aplicabilidad metodológica de la informática forense … · informática forense el cybercrimen y...

Universidad del Salvador Facultad de Ciencias de la Administración

Aplicabilidad metodológica de la informática forense en la

obtención de resultados eficientes en procesos judiciales argentinos.

Trabajo de Investigación

07 de Diciembre del 2012

Carrera: Ingeniería en Sistemas Alumno: Mariano Messina Correo: [email protected]

Aplicabilidad metodológica de la informática forense en la obtención de

resultados eficientes en procesos judiciales argentinos.

Mariano Messina 2

Indice Introducción ........................................................................................................................................ 4

Antecedentes .................................................................................................................................. 4

La informática forense. .................................................................................................................... 7

Definición de informática forense. ................................................................................................... 8

Seguridad Informática e Informática Forense ................................................................................... 9

Relación entre Hackers y Forenses. ................................................................................................ 10

Informática forense el Cybercrimen y la ley de los delitos informáticos ............................................. 11

Cadena de Custodia. ...................................................................................................................... 11

El Cybercrimen............................................................................................................................... 13

Delitos informáticos: ...................................................................................................................... 15

Evidencia Digital: ........................................................................................................................... 17

Proceso Forense ................................................................................................................................ 19

Etapas de la informática forense: ................................................................................................... 19

Identificación y documentación de la evidencia: ............................................................................ 20

Adquisición de Datos ..................................................................................................................... 26

Validación y Preservación de la Información: ................................................................................. 32

Análisis y descubrimiento de evidencia .......................................................................................... 34

Confección del Informe Final.......................................................................................................... 40

Conclusiones ..................................................................................................................................... 43

Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación actual de la informática

forense Argentina: ............................................................................................................................. 44

Anexo II – Modelo de Informe final .................................................................................................... 46

Referencias ........................................................................................................................................... 53



Mariano Messina 3

Abstract

El presente trabajo de investigación procede a estudiar, analizar y exponer en qué consiste la informática forense, los conceptos que la definen, cuál es su metodología y también, cuales son las mejores prácticas que permiten llevar a cabo una investigación forense digital de forma tal que sea posible la identificación de los diferentes riesgos que constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un tribunal de justicia.

Además, se procede a abordar la metodología de forma tal que el lector pueda conocer diferentes controles preventivos que utilizan los peritos experimentados en los procesos, los cuales evitan acciones que podrían permitir que los distintos elementos probatorios, involucrados en un proceso judicial, sean desestimados por alguna de las partes intervinientes.

El objetivo principal del presente trabajo consiste en demostrar y concientizar que el cumplimiento de la aplicación metodológica, de los estándares y de las mejores prácticas de procesos forenses mitiga el riesgo de guiar a una investigación hacia su invalidación.



Mariano Messina 4

Introducción

Antecedentes

Se observa la enorme influencia que ha alcanzado la informática en la vida cotidiana de cada

uno de nosotros y, también, en el ámbito de las organizaciones, de tal forma que hasta se

podría llegar a considerar que la informática es una ciencia que contribuye directamente en el

desarrollo de un país.

Hoy en día vivimos en una sociedad dónde la gran mayoría de la población utilizamos un

medio informático (que puede ser una computadora con acceso a internet, una Tablet o un

teléfono) para poder realizar distintas operaciones que podrían abarcar desde las más sencillas

(como por ejemplo: revisar el estado del tránsito) hasta realizar algunas más complejas, (aquí se

podría considerar el pago de algún servicio mediante la utilización de nuestra cuenta bancaria y

un teléfono celular, mientras nos encontramos físicamente en la calle). Estas actividades no

solamente contribuyen al ámbito privado de cada uno de nosotros, sino que, analizando a la

informática desde un aspecto más amplio se puede notar que ésta se encuentra arraigada a

muchos otros ámbitos en los cuales podemos encontrar por ejemplo: la comunicación, la

investigación, la educación, los procesos industriales, seguridad, sanidad, etc… y que todos

estos dependen cada día más de una adecuada evolución y desarrollo de la tecnología.1

A su vez, conforme la tecnología avanza, va ejerciendo cada vez mas influencia en muchas

áreas de la vida social, lo cual da origen a distintos tipos de comportamientos. Estos

comportamientos pueden categorizarse como actos no delictivos o delictivos, siendo estos

últimos aquellos que de manera genérica se han denominado en nuestra legislación como

“delitos informáticos”.2

Estos distintos actos, que evolucionan constantemente con una acelerada velocidad, han

conllevado a distintas ciencias a tratar de no sólo describir e interpretar el proceder de los

encargados de ejecutarlos, sino que además, han orientado a poder desarrollar métodos con el

fin de prevenir y analizar los distintos tipos de acciones indebidas que son realizadas sobre (o

mediante) diferentes medios informáticos.3

1 Bocanegra C, Carlo A.: Impacto de la tecnología informática en los individuos,

http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-individuos.html 2 Aguilar Avilés, D.: Impacto del Desarrollo socioeconómico en la resolución de investigaciones forenses, en

Contribuciones a las Ciencias Sociales, marzo 2010, www.eumed.net/rev/cccss/07/daa7.htm 3 Mariano Gaik Aldrovandi: Los hackers atacaron una de cada dos empresas argentinas, Febrero 2012,

http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-argentinas



Mariano Messina 5

La ciencia que se encarga de analizar cualquier contenedor informático de datos (entiéndase:

notebook, celular, discos duros, memorias, etc…) con el objetivo de encontrar información que

pueda ser relevante en una investigación o auditoria es la Informática Forense.4

Hace meses atrás se dio a conocer cómo miembros de un estado han podido vulnerar

diferentes sistemas informáticos, de alto peligro, correspondientes a una planta nuclear iraní,

que tuvo como principal objetivo el de sabotear los planes nucleares que allí se desarrollaban.

Gracias a la adecuada aplicación de la Informática forense se ha logrado el análisis del malware

utilizado en el ataque, permitiendo individualizar a los responsables de tales hechos.5

En nuestro país se han identificado múltiples antecedentes en diversos procesos judiciales que

han resultado en una invalidación de la evidencia debido a falencias en la aplicación de las

prácticas forenses.

Uno de los más recientes casos de invalidación judicial es el famoso caso Ricardo Jaime, en

dónde se ha responsabilizado a la Policía Federal Argentina por no respetar la cadena de

custodia, mediante la aplicación de una metodología que asegure que los elementos

contenedores de información que van a ser presentados como evidencia ante el tribunal de

justicia, no sean contaminados durante las diferentes fases que comprenden al proceso

forense.6

“Teniendo en cuenta el reciente caso Jaime, se ha probado que por más que se tenga el mejor

software de informática forense, si no se tiene la idoneidad necesaria para utilizarlo, los

resultados serán desastrosos y la prue-ba [SIC] nula.” (Arellano G., 2012)

Debido a que dichas falencias podrían permitir el desvío del proceso judicial en su búsqueda

de la verdad7, el propósito del presente trabajo es el de ampliar y proponer la adecuada

aplicación metodológica de las mejores prácticas forenses en la Argentina, en las cuales se debe

considerar prestar especial atención a diversos puntos críticos que podrían poner en riesgo la

investigación o auditoría. La finalidad es de brindar a la justicia una herramienta que sea eficaz

a la hora de realizar los procesos judiciales.

Con el fin de lograr el mencionado objetivo, se ha trabajado de manera de obtener un

procedimiento metodológico con aportes de diversas fuentes, nacionales e internacionales, de

información bibliográfica que incluyen: artículos periodísticos disponibles en internet, libros de

4 Aguirre, Alessio: Informática Forense, 2012, http://alessioaguirre.com/informatica_forense.html 5 Goodin, Dan: Confirmed: Flame created by US and Israel to slow Iranian nuke program, 19 de Junio 2012,

http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/ 6 Cappiello, Hernán: La invisibilidad de las pruebas de corrupción, 23 de Febrero 2012,

http://www.lanacion.com.ar/1450864-la-invisibilidad-de-las-pruebas-de-corrupcion 7 Infobae: Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime, 25 de Julio del 2012,

http://www.infobae.com/notas/655431-Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-

Jaime.html



Mariano Messina 6

informática forense, manuales de cursos especializados, fallos judiciales argentinos y sitios

relacionados al objeto de estudio. Además, se ha tenido la suerte de recibir una invitación para

formar parte de un foro de informática forense dónde se realizan consultas, se comparte

información y dónde existe mucha documentación relacionada al objeto de estudio. El espacio

se encuentra conformado por diversos profesionales que incluyen abogados, peritos forenses,

especialistas informáticos y estudiantes de diversas carreras.

Por otra parte, una vez definida la base teórica, se ha procedido a realizar una entrevista

personal a un reconocido perito forense con fuerte presencia nacional e internacional.8

Por último, además de lo expuesto anteriormente, se ha trabajado en la aplicación de

conocimientos adquiridos mediante la experiencia personal que se ha logrado a través de

diferentes cursos específicos en la materia y gracias al hábito que se ha adquirido al participar

de numerosos proyectos en grandes empresas y de distinta índole.

8 Diario Clarín: La sugestiva y misteriosa acción de un espía privado, 22 de Diciembre 2011,

http://www.clarin.com/politica/sugestiva-misteriosa-accion-espia-privado_0_613738660.html



Mariano Messina 7

La informática forense.

