ING.

MILTON HINOJOSA DELGADO

&
TITO LOYOLA MANTILLA
ESPECIALISTAS EN INFORMTICA FORENSE

1.

GENERALIDADES

Pgina

INFORME TCNICO INFORMTICO 2013

Milton Danilo HINOJOSA DELGADO, Ingeniero de Sistemas con CIP
N 132415, identificado con DNI N 40623608, con domicilio en la calle
cerro prieto 235 - Surco - Lima.
Luis Tito LOYOLA MANTILLA, Perito criminalstico, especializado en
investigacin de delitos informticos y computacionales, identificado
con DNI. N 08691869, con domicilio en la avenida Canevaro 1529 202 Lince Lima.
2.

DATOS DEL SOLICITANTE

Mg. Elmer MIO CHVEZ, identificado con DNI N 16426735, con
ddomicilio real en la calle las Colinas No 201 de la urbanizacin 3 de
Octubre - Chiclayo, asesorado por la Dra. Amanda Julia VARIAS
CSPEDES, con Colegiatura: ICAL 3253 y domicilio procesal en la
avenida Luis Gonzales No 180 - 1er Piso - CHICLAYO.

3.

PUNTOS DE ANLISIS INFORMTICO

Teniendo en consideracin las documentales, presentadas en fotocopias
por la parte solicitante, que se mencionan:
a.
b.
c.
d.
e.
f.
g.

Carta N 0149-2013/GG-USS del 19AGO2013

Carta de despido del 24JUL2013
Informe 0239-2013/DRH-USS del 12JUN2013 (impreso 19JUL2013)
Carta de descargo del 15JUL2013
Carta de preaviso de despido del 10JUL2013
Informe N 010-2013/DTI-USS del 21JUN2013
Acta de entrega y recepcin del 24AGO2011
Se desea verificar:
a. S, para analizar la computadora laptop, marca HP, en la que
supuestamente se encontr 141MB de informacin almacenada en
la laptop asignada a su persona, de los aos 2010, 2011, 2012 y
2013 correspondientes a la SCRL M&S LOGISTI-K que segn el
Informe No. 010-2013/DTI-USS del 21JUN2013, y si este hallazgo
digital se realiz desde la copia espejo y/o bajo los procedimientos

Pgina

establecidos para autenticar y garantizar su admisin y validez en un

proceso administrativo laboral.
b. S, se cumpli con asegurar mediante el uso y/o generacin de las
firmas checksum a los 141MB de informacin almacenada en la
laptop asignada durante los aos 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, contenida en la
laptop y la respectiva verificacin de su autenticidad de la copia de
dicha carpeta.
c. El perfil profesional del auditor informtico, para auditar un equipo de
cmputo.
d. Si, los 141MB de informacin almacenada en la laptop asignada al
empleado, de los aos 2010, 2011, 2012 y 2013 correspondientes a
la SCRL M&S LOGISTI-K, ha sido accesada antes del mes de junio
2013, en que fue analizada por la Direccin de Tecnologas de la
Informacin de la Universidad Seor de Sipan de Chiclayo.
4.

ESTUDIO Y CRITICA DESDE LA INFORMTICA FORENSE DE

DOCUMENTOS PRESENTADOS POR EL SOLICITANTE
a. Explicar en qu consiste la copia de bit a bit, copia espejo o imagen de
disco; y su aseguramiento de la evidencia digital.
b. Mencionar que herramientas bsicas se usan para obtener la copia de
bit a bit y su aseguramiento.
c. Explicar los pasos para analizar indicios binarios y obtener la evidencia
digital, con fines probatorios.
d. Explicar los cuidados del equipo o unidad de almacenamiento que
contiene los 141MB de informacin almacenada en la laptop asignada a
su persona, de los aos 2010, 2011, 2012 y 2013 correspondientes a la
SCRL M&S LOGISTI-K, considerada como fuente de evidencia digital.

5.

PROCEDIMIENTOS A EMPLEARSE
5.1. mbito del informe tcnico

Pgina

El objetivo del anlisis informtico forense de dispositivos

electrnicos (ordenadores personales, servidores, agendas
electrnicas, telfonos mviles, etc.) es la identificacin de rastros
digitales que evidencien que cierto suceso ha ocurrido en el
dispositivo. Estas evidencias pueden ser usadas en un juicio.
5.2. Normas y estndares para auditar e inspeccionar
informticos

