METODOLOGÍA DE LA INSPECCIÓN OCULAR EN INFORMÁTICA FORENSE

 

MARIA ELENA DARAHUGE

LUIS ENRIQUE ARELLANO GONZALEZ
Universidad Tecnológica Nacional
Regional Avellaneda

 

INTRODUCCION

Antecedentes: Cuando a principios de año, comenzamos a reunir información para iniciar el dictado de un Curso de Informática Forense, con carácter informativo, para todo tipo de profesionales, en la Regional Avellaneda, de la Universidad Tecnológica Nacional, advertimos una serie de eventos que finalizaría en la planificación y redacción de un método específico aplicable a la inspección ocurlar informático forense.

Se tornaba evidente la necesidad de efectuar una recopilación ordenada y sistemática de los distintos componentes detectables en la comunidad pericial, a efectos de aportar entidad metodológica, científica, criminalística, informática y legal a la nueva especialidad surgida de hecho y aún no formalizada de derecho.

Pensamos que era necesario conformar un texto de apoyo al perito informático forense que le permitiera actuar de manera profesional, unificando los perfiles mínimos pretendidos para esta actividad en apoyo de la investigación delictiva. Sus componentes principales debían incluir:

Un Marco Científico, que le permitiera realizar sus investigaciones y experiencias, apoyado estrictamente en el método científico. Asimismo debería aportarle las estructuras lógicas necesarias para justificar sus fundamentaciones de manera estricta e irrebatible, más allá de la fluidez argumentativa propia de cada profesional.

Un Marco Criminalístico, a partir del cual interrelacionarse con los restantes especialistas del área, interactuar con los mismos, trabajar en forma mancomunada y en lo posible arribar a conclusiones coherentes desde todas las visiones específicas. También debería aportarle los conocimientos necesarios para detectar, documentar, preservar y de ser necesario secuestrar los elementos probatorios propios de otras especialidades presentes en el lugar del hecho.

Un Marco Informático general, a partir de las metodologías de Análisis de Sistemas, que le permitan utilizar aquellas herramientas de uso general que se adapten a las actividades periciales informáticas. En este sentido, las etapas de relevamiento de información y desarrollo de un modelo coherente de análisis, se evidencian como instrumentos adecuados para brindar soporte metodológico a la actividad del experto en informática Forense.

Un Marco Informático específico, en relación con las herramientas propias del tratamiento de la prueba indiciaria informático forense. Al respecto es dable destacar que las mismas, deben ser abordadas desde los dos ambientes más frecuentes en uso en nuestra sociedad, el de "software libre" y el de "software propietario", más allá de sus características de pago o gratuito.

Un Marco Legal abarcativo de las distintas actividades periciales a desarrollar. Esto implica la inserción legal del accionar pericial al concurrir al lugar del hecho (a requerimiento de un Tribunal, o de un cliente, con o sin orden judicial que lo avale), al realizar una inspección ocular, al documentar y secuestrar elementos probatorios, su responsabilidad respecto de la prueba indiciaria que se le ha confiado en custodia, los cumplimientos de los plazos legales, su condición de testigo experto, los artículos de los códigos de Fondo y de Forma que lo protegen o lo limitan y la interacción resultante de su presentación ante los distintos Fueros Judiciales.

Los puntos anteriores, se verían reflejados en un Informe Pericial:

a. Científicamente fundamentado.

b. Criminalísticamente interrelacionado.

c. Modelado mediante técnicas propias del Análisis de Sistemas.

d. Investigado con las mejores herramientas disponibles.

e. Inserto en el marco legal correspondiente.

No obstante y teniendo en cuenta la actual tendencia judicial hacia la metodología de Juicio Oral, no es suficiente con una fundamentación técnica adecuadamente implementada para defender un informe pericial. Hacen falta técnicas de argumentación, redacción y oratoria contundentes, precisas e irrebatibles. De ahí la necesidad de agregar un componente de defensa oral y escrita, a la estructura de análisis pericial.

Hemos intentado integrar los marcos descriptos con anterioridad a efectos de constituir una Metodología Pericial Informático Forense estricta y científicamente fundamentada.

Trabajos previos y relacionados: La presente investigación, se sustenta en la siguiente concepción metodológica pericial:

Concepto de Informática Forense. Constituye el fundamento del trabajo, ya que determina la particular visión de los autores sobre esta técnica criminalística. Si bien uno de los propósitos de la informática forense consiste en determinar los responsables de los delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular para asegurarse que no vuelva a repetirse. La informática forense es aplicable tanto en los casos llevados a juicio como en investigaciones particulares solicitadas por empresas u organismos privados. Podemos decir que:

La informática forense es un método probatorio consistente en una colección de evidencias digitales para fines de investigación o legales.

Cada caso específico debe ser analizado como si fuera a juicio, de esta manera cualquier investigación en informática forense puede soportar un escrutinio legal.

Resumiendo, entendemos por informática forense, al conjunto multidisciplinario de teorías, técnicas y métodos de análisis, que brindan soporte conceptual y procedimental, a la investigación de la prueba indiciaria informática.

Las propuestas anteriores, se han visto reflejadas en el Manual de Informática Forense, publicado por los autores en la Facultad Regional Avellaneda de la Universidad Tecnológica Nacional.

La estructura que brinda soporte científico a la obra, se encuentra fundamentada en el libro Lógica Aplicada a la Investigación, desarrollado por ambos docentes durante el año 2001 y publicado por Editorial GEAR.

Problema: Como resultado de una orden judicial o de una solicitud oficial o privada el perito en informática forense, podrá ser requerido para concurrir a determinado lugar con el objeto de detectar, identificar, clasificar, documentar, proteger y trasladar un conjunto de elementos probatorios que constituya la prueba indiciaria informático forense y que posteriormente permita a quien lo solicitare, efectuar una reconstrucción científica, metodológicamente estricta y racionalmente correcta de los hechos ocurridos en el lugar o asociados con el mismo. Recordemos que la interacción a distancia de los medios informáticos amplía enormemente la distancia de interacción de los eventos analizados.

Esta tarea denominada Inspección Ocular, debe ser normalizada en virtud de su naturaleza particular ya que:

La única forma de realizar una reconstrucción del hecho coherente consiste en efectuar una labor multidisciplinaria e integradora, que ponga en evidencia los resultados alcanzados por los distintos especialistas que interactúen durante la Inspección Ocular: expertos en rastros, huellas dactilares, fotógrafos, documentólogos, criminalístas, médicos forenses, balísticos y otros profesionales, acorde a la naturaleza de los actos investigados.

La metodología de inspección ocular criminalística ya ha sido practicada, experimentada, comprobada y corregida a lo largo de varias décadas, por lo que se asienta sobre sólidos pilares científico-tecnológicos. Por lo tanto debe ser utilizada por los expertos en Informática Forense.

No obstante, el ambiente particular de la prueba indiciaria informático forense, que requiere entre otros componentes, del empleo específico de metodologías de análisis de sistemas para optimizar la búsqueda, detección, identificación y protección de la prueba, implica el uso general de las técnicas de inspección ocular criminalística, adaptadas a la naturaleza específica de los indicios a tratar.

Hipótesis (Propuesta o solución): Los autores se proponen desarrollar una metodología específica de Inspección Ocular Informática Forense, que incluya:

Fundamento científico.

Marco Legal

Estructura Informática General (Análisis de Sistemas)

Estructura Criminalística General (Inspección Ocular Criminalística)

Estructura Informática Particular (Herramientas y Métodos de Análisis Informático Forenses específicos)

Como elemento integrador el accionar mancomunado con otros peritos y una clara estructura lógica de investigación aplicada al hecho particular sub peritia.

DESARROLLO

Es necesario clarificar algunos conceptos previos al análisis de la metodología a emplear:

Esta parte del accionar pericial, requiere de acciones positivas específicas por parte del Tribunal Interventor, que generalmente implicarán el auxilio de la Fuerza Pública.

El perito no tiene autoridad, ni poder delegado para realizar una inspección ocular por su cuenta. Esta es una diligencia que debe ser ordenada por un representante del poder judicial, de manera explícita, escrita y detallada.

Si el experto necesita actuar en el ámbito privado, a solicitud de un particular debe tomar los recaudos necesarios para salvaguardar su posición ante la ley.

Generar un documento autorizando la inspección de los activos de la empresa y hacerlo firmar por el dueño o responsables legales de la misma.

No debe actuar sin el concurso y la certificación de un escribano.

No debe secuestrar elementos, debe solicitar al cliente que se los facilite y dejar constancia de dicha autorización, por escrito y de ser posible ante testigos (o mejor aún en presencia y con la certificación del escribano).

No debe tocar componentes sin autorización, no participar en las discusiones entre los miembros de la empresa.

Si necesita acceder a un archivo a solicitud de su cliente y en contra de la voluntad del empleado que le niega el acceso, no acceder.

Aunque la afirmación anterior parezca un contrasentido, lo cierto es que la mejor recomendación para un cliente en el momento de aceptar el trabajo consiste en sugerirle que haga una denuncia como corresponde, de esta manera se salva responsabilidades y se actúa conforme a ley.

Si el cliente no lo hace y prefiere actuar por vía extrajudicial, debe asumir los riesgos y no transferírselos al perito.