El gobierno, las grandes organizaciones y las personas, de la mano de sistemas informáticos,

han logrado hoy en día exponer una gran cantidad de productos y servicios que podemos

consumir para satisfacer muchas de nuestras necesidades. Dichos productos o servicios fueron

creados con un fin que subsana muchas de nuestras necesidades cotidianas y que cada vez más

se encuentran arraigadas en nuestra vida, sin embargo, existen inconvenientes cuando se

origina una acción ilícita que va en contra de los objetivos por los cuales los objetos

mencionados, han sido construidos.9

Tomemos como ejemplo a un sistema financiero informático (que lo podríamos conocer bajo

el nombre de Home Banking) que fue creado como un servicio que brinda una institución

financiera a sus clientes, cuyo fin sería el de que una persona pueda administrar el dinero que

tiene a su disposición. Ahora bien, supongamos además a un individuo que anhele vulnerar el

sistema informático financiero con el fin de obtener alguna retribución económica (aunque

también se podría considerar el hecho de generar perjuicio sobre el servicio brindado por la

institución, como por ejemplo, realizar ataques de denegación de servicio). Siguiendo el hilo

hipotético, imaginemos que un usuario malicioso logre no sólo el acceso no autorizado a dicho

servicio sino que además él logre, mediante la aplicación de herramientas informáticas, la

sustracción de dinero desde varias cuentas bancarias. Dicha acción resultaría en un perjuicio no

sólo a la institución que se encargue de brindar el servicio a sus clientes sino que además

impactaría de forma directa sobre la economía de cada uno de los titulares de las cuentas

afectadas (claro que también se podría mencionar el daño a la imagen que le produce a la

entidad, si el hecho tomara conocimiento público) Ante un escenario como el planteado (de

forma hipotética pero que muchas veces no escapa a la realidad) sería necesario un proceso

por el cuál se pueda identificar quién fue el responsable de las acciones ilícitas que fueron

realizadas, teniendo en consideración diferentes aspectos, tales como: en qué momento se

realizaron, en qué lugar, cuál fue el impacto que tuvo, de qué forma se realizaron, si aún

quedan restos remanentes del acto y cuales fueron las personas (jurídicas o físicas)

damnificadas.10

9 Stuart, Keith: PlayStation 3 hack – how it happened and what it means, 07 de Enero 2011,

http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3 10 La Nación: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,

http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia



Mariano Messina 8

Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del

85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de

seguridad.12

Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar

información relevante a una investigación de cualquier índole, encontrándose ubicado en un

escenario en dónde se haya planteado un interrogante que debiera ser esclarecido. Un forense

informático entonces, debe cumplir el mismo rol que un forense tradicional cuándo el ámbito

de una investigación incluya medios digitales o elementos informáticos cómo medio

contenedor de información.

Definición de informática forense.

A fin de ampliar el concepto establecido en la introducción, se puede definir a la Informática

Forense como una ciencia relativamente nueva que mediante la aplicación de una metodología

estructurada de investigación, se encarga de analizar diferentes medios de almacenamiento de

datos informáticos, como por ejemplo: discos ópticos, memorias, celulares, impresoras, discos

rígidos, etc… con el fin de encontrar información que pudiera ser útil en un proceso de

investigación o auditoría. La metodología que se aplica en el proceso de recolección de datos, y

durante las distintas fases que comprenden al proceso de identificación, creación, cuidado y

presentación de evidencia debe garantizar que la misma no sea alterada en el transcurso del

proceso, así como también, que dichos datos sean solamente accesibles por aquellas personas

que tienen autorización para tal fin, mediante el resguardo de la evidencia en una ubicación

que no permita que ningún factor altere su contenido.

Si bien existen múltiples herramientas utilizadas en las investigaciones por diferentes

informáticos forenses, algunas gratuitas y de código abierto, otras protegidas por derecho de

autor, la aplicación de cualquiera de ellas en las diversas etapas que comprenden al proceso

deben asegurar que la información obtenida sea exactamente la misma a la que se encuentra

en su contenedor original, es decir, que si bien existe libre elección o preferencia de las

herramientas a utilizar teniendo en consideración el tiempo disponible para desarrollar el

11 Ec-Council: http://www.eccouncil.org/ 12 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.



Mariano Messina 9

proceso (entre otros aspectos), cualquiera debe ratificar la autenticidad de la información

obtenida.13

Durante los actos públicos o privados, y durante las diferentes etapas que comprenden al

proceso forense, es mandataria la existencia de una figura que ejerza un control y una

validación al procedimiento que se está llevando a cabo por los peritos informáticos, con el fin

de dar credibilidad a los diferentes pasos que son ejecutados asegurando y dando fe que los

mismos no afectaron la integridad de la información obtenida.14 En nuestro país, un escribano

es el responsable de dar fe de lo que ve, sin embargo, debido a que actualmente no es un

especialista en materia informática, de lo que estaría limitado en dar fe es de que lo que

realmente se encuentra visible, se encuentre almacenado en el contenedor indicado como

evidencia.15

En un curso realizado en el año 2010, en el Instituto Universitario de la Policía Federal

Argentina (IUPFA), al cual se ha asistido, el señor Alessio Aguirre Piemetel ha manifestado la

importancia de que una vez que la información relevante al caso ha sido claramente

identificada y duplicada, y luego de haber establecido un fuerte mecanismo de control y

protección de los datos, se debe proceder a confeccionar un informe final prestando especial

atención al lenguaje utilizado con el fin de presentar la evidencia a las autoridades encargadas

de emitir un juicio sobre los hechos, y de cómo este lenguaje tiene una influencia directa sobre

la interpretación de los actos no sólo por parte del jurado, sino además por las demás partes

intervinientes.

Seguridad Informática e Informática Forense

Se define a la seguridad informática como a la rama de la informática en dónde se tiene como

objetivo la protección de la infraestructura computacional, la información que se encuentra

almacenada en algún medio informático y a los usuarios que deban interactuar con ella

13 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,

http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 14 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,

http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 15 Zygier, Analía: En la era de Internet, los jueces no cazan una, 2012,

http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html



Mariano Messina 10

mediante la aplicación de diferentes estándares, reglas, procedimientos, leyes y herramientas

que aseguren la disponibilidad, la confidencialidad y la integridad de la información.

Como se ha mencionado anteriormente, la informática forense, mediante el cumplimiento de

distintas etapas, se encarga de recabar información, de poder procesarla para crear evidencia,

de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han

logrado acceso a la misma. La diferencia entre ambas ramas de la informática, radica en que la

informática forense entra en escena cuando se produce algún incidente en alguna institución

(en el ámbito privado o también el público) y se deba buscar una respuesta al mismo,

ubicándola así bajo uno de los ítems principales de la seguridad computacional: el triángulo

consiste en el análisis de vulnerabilidades, detección de intrusos en la red y la respuesta ante

incidentes, siendo esta última dónde se encuentra ubicada nuestro objeto de estudio.

Relación entre Hackers y Forenses.

Profesionalmente, se ha encontrado frente a la necesidad de definir a un Hacker en

numerosas oportunidades pudiendo notar que la gran mayoría de las personas cree en la

concepción de que la actitud de dicha figura es netamente delictiva, o que se trata de alguien

dotado puramente de fines malignos, cuando en realidad, la esencia de un verdadero Hacker es

simplemente, la curiosidad. Un Hacker pretende conocer cómo los diferentes elementos

informáticos fueron construidos, cómo interactúan entre sí, cómo optimizar su funcionamiento,

cómo protegerlos y también, ellos tienen como deseo el compartir sus amplios conocimientos

con la comunidad.

El nacimiento del término Hacker (o Hacking) tiene un significado totalmente venerable y se

remonta a la década de los 60, dónde la memoria disponible en las diferentes computadoras de

esa época era extremadamente escasa en comparación a la modernidad y dónde los

programadores, dotados de altos conocimientos técnicos, debían realizar arduas

modificaciones a los archivos fuente con la finalidad de recortar la cantidad total de líneas de

código, logrando así, la optimización de la ejecución del software.

Cuando la curiosidad y los elevados conocimientos técnicos se combinan con un hecho

delictivo, o alguna acción maligna, en dónde se utilice elemento informático como medio y que



Mariano Messina 11

además tenga como resultado un acceso no autorizado, o la violación de alguna ley, se hace

presente el concepto de Cracker, distinguiéndolo efusivamente al término Hacker.16

Creo entonces que, al considerar a un forense informático como a una persona que se

encarga de realizar un proceso metódico, en dónde debe utilizar sus elevados conocimientos

técnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no

existe una diferenciación entre un Hacker y un Forense informático sino que por el contrario,

creo que ambos comparten la misma esencia, la curiosidad.

Informática forense el Cybercrimen y la ley de los delitos informáticos

Cadena de Custodia.

La cadena de custodia en el proceso del análisis forense consiste en controlar y limitar el

acceso a la evidencia que debe ser recabada de los diferentes medios informáticos, cuidándola

celosamente, mediante la utilización de buenas prácticas. Dicho control es utilizado para

asegurar que la información no ha sido dañada, alterada, contaminada o destruida durante

todo el desarrollo de la práctica forense, permitiendo demostrar que los diferentes elementos

de prueba, obtenidos en las diferentes etapas que comprenden al procedimiento, son los

mismos que fueron recolectados en el lugar de los hechos.17

El ingeniero Gustavo D. Presman define en un artículo periodístico a la cadena de custodia

como:

“… un registro minucioso de las personas que han tomado contacto con la evidencia,

indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer

en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las

actividades que se efectuaron con relación a la misma y conocer quien es el responsable por las

mismas.” (Presman, 2009, pág. 2)

16 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005. 17 Campos, Federico: La Relevancia De La Custodia De La Evidencia En La

Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf



Mariano Messina 12

Si bien la cadena de custodia proviene de las ciencias criminológicas y su implementación es

imperativa en procesos a cargo de fuerzas de la ley o en marcos de pericias judiciales, muchos

expertos en materia forense Argentina recomiendan alinear la misma metodología en las

investigaciones corporativas debido a que si en un futuro se decide llevar a la justicia algún

hecho que requiera esclarecimiento, se debe asegurar que la evidencia fue recabada teniendo

en cuenta los mismos principios utilizados ante un proceso judicial, tratando de asegurar de

que la misma no sea descalificada por ninguna de las partes intervinientes en el proceso.18

Si en algún momento de todo el proceso, se especula con la idea de que la cadena de custodia

no ha sido realizada conforme a las mejores prácticas forenses, se podría solicitar la

invalidación de la evidencia presentada ante las autoridades.19

“… y si resultara posteriormente que la evidencia no se obtuvo a través de procedimientos

válidos y no se mantuvo la cadena de custodia, no tendrá mayor sentido aportar la misma ya

que podría ser fácilmente descalificada por alguna de las partes.” (Presman, 2009, pág. 2)

Cuando se establece la cadena de custodia, hay que tener en cuenta la diferencia que existe

entre la información que se encuentra almacenada dentro de un contenedor informático

(comúnmente llamada Evidencia digital) con el medio mismo dónde se encuentra almacenada

(Evidencia Electrónica). Cada uno de los ítems debe ser claramente identificado, rotulados,

custodiados y tratados de forma idónea según las mejores prácticas forenses.20

La cadena de custodia posee diferentes etapas en el proceso forense informático y en cada

una de ellas debe asegurarse la autenticidad, confidencialidad y disponibilidad de la evidencia21:

1. Extracción o recolección de la prueba.

2. Preservación y embalaje de la prueba.

3. Transporte o traslado de la prueba.

18 Pressman, G. D: Validez técnica de evidencia digital en la empresa, 28 de Agosto 2009,

http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.pdf 19 Poder Judicial de la Nación: Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n° 39.803), 22 de

Septiembre 2010, http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100 20 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Versión 2.0, 7 de

Julio 2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf 21 Ministerio Público de la Ciudad de Salta: Manual de Procedimientos del Sistema de Cadena de Custodia,

http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf



Mariano Messina 13

4. Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías

para su custodia.

