencia.
4) Análisis de la evidencia.
5) Reporte y presentación.
6) Determinación de la relevancia de la evidencia.

Examen forense de evidencia digital: una guía para

fuerzas de la ley (US Doj/2004)

Esta guía se encuentra diseñada para ser empleada

en el momento de examinar la evidencia digital (US
Departament of Justice, 2004,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf),
contemplando los siguientes puntos:

18
 1) Desarrollar políticas y procedimientos con el fin de darle un
buen trato a la evidencia.
2) Determinar el curso de la evidencia a partir del alcance del
caso.
3) Adquirir la evidencia.
4) Examinar la evidencia.
5) Documentación y reportes.
6) Anexos (casos de estudio, glosario, formatos, listas de
recursos técnicos y de entrenamiento).

Computación forense - Parte 1: una introducción a la

computación forense (ISFS/2004)

Este documento está diseñado para brindar a los

lectores no técnicos una visión general de la
informática forense, sin intención de ofrecer
asesoramiento legal de ningún tipo (Information
Security and Forensic Society, 2004,
http://www.isfs.org.hk/publications/ComputerForens
ics_part1.pdf), basándose en los siguientes
interrogantes:

1) Qué es la computación forense.

2) Por qué los individuos y las organizaciones necesitan prestar
atención a la computación forense.
3) Qué es la Evidencia digital.
4) Por qué es importante el conocimiento sobre computación
forense.
5) Qué es lo que hace un especialista en computación forense.
6) Qué es lo que debe hacer una organización si ocurre un
incidente.

Guía para integrar técnicas forenses en respuesta a

incidentes (NIST/2006)

Esta guía establece normas y directrices, incluyendo

requisitos mínimos para proporcionar una adecuada
seguridad de la información en las operaciones y
activos de una organización (National Institute of
Standards and Technology, 2006,
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci

19
 alpublication800-86.pdf), conforme la siguiente
disposición:

1) Introducción.
2) Establecer y organizar las capacidades forenses.
3) Realizando el proceso forense.
4) Usar datos de archivos de datos.
5) Usar datos de sistemas operativos.
6) Usar datos del tráfico de red.
7) Usar datos de aplicaciones.
8) Usando datos de múltiples fuentes.
9) Anexos (Recomendaciones, escenarios, glosario, acrónimos,
recursos de impresión, herramientas y recursos en línea).

Investigación en la escena del crimen electrónico: una

guía para primeros intervinientes (US DoJ/2008)

Esta guía centra su enfoque en la identificación y

recolección de evidencia (US Departament of
Justice, 2008,
https://www.ncjrs.gov/pdffiles1/nij/219941.pdf), la
cual contempla los siguientes aspectos:

1) Dispositivos electrónicos (tipos de dispositivos y posibles

evidencias).
2) Herramientas para investigar y equipo.
3) Asegurar y evaluar la escena.
4) Documentar la escena.
5) Recolección de evidencia.
6) Empaque, transporte y almacenamiento de la evidencia.
7) Examen forense y clasificación de delitos.
8) Anexos (glosario, listas de recursos legales, técnicos y
entrenamiento).

20
Computación forense - Parte 2: mejores prácticas
(ISFS/2009)

Esta guía contempla procedimientos y

requerimientos involucrados en el análisis forense
de la evidencia digital, desde el examen de la
escena del delito hasta la presentación de los
correspondientes reportes (Information Security and
Forensic Society, 2009,
http://www.isfs.org.hk/publications/ISFS_Computer
Forensics_part2_20090806.pdf), cuya estructura se
encuentra conformada por:

Su estructura se encuentra conformada por:

1) Introducción a la computación forense.

2) Calidad en la computación forense.
3) Evidencia digital.
4) Recolección de Evidencia.
5) Consideraciones legales.
6) Anexos.

Guía de Buenas Prácticas para Evidencia basada en

Computadores (ACPO/2012)

Este documento tiene como finalidad de ser

empleado como guía de buenas prácticas para
casos con equipos de computación y diferentes
dispositivos electrónicos que puedan ser
considerados como evidencia digital (Association of
Chief Police Officers, 2012,
http://www.isfs.org.hk/publications/ISFS_Computer
Forensics_part2_20090806.pdf), enumerando los
siguientes aspectos:

1) Los principios de la evidencia basada en equipos de

computación.
2) Oficiales en la escena del delito.
3) Oficiales investigadores.