equipos

La norma ISO 17799 (Seguridad Informtica) en su versin de

2007 - segunda edicin, emitida por INDECOPI, mediante
Resolucin N 01-2007/CRT.
El modelo Cobit (Sistemas de Informacin)
La metodologa ITIL (Gestin de Servicios)
Organizacin Internacional para la Estandarizacin (ISO) y
la
Comisin Electrotcnica Internacional (IEC)
5.3. Informtica Forense aplicada para la obtencin tcnica y legal
de la evidencia digital
Consiste en la aplicacin de tcnicas cientficas y analticas
especializadas a la infraestructura tecnolgica que nos permite
identificar, preservar, analizar y presentar datos que sean vlidos
dentro de un proceso legal, conocidas como "evidencia digital".
Dichas tcnicas incluyen reconstruir el bien informtico, examinar
datos residuales, autenticar los indicios binarios y explicar las
caractersticas tcnicas del uso aplicado a los datos y sistemas
informticos.
5.4. Importancia del aseguramiento de la evidencia digital detectada,
extrada y analizada, basada en el principio de contradiccin en
los procedimientos administrativos y/o procesos civiles y
penales.
En un procedimiento administrativo y/o procesos civiles y penales,
cuando se presenten "pruebas electrnicas" contra empleados,
demandados o denunciados, se recomienda el aseguramiento de la
prueba a travs de una copia espejo, llamada tambin copia de bit a
bit o espejo, que debe ser idntica al contenido de data almacenada
en los dispositivos electrnicos o medios digitales (Computadoras,
memorias, discos duros, mviles, etc.) que hayan estado a cargo de
investigado.

4
Pgina

Un aseguramiento permite obtener una copia espejo de todas las

unidades de almacenamiento de data perteneciente a una
computadora, y es la que ser sometido a inspeccin o anlisis en
procura de detectar, ubicar y extraer los 141MB de informacin
almacenada en la laptop asignada a su persona, de los aos 2010,
2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K,
como es el caso materia de estudio tcnico a cargo de los
especialistas suscribientes.
En los incidentes informticos o investigaciones internas de
instituciones o empresas, que no revelen indicios de delitos
informticos o computacionales, la computadora o por lo menos el
disco duro del equipo, deber ser puesta bajo custodia, en diligencia
realizada por fedatario o notario pblico, y consiste en embalar en
sobre papel o polmero, lacrado con cintas de embalaje trasparente y
firmado por el encargado de realizar la investigacin, del investigado
y suscrito por el notario pblico de la jurisdiccin.
Dicha custodia del equipo informtico, dentro de la entidad
empleadora, tiene el nico fin de poder acceder a la data existente a
fecha de la obtencin de la copia espejo de la computadora que
contiene los 141MB de informacin almacenada en la laptop
asignada a su persona, de los aos 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, considerada como
"evidencia digital", de tal forma que s posteriormente el "trabajador
despedido" no est conforme con los informes elaborados por los
auditores de parte de la empleadora; podr ser verificado y
comprobado por otros expertos o especialistas para despejar las
observaciones que pueda ser peticionado por el trabajador en el
procedimiento o procesos judiciales.
Por los incidentes informticos o irregularidades que se cometen
internamente en las empresas o instituciones por parte de los
trabajadores con sistemas informticos o dispositivos mviles y de
almacenamiento da data, es imprescindible que las empleadoras
dispongan de un procedimiento informtico sobre la obtencin de
pruebas en medios digitales en un procedimiento administrativo,
incidiendo en la actuacin inmediata, tcnica y con herramientas
bsicas por parte del responsable de la investigacin, para que en
primero orden obtener la copia espejo y aseguramiento del equipo
informtico para posteriormente llevar a cabo un anlisis forense en
un laboratorio informtico forense profesional para obtener as la

Pgina

evidencia digital que reflejen o prueben la conducta irregular

atribuida al trabajador
Esta informacin (evidencia digital), puede ser utilizada a nivel
interno nica y exclusivamente para procedimientos administrativos
internos a la empleadora y visionar en el supuesto que el conflicto se
complique, para presentar como informe pericial ante un proceso
judicial.
La importancia recae en que al inspeccionar un sistema informtico
o computadoras, con el propsito de obtener evidencias
digitales
con fines probatorios en cualquier tipo de controversia, informticas
de un fraude garantizando que la fuente original de la informacin, el
mvil, el ordenador, el disco, etc... no se altere ni manipule durante
un proceso.
Un profesional informtico o de sistemas, debe conocer que una
inspeccin,. ubicacin, recupero y extraccin de la "evidencia
digital", nunca se hace directamente al equipo informtico implicado,
procurando garantizar que la fuente original de la informacin, el
mvil, el ordenador, el disco, etc., no se altere ni manipule durante
un proceso de inspeccin o anlisis.
sino
Una vez que disponemos de copias exactas de los dispositivos
origen, se procede al anlisis de los rastros en el mismo, con el
propsito de detectar cualquier rastro digital, memoria voltil,
ficheros existentes, borrados, protegidos con contrasea, ocultos
mediante el uso de distintas tcnicas (caractersticas del sistema de
ficheros, criptografa, esteganografa), trfico de red, registros
del
sistema, etc.
Finalmente en el informe tcnico se detallar el proceso de
anlisis con los resultados obtenidos desde el punto de vista tcnico,
haciendo uso de imgenes de la captura de pantallas, cdigos de las
firmas de seguridad y demostracin de la verificacin de
correspondencia entre la fuente y copia espejo que contiene la
"evidencia digital".
5.5. Opinin de las actuaciones de la Direccin de TI de la
empleadora Universidad Seor de Sipan.