5. Custodia y preservación final hasta que se realice el debate.

El Cybercrimen

Si bien en la introducción se hace mención a la premisa que establece que la constante

evolución de la tecnología va modificando a la sociedad y que uno de los resultados de este

proceso es el poder observar el origen de nuevas conductas o comportamientos, no es el

objetivo del presente trabajo abordar de forma específica cada uno de ellos sino mas bien se

procede a definirlos como para generar un marco teórico.

“Herramientas Hackers se encuentran fácilmente disponibles en la Red y, una vez

descargadas, pueden ser utilizadas inclusive por un novato usuario de computadoras.” (The

Cybercitizen Awareness Program)

El departamento de justicia de los Estados Unidos categoriza a los crímenes computacionales

en tres diferentes formas22:

- La computadora como objetivo: resulta de atacar las computadoras de otras personas (la

propagación de un virus es un ejemplo).

- La computadora como un arma: utilizar la computadora para cometer algún “crimen

tradicional” que vemos en el mundo físico (como por ejemplo el fraude o los juegos ilegales).

- La computadora como accesorio: utilizar la computadora como un extravagante medio de

almacenamiento capaz de contener información ilegal o robada.

En el décimo Congreso Nacional de las Naciones Unidas en la Prevención del Crimen y en el

Tratamiento de Delincuentes, en un taller dedicado a cuestiones de crímenes relacionados a

redes computacionales realizado en el año 2000, desglosan al cybercrimen en dos categorías y

las definen como:

22 The Cybercitizen Awareness Program: http://www.cybercitizenship.org/crime/crime.html



Mariano Messina 14

a. CyberCrimen desde un sentido estrecho (crimen de computadoras): Cualquier

comportamiento ilegal mediante operaciones electrónicas que tiene como objetivo la

seguridad de las computadoras y la información procesada en ellas.

b. CyberCrimen desde un aspecto más amplio (crimen relacionado a computadoras):

Cualquier comportamiento ilegal realizado por medio de, o en relación a sistemas

computacionales o redes, incluyendo dichos crímenes como posesión ilegal,

distribución u ofrecimiento de información mediante un sistema de computadoras o

redes.23

En la legislación argentina se encuentran modificaciones al código penal con el fin de

establecer cuales son las actividades ilícitas que merecen una pena o sanción en nuestra

sociedad.24

La legislación actual contempla los siguientes casos, teniendo en consideración que los

diferentes ataques pueden ocurrir por una persona dentro de la empresa, como también desde

el exterior de la misma:

• Atentados a la propiedad intelectual: actos que permiten acceder a patentes,

desarrollos de software, etc..25

• El daño a redes informáticas organizacionales: por ejemplo cuando se implanta un

Trojan Horse, conductas de Denial of Service o la instalación de Back Doors con el fin de

ganar acceso remoto a los sistemas.

• Fraude financiero: cualquier acción fraudulenta que se realice con el fin de obtener una

retribución monetaria.

• Acceso no autorizado a servicios informáticos: mediante la utilización de sniffers,

rootkits, explotación de vulnerabilidades y otras técnicas que puedan tomar ventaja de

las vulnerabilidades de seguridad de los sistemas o software.

• Distribución y ejecución de virus y gusanos informáticos.

• Espionaje.

23 Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002. 24 InfoLeg: Información Legislativa: Ley Delitos Informáticos:

http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio

2008. 25 InfoLeg: Régimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/40000-

44999/42755/texact.htm.



Mariano Messina 15

• Producción, comercialización, financiamiento, publicación, divulgación o distribución de

pornografía infantil.

Delitos informáticos:

Una primera idea respecto al delito informático la señala Téllez Valdés, quien lo conceptualiza

desde dos ópticas. Nos dice que desde un punto de vista atípico son “actitudes ilícitas en que

se tiene al computador como instrumento o fin”, y desde uno típico son “conductas típicas,

antijurídicas y culpables en que se tiene a las computadoras como medio o fin”.26

La ley 26.388 de delitos informáticos argentina tipifica27 cuales son las conductas ilícitas en las

cuales se utiliza algún elemento informático para causar una acción que requiera una sanción.

Establece además la pena que debe cumplir la persona tras desarrollar tales acciones.

La falta de tipificación penal de muchas conductas delictivas aún hoy en día produce que las

mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las más

discutidas son: el grooming, phishing y la suplantación de la identidad.

26 Téllez Valdés, J. Derecho Informático, Ed. McGraw-Hill, México, 1996, p. 104 27 Muñoz Conde, Francisco (2002). Teoría General del Delito. Temis. 2ª Edición. Bogotá. Pág. 31



Mariano Messina 16

Si bien es verdad que se encuentran tipificados muchos de los delitos informáticos en nuestra

legislación y que el campo de acción se podría pensar que se encuentra circunscripto a la

informática, la práctica forense se debe extender y considerar como un proceso mandatario

cuando se produce algún otro delito con el fin de lograr un entendimiento de los hechos que

Figura 1: Figuras contempladas en la ley de delitos informáticos.



Mariano Messina 17

han sucedido. Varios ejemplos comprenden: casos de homicidio, extorsión, suicidio,

violaciones, estafa, etc…28

Evidencia Digital:

Casey define en su libro a la evidencia digital como:

“… un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos

que pueden ser recolectados y analizados con herramientas y técnicas especiales.” (Casey,

2000).

Además de lo expresado por Casey, se debe tener en cuenta que la misma sirve en los

procesos judiciales con el fin de demostrar un hecho en particular y que debe ser obtenida

mediante la aplicación de rigurosos y metodológicos procesos que aseguren su validez.

“La evidencia digital puede ser dividida en tres grandes categorías:

1. Registros almacenados en el equipo de tecnología informática (correos electrónicos,

archivos de aplicaciones de ofimática, imágenes, etc.)

2. Registros generados por los equipos de tecnología informática (registros de auditoría,

registros de transacciones, registros de eventos, etc.).

3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología

informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas

parciales de datos, etc.). “ (Bolívar Pinzón Olmedo, 2007)

Existen varias diferencias entre la evidencia digital y la física. Una particularidad es que la

evidencia digital es sumamente frágil: la información digital se puede crear, alterar, copiar y

borrar muy fácilmente. Otra particularidad es que la duplicación de la información digital no

establece per se forma alguna de poder identificar qué datos son originales y cuáles son

resultantes de haber realizado un proceso de copiado de información, por lo tanto, y como

28 Johnson, Thomas A.: Forensic Computer Crime Investigation, 2005.



Mariano Messina 18

veremos más adelante en el desarrollo del presente trabajo, la informática forense debe contar

con un proceso metodológico lo suficientemente sólido como para evitar cometer errores que

afecten a la evidencia y a su integridad. 29

Otras consideraciones a tener en cuenta de la evidencia digital son:

• Es volátil

• Es anónima

• Duplicable

• Alterable y modificable

• Eliminable

• Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.

• Es malo para los Juristas ya que el concepto de “original” carece de sentido.

La evidencia que se puede necesitar en un proceso de investigación puede comprender30:

• Toda la evidencia física disponible: computadoras, celulares, cámaras de fotos,

dispositivos periféricos, documentación, anotaciones, etc…

• Datos visuales que se encuentren representados en un monitor encendido.

• Evidencia impresa en una impresora.

• Evidencia impresa en un plotter.

• Representaciones magnéticas de grabaciones.

El departamento de Justicia de los Estados Unidos provee un documento en el cuál se centra

en la asistencia y conciencia hacia los peritos informáticos en cuanto a buenas prácticas

forenses que deben seguir en la adquisición y preservación de los diferentes dispositivos

electrónicos que fueron encontrados en la escena del crimen.

En el documento que se encuentra publicado en la web, se hace hincapié en que la evidencia

pertinente a un caso puede encontrarse en lugares inusuales y que ésta podría tener

información de suma importancia para el investigador de la escena del crimen. Además

29 Bolívar Pinzón Olmedo, F.: Tesis: Identificación de vulnerabilidades, análisis forense y atención de incidentes,

Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip 30 Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving

Evidence of Computer Crimes, 2002.



Mariano Messina 19

establece la importancia de no sólo recolectar información digital, sino que, el perito debe

observar el ambiente en su totalidad, realizando una búsqueda de hojas con contraseñas,

anotaciones escritas a puño y letra, manuales de herramientas o dispositivos informáticos

(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos

lineamientos que la evidencia digital.31

Proceso Forense

Etapas de la informática forense:

Anteriormente se ha hecho mención que el proceso forense consta de diversas etapas para

lograr su objetivo, ellas comprenden: la Identificación de la evidencia, adquisición de datos,

validación y preservación de la información adquirida, análisis y descubrimiento de la evidencia

y como última etapa, se encuentra la confección del informe que debe ser presentado a las

autoridades correspondientes.

Se debe destacar que resulta de gran importancia realizar la documentación de todas las

acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del

proceso forense. Además, es también es de gran importancia mantener una adecuada cadena

de custodia durante todas las etapas de la investigación.32

31 National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,

http://nij.gov/nij/pubs-sum/219941.htm 32 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.



Mariano Messina 20

Identificación y documentación de la evidencia:

Debido a que la adquisición de datos puede involucrar un amplio abanico de dispositivos

contenedores de información, que pueden abarcar desde un disquette o un disco rígido de una

computadora hasta un conjunto de discos de un servidor, un juego de cintas, varias

computadoras de una organización o un conjunto de dispositivos móviles (entre otros), es que

antes de comenzar con el proceso de adquisición de datos es necesario realizar un

reconocimiento y una correcta documentación de los diferentes tipos de evidencia que se debe

adquirir, del sistema informático que se pretende analizar y también, se debe tener en cuenta

cuál es el camino del delito, ya que no es lo mismo analizar un caso de homicidio que uno de

fraude, por las características inherentes a cada uno de ellos.33 En un caso de fraude se podría

considerar el análisis de diferentes componentes perimetrales que no sean computadoras,

33 Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informáticos v 2.0, 7 de Julio

2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf

Figura 2: Etapas del proceso forense.