21
 4) Personal para la recuperación de evidencia basada en equipos
de computación.
5) Testigos de consulta externos.
6) Anexos (legislación relevante, glosario y formatos)

Pautas para la identificación, recolección, adquisición

y preservación de pruebas digitales (ISO/IEC
27037/2017)

Proporciona pautas para actividades específicas en

el manejo de evidencia digital potencial; estos
procesos son: identificación, recopilación,
adquisición y preservación de la evidencia digital
(International Organization for Standardization and
International Electrotechnical Commission, 2017,
https://www.iso.org/standard/44381.html),
contemplando los siguientes apartados:

1) Introducción.
2) Alcance.
3) Referencia normativa.
4) Términos y definiciones.
5) Términos abreviados.
6) Visión de conjunto.
7) Componentes clave de identificación, recopilación, adquisición
y preservación de evidencia digital.
8) Instancias de identificación, colección, adquisición y
preservación.
9) Anexos (Descripción de competencias básicas del primer
interviniente y requisitos mínimos de documentación)

Evidencia Electrónica - Una guía básica para primeros

intervinientes (ENFSI/2014)

Provee principios de calidad para la detección,

prevención, recuperación y análisis de la evidencia
digital. Contempla los sistemas, procedimientos,
personal, equipo y requerimientos necesarios desde
la escena del delito hasta su presentación

22
 (European Network of Forensic Science Institute,
2014, hhttp://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_
of_digital_technology_0.pdf), cuyo esquema abarca:

1) Objetivos.
2) Alcance.
3) Fondo.
4) Introducción.
5) Reunión de evidencia electrónica.
6) Principios de recopilación de evidencia electrónica.
7) Antes de llegar a la escena del crimen.
8) Juego de herramientas para los primeros intervinientes.
9) Computadora portátil forense del primer interviniente.
10) Herramientas y comandos del primer interviniente.
11) Al llegar a la escena.
12) Implementación.
13) Memoria forense.
14) Examen de pruebas.
15) Extracción.
16) Análisis.
17) Evaluar y presentar la evidencia.
18) Observaciones finales.
19) Anexos.

Manual de mejores prácticas en el examen forense de

tecnología digital (ENFSI/2015)

Provee principios de calidad para la detección,

prevención, recuperación y análisis de la evidencia
digital. Contempla los sistemas, procedimientos,
personal, equipo y requerimientos necesarios desde
la escena del delito hasta su presentación
(European Network of Forensic Science Institute,
2015, hhttp://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_
of_digital_technology_0.pdf), su estructura es:

23
 1) Objetivos.
2) Alcance.
3) Definiciones y términos.
4) Recursos.
5) Métodos.
6) Validación y estimación de la incertidumbre de medición.
7) Prueba de aptitud.
8) Manejo de artículos.
9) Evaluación de casos.
10) Priorización y secuencia de exámenes.
11) Reconstrucción de eventos.
12) Evaluación e interpretación.
13) Presentación de evidencias.
14) Salud y seguridad.

1.2.4 Dictamen del perito o investigador

Como último paso dentro del proceso de investigación, se debe
efectuar la presentación de la información relevada como evidencia,
mediante la elaboración de un informe pormenorizado que incluya de
forma objetiva y precisa los resultados de cada una de las etapas de
la investigación.

Dicho informe debe ser imparcial, basado en operaciones técnicas y

sin emitir juicio de valor sobre el hecho investigado, ya que todo sesgo
podría descalificar la tarea pericial.

El informe será redactado por el investigador forense, debiendo

exponer de forma clara y concisa las conclusiones arribadas,
debiendo tenerse presente cada una de las fases que lo componen e
incluir información determinada.

Fases de la elaboración del informe

 Adquisición de las pruebas:

Toda aquella documentación relacionada con el proceso de

adquisición de las pruebas debe formar parte del informe pericial.

 Investigación:

Se deberán documentar las acciones realizadas durante la fase de

investigación y herramientas empleadas para la adquisición de la

24
evidencia digital, como así también el detalle y resultado de los
procesos efectuados sobre cada elemento analizado.

 Elaboración de la memoria:

Para finalizar, el investigador forense debe recopilar la información

que ha obtenido durante el proceso de investigación y redactará el
informe final.