Lo que no está escrito es fácil de olvidar y una cosa es el accionar en el momento "en caliente", por parte de quienes sienten vulnerados sus activos o su privacidad y otra la declaración frente a un futuro Tribunal. En el segundo caso, todo el mundo trata de quitarse el lazo de encima y pasarlo a cualquiera que esté cerca.

Documentar, certificar, escribir y no excederse por ningún motivo.

Un profundo conocimiento de la legislación de forma y fondo vigentes, serán el mejor seguro de libertad, integridad y crédito profesional.

Requisitoria Pericial

Al respecto recordemos que la requisitoria puede provenir de:

Una autoridad judicial, en caso de actuar como Peritos Oficiales o de Oficio.

Una autoridad judicial, en caso de actuar como Perito de Oficio. En este caso es necesario considerar:

El experto ha sido designado por la autoridad judicial, como perito a solicitud y propuesta de una de las partes.

El perito ha sido llamado a efectos de asesorar a una empresa o a un particular, respecto de algún tema específico.

Debe tener en cuenta las responsabilidades penales que puedan afectarlo por su accionar, especialmente en lo referido a la participación criminal (colaboración necesaria para que se cometa el delito),

Entrevista aclaratoria: La labor de recolección de información debe ser estrictamente científica, pero metodológicamente sistémica. Esta labor respecto de la prueba indiciaria informático forense, tendrá su principal punto de acción durante la inspección ocular que se insertará exclusivamente en el marco criminalístico y en el marco específico informático forense. Sin embargo para alcanzar los resultados pretendidos es necesario haber realizado una adecuada planificación previa.

La entrevista permite recolectar toda la información posible. Es conveniente que se realice en la oficina del experto o en un ambiente neutral, nunca en el lugar donde se realizará la recolección de pruebas propiamente dicha. Esto se debe a varias razones, entre ellas:

Seguramente el perito será reservado en sus dichos, pero no todo el mundo es igual, su futuro cliente tal vez lo haya hecho llamar por medio de su secretaria, que no siempre es todo lo confiable, discreta y silenciosa que sería deseable. Su irrupción en el lugar, implica indirectamente su identificación como potencial enemigo y dicha identificación puede proyectarse al grupo involucrado o a los clásicos observadores no involucrados. Esto puede generar acciones preventivas que destruyan las pruebas que el perito pretende detectar, ya sea por que los sospechosos saben como eliminarla o porque disponiendo de tiempo se asesoran sobre cómo hacerlo.

El tiempo es un factor primordial, pero que en general velocidad no implica atolondramiento. Mientras la futura tarea se mantenga en secreto es posible planificar las acciones. Por el contrario una vez descubierta la posibilidad de ser investigados, por los sospechosos, debe actuarse de inmediato.

Por otra parte, al sacar al futuro cliente de su entorno habitual, en general se lo induce a ser más objetivo. La visualización del área donde cree que está siendo engañado o estafado, incentiva su emotividad y en general lo vuelve más agresivo, más elocuente y menos racional. El analizar el tema fuera del entorno, le permitirá abstraerse de las emociones y concentrarse en las preguntas.

Al planificar los tiempos de la entrevista, se debe considerar:

La personalidad del entrevistado, esto es sumamente útil, ya que permite prever el rumbo previsible que tomarán los acontecimientos.

Identificar los temas generales a tratar y el período de tiempo necesario para interactuar ante las posibles derivaciones de dicha entrevista.

Preparar un cuestionario de preguntas para realizar al entrevistado con preguntas generales y específicas básicas y la posibilidad de generar nuevas acorde al desarrollo de la entrevista.

Las preguntas deben realizarse siguiendo una estricta metodología de análisis de sistemas y cuando finalice la entrevista permitirán realizar un análisis de alto nivel de los sistemas informáticos involucrados. Incluyendo las estructuras edilicias, componentes físicos involucrados, normas de seguridad, controles de acceso, diagrama de red, diagrama de datos, cursogramas de actividades, distribución física del personal, organigrama de la empresa y toda otra información que pueda facilitar la planificación de las acciones necesarias para acceder al lugar, recolectar la prueba, protegerla y trasladarla al lugar de análisis.

Siempre y bajo cualquier circunstancia, debe respetarse el marco legal en que se encuentra trabajando.

Características de la investigación sistémica:

Si consideramos que una investigación, no es otra cosa que una serie de actividades tendientes a resolver un problema específico y acotado, podemos inferir que la metodología sistémica es una de las más apropiadas y actualizadas para encarar dicha tarea. Los métodos clásicos de inducción, deducción y abducción, todos ellos reunidos en el método científico, constituyen herramientas ineludibles y básicas a la hora de investigar, pero la planificación general es sistémica. En general es posible reducir los pasos de la metodología de sistemas para una investigación a cuatro etapas: a) Análisis, b) Diseño, c) Implementación y d) Retroalimentación, adecuadas al siguiente esquema general:

Estos puntos deben ser tenidos en cuenta específicamente antes de cada investigación en general y de cada pericia informático forense en particular. Son las herramientas que nos permitirán efectuar un trabajo sistémico metodológicamente estructurado y sistemáticamente fundamentado.

Inspección Ocular

Generalidades: Podemos considerar que el lugar del hecho contiene todos los testigos mudos, necesarios para la investigación del delito. La misión del perito es documentar mediante acta, croquis y fotografías todo lo que en él se encuentra.

Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relación con el hecho ocurrido. Debe documentarse todo lo hallado, fotografiado y luego secuestrado si se considera necesario, aunque se contraponga con la hipótesis que nos hayamos formado a priori, es ideal evitar dichas hipótesis, analizar lo hallado y luego sacar una conclusión.

No pasar, no tocar, no mover, no encender, no abrir, no pisar y sobre todo no molestar a los demás peritos, observar críticamente y documentar.

Es de valor fundamental realizar un relevamiento previo, de ser posible. Registrar, la hora exacta en que se recibe la comunicación solicitando nuestra presencia; la hora en que se llega al lugar del hecho; quién o quiénes ya se encontraban en el mismo; testigos que se hallaren, personas que nos acompañan o dirigen nuestras actividades, sistemas de seguridad franqueados para llegar al lugar, sistemas de seguridad activos en el momento de arribar. Nada debe dejarse librado al azar. No podemos basarnos en la memoria propia ni ajena. Todo debe contarse, medirse, anotarse, registrarse, fotografiarse, en los medios disponibles (anotador de papel o electrónico); los papeles sueltos no sirven; se deterioran o se pierden y luego tenemos que describir el lugar sin la certeza imprescindible.

La mayoría de las sentencias se hacen basadas en pruebas de indicios; por ello volvemos a recalcar, todo es importante: rastros, huellas, manchas, pisadas, colillas de cigarrillos, impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados, por ejemplo equipos abiertos o cerrados, fajas de seguridad rotas, cables sueltos, equipos de conexión o distribución abiertos o cerrados, elementos próximos al área de trabajo, al parecer desconectados o sin relación con los equipos, especialmente equipos de captura de vide, de comunicaciones, de impresión, de almacenamiento, de alimentación eléctrica, etc. Lo que no se documenta en la primera inspección ocular no podrá reconstruirse en una segunda, si es necesaria y se hiciere. El trabajo, en este sentido, debe efectuarse sin prisa, pero sin pausa. Una inspección ocular mal realizada, fuera de tiempo o cuando ya se ha modificado el lugar del hecho, lleva con seguridad a un fracaso en la investigación criminal.

Los rastros que puedan tener relación con el hecho hay que estudiarlos e interpretarlos para no caer en error. Luego documentarlos en el acta de inspección, fotografiarlos y secuestrarlos si correspondiere y fuese posible. Por ello es imprescindible que el perito informático forense, tenga conocimientos apropiados de criminalística, para:

Entender las actividades de los restantes peritos y facilitar la tarea interdisciplinaria.

Evitar modificar la escena en perjuicio de otros peritos.

Preservar la prueba en ausencia de los peritos especialistas.

Colaborar en la investigación, de manera mancomunada, integrada y pro activa (ante la duda o la falta del especialista correspondiente, documento la prueba, la preservo y de ser necesario la secuestro, aunque no pertenezca a mi especialidad, siempre es preferible una prueba mal conservada que ninguna prueba)

Es necesario entender que la ignorancia no es justificativo para la inoperancia. El decir: "no sabía, no me di cuenta", no soluciona nada. De la misma manera que el ortopedista o el pediatra, no pierden su condición de médicos, el perito en informática forense, no puede ignorar las actividades del resto de sus colegas profesionales de la criminalística.