Mariano Messina 21

como por ejemplo, tarjetas de crédito, informes, impresoras, scanners, etc…, sin embargo, en

casos como la pornografía infantil, se debe establecer énfasis en otros objetos, cómo por

ejemplo, en las cámaras digitales.34 También es necesario, antes de comenzar con el proceso de

adquisición de datos, tener en cuenta cuál va a ser la información que se debe recolectar, ya

que si se decide copiar la totalidad de los datos cuando en realidad sólo se necesita una porción

del conjunto, se podría incurrir en una pérdida innecesaria de tiempo, además de aumentar el

riesgo a contaminar la evidencia.35

Los diferentes elementos que van a ser analizados, y que son material probatorio en un

proceso judicial, deben encontrarse claramente identificados con el fin de evitar la pérdida de

la información. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir

los elementos que son copia de lo que es evidencia original así como también permite llevar un

registro de la ubicación de cada uno de ellos. Es posible evitar este tipo de inconvenientes

mediante la realización de un proceso que asegure que todos los dispositivos se encuentren

correctamente etiquetados y que todos incluyan firmas para lograr identificar cuáles son los

diferentes elementos que componen el caso.36

“Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,

incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia,

por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Traslade estos

datos a otra etiqueta y péguela en la caja contenedora del soporte, incluso sería conveniente

precintar el original para evitar su manipulación inadecuada.” (Delgado L., 2007)

Durante el desarrollo de un curso de Identificación y Adquisición de Evidencia Digital, en el

que se ha tenido el agrado de participar hace algunos meses, varios consultores en materia

forense han manifestado la importancia de fotografiar la escena dónde se haya cometido el

delito para poder, en caso que se requiera, reconstruir su estado original una vez que el

proceso forense haya concluido. Adicionalmente, a lo largo de la jornada han manifestado que

es una buena práctica utilizar elementos de diversos colores para identificar claramente cada

una de las piezas relevantes al caso. Por ejemplo, han hecho mención que les ha resultado muy

34 Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,

http://nij.gov/nij/pubs-sum/199408.htm 35 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007. 36 Campos, Federico: La Relevancia De La Custodia De La Evidencia En La

Investigación Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf



Mariano Messina 22

práctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fácilmente

diversos dispositivos y cables conectores durante todo el proceso.

Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la

escena, existe la posibilidad de que de forma accidental se desconecte algún conector

provocando la pérdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la

alteración de la información almacenada en un contenedor digital. Durante el curso, han

demostrado cuán relevante es forrar de manera completa los diversos conectores de los

dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de

desconexiones accidentales.

Figura 2: Ejemplo otorgado en el curso de etiquetado de conectores.



Mariano Messina 23

Antes de proceder a realizar un análisis de la evidencia identificada se podría responder a

algunas preguntas tales como37:

1- ¿Qué evidencia se tiene para poder determinar que un acceso no autorizado ha

ocurrido?

2- ¿Cuál es la cronología del acceso o de los cambios ocasionados en la información?

3- ¿Cuál es el daño estimado?

4- ¿Quién podría ser el responsable del incidente?

5- ¿Por qué se sospecha de esta persona?

6- ¿Cuál es el impacto en el negocio?

7- Los sistemas y las computadoras afectadas, ¿forman parte de procesos críticos de

negocio?

8- ¿Qué acción fue que ocasionó un alerta del incidente?

9- ¿Cuando ocurrió el incidente?

10- ¿Cuando fue el incidente descubierto por primera vez?

11- ¿Quién ha investigado el incidente y qué acciones han sido tenidas en cuenta con el

fin de identificar, recolectar y analizar la información y los dispositivos involucrados?

Además, se deben tener en cuenta recaudos especiales sobre la computadora encargada de

realizar el proceso con el fin de evitar acciones inadvertidas que atenten contra el proceso de

duplicación de datos.

En la misma charla de Identificación y Adquisición de Evidencia Digital mencionado

anteriormente, los peritos forenses han hecho hincapié en el hecho de desactivar de forma

completa las actualizaciones automáticas de Microsoft Windows debido a que si por algún

motivo particular se tuviese acceso a internet, podrían ocasionar un reinicio del sistema

operativo justo cuando se encuentra en pleno proceso de copiado de datos, logrando que la

integridad de la información se vea comprometida y provocando demoras en el proceso.

Además, se ha concientizado sobre tener especial recaudo en las opciones de energía y del

uso horario del dispositivo encargado de la clonación. Las consideraciones a tener en cuenta

fueron:

37 The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital

Evidence for Courtroom Presentation, 12 de Diciembre 2003,

http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf



Mariano Messina 24

• Evitar opacar o apagar la pantalla de la computadora encargada de la copia de datos

luego del transcurso de prolongadas horas de trabajo.

• Desactivar opciones de hibernación o sleep mode.

• Configurar los discos duros de forma tal que eviten su apagado o desconexión.

• Revisar la fecha, zona y el uso horario teniendo en consideración la ubicación y el país

dónde se encuentre realizando el proceso de duplicación de datos.

Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexión de

algún medio que contenga evidencia según corresponda, se debe realizar una preparación del

ambiente de trabajo, mediante la creación de una estructura de directorios en medios de

almacenamiento separados, en dónde se pueda extraer o recuperar archivos o información que

requieran ser analizadas y que resulte relevantes al caso.38

En esta etapa se comienza con la confección de la cadena de custodia y se debe prestar

especial atención y cuidado a lo largo de todo el proceso forense de llevar un detallado registro

de movimiento, posesión y resguardo de evidencia.

38 U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,

https://www.ncjrs.gov/pdffiles1/nij/199408.pdf



Mariano Messina 25

Figura 3: Formulario ejemplo de Cadena de Custodia otorgado durante el curso



Mariano Messina 26

Adquisición de Datos

Luego de establecer los límites de la adquisición y de tener en claro cuál debe ser el objetivo

de la investigación forense, se procede a la segunda etapa del proceso, la cuál se denomina

Adquisición de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar

de forma especial el contenido de la información almacenada en el sistema que se encuentra

en observación hacia un medio dónde se pueda realizar un análisis y manipulación del

contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptográficos (Hash)

para determinar si la información copiada es un reflejo exacto de la original. Luego del cálculo,

se debe trabajar sobre la información duplicada dejando intacto el contenedor original,

resguardándolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando

toda actividad en la cadena de custodia.

Si bien las situaciones que involucran componentes informáticos podrían resultar diferentes

según la investigación que se deba realizar, se debe tener ciertos recaudos para lograr proteger

la integridad de la información a recolectar. Si el perito forense se encuentra frente a un

escenario dónde el medio a analizar se encuentra encendido, resulta una buena práctica

documentar las acciones realizadas teniendo en consideración lineamientos tales como:39

• Documentar si originalmente el sistema se encontraba encendido o apagado.

• Si se encontraba encendido, documentar o tomar fotografías de la información que se

encontraba visible en la pantalla, considerando que podrían existir múltiples monitores

conectados a la misma computadora.

• Documentar si se guardó algún archivo.

• Determinar el sistema operativo, si es posible.

• Si se encuentra encendido, considerar recolectar información volátil.

• Determinar el método de apagado teniendo en cuenta si se va a realizar siguiendo el

mecanismo de apagado seguro provisto por el sistema operativo o desconectando el

cable de alimentación, según corresponda.

• Documentar quién realizó el apague que sistema, el horario, el día y qué método de

apague fue utilizado.

39 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.



Mariano Messina 27

Existen sistemas operativos que si se los apaga mediante la desconexión de la alimentación de

energía podrían resultar dañados, comprometiendo la integridad de la información

almacenada.

La siguiente tabla fue expuesta durante el curso de Adquisición de datos e ilustra cuáles de los

diferentes sistemas operativos pueden ser apagados mediante la desconexión de la energía

eléctrica sin ocasionar daños, mientras que a otros deben aplicarse mecanismos de apagado

seguro:

Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque

(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un teléfono

celular) y que los mismos podrían producir diferentes tipos de modificaciones en cuanto a

fechas y también en cuanto al contenido de por lo menos algunos archivos del sistema;

también, las diferentes etapas de los procesos de arranque pueden producir una variación en la

Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.



Mariano Messina 28

cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden

originar otras consecuencias dependiendo del medio en observación. Los mismos resultados se

pueden observar cuando se realiza la apertura de un archivo, aunque su único propósito no sea

otro que el de sólo su propia lectura o impresión.

Debido a estas particulares características de cómo se realizan modificaciones en los sistemas

por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma

inadvertida podría realizar modificaciones a los datos almacenados, en esta etapa se debe

prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes

dispositivos informáticos involucrados en el análisis de forma convencional, sino que se deben

implementar técnicas de acceso a los volúmenes que sólo operen en modo de sólo lectura.

Estas técnicas o acciones deben asegurar que ni siquiera un byte de información sufra

alteraciones (Data Spoliation) desde el momento en que comienza la intervención forense y

además, deben lograr mantener la integridad de la información almacenada durante todo el

proceso de análisis forense.40

Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software,

sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo

de escritura a nivel de Hardware mediante por ejemplo, la utilización de dispositivos

bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas

modificaciones al Registro de Windows que podrían permitir impedir la alteración de la

información en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo,

Linux) que permiten montar de cierta forma los volúmenes que aseguren que la información

solamente pueda ser accedida como sólo lectura, estas técnicas, a nivel Software, se les deben

realizar una validación continua teniendo en consideración la metodología a aplicar, el caso

particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del

proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de

recolección.

Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear

la escritura en dispositivos USB mediante la creación de la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies

40 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.



Mariano Messina 29

Al modificar el valor hexadecimal a 0x00000001, y luego de reiniciar la computadora, se

podría acceder a los volúmenes USB de forma de sólo lectura.41

Existe otra consideración a tener en cuenta cuando se debe realizar una adquisición de

información de un dispositivo. Si se encuentra en un escenario dónde se debe reutilizar un

medio de almacenamiento que anteriormente fue empleado como parte de un proceso

forense, se debe aplicar con especial cuidado una metodología sólida con el fin de esterilizar los

contenedores que van a almacenar la información duplicada, si es que la copia forense no se va

a realizar bit a bit. La omisión de la esterilización del medio puede provocar que exista una

contaminación de la evidencia y podría provocar que la misma sea descalificada por alguna de

las partes intervinientes.

Existe Hardware forense y herramientas de duplicación de datos que esterilizan la información

en conjunto a la adquisición de datos. Dichos equipos o herramientas generan Hashes de los

datos almacenados y luego escriben ceros (u algún otro carácter aleatorio) en el espacio

sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para

determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el

riesgo de tener que dar explicaciones al Jurado por la contaminación de la evidencia.42

41 EC-Council: Investigating Wireless Networks and Devices, 2010. 42 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.

Figura 5: Implementación de Hardware Bloqueadores de Escritura.