Información que debe incluir el informe

1) Datos del investigador forense y/o institución.

2) Objetivo de la investigación.
3) Declaración del investigador forense, en la que se establecen
los principios de profesionalidad, veracidad e independencia.
4) Documentación relacionada con el proceso de adquisición de
pruebas.
5) Detalle de las acciones llevadas a cabo por el investigador
forense.
6) Resultados de la investigación informática y conclusiones
arribadas.

25
Referencias
Gispert, C (2002) Enciclopedia Autodidactica Interactiva. México:
Editorial Océano.

Casey, E (2004). Digital Evidence and Computer Crime: Forensic

Science, Computers, and the Internet. Estados Unidos: Editorial
Academic Press.

Cano, J. J. (2009). Computación Forense, descubriendo los rastros

informáticos. México: Editorial Alfaomega.

Consejo Nacional de Investigaciones Científicas y Técnicas

(2016). Que es la ciencia forense. Recuperado de
http://www.conicet.gov.ar/programas/ciencia-y-justicia/ciencia-
forense

Noblett, M. G. (2000). Recovering and Examining Computer Forensic

Evidence. Recuperado de https://archives.fbi.gov/archives/about-
us/lab/forensic-science-communications/fsc/oct2000/computer.htm

Tech4Law (2015). What is digital forensics?. Recuperado de

https://www.tech4law.co.za/tech-advisor/107-digital-foren-sics/1528-
what-is-digital-forensics/

Torales E. E. (2014). Manual de procedimiento para la preservación

del lugar del hecho y la escena del crimen. Recuperado de
http://www.saij.gob.ar/manual-procedimiento-para-preservacion-
lugar-hecho-escena-crimen-programa-nacional-criminalistica-autor-
eloy-emiliano-torales-colaboradores-marcelino-cottier-jorge-norberto-
delgado-ignacio-lombardi-ministerio-justicia-derechos-humanos-
nacion-lb000061-2014-07/123456789-0abc-defg-g16-0000blsorbil

Acurio del Pino, S (2009). Manual de Manejo de Evidencias Digitales

y Entornos Informáticos. Versión 2.0. Recuperado de
https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf

Cano, J. J. (2003). Admisibilidad de la Evidencia Digital: Algunos

Elementos de Revisión y Análisis. Recuperado de
https://dialnet.unirioja.es/servlet/articulo?codigo=649921

Network Working Group (2002). Guidelines for Evidence Collection

and Archiving. Recuperado de https://www.ietf.org/rfc/rfc3227.txt

26
Standards Australia International (2003). Handbook Guidelines for
the management of IT evidence. Recuperado de
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNP
AN016411.pdf
US Departament of Justice (2004). Forensic Examination of Digital
Evidence: A Guide for Law Enforcement. Recuperado de
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Information Security and Forensic Society (2004). Computer

Forensics – Part 1: An Introduction to Computer Forensics.
Recuperado de
http://www.isfs.org.hk/publications/ComputerForensics_part1.pdf

National Institute of Standards and Technology (2006). Guide to

Integrating Forensic Techniques into Incident Response. Recuperado
de http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-
86.pdf

US Departament of Justice (2008). Electronic Crime Scene

Investigation: A Guide for First Responders Recuperado de
https://www.ncjrs.gov/pdffiles1/nij/219941.pdf

Information Security and Forensic Society (2004). Computer

Forensics – Part 2: Best Practices. Recuperado de
http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_
20090806.pdf

Association of Chief Police Officers (2012). Good Practice Guide

For Computer Based Evidence. Recuperado de http://www.digital-
detective.net/digital-forensics-
documents/ACPO_Good_Practice_Guide_for_Digital_Evidence_v5.p
df

International Organization for Standardization and International

Electrotechnical Commission (2012). Guidelines for identification,
collection, acquisition, and preservation of digital evidence.
Recuperado de https://www.iso.org/obp/ui/#iso:std:iso-iec:27037:en

European Network of Forensic Science Institute (2014). Electronic

evidence - a basic guide for First Responders. Recuperado de
https://www.enisa.europa.eu/publications/electronic-evidence-a-
basic-guide-for-first-responders

European Network of Forensic Science Institute (2015). Best

Practice Manual for the Forensic Examination of Digital Technology.

27
Recuperado de http://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technol
ogy_0.pdf

28