Situaciones posibles en la Inspección Ocular

Es necesario destacar tres situaciones diferentes en la inspección ocular, desde el punto de vista del perito informático forense:

La situación se ha desarrollado de manera confidencial. Se han iniciado las actuaciones y luego se ha decidido intervenir, detectar y secuestrar la prueba. En este caso el perito deberá realizar todas las tareas que corresponden a la etapa del relevamiento informático:

a. Tomar contacto con los actuados (penales, civiles, comerciales, laborales, administrativos, etc), extraer toda la información disponible en los mismos.

b. Tomar contacto con todas las personas (no involucradas como sospechosas en la investigación) que puedan aportar datos sobre el lugar, las plataformas instaladas, los sistemas operativos en uso, los mecanismos de protección instalados, la estructura de seguridad informática del lugar (física y lógica). Cuanto más sepamos "a priori" menos errores cometeremos al actuar.

c. De ser posible acceder a un plano del lugar a ser inspeccionado (no sólo de la habitación en cuestión, sino de todo el edificio involucrado). Lo ideal es contar además con los planos de distribución de red y de electricidad. De esta manera podrá planificarse por anticipado la ruta de acceso más segura y rápida al lugar a ser inspeccionado, realizando las acciones necesarias para la protección de la prueba e impidiendo las acciones maliciosas sobre la misma.

d. Recordemos que la planificación es la base del éxito. Tomar previsiones, evita pérdidas y destrucciones de información innecesarias.

e. Es necesario planificar el momento de acceder al lugar. De ser posible, se prefieren las horas de la madrugada (entre las tres y las cinco de la mañana), en este horario, todos los recursos humanos, se encuentran menos activos que en otras horas. Recordemos que algunos códigos de procedimientos prohíben el allanamiento nocturno, pero que se refieren a las moradas particulares y no a los lugares públicos, es necesario comprobar esta circunstancia, acorde a la jurisdicción judicial en que desarrolla sus actividades el perito.

f. Siempre es conveniente contar con un plan alternativo, para el supuesto en que el plan principal falle (una puerta que no se abre, un acceso que ha sido eliminado o modificado, la remodelación de una oficina, sala de servidores, conexión, etc.).

g. Como en toda labor informática, debemos contar con resultados previsibles de máxima y mínima, que nos aseguren contar con la prueba necesaria. Si detectamos dificultades reales, para alcanzar el objetivo de mínima, es necesario formular otro plan de aproximación, acceso, protección y secuestro de los datos pretendidos.

h. En caso de no tener acceso posible al lugar, siempre podremos recurrir a las técnicas de ingeniería social inversa, como haría cualquier hacker.

i. Todas estas medidas deben ser informadas y autorizadas por el juez o fiscal interventor. Nuestro encuadre legal es imprescindible, so pena de anular la prueba por razones puramente formales.

j. Al concurrir al lugar debe hacerlo con los elementos necesarios para realizar su tarea. Tenga en cuenta que debe detectar, documentar, preservar y trasladar la prueba.

k. Respecto del punto anterior, lo ideal es el uso de una estación de trabajo informático forense portátil. (Un sistema basado en una notebook). Si debe decidir entre poseer un equipo de escritorio (desktop) o un equipo portátil, inclínese siempre por el portátil, ya que cumple ambas funciones.

l. Si no dispone de estos elementos, genere su propio kit de herramientas. Recuerde que estas herramientas deben ser legales, no utilice "copias piratas", es muy duro dar explicaciones al abogado que lo interrogue o al juez sobre la naturaleza ilegal de sus herramientas informáticas.

m. Siempre debe estar provisto de elementos de iluminación accesoria (linternas o proyectores y pilas o baterías suficientes).

n. Siempre debe llevar consigo una cámara digital con zoom, para poder realizar ampliaciones macrofotográficas de los elementos que necesite documentar.

o. La observación anterior es aplicable a todos sus desplazamientos en un vehículo propio o ajeno. Nunca se sabe cuando puede ocurrir un accidente y una fotografía en el momento adecuado, le puede ahorrar, muchos años de litigio, sea usted o no el culpable del accidente. Recuerde que la industria del juicio en nuestro país está especialmente orientada a la accidentología vial y a las relaciones laborales. (las compañías de seguros, casi siempre "pagan o arreglan"). Evite quedar en el medio de estas actividades dudosamente lícitas.

p. Además de estos elementos, debería contar con: un grabador de bolsillo con micrófono disimulable (corbatero), una brújula (le permitirá orientar los croquis), una cinta métrica (ideal entre 5 y 10 metros), una plomada (permite medir distancias de un objeto elevado hasta el piso, por una sola persona, simplemente ascienda hasta el objeto, deje caer la plomada hasta que contacte con el piso , baje y mida el hilo desenrollado), un cuaderno cuadriculado, (para efectuar los croquis), sobres de papel de diversos tamaños, sobres plásticos de distintos tamaños (ideales, los que se venden para congelar alimentos que vienen con cierre incorporado), rótulos autoadhesivos, una lupa de tamaño cómodo para utilizar en espacios reducidos, un imán extensible (para retirar elementos metálicos del interior de los equipos), un espejo pequeño extensible a idénticos fines, marcadores al agua para destacar elementos o marcas, gasa y cinta adhesiva, para realizar pequeños envoltorios. Siempre lleve varios pares de guantes de cirugía, no trabaje sin ellos.

q. Tenga en cuenta a la hora de dibujar, que todos los artistas han recurrido siempre a una técnica simple cuando debieron copiar elementos de la naturaleza, ampliar o reducir dibujos: se cuadricula el dibujo, se realiza una cuadriculación a escala del elemento a copiar y luego se representa cada cuadrícula independientemente. En los locales especializados, se venden pequeñas ventanas de cuadriculación con un soporte de tipo trípode, que son de suma utilidad para representar elementos distantes, no mensurables, a mano alzada y mantener las proporciones apreciadas.

El perito ha sido llamado para actuar en un lugar que desconoce y no tiene tiempo para realizar una planificación adecuada:

r. Aproveche el viaje hacia el lugar para relevar toda la información posible antes de efectuar el ingreso. Realice un relevamiento tanto más profundo como tiempo tenga disponible.

s. Pregunte sobre la naturaleza de las acciones pretendidas y autorizadas por el juez o fiscal interventor. Nuestro encuadre legal es imprescindible, so pena de anular la prueba por razones puramente formales o resultar culpables de algún delito.

t. Al concurrir al lugar debe hacerlo con los elementos necesarios para realizar su tarea. Tenga en cuenta que debe detectar, documentar, preservar y trasladar la prueba.

u. Respecto del punto anterior, lo ideal es el uso de una estación de trabajo informático forense portátil. (Un sistema basado en una notebook). Si debe decidir entre poseer un equipo de escritorio (desktop) o un equipo portátil, inclínese siempre por el portátil, ya que cumple ambas funciones.

v. Si no dispone de estos elementos, genere su propio kit de herramientas. Recuerde que estas herramientas deben ser legales, no utilice "copias piratas", es muy duro dar explicaciones al abogado que lo interrogue o al juez sobre la naturaleza ilegal de sus herramientas informáticas.

w. El perito ha sido llamado para actuar en el lugar y no está autorizado a retirar elementos del mismo, pero puede realizar copias de la información que le resulte de interés. Actúe de acuerdo a lo referido en el punto 2., pero ponga especial énfasis en los elementos de copia y resguardo de la prueba, ya que sólo podrá acceder a los originales una vez.

El perito ha sido llamado para actuar en el lugar y no está autorizado a retirar elementos del mismo, es decir debe trabajar en el lugar.

x. Es el peor de los casos, sólo su habilidad, capacidad profesional, inteligencia práctica y aptitud investigativa podrán ayudarlo.

y. Son los casos más raros, pero no imposibles.

z. Sea meticuloso, tómese todo el tiempo posible (o disponible), no se apresure, analice las pruebas en profundidad, no se deje engañar con las apariencias.

aa. Es el ambiente ideal para montar un escenario que engañe al perito.

bb. Siempre insista en lo parcial y acotado de su trabajo, de ser posible intente obtener una copia de la prueba analizada (siempre por medios legales).

cc. No comprometa su opinión salvo que esté completamente seguro.

dd. Estos casos, se producen generalmente en ambientes que contienen información altamente sensible para un determinado organismos, institución o empresa. Generalmente se trata de informes preliminares o informales, ya que esta manera de trabajar es contraria a los códigos de procedimientos. No obstante, no se puede descartar la posibilidad de que ocurra (p.e. registros de bases de datos de organismos gubernamentales, militares, de fuerzas de seguridad, de estructuras religiosas o políticas, etc.)

Metodologia de trabajo:

La inspección no debe limitarse solamente al lugar en donde se encuentra almacenada la información o desde dónde se accede a la misma; debe extenderse a todo su contorno y lugares aledaños. Por ejemplo, si el hecho sucedió en la sala de servidores, la inspección debe ampliarse a todos los nodos accesibles de la empresa, esta verificación puede ser física o remota, pero debe hacerse.

Una manera interesante de hacer la observación es mediante la forma que se denomina espiral; por ejemplo, en el interior de una habitación se encuentra una computadora asegurada (ya hicimos lo necesario para que no la desconecten, apaguen o modifiquen; comenzaremos a inspeccionar caminando en forma de espiral, es decir, desde las paredes, y de esa manera nos iremos acercando hasta llegar al lugar principal, esto es, donde está la computadora a examinar.

Cuando el sitio a inspeccionar es muy grande, se lo fracciona en cuadrículas; luego se revisan las cuadrículas con el método espiral. Podemos derivar las inspecciones de los lugares anexos de menor interés a otras personas que puedan ayudarnos, pero en caso de encontrar alguna cosa interesante, no deben tocarla, se limitarán a llamarnos y mostrarnos el descubrimiento, nosotros decidiremos la acción a tomar en cada caso. La ayuda por parte de otras personas, debe ser analizada con cuidado, pero si establecemos que se trata de personas confiables, no debemos olvidar que las mujeres y los niños son sumamente hábiles para detectar elementos que se nos hayan pasado por alto, nunca debemos subestimar una opinión, ni un dato por su aparente obviedad. Las diferentes distancias a que se encuentran los elementos, así como también las dimensiones de la habitación o lugar, deben ser medidas con exactitud y no calculadas a simple vista o por medio de pasos. El fotógrafo estará permanentemente con el perito (o el perito hará de fotógrafo. Esto es de vital importancia, toda vez que se trata de una reconstrucción permanente del lugar del hecho y de lo hallado en el mismo. En lo posible utilice cámaras digitales, lo que facilitará su posterior inserción en archivos o presentaciones resultantes de la actividad pericial.