Mariano Messina 30

Existen dos fases diferentes de extracción de información: la lógica y la física. La diferencia

radica en que la extracción física descarta los ficheros de sistema (File System). La fase de

extracción lógica, sin embargo, tiene en consideración la totalidad de los archivos del sistema,

incluyendo: archivos de sistema operativo, ficheros de sistema y archivos de las diferentes

aplicaciones disponibles.

Fase de extracción de información física:

Durante esta etapa se realiza la extracción de información del disco a nivel físico sin

considerar los archivos de sistema que se encuentren presentes. Las acciones que se podrían

llevar a cabo son: la búsqueda de palabras claves, búsqueda de archivos y la extracción de la

tabla de particiones y de espacio del disco físico no utilizado.

Se debe tener en cuenta que:

• Realizar una búsqueda de palabras claves a lo largo del disco físico podría ser de utilidad

al analista forense para extraer datos relevantes y para identificar archivos que no

pertenezcan al sistema operativo.

• Utilizar herramientas en la búsqueda y extracción de archivos tiene como finalidad el

encontrar ficheros que podrían no ser tenidos en cuenta por el sistema operativo y que

podrían resultar relevantes en la investigación.

• Por otra parte, analizar la estructura de particiones del disco es útil para comprender e

identificar la composición del sistema de archivo, pudiendo determinar si todo el

espacio físico del disco duro se encuentra utilizado.

Fase de extracción de información lógica:

Esta etapa de extracción de información, desde un medio de almacenamiento, se encuentra

centrada en el sistema de archivos y podría incluir datos como por ejemplo: áreas de archivos



Mariano Messina 31

activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos

que existe desde el final de un archivo hasta el final del último cluster que tiene asignado, en

otras palabras, el slack es considerado a la diferencia que existe cuando el tamaño físico de un

medio de almacenamiento supera a su tamaño lógico)43 y el espacio en disco que aún no ha

sido asignado.

Los pasos podrían incluir:

• Extracción de información de archivos de sistemas que revelen características tales

como: la estructura de directorios, atributos de los archivos, nombre de archivos, fechas

y horas, tamaño de archivos y ubicación de los mismos.

• La reducción de datos podría permitir identificar y eliminar archivos conocidos mediante

la comparación de Hashes de archivos pre calculados en relación a los Hashes calculados

de los archivos presentes en el disco.

• Extracción de archivos pertinentes a la investigación. Los métodos que se utiliza para el

cumplimiento de esta tarea podrían ser basados en la búsqueda de los nombres de

archivos y extensiones, revisión de los encabezados, el contenido del archivo y la

ubicación de los mismos en el medio contenedor.

• Recuperación de archivos que fueron borrados.

• Extracción de archivos protegidos con contraseña, cifrados y con información

comprimida.

• Extracción del file slack.

• Extracción del espacio no asignado.

En los dispositivos de telefonía móvil, además de las características mencionadas

anteriormente se podrían considerar algunas adicionales, tales como:44

• Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.

• Revisar los correos electrónicos almacenados en el dispositivo.

• Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc…)

• Revisar el caché del dispositivo móvil.

• Revisar las citas, notas y el calendario del dispositivo en búsqueda de eventos o de

información relevante a la investigación.

43 Center For Computer Forensics: What is File Slack?, http://www.computer-forensics.net/FAQs/what-is-file-

slack.html 44 EC-Council: Investigating Wireless Networks and Devices, 2010.



Mariano Messina 32

• Revisar la agenda en búsqueda de números telefónicos que guarden relación con el

caso.

• Analizar el historial de navegación web.

• Analizar los mapas y el sistema de navegación gps.

• Revisar las fotografías y los videos almacenados. Adicionalmente se deberá revisar la

Metadata de los archivos en búsqueda de información relevante. Por ejemplo, revisar

las coordenadas podría resultar útil a fin de establecer la ubicación de dónde fueron

tomadas las capturas.

En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector público

y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector

público realizar la gestión de recursos para desarrollar la colección de datos, mientras que para

el privado, existen menos procesos burocráticos que evitan la demora en el comienzo de la

etapa.

Validación y Preservación de la Información:

La tercera etapa del proceso forense es la validación y preservación de la información

adquirida. En la presente etapa, luego de haber realizado la identificación y documentación de

los diferentes medios que deben ser analizados y luego de haber realizado el proceso de

duplicación de los mismos, teniendo en cuenta las mejores prácticas forenses que eviten la

contaminación de los datos, se debe llevar a cabo la aplicación de diversos algoritmos

criptográficos (conocidos como funciones Hash) para lograr el cálculo de un código único y

exclusivo de identificación correspondiente a la combinación única de bytes que constituye la

totalidad de la información almacenada en el medio en observación.45

La generación de los códigos exclusivos deben ser lo suficientemente robustos para evitar

que los mismos sean generados de forma inversa con fines dolosos. Además, deben

encontrarse normalizados para que cualquier auditor pueda realizar el proceso permitiéndole

verificar la autenticidad de la información resultante del proceso de duplicación de datos, que a

su vez, permite mantener la integridad de la cadena de custodia a lo largo del proceso forense.

45 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007



Mariano Messina 33

Funciones Hash:

Las funciones Hash utilizan algoritmos criptográficos para crear un mensaje de los datos a los

cuales fueron aplicados. Los Hashes representan grandes volúmenes de información en una

relativamente pequeña porción de datos y debido a que su utilización no altera la información

analizada, sino que la representan de una forma más pequeña, se las utilizan en la informática

forense para comparar la información original con aquella resultante de haber aplicado un

proceso de duplicación. Cuando los Hashes coinciden, significa que tanto la información

original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulación

y/o análisis.46

A pesar de que se han encontrado múltiples fallas de seguridad en los Hashes tradicionales

MD5, CRC y SHA1, y hasta existen métodos teóricos prácticos de cómo vulnerarlos (en la

actualidad se encuentran disponibles en la web múltiples sitios que aducen realizar dicho

proceso de forma fácil y rápida), aún se siguen utilizando como método de control válido en las

prácticas forenses, encontrándolos aceptados en los diferentes tribunales como métodos de

validación de la evidencia. 47 La razón por la cual aún son válidos dichos elementos es que al

utilizar la función hash como método de reducción de información a fines de lograr un control

efectivo, resultaría impráctico poder modificar una porción de un dato específico de la

evidencia y aun así lograr generar el mismo hash de la evidencia original.48

Una vez que la información ha sido cotejada, se debe proceder a incluir la firma Hash en cada

uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita

a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez

duplicados para establecer copias de seguridad que permitan a los auditores realizar la

búsqueda de elementos probatorios.

46 EC – Council: Computer Forensics – Investigating Network intrusions & Cyber Crime, 2010. 47 Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,

http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/ 48 Informática Pericial: Consulta sobre colisiones MD5,

http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobre-

colisiones-md5&catid=43:guias-para-peritos&Itemid=64



Mariano Messina 34

A continuación se listan algunas precauciones que se deben tener en cuenta cuando se debe

preservar la evidencia:49

• Mantener la evidencia en un lugar seguro.

• Empaquetar la evidencia en un envoltorio sellado para restringir el acceso físico.

• Mantener la evidencia fuera de temperaturas extremas y de altas humedades.

• Mantener la evidencia alejada de medios magnéticos.

• Mantener la evidencia alejada de ambientes con polvo o energía estática.

• Mantener la evidencia alejada de ambientes con excesivas vibraciones.

• Mantener la evidencia con las etiquetas correspondientes.

• No se debe doblar, plegar o rayar los diversos medios informáticos, como por ejemplo,

los dvds.

• Mantener siempre una cadena de custodia apropiada.

Análisis y descubrimiento de evidencia

La cuarta etapa comprende al proceso de Análisis y descubrimiento de evidencia y siempre

que sea posible, se refiere a examinar la información que ha sido recuperada del proceso de

adquisición y duplicación de datos para poder encontrar elementos probatorios

correspondientes al caso.

Anteriormente se ha hecho mención que la forma en que se encuentran construidos los

diferentes sistemas operativos generan eventos que van produciendo modificaciones a los

datos almacenados. Por tal motivo, si en algún momento del proceso, teniendo en cuenta el

tipo de investigación que debe analizarse y las pruebas que deben ser identificadas, es

necesario inicializar el sistema operativo almacenado en los contenedores duplicados hay que

emplear técnicas que aseguren al perito que el acceso a la información contenida sea de forma

sólo lectura, logrando mantener la integridad de la misma a lo largo del tratamiento forense.

Una técnica aprobada de acceso sólo lectura a sistemas operativos es la virtualización de las

imágenes forenses resultantes de la etapa de adquisición de datos.50

Una vez que se dispone al ingreso del sistema operativo teniendo en cuenta la protección de

la integridad de la información, el perito podría encontrarse frente a un sistema protegido con

una contraseña que imposibilite el acceso a la información almacenada.

49 EC-Council: Investigating Wireless Networks and Devices, 2010. 50 Arnicelli, Crsitian: Virtualización de Imágenes Forense, 17 de Septiebre 2012,

http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/



Mariano Messina 35

Durante una charla de informática forense en la 8va edición de Eko Party51 realizada en

Argentina, el ingeniero Gustavo Presman ha hecho mención sobre la importancia de utilizar

herramientas que posibiliten el descubrimiento de la contraseña administrador del equipo

relevante a la investigación, siempre teniendo recaudos de no realizar la contaminación del

medio. También ha manifestado que dicha importancia se debe a que podría existir la

implementación de mecanismos de autenticación Single Sign-on (SSO)52 que permitan el

acceso a sistemas internos. Los cuales a su vez podrían contener información relacionada a la

investigación en proceso.

En un intercambio de correos electrónicos con el profesor Luis Enrique Arellano González,

dónde se ha tenido el agrado de debatir el proceso “adivinatorio” de contraseñas, ha logrado

ampliar lo citado por Pressman:

“La adquisición de datos específicamente reservados por su propietario (hecho que se hace

evidente, simplemente porque utilizó una clave para protegerla), utilizando herramientas

invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que sólo puede

ordenar el Juez en uso de sus atribuciones de Magistrado. De ahí que antes de hacer una cosa

por el estilo, se debe pedir autorización a S. Sa.. Este pedido por otra parte debe ser fundado y

preservando el resto de la información privada del propietario de los datos, en caso contrario

(siempre que el operador del derecho de turno y/o su consultor técnico, se den cuenta) esa

prueba y toda la cadena probatoria subsiguiente es nula. “ (Arellano G., 2012)

Debido a que la persona que ha originado el incidente pudo haber considerado la eliminación

de información que lo comprometa, o realizar alguna acción no convencional para lograr

ocultarla, se debe realizar un análisis de los contenedores de información desde diferentes

niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas

consideraciones que pueden ser utilizados como lineamientos para realizar el análisis de la

información adquirida.53 Las mismas comprenden:

51 Eko Party Security Conference 8va edición: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/. 52 The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/ 53 U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,

https://www.ncjrs.gov/pdffiles1/nij/199408.pdf



Mariano Messina 36

Análisis de período de tiempo:

El análisis del período de tiempo es útil para determinar cuando ocurrieron los eventos sobre

un sistema informático, con el fin de identificar y asociar quién ha utilizado el recurso en el

tiempo que han ocurrido los sucesos. Existen dos métodos que se utilizan:

- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la última

modificación, la última vez que se accedió al archivo o el cambio de estado). El resultado que se

busca es establecer una relación entre los archivos de interés y los tiempos relevantes a la

investigación.

- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podrían ser

analizados comprenden, eventos de error, instalación, de conexión, eventos de seguridad, etc..

Por ejemplo, el análisis del registro de eventos de seguridad podría indicar cuando se utilizó un

usuario y una contraseña para autenticarse a un sistema.

Análisis de datos ocultos:

La información puede encontrarse de forma oculta en un sistema informático, como

consecuencia, un análisis minucioso de la información permitiría detectar y recuperar archivos

que podrían indicar conocimiento, posesión o intención de los sucesos realizados. Se puede

lograr mediante:

-La correlación de los encabezados de los archivos con las extensiones asociadas a los mismos

para identificar si existen diferencias. La discrepancia entre ambos podría indicar que un

usuario ha escondido información de forma intencional en el archivo.

-Revisión de los archivos protegidos por contraseñas y también aquellos que se encuentren

comprimidos o cifrados. Se debe considerar que la contraseña utilizada para proteger el archivo

podría ser tan relevante en la investigación como el contenido del mismo.

54 National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,

http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm



Mariano Messina 37

-Revisión del contenido de archivos (por ejemplo, una fotografía) en búsqueda de información

oculta. Este proceso de análisis es conocido como estenografía.

-Revisión de host-protected area (HPA). El HPA es una sección del disco duro que se encuentra

oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de

discos duros para ocultar un sistema de mantenimiento y recuperación. Sin embargo, esta

sección puede ser alterable y utilizable para ocultar información.55

Análisis de Aplicaciones y de Archivos:

Realizar un análisis de las aplicaciones y de los archivos que contemplan al sistema podría

brindar al forense información relevante a la investigación y además, podría permitirle lograr

una comprensión de la capacidad de los mismos. Algunos ejemplos incluyen:

- Revisión de los nombres de los archivos y establecimiento de patrones.

- Revisión del contenido de los archivos.

- Identificación de la cantidad y tipo de sistemas operativos.

- Correlación de archivos de aplicaciones.

- Revisión de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del

navegador con archivos de correos o de caché.

- Identificación de archivos desconocidos.

- Revisión de la configuración de los usuarios.

- Revisión de las carpetas de los usuarios creadas por defecto.

- Revisión de metadata y de los archivos creados por los usuarios: generalmente se buscan

datos como: fechas de creación, fecha de última modificación, el autor del fichero y la ubicación

de los mismos.

55 Via Forensics: Host Protected Area (HPA), 26 de Noviembre 2008, https://viaforensics.com/computer-forensic-

ediscovery-glossary/what-is-host-protected-area.html



Mariano Messina 38

Durante la charla de Gustavo Pressman en la Eko Party también se ha hecho mención que

podrían existir volúmenes TryeCrypt (software utilizado para el cifrado de información)

ubicados en el sistema que se encuentra siendo investigado, que podrían contener información

relevante al caso. Además, ha afirmado la dificultad en la que se encuentran los forenses para

reconocer dichos volúmenes debido a que los mismos no poseen una extensión que los

identifique dentro del sistema operativo.

Hasta el momento, la única característica que podría guiar a un perito hacia la identificación

de volúmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamaño de los

diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros

TrueCrypt.

Otra dificultad que se presenta, por cómo se encuentran cifrados y construidos los volúmenes,

es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro

volumen cifrado.56

Hasta el momento se desconoce la existencia de herramientas que puedan identificar

volúmenes dentro de volúmenes TrueCrypt.

Posesión y propiedad:

Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a

archivos en el sistema debido a que puede resultar relevante en la investigación. También

podría ser relevante identificar el conocimiento y la posesión de dichos archivos teniendo en

cuenta los siguientes lineamientos:

- Analizar el nombre asignado a la computadora puede indicar fecha y hora de intervalos de

posesión o propiedad del sistema. (Ver Análisis de intervalos de tiempo).

- Los archivos de interés pueden estar ubicados en carpetas que no son creadas por defecto

por el sistema operativo. (Ver análisis de aplicaciones y de archivos).

56 TrueCrypt: Hidden Volume, http://www.truecrypt.org/docs/?s=hidden-volume



Mariano Messina 39

-Los nombres de archivos podrían indicar el contenido del archivo. (Ver análisis de

aplicaciones y de archivos).

- Información oculta en el sistema podría dar indicios de alguna persona que evita ser

detectado. (Análisis de datos ocultos)

- Cuando un archivo se encuentra protegido con contraseña y la misma ha podido ser

recuperada, podría indicar posesión o propiedad del archivo. (Ver posesión y propiedad)

- El contenido de un archivo podría indicar posesión o propiedad por contener información

específica de un usuario. (Análisis de aplicación y de archivos)

Figura 2: Resumen del Proceso forense obtenido del grupo de informática forense:

http://espanol.groups.yahoo.com/group/informatica-forense/



Mariano Messina 40

Confección del Informe Final.

La quinta etapa representa uno de los aspectos más cruciales en una investigación forense y

corresponde la producción de un informe que detalle el proceso que se ha desarrollado. El

documento debe ser escrito para comunicar el resultado del análisis digital forense y deberá

exponer una teoría entendible de la investigación de forma tal que, la persona encargada de

realizar un juicio sobre la misma cuente con la información necesaria de forma clara y concisa.57

La producción de informes lógicos y bien estructurados aumenta la probabilidad de convencer

a un jurado de que se posee un entendimiento avanzado de lo que se está haciendo y de que la

evidencia presentada ante el tribunal, es válida.

El propósito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque

exista evidencia que se considere que no resulta de apoyo a la investigación, debe ser

mencionada de todas formas en el informe final. En el reporte además, debe constar cuál es el

objetivo principal de la investigación que se ha realizado.

La confección del reporte debe ser escrito de forma lógica y ordenada, de manera tal que

pueda exponer cuál es el interrogante que debe ser esclarecido, presentar los resultados de la

investigación y además, declare conclusiones y recomendaciones. Para lograr una estructura

lógica y centrarse en la narración del proceso, se puede proceder a la utilización de apéndices

que puedan incluir calendarios, tablas u otra información relevante.

Si el informe debe ser presentado a un público variado, se debería considerar la creación de

un glosario que abarque la definición de los conceptos técnicos. El glosario sirve como

herramienta de apoyo a quién lo debe leer con el objetivo de subsanar dudas técnicas.

Un buen informe debe responder a: quién, qué, cuando, dónde y por qué. Además, debe

documentar qué acciones fueron realizadas durante el proceso y el porqué de las mismas. 58

Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba

en casos judiciales, debía prestar especial cuidado de evitar declarar conclusiones acerca de los

hechos sino que lo que en realidad debía hacer es centrarse en narrar los mismos mediante la

57 The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital

Evidence for Courtroom Presentation, 12 de Diciembre 2003,

http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf 58 Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.



Mariano Messina 41

elección cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara

que durante un juicio, se ha hecho mención que un sonido provenía de un hall de un hotel, a lo

que él siempre se ha preguntado cuales son las características acústicas que diferencian un hall

hotel, de una cancha de squash.

En el anexo II del presente documento se puede observar un modelo de informe final utilizado

por peritos argentinos. El material fue obtenido de un foro dónde diversos expertos en materia

forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,

al que se ha tenido el agrado de ser invitado a participar como miembro.

La experiencia personal en el ámbito privado ha demostrado que la inclusión de imágenes,

gráficos o diagramas en la confección de informes, que deben ser revisados por diferentes

personas con diferentes perfiles, generan un efecto de atracción en el receptor. Además,

permiten una mejor comprensión del tema que se debe tratar y brinda al encargado de

presentar la idea una herramienta en la cuál puede sentirse más confortable a la hora de

exponer su discurso.

Las técnicas de visualización permiten generar gráficos, mapas o redes que relacionan la

información de forma tal que problemas de alta complejidad puedan ser comprendidos por el

público sin la necesidad de utilizar un lenguaje específico o enredado. 59

Creo que en la etapa de confección y presentación del informe final, se podrían utilizar

herramientas de visualización de información que permitan a los jueces de los tribunales, y las

diferentes personas involucradas en el proceso, contar con herramientas que ayuden a lograr

un entendimiento más claro de los resultados de la investigación, relacionando por ejemplo los

diferentes actores intervinientes, la evidencia y el tiempo en el que han sucedido los eventos.60

Una vez finalizadas todas las etapas de la investigación forense digital y, una vez concluido y

presentado el informe a las autoridades pertinentes se debería resguardar toda información en

59 Visualizing: http://www.visualizing.org/about 60 ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,

http://queue.acm.org/detail.cfm?id=1805128



Mariano Messina 42

un lugar seguro por si en algún momento futuro se decide volver a indagar en los elementos

intervinientes. 61

Se ha procedido a realizar una consulta en el foro de informática forense solicitando

asesoramiento sobre las mejores prácticas de cómo almacenar los datos de forma tal que no se

perjudique con el transcurso del tiempo. En respuesta a mi pregunta, un perito forense de la

Policía Judicial de la ciudad de Córdoba comenta que ellos, por cuestiones de costos, realizan el

resguardo mediante la utilización de medios ópticos, por duplicado. Además, informa que lo

realizan mediante la utilización de envoltorios que permiten el sellado al vacío, teniendo en

consideración el medio ambiente y evitando el roce entre los discos. El referente también

informa que dicho procedimiento le ha “salvado decenas de veces”, reflotando causas desde el

año 2006.

Debatiendo dicha situación con diversos peritos se ha logrado encontrar diversas opiniones,

algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de

pocos años, el medio de almacenamiento óptico podría estropearse, por más que se tengan

recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.

Otros especialistas en informática forense han comentado que prefieren la utilización de

medios magnéticos o electrónicos, pero que por cuestiones de elevados costos, la utilización

de estos últimos resultan hoy en día poco frecuentes.