Considerando el delito desde la criminalística, la mayoría de las veces el delito se comete y el autor desaparece, pero deja en el lugar del hecho rastros que pueden servir para lograr su identificación, y el cuándo, cómo y dónde ocurrió el mismo. De ahí que sea necesario documentar, describir y conservar las huellas que pueden servir para lograr dilucidar lo ocurrido. En informática forense la prueba tiene dos componentes de suma importancia que la hacen diferente a las restantes pruebas indiciarias:

Si generamos un archivo informático, mediante la copia bit a bit de un original, ambos elementos son idénticos e indistinguibles (el simple hecho de hablar de original y copia es contradictorio en si mismo. Mientras que ningún perito confundiría un rastro digital con el correspondiente dactilograma, utilizado en la comparación, si no recurrimos a medios externos de identificación (por ejemplo soporte magnético de origen), no es posible dilucidar original y copia en dos archivos idénticos bit a bit. Esta es una dificultad agregada a nuestra especialidad y que no debemos perder de vista.

El sospechoso puede haber desaparecido como en cualquier otra actividad pericial, pero también puede haber permanecido y ser inalcanzable. Basta con pensar en accesos remotos, actividades ilícitas a distancia, almacenamiento remoto, etc. Es muy importante conocer las limitaciones legales de nuestro accionar, si debemos recolectar información a distancia, almacenada fuera de la jurisdicción judicial en que nos hallamos, debemos informar al juez o al fiscal, antes de actuar y dejar que ellos decidan o tomen las medidas apropiadas para realizar esta actividad (exhortos, oficios, requerimientos etc.). Nuestra actividad debe limitarse a los componentes informáticos del lugar, en los demás casos es necesario pedir autorización, informando la localización exacta de los archivos a acceder, los motivos para hacerlo y la naturaleza de las acciones a realizar sobre los mismos. No debemos modificar archivos remotos, por ningún motivo, salvo que se trata de una orden judicial en forma.

La ley procesal indica que las presunciones o indicios son las circunstancias o antecedentes que, teniendo relación con el delito, pueden razonablemente fundar una opinión sobre hechos determinados. Lógicamente, para que haya plena prueba por presunciones o indicios se requiere que ellos reúnan ciertas condiciones:

que se relacionen con el hecho principal que motiva la investigación y que actúa como punto de partida de la misma;

que no sean equívocos, es decir que todos reunidos no puedan conducir a conclusiones diversas;

que estén directa y estrictamente relacionados, de manera que conduzcan lógica y naturalmente al hecho de que se trate;

que sean concordantes los unos con los otros, de forma que tengan íntima conexión entre sí y se relacionen sin esfuerzo desde la hipótesis propuesta hasta la conclusión alcanzada,

que no sean contradictorios con otros elementos probatorios propios o de otras áreas de la prueba indiciaria (o con hechos ciertos y probados de las pruebas confesional o testimonial)

que se funden en sucesos reales y probados y nunca en otras presunciones o indicios.

que las operaciones realizadas sobre los indicios sean científicamente correctas, evaluables y repetibles.

que las conclusiones extraídas se funden en técnicas de evaluación estrictas y teóricamente fundamentadas (método científico, evaluaciones físicas y químicas)

que la estructura demostrativa que relaciones los hechos, se base en la más pura lógica silogística

que el evaluador posea la capacitación profesional necesaria para realizar la tarea. En el caso de los peritos es imprescindible el título habilitante en el área de incumbencia específica. El simple hecho de ser ingeniero o licenciado en sistemas, no debería ser condición suficiente para actuar como perito en informática forense (al menos desde la ética profesional), de la misma manera que el hecho de ser ingeniero no habilita para la pericia en accidentología vial.

la informática forense requiere conocimientos profundos de seguridad informática, sistemas operativos, redes, medios de almacenamiento primario, secundario y terciario, metodología de investigación científica y criminalística, códigos de fondo, forma y legislación vigente en materia de informática jurídica, legislación pericial y testimonial y varias áreas complementarias que no aparecen en la formación curricular académica de un licenciado o ingeniero en informática y las carreras afines (computación, sistemas, electrónica, etc.)

Por ello volvemos a recalcar: en la investigación de los hechos delictivos sirve todo lo que se encuentra en el lugar del suceso. Nada debe descartarse como inútil; todo debe documentarse y secuestrarse.

La ley no se determina fehacientemente en cuáles delitos debe confeccionarse el croquis y efectuarse la inspección ocular formal, pero recordemos que lo que abunda no daña. No obstante ello, debe pensarse que la inspección ocular y el croquis deben demostrar o documentar algo.

A veces los delincuentes desconocen las características del lugar donde han almacenado la información (realizada por acceso remoto), han modificado la misma o la han dañado, pero sí recuerdan algunos puntos claves de la estructura lógica de la máquina accedida. Por ello es importante en la inspección ocular dejar constancia de la estructura lógica de los elementos informáticos accedidos (capturar pantallas del explorador). Estas estructuras que a posteriori, si concuerdan con la declaración del imputado, pueden también servir de indicios de gran importancia.

Debe recordar que siempre es necesario registrar la prueba antes de acceder a la misma. Es decir

realizar el hash del soporte accedido, por medios no invasivos

una vez identificado, registrado legalmente y certificado el soporte, de manera adecuada, se puede realizar un análisis del equipo sospechado, utilizando herramientas convencionales.

este hecho debe serle comunicado a la autoridad que interviene en el lugar (juez, fiscal o sus representantes) y actuar sólo con autorización de la misma. (siempre explicar detalladamente las acciones a realizar y los motivos que provocan las mismas)

Si las diligencias fueron realizadas durante la noche y de estimarlo necesario, se puede solicitar a la autoridad interventora concurrir en otro horario para comprobar algunas circunstancias que no son visibles en dicho momento (antenas externas, conexiones con otros edificios, etc.). Por eso es recomendable actuar en las horas que preceden al amanecer (entre las tres y las cinco), de esta manera al finalizar las tareas en el interior se tendrá suficiente visibilidad para comprobar los elementos externos y no tener necesidad de concurrir nuevamente.

La comprobación judicial exige la mayor celeridad posible, y es de suma importancia que las cosas permanezcan en su estado primitivo, y que ninguna alteración pueda hacerlas ver desde un punto de vista equivocado. Si es necesaria la asociación de peritos, el juez hará vigilar el sitio e impedirá todo movimiento antes de la llegada de aquéllos; otras veces procede por sí mismo a inspeccionar los objetos que no requieren la observación del especialista, prescindiendo de aquellos que sólo pueden ser examinados útilmente por éste (pero sucede a menudo que no puede separarse la inspección judicial del examen pericial, y que, procediendo aisladamente, suele haber perjuicio en alguna de las instancias). Finalmente, es obligación del perito oír, durante la operación, a las personas que hayan llegado en primer término, y que habiendo desde un principio observado las cosas pueden dar a conocer el estado en que han encontrado el lugar y los cambios que haya podido sufrir.

Cuando se ha procedido a la comprobación judicial en aquella etapa del proceso, en que la información ya va dirigida contra un inculpado, puede ser necesario hacer asistir a éste a las operaciones. Debe hacerse así siempre que las explicaciones generales suministradas por él no tengan el grado de precisión necesario, y queden por practicar pormenores por él alegados, o también cuando los objetos deban ser reconocidos por él.

Acta de Inspección o secuestro:

Lógicamente, la inspección ocular del lugar del hecho debe documentarse en un acta, es decir, con escritura de corrido y todo en letras, con la menor cantidad de números posibles. La misma debe ser firmada por todos los intervinientes, juez o fiscal, testigos, peritos, víctima/s e imputado/s si se encontraren presentes. Cuando se utilice más de una foja, las firmas irán insertas en todas ellas, es decir, en todas las utilizadas.

Puede labrarse en el lugar del hecho y ser manuscrita, pero nada impide que utilicemos los medios a nuestra disposición (notebook e impresora o elementos del lugar). Además de todas las circunstancias observadas en el lugar, se dejará constancia de los pequeños interrogatorios que se les haya efectuado a los presentes.

El acta puede servir para dejar constancia formal de una serie de diligencias y operaciones técnicas sobre la prueba indiciaria y también para efectuar el secuestro de dicha prueba, al respecto:

El acta debe identificar claramente a las personas, en lo posible con la totalidad de sus nombres y con la mayor cantidad de datos filiatorios posibles.

Si los testigos no pueden ser hallados, su testimonio final resultará nulo.

Aunque ningún código de procedimientos a la sazón exige el teléfono y el email, es la forma más directa en que el perito podrá contactarse con los testigos, no logrará una comunicación legalmente válida, pero al menos tendrá datos reales de las personas que estuvieron en el acto de secuestro.

Croquis ilustrativo.

En general se torna imprescindible agregar una representación gráfica del lugar inspeccionado. Lo ideal es poseer un equipo fotográfico estereométrico y todos sus problemas habrán terminado. No obstante dichos equipos no se encuentran en estos momentos al alcance de todos los peritos, por razones de precio en el mercado. Es necesario comprender que la fotografía sirve para documentar el lugar, pero no es suficiente para determinar todas las relaciones entre los elementos observados. De ahí la necesidad de realizar representaciones gráficas. Es necesario utilizar el dibujo adecuado, croquis, esquicio, esquicio panorámico, croquis con abatimiento, croquis en cruz, gráfico, esquema. Tenga en cuenta que las condiciones esenciales que deberá reunir este gráfico son:

Fidelidad: Es decir deben adecuarse lo más estrictamente posible a la realidad observada. La creatividad es privilegio de los artistas, pero en este caso no es recomendable.

Claridad: Debe ser fácilmente interpretable, sin mediciones ni nombres ambiguos. Debemos ponernos en la situación del lego, que no estuvo en el lugar.

Legibilidad: Debe poseer dibujos y textos lo más destacados posibles, de manera que no impliquen una dificultad agregada a la falta de visión (real y ostensible o disimulada) de quienes deben analizarla, especialmente el tribunal interventor (tenga en cuenta que la edad incrementa la dificultades visuales).

Nitidez: Los gráficos y dibujos relacionados con el hecho, deben destacarse con claridad sobre el fondo que les da sustento. El uso de colores o resaltadotes en su formato físico o computacional es la mejor solución para este requerimiento.

Debe poseer los siguientes elementos:

Título: en la parte central superior del mismo, para facilitar su identificación.

Orientación: si le es posible dibuje junto al mismo una cruz orientada con los cuatro puntos cardinales. En caso contrario se interpretará que la parte superior del gráfico, corresponde al Norte.

Colores: Si dispone de ellos debe usarlos. No existe una norma al respecto, deberá emplear el sentido común. Esto le permitirá entre otras cosas separar entre sucesos que guarden cierto orden cronológico, identificando con un color cada situación y permitiendo de esta manera hacer un correlato escrito posterior, comprensible y fácilmente identificable para el lector (especialista o lego).

Nombres: Siempre paralelos a la base de la hoja, con excepción de las calles laterales que se escribirán según el margen derecho de la hoja (como si rotara el gráfico 90 grados en el sentido de las agujas del reloj). En las calles es conveniente indicar el sentido de circulación del tránsito. Si se trata de autopistas, carreteras o rutas, indicar en cada extremo, de dónde provienen, hacia dónde se dirigen (localidades más próximas) y si es posible la distancia a dicha localidad.

Finalizada la inspección podemos tener una hipótesis de cuál fue el hecho ocurrido y de qué forma pudo haberse producido. Pero es aconsejable no basarse solamente en esta hipótesis, aferrándose a la misma; el buen investigador debe prever todas las posibilidades. Ante la duda es conveniente sospechar de todo y de todos. Es preferible no suponer y limitarnos a sacar conclusiones fundadas en hechos comprobables. Es imposible actuar de manera objetiva, pero nada impide que lo intentemos.

Resultados: Los autores consideran que la propuesta metodológica presentada es aplicable a la inspección ocular informático forense. La normalización de la misma se corresponde no sólo con el análisis comparativo de la actividad propuesta y su interacción con el marco criminalístico genérico, sino en su implementación práctica en la diaria labor pericial. Ahora es tiempo para el análisis, la crítica, la modificación, en definitiva la retroalimentación del trabajo por parte de los colegas que permitirá alcanzar un producto efectivo, eficiente, eficaz y altamente mutable como toda actividad informática.

CONCLUSIONES

La propuesta metodológica detallada es aplicable al acto de Inspección Ocular propiamente dicho y a sus relaciones con otras actividades periciales en apoyo de la reconstrucción del hecho criminalístico.

Referencias

Albarracín, Roberto. Manual de Criminalística. Policial. Buenos Aires, 1969.

Apéndice 1: Gráficos auxiliares para el perito informático forense.

Apéndice 2: Documentos complementarios para utilizar durante la Inspección Ocular.

Darahuge, Arellano González, Manual de Informática Forense. Argentina. UTN. 2005.

Darahuge, Arellano González, Lógica Aplicada a la Investigación. Argentina. GEEAR. 2001.

Gaspar, Gaspar. Nociones de Criminalística e Investigación Criminal. Universidad, Buenos Aires, 1993.

[1] Desde la Criminalística, consideramos como “prueba indiciaria”, al conjunto de huellas (“testigos mudos”), de cualquier tipo y naturaleza que se hayan producido como resultado de una acción cualquiera y que al ser metodológicamente investigados, permitan reconstruir los hechos acaecidos. En general, pero no de manera excluyente, se relacionan con actos delictivos.

[2] En referencia a estos actos tenga en cuenta el correcto empleo de los siguientes vocablos:

Expropiar (paras. de propio)

1.       Desposeer legalmente (de una cosa) a su propietario por razón de Interés público.

2.       tr. Quitar una cosa a su propietario por motivos de utilidad pública y a cambio ofrecerle generalmente una indemnización: le han expropiado una finca para construir una autopista.

Confiscar

1.       Atribuir al fisco (los bienes de una persona)

2.       tr. Privar a alguien de sus bienes y aplicarlos a la Hacienda Pública o al Fisco.

3.       Apropiarse las autoridades competentes de lo implicado en algún delito: “confiscar mercadería de contrabando”.

4.       Apropiarse de algo (por la fuerza, con o sin violencia).

Secuestrar

1.tr. Detener y retener por la fuerza a una o a varias personas para exigir dinero u otra contraprestación a cambio de su liberación: “amenazaron con asesinar a los secuestrados, si no liberaban a sus compañeros encarcelados”.

2..Tomar el mando de un vehículo o nave por la fuerza, reteniendo a sus pasajeros o a su tripulación, con el fin de obtener un beneficio a cambio de su rescate: “secuestrar un avión”.

3.Ordenar el juez el embargo o retirada de la circulación de una cosa: “secuestrar la edición de un periódico”.

Decomisar

tr. Incautarse el Estado como pena de las mercancías procedentes de comercio ilegal o los instrumentos del delito: “se ha decomisado un kilo de heroína”

Incautar(se) (no existe el verbo incautar): (de in y cautum, multa) Forma pronominal.

4.Dicho de una autoridad judicial o administrativa. Privar a alguien de sus bienes  como consecuencia de la relación de estos con un delito, falta o infracción administrativa. Cuando hay condena firma se sustituye por la pena accesoria de comiso.

5.Apoderarse arbitrariamente de algo.

 

Apéndice 1: Dibujos Auxiliares y conceptos criminalísticos

En la representación gráfica militar se clasifican una serie de gráficos diferentes. Esta clasificación, si bien no es directamente aplicable al dibujo pericial, es sumamente útil, en el momento de hacer una representación gráfica y referirse a la misma. Aporta un muy interesante vocabulario técnico específico:

1. Esquicio: Será la representación gráfica de una zona pequeña del terreno (en nuestro caso la situación de la finca involucrada y sus alrededores), sin escala, o a escala aproximada. Sirve para aclarar un texto y para reemplazar una descripción larga y complicada. Si se emplea en una situación con escaso tiempo disponible, se realizarán a mano alzada y las medidas se apreciarán a simple vista, en caso contrario se podrán agregar los datos que se puedan comprobar. No lleva referencias, todos los datos se anotan en el mismo gráfico. Registra de manera simple y rápida la situación de un lugar, que puede ser modificado de inmediato (un choque de automóviles con heridos) y sirve como ayuda memoria en una etapa posterior.

2. Esquicio panorámico: Es la representación de perspectiva de una zona del terreno, tal cual aparece ante el ojo del observador. Es ideal para representar fachadas de edificios, especialmente si frente a nosotros aparecen jardines o desniveles difíciles de representar de otra manera. Debe registrarse la flecha que indica el norte o el punto cardinal hacia el que está observando quien lo efectúa, esto permitirá orientar rápidamente el dibujo. En general se dibuja sin escala, pero se dibujará una regla horizontal y una vertical que indiquen las distancias y alturas relativas (aproximadas). Es preferible no escribir en le dibujo y utilizar referencias. Es necesario indicar el punto específico, donde se hallaba situado el observador, para poder repetir la experiencia a futuro. No debe confundirse con el corte vertical de una habitación o edificio, se trata de un dibujo a mano alzada, aproximado y sin medidas estrictas, es el recurso inmediato y directo para describir lo que el observador estaba viendo y documentando. Puede reemplazar a la fotografía panorámica, en ciertas situaciones en que por falta de elementos (cámara) o razones de visibilidad escasa (neblina) u otras que puedan surgir, se hace necesario describir el entorno frente al observador y no se cuenta con otros elementos.

Ejemplo de esquicio panorámico.

3. Croquis:

Este será nuestro auxiliar predilecto. Representará gráficamente una zona pequeña, a escala. Para realizarlo bien deberá adoptar una actitud paciente, metódica, meticulosa y ordenada. La observación crítica del lugar, será su mejor aliado, el sentido común, la capacidad de relacionar elementos dispersos, la creatividad y su inteligencia, le permitirán realizar una labor útil, para la individualización posterior de los elementos detectados, su orientación relativa y su empleo probable.

Ejemplo de croquis

Calle Chile N° 1313

Escala: 1:75

Referencias:

x: Posición de la víctima (masculino, adulto, vestido con ropas íntimas femeninas).