Investigando sobre la durabilidad y del resguardo en el tiempo de la información, se ha

logrado encontrar una investigación realizada por NIST (National Institute of Standards and

Technology). En dicha investigación logran concluir, luego de un par de años de investigación y

pruebas, que los discos ópticos almacenados en ambientes con temperaturas de 25 °C y con

una humedad del 50% pueden llegar a durar más de 30 años sin estropearse. Por tal motivo,

considero que si se tienen recaudos cautelosos para almacenar la información en medios de

almacenamiento ópticos, se podría acceder a los datos luego del transcurso de varios años.62

61 National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,

http://nij.gov/nij/pubs-sum/219941.htm 62 NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,

http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf



Mariano Messina 43

Conclusiones

A través del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que

el cumplimiento de la aplicación metodológica de los estándares definidos, y de las mejores

prácticas en los procesos forenses, mitiga el riesgo de guiar una investigación hacia su

invalidación.

Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario

el cumplimiento metódico de las sucesivas fases que comprenden al proceso.

El marco metódico probado, utilizado y constantemente actualizado por forenses argentinos,

y también con la contribución de peritos de diversos países, ofrece en la evaluación de

incidentes diversos mecanismos de mitigación de riesgos. A su vez, logran prevenir la

invalidación de los elementos probatorios a fin de brindar a las autoridades correspondientes

un instrumento útil a la sociedad.

En lo que a la aplicación metodológica respecta, se concluye que para realizarla de forma

adecuada resulta imprescindible tener en cuenta la idoneidad del personal forense. Debido a

esto, se considera que la capacitación constante y el mantener una amplia red de contactos

profesionales son puntos clave para mantenerse actualizado en materia forense digital.

Por otra parte, debido a que aún hoy en día la informática forense es considerada una ciencia

nueva, lo cuál se considera que complica a personas fuera del ámbito informático en la

comprensión técnica de diversos escenarios, se cree conveniente la utilización de diversas

técnicas de capacitación y de representación de datos, como por ejemplo las de visualización de

información.

Las técnicas de visualización resultan de gran utilidad al transmitir a las diferentes autoridades

un mensaje claro. Esto permite explicar problemas complejos mediante la abstracción de

cuestiones técnicas, logrando que dicha herramienta sea utilizada como base para el análisis y

la toma de decisiones.

Por último, destacar que el valor de utilidad que tiene la informática forense radica en su

posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva

de incidentes en las diferentes organizaciones.

Juzgado Criminal de Instrucción 14, Sec 17 Causa Nro 13331

Mariano Messina 44

Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situación

actual de la informática forense Argentina:

1. Alessio, en la actualidad, ¿cuál piensa que es el mayor desafío, o la mayor dificultad que

debe afrontar un perito forense a la hora de realizar una investigación en la Argentina?

Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe

lo que hace a nivel técnico, claro está). Si es estatal quizá el reto mayor será logístico; el

almacenamiento y procesamiento de altos volúmenes de datos requiere de forma dinámica una

cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas

veces destina recursos a los laboratorios forense de las distintas dependencias.

2. Según su experiencia en la práctica forense, ¿en qué partes del proceso piensa que se debe

hacer hincapié? ¿Por qué?

En la documentación de todos los pasos. Uno deberá prestar testimonio años después de lo que

ocurrió y si no está todo bien documentado puede perderse todo el trabajo realizado. (esto

también dando por sentado que se utiliza hardware y software forense así como los métodos

forense)

3. Observando varios casos judiciales argentinos, de distinta índole y dónde se involucran

diferentes elementos tecnológicos como medio contenedor de datos, pude notar que existen muchos

que terminan en una invalidación de la evidencia por alguna de las partes intervinientes en el

proceso. ¿Por qué piensa usted que esto sucede?

Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los

trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)

4. En lo que a la metodología forense respecta, y teniendo en consideración su amplia

experiencia laboral, ¿considera que existe alguna diferenciación entre el ámbito público y el privado,

a nivel procedimientos y estándares, que se deba tener en cuenta con el fin de tratar de asegurar el

éxito de una investigación?

No; ambas se deben llevar a cabo de igual manera. La informática forense nació en el Estado, se

potenció por la lucha contra la pornografía infantil y luego creció exponencialmente de la mano del

sector privado cuando se comenzó a aplicar a IF en investigaciones y auditorías.


Mariano Messina 45

5. A su parecer, en la actualidad, ¿cómo considera que se encuentran los organismos públicos

de seguridad en materia forense digital?

La ley que equipara los documentos digitales a los de papel tiene menos de diez años. La justicia, y

el sistema judicial, tardarán un tiempo en adecuarse a la nueva normativa.

El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que

afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la

adquisición de herramientas de última generación y capacitación.

6. Si bien muchos autores consideran a la informática forense como una ciencia aún nueva,

¿Considera que la aplicación de la metodología y de las buenas prácticas forenses existentes mitigan

el riesgo de que la evidencia sea susceptible a la invalidación durante el proceso judicial?

Cuando nació la papiloscopía el perito se apersonaba en el lugar del hecho y levantaba las huellas;

terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el

comisario. La gente tardó unos años en comprender que la escena del crimen debe ser resguardada

y toda la comisaría pasaba por el lugar de los hechos con la intención de ayudar. . Lo mismo ocurrirá

con la informática forense. Sin duda que el perito deberá tener el hardware, software y

capacitación necesaria, pero hasta que no se capacite a todos los involucrados en la investigación

de un delito, habrá impugnaciones.

7. En su opinión y para concluir con la entrevista, ¿Cuáles son los aspectos que se deben tener

en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades

correspondientes?

Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidaré un informe que leí en

Honduras, donde un perito de audio forense dice que en la grabación “se escucha una ampliación

en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel”.

Siempre me pregunté qué características acústicas tiene el hall de un hotel que no tenga el hall de

un museo, mansión, cancha de squash, etc.

Si el informe dice que se encontró una computadora cuyo sistema operativo indica como última

fecha de utilización medianoche de una fecha, quién lea el informe comprenderá las implicancias. Si

uno dice “esta computadora fue encendida por última vez el X” está asegurando algo que no tiene

manera de probar.


Mariano Messina 46

Anexo II – Modelo de Informe final

Buenos Aires, 05 de Noviembre de 2005

AL

SR. JUEZ NACIONAL DE PRIMERA INSTANCIA EN LO

CRIMINAL DE INSTRUCCIÓN DR. JORGE LAGUNA.

SECRETARÍA NRO 17 – DR. FIDEL PINTOS

S / D

El que suscribe Lic/Perito/Ing Nombre y Apellido; matrícula profesional Nro: ; Nro de CUIT/CUIL: ; de nacionalidad argentina; de estado civil…; de profesión ……; con domicilio particular en ……; constituyendo domicilio legal en ….; teléfono particular número: 1234-5678, fax número: 9101-1121; correo electrónico: [email protected]; designado Perito en Informática Forense en los autos caratulados Sánchez, Jorge s/averiguación de defraudación, identificado con el número de expediente 13331/2005, tramitado ante el JUZGADO NACIONAL DE PRIMERA INSANCIA EN LO CRIMINAL DE INSTRUCCIÓN Nro 14 del DR. JORGE LAGUNA. SECRETARÍA NRO 17 – DR. FIDEL PINTOS, acorde a lo determinado en el Código Procesal Penal de la Nación, artículos 253, 254, en concordancia con lo establecido en los artículos 255, 256, 257 y 258 de dicho Código. Reconociendo el conocimiento, alcance y penas establecidas en los artículos 275 y 276 del Código Penal de la Nación y la restricción del Artículo 266 del Código Procesal Penal de la Nación (esta legislación debe ajustarse a lo prescripto en cada Foro y Jurisdicción, incluyendo los códigos de forma particulares y las acordadas correspondientes) se constituye ante S SA (V SA, según corresponda), a efectos de informarle los resultados periciales alcanzados luego de las operaciones técnicas, (científicas, tecnológicas, etc.) realizadas sobre los elementos peritados (examinados, peritados, “sub_peritia”).


Mariano Messina 47

I. OBJETO DE LA PERICIA:

La presente pericia tiene por objeto determinar “…si los archivos dubitados se

encontraban almacenados en: . . . .” (textual) , obrando requisitoria pericial a foja 75 del cuerpo principal de los autos citados.

II. ELEMENTOS OFRECIDOS:

En relación con la requisitoria pericial, de conformidad con el artículo 260 del Código Procesal Penal de la Nación y en las condiciones señaladas en el art 261 del precitado Cuerpo Legal, se recibieron los siguientes elementos “sub peritia”:

1. Documentos recibidos en custodia: Especialmente el expediente principal entregado al perito por aplicación del artículo 260 del CPPN (o su equivalente jurisdiccional) y en caso de existir, los cuadernos de prueba (correspondientes a los Juzgados Civiles).

2. Elementos dubitados: Disco- Computadora-Unidad de almacenamiento – Documento Impreso – Software – Hardware – Recursos Humanos o Expertos consultados – Laboratorio consultado –- Ver ampliación en el detalle técnico.

3. Elementos de comparación: Herramientas que no forman parte de la prueba dubitada (descripción estricta de las mismas, incluyendo versión y procedencia, en caso de software libre indicar que se trata de Licencias GNU, en caso contrario incluir el número de licencia del producto y sus especificaciones técnicas en un anexo)- Informe realizado por otro técnico, laboratorio, empresa, etc. Reconstrucción del hecho en entornos simulados como máquinas virtuales (VPC – VMWare).

III. OPERACIONES REALIZADAS:

(Consta de dos partes principales:

1. la primera secuencial, acorde al orden cronológico de las actividades en su totalidad, desde la recepción del material o la inspección ocular, hasta las últimas operaciones de registro probatorio. Sólo se describe la tarea con carácter informativo y se la referencia al detalle técnico de un anexo respectivo. Desde lo metodológico es la conversión metodológica estricta de una proposición -


Mariano Messina 48

proveniente de la variable definida-, en su correspondiente premisa, mediante una serie de operaciones científicamente válidadas, tecnológicamente fundamentadas y tecnicamente correctas, que puedan ser repetidas en cualquier momento posterior por otros expertos en el área. En caso de necesidad o riesgo evidente de destrucción total o parcial de la prueba indiciaria, como resultado de las tareas de análisis pericial efectuadas sobre la información ”sub peritia”, debe solicitarse la autorización escrita del Juzgado Interventor antes de proceder.