Mancha de sangre.

Huellas de pisadas (cada vez más difusas al alejarse).

Televisor, filmadora y equipo de video con CD secuestrado.

Cómoda con ropas femeninas

Proyectores de luz estroboscópica.

Buenos Aires, 13 de Diciembre de 2004.

Firma del testigo 1

(aclaración, DNI, teléfono)

Firma del testigo 2

(aclaración, DNI, teléfono)

Firma del Perito

Ejemplo de croquis

(con abatimiento de paredes)

Escala: 1:75.

Referencias:

Marcas de perdigones en la puerta del ropero.

Idem anterior en la pared.

Puerta hacia el pasillo central de la vivienda.

Cómoda.

Proyectores.

Cuadros de fisicoculturistas.

Buenos Aires, 13 de Diciembre de 2004.

Firma del testigo 1

(aclaración, DNI, teléfono)

Firma del testigo 2

(aclaración, DNI, teléfono)

Firma del Perito

4. Gráfico:

Es la representación de los elementos relacionados con el hecho investigado. Contendrá todos los elementos probatorios directos o indirectos que el perito considere necesarios para investigar los hechos. Se realiza con prescindencia de la edificación y del mobiliario (salvo en las áreas que sea imprescindible destacar, por ejemplo impactos en paredes, huellas dactilares en muebles. Si se efectúa en papel transparente y a escala constituirá en calco, esto mismo puede efectuarse utilizando herramientas computacionales (escáner, capturas de pantallas, graficadores, procesadores de texto, etc.)

5. Calco:

Es un tipo de dibujo de suma utilidad, pero en general de empleo a posteriori. Poseyendo un plano del edificio, es posible realizar un croquis sobre material transparente que luego se pueda superponer al mismo e identifique rápidamente los elementos referidos. Esto parece algo obsoleto, pero recordemos que si hemos hecho bien las cosas. Nuestro croquis realizado en el lugar del hecho, puede ser capturado con un escáner y superpuesto al plano de la finca, (también capturado de la misma forma). Los medios electrónicos, facilitan el trabajo manual, pero no modifican el concepto teórico, en este sentido un calco electrónico, podrá ser de gran ayuda en el momento de defender la pericia.

Ejemplo de gráfico

(calco si empleamos

papel transparente)

6. Mapa, carta de situación o plano del edificio o finca:

Nos brindarán el soporte necesario para ajustar nuestra escala previa. De ser posible, es conveniente contar con aproximaciones de mayor a menor que faciliten la identificación del lugar del hecho al lector. Por ejemplo, vista general del barrio (destacando la manzana), ampliación de la manzana (destacando la finca), plano de la edificación (destacando la habitación), plano de la habitación con superposición de calco de los elementos involucrados en la investigación (la prueba indiciaria).

7. Otros gráficos auxiliares:

Todo tipo de dibujo que usted considere útil para la comprensión de los actos realizados, durante la inspección ocular y los elementos involucrados en los mismos.

Retrato del paso

(reconstrucción gráfica)

Gráfico de huella de pie desnudo

(colocar medidas externas, internas,

alineación de los dedos, anomalías, etc)

Podemos diferenciar las pericias normales de las de carácter urgente que no requieren las formalidades de requisitos legales establecidos para las de orden general, es decir, notificación al perito y aceptación del cargo, y notificación a las partes para que si lo creen conveniente las presencien, formulen las observaciones que crean necesarias y/o nombren peritos a sus costas. Las pericias que se deban realizar en un tiempo normal están rodeadas de estas garantías legales, pero en caso de urgencia ello se obvia, ya que de otro modo no se dispondría del plazo correspondiente para practicarlas.

Generalmente, los instrumentos utilizados para la consumación de delitos son de uso prohibido, y por lo tanto deben ser secuestrados y decomisados luego de haber servido como elementos de prueba, sin embargo en el caso específico de la pericia informático forense, dichos elementos probatorios, no sólo son de uso legal, sino que suelen ser imprescindibles para el funcionamiento normal de una empresa determinada. Por eso debemos estar preparados para realizar copias en el lugar sin interferir (o interfiriendo lo menos posible con el normal funcionamiento de la empresa y sus negocios u operaciones asociadas).

El único que puede determinar el secuestro de un elemento y su traslado desde el lugar inspeccionado es el juez de instrucción o el fiscal de la causa respectivamente acorde a la jurisdicción donde se realiza la inspección. Todos os códigos de procedimientos pretenden dar seguridad a los elementos secuestrados con el fin de que no puedan ser sustituidos por otros, falsificándose de esa manera los medios de prueba, pero recordemos que la prueba informático forense almacenada en archivos es idéntica al original.

"El decomiso no recae en el valor de los instrumentos: sino en los instrumentos y efectos mismos. Constituye una pena particular que no puede ser alterada por el juez, debiendo entenderse que son instrumentos del delito los objetos utilizados intencionalmente para ejecutarlo o intentarlo. Por efectos del delito se entiende a los que resultan de su comisión, sea porque el ilícito los ha producido o bien porque el delincuente los ha obtenido mediante el delito. Sirva como ejemplo del primer caso de esos efectos la moneda falsa, y del segundo, la cosa robada" (Núñez, t. II, p. 445).

"La ley con esta norma establece el distingo de que la confiscación no puede recaer sino sobre aquellos objetos empleados como instrumentos, y de ahí que el decomiso no sea aplicable a los delitos culposos. Sólo pueden ser objeto de decomiso los instrumentos del ilícito y los efectos provenientes del mismo. Pero no es aplicable al producido total del delito, ni a los objetos robados pertenecientes al propietario, ni tampoco a lo que el delincuente obtuvo como efecto proveniente del delito. A alguno de los partícipes deben pertenecer los objetos. Se tiene que distinguir el decomiso del secuestro porque éste tiene carácter procesal y sirve para que el juez asegure pruebas o haga cierto los resultados del juicio" (Soler, t. II, ps. 398 y 399).

"Corresponde devolver a su dueño el instrumento empleado para realizar el hecho denunciado si éste no constituye delito" (C.A.C., 20-4-1934; F.C.A.C., t. II, p. 37).

"Secuestrada una cosa en poder de un tercero que no se encontraba procesado, quien invoca algún derecho sobre la misma, puede ser entregada durante el proceso al propietario originario "(C.N.P., 27-4-1954; "E.D.", 8-568).

"No basta, para que un acta sea inválida, que quien la redacte incurra en faltas de ortografía o demuestre fallas culturales, ya que esa deficiencia no permite conjeturar malicia de parte de quien la labra y que incurra en falsedades, máxime si no afecta a la comprensión de lo sentado en dicho instrumento" (Cám. 3* La Plata, S-II-1974-144, t. 1).

"Si un acta de secuestro no fue firmada por la persona en cuyo poder fueron hallados los efectos —en la especie, por encontrarse desvanecida— ni tampoco por testigos, a raíz de la naturaleza y lugar del procedimiento, la diligencia no es nula, debiéndose apreciar su mérito, eficacia e idoneidad en cuanto su concordancia con otras pruebas acredite su realidad y veracidad" (Cám. Apel. San Martín, causa 7406, en "D.J.BA" del 12/4/82).

"El secuestro es un acto procesal y su validez y eficacia se rigen por las normas del derecho procesal penal y no por los preceptos del Código Civil" (Cám. Apel. San Martín, causa 7406, en "D.J.B.A." del 12/4/82).

"El art. 99 (actualmente 107) del C.P.P. también requiere —como el 97 (actualmente 105)—que la diligencia sea firmada por la persona en cuyo poder se hubieren encontrado, y si bien admite la firma de dos testigos, lo es en defecto de aquélla —sea que no se encuentre presente, sea que se niegue a firmar—, correspondiendo dejar constancia en el acta de cualquiera de esas circunstancias para sustituir la firma del interesado por la de dos testigos" (Cám. 3* La Plata, S-II-1971, t 1).

"Debe decretarse la nulidad de un acta de secuestro cuando ésta no contenga la firma del infractor y a la vez careciera de la firma de dos testigos, ya que ambas suplirían la de aquél" (Cám. Apel. Morón, 6/9/73, en "Sensus", t. X-626).

Fotografías durante la inspección ocular. El fotógrafo es el primer perito que necesita la instrucción y el que debe trabajar "pegado" a la misma. Es lógico de que si bien antes de tocar o remover algo es necesario no pisar sin antes observar detenidamente, también lo es documentar el lugar del hecho tal cual se encuentra al llegar, en la misma forma en que fue encontrado. Primero se fotografiará lo que se considere conveniente documentar y luego se realizarán las demás pericias, secuestros, etc.

En muchos casos, aunque es importante la toma de fotografias que reflejen fielmente detalles que podrían pasar inadvertidos, como, por ejemplo, la posición exacta de los equipos involucrados, de ninguna manera esto reemplaza el croquis, en el cual se pueden determinar fehacientemente las distancias. Si las fotografías las realiza un tercero, dicha circunstancia debe figurar en le acta. En todos los caos debe detallarse el instrumental utilizado (lentes de macro, cámaras digitales, teleobjetivos ópticos o digitales, zoom, etc.)

Expertos en balística Se divide la balística en interior, exterior, interna y de arribo o efecto. En la interior se estudian los fenómenos que se producen dentro del arma al ser disparado el proyectil; la exterior analiza lo relativo al proyectil desde que sale de la boca del cañón del arma hasta que llega al punto de impacto, en la interna la trayectoria dentro del cuerpo de la víctima (corresponde al médico legista), siendo la caída del proyectil, o el choque del mismo contra un blanco lo que se denomina balística de efecto.

El experto deberá buscar puntos de la trayectoria para identificar la posición del tirador, por lo que no debemos modificar muebles, ventanas o persianas que puedan aportar elementos de juicio. También buscará vainas y proyectiles, sueltos o alojados en muebles y paredes:

no debemos moverlos de su lugar, salvo que tengamos la firme sospecha de su desaparición, ante la ausencia de los peritos correspondientes.

en caso de ser imprescindible el secuestro y protección de los mismos, se debe documentar la posición exacta de los elementos secuestrados, su descripción técnica y su ampliación macrofotográfica,

no se deben limpiar los vidrios provenientes de una perforación por proyectil, ya que permiten identificar la dirección de origen de dicho proyectil.

Armas. No deben ser manipuladas, a fin de evitar la desaparición de posibles impresiones digitales. La forma más común de levantar las armas de fuego es por el arco del guardamonte. La imagen televisiva del empleo de un lápiz o bolígrafo por el cañón, es de alto valor iconográfico, pero nada más. Sería interesante observar a un individuo no familiarizado con el uso de armas, tratando de levantar una Ingram M10, cargada y lista para disparar, manipulándola con un lápiz. La seguridad debe ser su preocupación principal. Si como consecuencia de su impericia se produce un disparo y resulta herido o muerto uno de los asistentes al acto, no creemos que la explicación basada en la visión de una serie de televisión deje conforme a la víctima o a sus deudos. La posibilidad de encontrarnos con armas en condiciones de disparo, es escasa, pero no nula, aprender a manipularlas es un deber ético del perito y su inoperancia al respecto no se condice con los requisitos de idoneidad esperados en un profesional de la investigación delictiva.

Las armas blancas deben ser levantadas por los costados de la "s", lo que permite una toma segura y firme y evita riesgos de lesiones propias o por caída.

Las armas de fuego o blancas, de ser factible, serán colocadas en cajas de cartón o similares a fin de evitar su manoseo y facilitar el traslado.

Proyectiles. En lo posible se levantarán con los dedos enguantados, sujetándolos por los extremos, se los envuelve con gasa y cinta adhesiva, protegiendo la periferia de los mismos. Se los debe rotular e identificar adecuadamente. En lo posible incluir el calibre de los mismos, recordemos que:

Nombre popular

mm.

Pulgadas

Largo de vaina

45

11,25

.45

23 mm.

Nueve

9

.38 .380 .357

19 mm. 17 mm.

 

7,65

.32

21 mm 53 mm.

 

6,35

.25

11 mm.

22

5,56

.22

10mm. 73 mm.

En el caso de escopetas o pistolones, los mismos tienen una numeración de calibre especial de arrastre histórico. En su momento y afectos de unificar los calibres de las armas, se recurrió a una unidad de peso: la libra. Se tomaba una libra de plomo, se construía una esfera con dicha libra, el diámetro de dicha esfera era el correspondiente al calibre 1. Si se dividía la esfera en dos (media libra) y con cada trozo de plomo resultante, se construían sendas esferas, el diámetro de cada una de ellas correspondía al calibre 2 y así sucesivamente. Por eso el calibre 12 (esferas por libra) es mayor que el calibre 16 (esferas por libra). Se describirá asimismo si es de plomo desnudo o encamisado, si presenta deformaciones, si se encuentra fragmentado, etc.

Las vainas servidas requieren mayores cuidados, es necesario proteger la parte posterior (culote de las mismas), ya que en ese lugar se encuentran las huellas del espaldón, el botador y la aguja percutora, que permitirán identificarla con el arma empleada. Si han sido secuestradas del tambor de un revolver o del cargador de una pistola, debemos dejar constancia del hecho. Idéntico tratamiento debemos utilizar para los cartuchos de bala intactos secuestrados.

Si es imprescindible retirarlos de un mueble, es preferible romper un sector relativamente amplio que lo contenga y evitar los daños por actuar directamente sobre el proyectil. Es decir conviene cavar alrededor y mandar el conjunto, sin intentar retirar el proyectil, dejando esa tarea para los expertos en el correspondiente laboratorio.

Ropas. Cuando presenten deflagración de pólvora se tratará de evitar el hacerles dobleces, con el propósito de no producir desprendimiento. En el acta de inspección ocular, según corresponda, se efectuará un detalle minucioso de ellas: calidad de tela, color, forma, etiquetas, etc.

Cuando presenten manchas de sangre o estén impregnadas con ella, se ventilarán, previamente de su remisión a pericia, en un lugar aireado, preferiblemente fresco, y donde no reciban tierra ni elementos extraños de ninguna naturaleza. Para su envío serán acondicionadas de la mejor forma a fin de evitar, como se dijo, el desprendimiento de la pólvora deflagrada.

Huellas plantares (Retrato del Paso). La pelmatoscopía se dedica específicamente al estudio, revelado y clasificación de las huellas de pies, calzados, desnudos y con medias. Nuestras acciones al respecto deben tender a documentar fotográfica y gráficamente la posición de las mismas, dejando el levantamiento y traslado en manos de expertos, ya que las técnicas utilizadas para dichas tareas son demasiado complejos para que las realice el neófito y requieren de elementos e instrumental adecuados al efecto. Es conveniente fotografiar con iluminación oblicua y flash.

Las consideraciones referidas a huellas humanas se aplican de igual manera a las huellas de vehículos.

Huellas dactilares: También en este caso es preferible dejar la tarea a un experto, no obstante si la huella es muy visible (manchas de sangre, pintura, grasa, etc.) es conveniente documentarlas, realice varias macrofotografías, desde distintos ángulos, con iluminación oblicua y siempre con el uso de flash.

En general se clasifican en visibles (las antes descriptas) y latentes o invisibles., que se forman por la aparición, de los exudados cutáneos fisiológicamente normales, originados por las glándulas sebáceas y sudoríparas. Ambas materias, es decir, la sebácea y sudorípara, se depositan en forma de gotitas en las crestas papilares, las que al tomar contacto con otras superficies reproducen el dibujo papilar de las mismas. Este proceder se origina tanto con las crestas papilares como con las palmares y plantares.

Es importante tener en cuenta que no todos los cuerpos o materias son receptores aptos para registrar y conservar estas impresiones. Los mejores son los que tienen superficie lisa, pulimentada o lustrosa y relativamente limpia. Entre ellos podemos citar el vidrio, cristal (mientras no haya dibujos diminutos labrados), loza, porcelana, hojalata esmaltada, aluminio, cobre y elementos de barro cocido con superficie vidriada. En menor escala las podemos encontrar en celuloide, marfil, hueso, ebonita, plástico, metal lustroso, barnizado, niquelado, plateado o pavonado, y en papeles, cartulinas y cartón que no tengan granos ni rugosidades. Es digno de destacar que estas huellas son de notable nitidez y por lo tanto las más importantes para cuidar, ubicar y trasplantar.

Ante la imposibilidad de deteminar a priori el lugar de ubicación de las huellas dactilares, es preferible limitarse a tocar lo menos posible (especialmente las superficies lisas y pulidas) y trabajar en todos los casos con guantes (preferentemente de cirugía).

También entre ellas se ubican las que se denominan moldeadas, que se originan cuando el individuo apoya débilmente sus dedos, palmas o planta del pie en elementos no endurecidos o próximos al punto de fusión, tales como materias plásticas, betún, cerámica escayola, masa de pan, velas calentadas por la mano, cera de moldear, material de construcción no fraguado, lacre, masilla, etc.

Tal como ya lo expresamos, no es aconsejable el transporte de objetos que presenten huellas digitales, pero cuando ello fuera imprescindiblemente necesario se tomarán todas las previsiones posibles para evitar contacto con ellas en su manipulación, así como en el embalaje que se efectúe.

Manchas de sangre. Hay manchas de sangre que por su magnitud se ven a simple vista. Pero hay también algunos elementos maculados (sucios o manchados) que no se perciben inmediatamente, y para detectarlos es necesario el empleo de una lupa cuando los elementos puedan ser transportados a la luz del día, más aún a la luz directa del sol y variando la incidencia de los rayos. Todo elemento manchado, debe ser sospechado de interés criminalístico y documentado.

Para describirlas podemos clasificarlas en:

1) Manchas de proyección (gota, salpicadura).

2) Manchas por escurrimiento (Charco, reguero,goteado).

3) Manchas por contacto (impresiones sangrientas de manos, pies, etc.).

4) Manchas por impregnación (embebimiento de prendas textiles, etc.).

5) Manchas de limpiamiento (del arma, de las manos en un paño, etc.).

Con respecto a la sangre enviada al laboratorio se puede, en general, solicitar lo siguiente:

1) Si se trata de sangre.

2) Si es sangre humana o de determinado animal.

3) Grupo sanguíneo al que corresponde.

4) Si se puede determinar de qué parte del cuerpo proviene.

5) Si se encuentran mezclados con ella otros elementos. En caso afirmativo, de cuáles se trata.

6) Método empleado en cada estudio.

Manchas varias: material fecal, mecomio, calostro, semen, orina, pelos, fibras naturales o artificiales. Igual tratamiento que las manchas de sangre.