2. Una segunda parte que se conforma fuera de la pericia construyendo un arbol demostrativo silogístico estricto, que define, estrucrtura y organiza la justificación de las conclusiones. A partir de dicho arbol probatorio –ver metología lógica demostrativa- se construye la redacción argumentativa, acorde a las capacidades del perito, asimismo se debe utilizar para conoformar un discurso técnico claro, conciso, breve, tecnológicamente fundamentado, acorde al nivel del destinatario y especialmente ameno –ver técnicas de redacción y oratoria)

A efectos de cumplimentar la requisitoria pericial encomendada se procedió a realizar las siguientes operaciones periciales:


Mariano Messina 49

TAREAS POR ORDEN CRONOLÓGICO

i. Tarea 1 – Ver Anexo I ii. Tarea 2 - Ver Anexo II iii. …Tarean n – Ver Anexo m

ARGUMENTACIÓN DEMOSTRATIVA

Reorganización de las tareas, incorporándolas a una estructura demostrativa estricta, en forma de árbol binario, que permita su análisis lógico estricto y su discusión silogística formal. Este árbol, puede agregarse como anexo, pero en general no es conveniente porque sólo contribuye a esclarecer la demostración a las personas con una buena formación en lógica, lo que no es común, ni corriente entre la mayoría de los profesionales. No obstante éste árbol constituirá la base de nuestro discurso argumentativo. Con esta estructura, en base a su soporte y con el agragado de nuestras capacidades de redacción, se construirá el argumento que justifique las conclusiones alcanzadas.

Es imprescindible considerar además que no podemos escapara el método científico en general y al método criminalístico en particular, el análisis desde lo general a lo particular, debe conformar la estructura principal (el “backbone”) subyacente al árbol binario demostrativo.

Recomendaciones: Una vez finalizada la demostración argumentativa estricta, puede suceder que aparezcan situaciónes particulares que impliquen nuevas estructuras o pruebas que puedan ayudar a la causa, pero que no han sido incluidas en la requisitoria pericial. En este punto surge una clara dualidad, el perito no puede expedirse más allá de la requisitoria pericial (so pena de ser considerado tendencioso o parcial), pero no puede dejar de decir lo que vió, porque el falso testimonio establecido en el art. 275 del CPN, no sólo consiste en afirmar una falsedad, sino también en ocultar una verdad conocida.


Mariano Messina 50

Por lo tanto, no corresponde incluir estas apreciaciones en las conclusiones, que únicamente deben referirse a la requisitoria pericial, sin embargo nada impide incluirlas en este momento, explicitándolas y sugiriendo a S Sa, que en caso de considerarlo necesario ordene la ejecución de una ampliación de pericia posterior. De esta manera se salvan ambas situaciones y se eluden responsabilidades innecesarias. Es conveniente “sugerir” asimismo los términos estrictos de dicha requisitoria, para evitar nuevas idas y vueltas por falta de claridad o definición en las mismas.

Ejemplo: Luego de examinados los archivos detectados, ha sido posible determinar que los obrantes en el disco rígido correspondiente al servidor principal de la red (identificado como Servidor A, en el apartado II del presente informe) de la empresa R, son idénticos a los que obran la terminal J (identificada…) de la Sucursal T. No obstante esta característica es señalada a título informativo a S Sa y en concordancia con el artículo 275 del CPN. Si S Sa, estima conveniente analizar esta circunstancia es posible hacerlo mediante una ampliación del presente informe pericial orientada a: “establecer si los archivos obrantes en el Servidor Princiapla de

la red de la empresa R, son los mismos que obran en la terminal J de la Sucursal

T”.

En base a los estudios, experiencias y demostraciones realizadas, es posible arribar a las siguientes:

IV. CONCLUSIONES:

Afirmación, negación o explicitaciónde imposibilidad de expedirse (por falta de elementos, por falta de tecnología o por razones demostrativas insuficientes) respecto de la requisitoria pericial analizada de forma estricta, acotada y restringida

Con el objeto de informar a S. Sa., sobre las tareas realizadas y el tiempo demandado por las mismas, hago saber la siguiente distribución horaria:

Nº Tarea Actividad Horas OBS


Mariano Messina 51

01 Gestión de expediente Administrativa 5 Sede Judicial

02 Inspección Judicial Técnica/Pericial 8 Local Empresa

03 Reconocimiento Judicial Técnica/Pericial 8 Gerencia

04 Análisis de Laboratorio Técnica/Pericial 13

05 Confección del Informe Pericial Administrativa 5

TOTAL 39

Se hace constar que la hora técnico pericial vigente en el mercado para un profesional universitario con título de grado, se estima en CIENTO CINCUENTA PESOS ($150), respecto de las horas de gestión administrativas, se estiman en un tercio del costo anterior ($50), lo que en el presente caso prevé un valor total estimado de $4850.

El suscripto ruega a S. Sa. tener en cuenta estos valores, al momento de determinar los honorarios profesionales que le pudieran corresponder, considerando la complejidad del trabajo realizado y la capacitación profesional que el mismo requiere por parte de quien realiza la misma.

Sirva la presente de formal y atenta nota de cierre y elevación del informe pericial, constituyendo formal recibo de entrega y recepción de conformidad de los elementos detallados, a sus efectos legales.

Se adjunta en devolución63 al presente informe pericial compuesto de cinco (5) fojas útiles, (en 173 renglones) y, de 8 Anexos (en un total de treinta y dos fojas útiles), el material descripto en el apartado II 1.

Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida la tarea pericial encomendada y regule mis honorarios profesionales acorde a la magnitud de los estudios experiencias y demostraciones técnicas efectuadas.


Mariano Messina 52

PROVEER DE CONFORMIDAD. SERA JUSTICIA.

Firma del perito auxiliar

(si lo hubo)

Aclaración

Título y cargo

Nro de CUIL O CUIT

Firma del perito Principal

Aclaración

Título y cargo

Nro de CUIL O CUIT

1 Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)

escrito por ambos lados y conste de un número par de paginas. De esta manera el sello de recepción

queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de

responsabilidades, sobre la integridad o destino “a posteriori” de la prueba analizada

Mariano Messina 53

Referencias Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage

Learning.

Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informáticos.

Versión 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:

http://www.oas.org/juridico/english/cyb_pan_manual.pdf

Aguilar Avilés, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde

www.eumed.net/rev/cccss/07/daa7.htm

Aldrovandi, M. G. (2012, Febrero). Accedido en Mayo 10, 2012, accedido desde

http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresas-

argentinas

Alessio, A. (2012). Informática Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:

http://alessioaguirre.com/informatica_forense.html

Arellano G., L. E. (2012, Marzo 15). ¿La acción penal, por delitos de acción pública, en manos

exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community

LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ila-

accion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html

Arnicelli, C. (2012, Septiembre 17). Virtualización de Imágenes Forense. Accedido en Septiembre 23,

2012, accedido desde MKit - IT & Security Solutions:

http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/

Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido

desde National Institute of Standards and Technology:

http://csrc.nist.gov/publications/nistir/nistir-7387.pdf

Bocanegra C., C. A. (n.d.). Rincón del Vago. Accedido en Junio 12, 2012, accedido desde Rincón del Vago:

http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-los-

individuos.html

Bolívar Pinzón Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Información. Accedido en Mayo 23,

2012, accedido desde Tesis: Identificación de vulnerabilidades, análisis forense y atención de

incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip

Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley

Publishing INC.

Mariano Messina 54

Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido

desde La Relevancia De La Custodia De La Evidencia En La Investigación Judicial:

http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf

Cappiello, H. (2012, Febrero 23). Diario La Nación. Accedido en Mayo 23, 2012, accedido desde La

invisibilidad de las pruebas de corrupción: http://www.lanacion.com.ar/1450864-la-

invisibilidad-de-las-pruebas-de-corrupcion

Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.

Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.

Academic Press.

Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,

NY: Cengage Learning.

Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido

desde Computer Forensics Procedures and Methods:

http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf

Delgado L., M. (2007, Junio). Análisis forense digital. Accedido en Agosto 22, 2012, accedido desde

Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780-

analisisforenseed2-criminalistica.net.pdf

Diario Clarín. (2011, Diciembre 22). La sugestiva y misteriosa acción de un espía privado. Accedido en

Septiembre 01, 2012, accedido desde Clarín: http://www.clarin.com/politica/sugestiva-

misteriosa-accion-espia-privado_0_613738660.html

Dutra, E. G. (2012, marzo). Accedido en Mayo 10, 2012, accedido desde

http://seguridadit.blogspot.com.ar/2012/03/crisis-de-identidad-gestion-parte-3.html

Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.

Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde

Informática Pericial:

http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons

ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64

Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame

created by US and Israel to slow Iranian nuke program:

http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/

Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,

accedido desde A Tour through the Visualization Zoo:

http://queue.acm.org/detail.cfm?id=1805128

Mariano Messina 55

Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.

Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431-

Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html

InfoLeg: Información Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos

Informáticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000-

144999/141790/norma.htm

Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.

Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.

Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-

sum/199408.htm

Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido

en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubs-

sum/219941.htm

Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics

Investigators. Burlington, MA: Elsevier INC.

La Nación, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de

pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nación:

http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-

acusado-de-pedofilia

Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:

Syngress Publishing, INC.

Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and

Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:

Auerbach Publications.

Ministerio Público Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de

Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Público Fiscal de

la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf

Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer

Science+Business Media.

Muñoz Conde, F. (2002). Teoría General del Delito Segunda Edición. Bogotá: Tirant Lo Blanch.

Nación, P. J. (2010, Septiembre 22). Sala V, en autos “V. C. W. E. s/infracción ley 11723” (causa n°

39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nación:

http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100

Mariano Messina 56

National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and

Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:

http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm

Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,

2012, accedido desde Optical Disc Longevity Study.:

http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf

Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The

McGraw-Hill Companies.

Presman, G. D. (2008). Validez técnica de evidencia digital en la empresa. In C. Community, El rol del

oficial de seguridad. Buenos Aires, Arg.: CXO Community.

Presman, G. D. (2009, 09 28). Accedido en Mayo 21, 2012, accedido desde

http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.p

df

Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the

Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:

http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in

_courtroom.pdf

Stuart, K. (2011, Enero 07). PlayStation 3 hack – how it happened and what it means. Accedido en Julio

22, 2012, accedido desde

http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3

Téllez Valdés, J. (1996). Derecho Informático. México: McGraw-Hill.

The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,

accedido desde The Cyber Citizen Partnership:

http://www.cybercitizenship.org/crime/crime.html

The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open

Group: http://www.opengroup.org/security/sso/

TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:

http://www.truecrypt.org/docs/?s=hidden-volume

Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,

accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscovery-

glossary/what-is-host-protected-area.html

Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,

accedido desde Diario Judicial:

http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html

Mariano Messina 57

aplicabilidad metodológica de la informática forense … · informática forense el cybercrimen y...

Documents