Documentos: Deben secuestrarse y remitirse en el estado que se encuentran, no deben ser plegados para evitar complicaciones al perito en documentos en el análisis de las zonas de contacto entre los dobleces y el texto del documento.

Lista de Control de Hardware en la Inspección Ocular

Id

Tipo

Nro de Serie/Marca/Modelo

Capacidad/Velocidad

Estado

Observaciones

1

Monitor

2

Teclado

3

Mouse

4

Gabinete

5

Impresora

6

Unidad de Zip

7

Unidad de Jazz

8

PenDrive

9

Cámara

10

Parlantes

11

Discos Externos

12

Disco Rígido

13

Diskettes

14

CD-ROM

15

DVD

16

Hub

17

Switch

18

Router

19

Computadora

Portátil

20

Modem

21

Placa de red

22

Celular

23

Teléfono

24

UPS

Lista de control del equipo del Perito Informático Forense

Elementos

OBSERVACIONES

Generales  

1. Guantes

 

2. Cámara fotográfica y / o filmadora

 

3. Cuaderno de notas

 

4. Marcadores, lapiceras

 

5. Formularios y Listas de Control para:

a. Inspección Ocular

b. Recolección de Evidencia.

c. Análisis de Evidencia

d. Acta de Secuestro de elementos

e. Informe Pericial

 

6. Rótulos para las evidencias autoadhesivos

 

7. Bolsas plásticas antiestáticas

 

8. Sobres de papel

 

9. Cajas para el transporte seguro de la evidencia

 

10. Rollo de cinta adhesiva

 
Hardware  

1. Computadora Portátil, con lecto-grabadora de CD o DVD, placa de red, modem, dispositivo para conexiones inalámbricas, interfaces pcmcia, firewire, usb

 

2. Dispositivos específicos de hardware para la copia de dispositivos de almacenamiento (tipo Image MASSter Solo Forensic)

 

f. Disco rígido sin datos de xGB (acorde al caso)

 

g. Convertidor IDE de 3.5" para notebook

 

3. Impresora

 

4. Cables

 

a. Plano IDE de 40 pines

 

b. Plano IDE de 80 pines

 

c. De alimentación IDE

 

d. Centronics a 68 pines SCSI

 

e. 68 pines a 68 pines SCSI

 

f. 68 pines a 50 pines SCSI

 

g. De red, UTP directo y cruzado. Coaxial

 

h. De consola (roll-over)

 

i. De interconexión entre computadoras (de puerto serial y paralelo)

 

5. De alimentación eléctrica

 

6. Conector eléctrico múltiple

 

7. Dispositivo de alimentación eléctrica ininterrumpible. Baterías

 

8. Concentrador o Hub Ethernet, con conector coaxial

 

9. Transceptores y convertidores

 

10. Modem Externo

 

11. Unidad de Zip o Jazz externa

 

12. Disco rígido externo

 

13. PenDrive

 

14. Diskettes en blanco

 

15. CD-RW o DVD en blanco

 

16. Zip en blanco

 

17. Conjunto de herramientas (destornilladores, medidor de tensión, medidor de cables de red)

 
Software  

1. Diskette, CD-ROM, ZIP, PenDirive de arranque de:

a. De diferentes marcas de discos rígidos

 

b. De Linux, con el comando dd

 

c. De DOS, con fdisk, format

 

d. De Windowns 95, 98 NT, 2000, XP, con fdisk

 

e. De Encase

 

2. Diskette o CD-ROM con la utilidad Ghost

 

3. Diskette o CD-ROM con la utilidad Partinfo

 

4.Diskette o CD-ROM con herramientas forenses para Linux y Windows

 

5. CD-ROM Sleuth Forensics de herramientas forenses

 

6. CD-ROM con herramientas forenses para sistemas operativos Microsoft Windows

 

7.Disco rígido con Linux y software Encase

 

8. Disco rígido con Windows 98 y software Encase

 

9. Software de diferentes placas madre.

 

 

Formulario de Registro de evidencia

Organismo

Formulario de registro de evidencia de la computadora

IF-Nro:

Caso Nro

Juzgado

Lugar y fecha

Especificaciones de la computadora

Marca  
Modelo  
Nro de Serie  
Garantía  
Placa Madre

Marca/Modelo

 
Microprocesador Marca/Modelo/Velocidad  
Memoria Ram  
Memoria Cache  

Almacenamiento Secundario, Fijo y /o Removible

Cantidad

Tipo

Disketera-CD-ROM-DVD-Disco Rígido- IDE-SCSI-USB-Zip-Jazz-PenDrive

Marca/Modelo

Velocidad/

Capacidad

Nro de Serie

         
         
         
         
         
         
         

Accesorios y Periféricos

Cantidad

Tipo

Placa de red, modem, cámara, tarjeta de acceso, impresora, etc

Marca/Modelo

Velocidad/

Capacidad

Nro de Serie

         
         
         
         
         
Observaciones

Perito Informático Forense

Lugar

Fecha

   
Firma

Aclaración:

Apéndice 6 - Rótulos para las evidencias

Nro  
Caso  
Fecha  
Tipo  
Observaciones

 

 

Firma  

Apéndice 7 - Formulario – Recibo de Efectos

 

 

Fecha

Organismo Caso Nro

Requiere Consentimiento

 

SI NO

Firma del responsable del consentimiento

 

 

 

Rótulo

Descripción del elemento

Modelo

 

P/N

 

S/N

 

Entrega Conforme

 

Firma

 

 

Recibe Conforme

 

Firma

 

 

Apéndice 8- Formulario para la cadena de custodia

 

Cadena de Custodia de la Evidencia

Nro

Ubicación Actual

Fecha

Razón de traslado

Sitio a donde se traslada

Observaciones

Lugar de depósito final de la evidencia: Fecha:

Apéndice 9 - Lista de Control de Respuesta a Incidentes

 

Fecha y hora: Nro de Incidente
Lugar:
Perito Informático Forense:

Datos del responsable del reporte del incidente

Nombre y Apellido: DNI/Legajo:
Dirección: Localidad:
Provincia: País:
Area/Departamento/Oficina:
Particular/Empresa/Organismo:
Teléfono:
Fax:
Celular:
Pager:
Dirección de Correo Electrónico:
Fecha y hora aproximada del incidente:
Descripción del incidente:

Recolección de datos del incidente

Tipo de red

LAN MAN WAN
     

Topología física de la red

Estrella Anillo Bus
Malla Otra  
     

Tecnología de Acceso al Medio

Ethernet Token Ring FDDI
Otra    
     

Tipo de cableado

Estructurado Fibra Optica Coaxial
Inalambrica Satelital Microondas
     

Servicios de la red

Intranet DMZ Internet
VPN    
     
     
Tipo de Sistema Operativo    
Nombre de o los equipos    
Dirección MAC del equipo    
Dirección IP del equipo    

Lista de Control de Análisis de Discos

Lista de Control de Análisis de Discos

Rutina

SI

NO

OBSERVACIONES

Actividades Preliminares  

1. Efectuar imagen del disco o medio de almacenamiento bit a bit

     

2. Generar la autenticación matemática de los datos a través del algoritmo de hash

     

3. Registrar la fecha y hora del sistema

     

4. Generar una lista de palabras claves a buscar

     
Actividades en la imagen del disco  

5. Trabajar sobre la imagen del disco, efectuar autenticación matemática en cada uno de los datos analizados a través del algoritmo de hash.

     

6. En el disco analizar:

 

a. Tipo de Sistema Operativo

     

b. Versión del Sistema Operativo

     

c. Número de particiones

     

d. Tipo de particiones

     

e. Esquema de la tabla de particiones

     

f. Registrar nombre de archivos, fecha y hora

i. Correlacionar con 3.

g. Evaluar el espacio descuidado o desperdiciado.

i. Incluido el MBR

ii. Incluida la tabla de particiones

     

iii. Incluida la partición de inicio del sistema y los archivos de comandos

     

h. Evaluar el espacio no asignado

     

i. Evaluar el espacio de intercambio

     

j. Recuperar archivos eliminados

     

k. Buscar archivos ocultos con las palabras claves en el:

i. espacio desperdiciado

ii. espacio no asignado

iii. espacio de intercambio

iv. MBR y tabla de particiones

l. Listar todas las aplicaciones existentes en el sistema

     

i. Examinar programas ejecutables sospechosos

     

m. Identificar extensiones de archivos sospechosas.

     

i. Examinar las extensiones de los archivos y la coherencia con las aplicaciones que los ejecutan o generan

     

n. Examinar archivos en busca de datos ocultos (esteganografía) ya sean de tipo gráficos, imágenes, de texto, comprimidos o de cualquier otro tipo de extensión

     

o. Examinar los archivos protegidos con claves, descifrando la clave previamente.

     

p. Examinar el contenido de los archivos de cada usuario en el directorio raíz y si existen, en los subdirectorios

     

q. Evaluar el comportamiento del sistema operativo:

     

i. Integridad de los comandos

     

ii. Integridad de los módulos

     

r. Evaluar el funcionamiento de los programa de aplicaciones

     

s. Registrar los hallazgos

     

i. Capturar pantallas

     

t. Generar la autenticación matemática de los datos a través del algoritmo de hash al finalizar el análisis

     

i. .Comparar resultados obtenidos de 2 y 6.p

     

u. Conservar copias del software utilizado