Pgina

Como se aprecian en los diversos informes proporcionados por la

parte solicitante, elaborados y presentados por xxxxx en su calidad
de gerente de IT de la entidad empleadora:
a. No ha aplicado ninguna de las tcnicas para obtener y asegurar
la evidencia digital.
b. Como responsable de IT, no ha diseado polticas, protocolos o
mtodos para inspeccin, analizar y presentar evidencia digital
en un procedimiento administrativo.
c. El anlisis se ha efectuado directamente al equipo informtico
implicado, lo cual para profesionales de IT. no han tomado las
medidas de seguridad de la custodia de la computadora ante
posteriores cuestionamientos o actuaciones probatorias
necesarias en procesos judiciales (civiles-laborales o penal)
d. Para obtener verdaderas "evidencias digitales", no es necesario
contar con RAID.
5.6.

Algunos aspectos legales que deben tener presente el abogado

defensor
a. La Ley de Fomento del Empleo seala que el trabajador tiene un
plazo de 30 das para impugnar el despido, a cuyo vencimiento
caduca su derecho a ser indemnizado o a ser repuesto. Hasta
1999 los jueces laborales computaban el plazo de caducidad en
das naturales, pero en dicho ao se adopt el criterio de que el
plazo debe computarse en das hbiles. 10 aos despus me
complace haber promovido dicho cambio.
Articulo completo y base legal
http://es.scribd.com/doc/13846068/Articulo-El-regimenespecial-de-caducidad-de-derechos-laborales-Robert-delAguila-Vela

b. Breves consideraciones sobre la prueba en el proceso

contencioso administrativo peruano
http://trabajadorjudicial.wordpress.com/breves-consideracionessobre-la-prueba-en-el-proceso-contencioso-administrativoperuano/

Pgina

Asimismo el abogado debera considerar algunos principios del

procedimiento administrativo, relacionados al tema.
c. Para el aspecto tcnico forense de la evidencia digital, base para
determinar la causa de despido laboral, se debe considerar el
punto 13.2.3, folio 160 de la norma ISO 17799 (Seguridad
Informtica) en su versin de 2007 - segunda edicin, la cual
esta en el siguiente link.
http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf

8
Pgina

6. CONCLUSIONES

a. En el presente caso, los responsables de IT, de la Universidad Seor

de Sipan, en especial la xxxxxxx, no han cumplido con elaborar
previamente el protocolo o mtodos para inspeccin y analizar un
equipo informtico en procura de obtener "evidencia digital" y usarse
como prueba de conducta del empleado en un procedimiento
administrativo.
b. La intrusin, hallazgo y presentacin de la prueba digital, consistente
en la deteccin de los 141MB de informacin almacenada en la laptop
asignada a su persona, de los aos 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, se ha realizado
directamente al equipo,
acciones tcnicas ejecutadas por un
profesional que atenta contra los principios de seguridad e integridad
de la data, contraviniendo lo dispuesto por norma ISO 17799
(Seguridad Informtica) en su versin de 2007 - segunda edicin,
acpite 13.2.3.
c. El responsable de presentar el Informe No. 10, en la que prueba el
hallazgo de los 141MB de informacin almacenada en la laptop
asignada a su persona, de los aos 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, no ha hecho uso de
ninguna herramienta que permita obtener en primer orden, la copia
espejo y posteriormente la firma checksum a fin de mantener su
integridad; como esta prescrita en norma ISO 17799 (Seguridad
Informtica) en su versin de 2007 - segunda edicin, acpite 13.2.3.

Pgina

c. No se ha dispuesto, por parte de la empleadora, la custodia del equipo

informtico, en forma tcnica y legal, con la participacin del empleado
y fedatario o notario pblico de la jurisdiccin, como est prescrita en
norma ISO 17799 (Seguridad Informtica) en su versin de 2007 segunda edicin, acpite 13.2.3.
7. SUGERENCIAS

Que, el solicitante peticiones ante la Universidad Seor de Sipan de

Chiclayo, que le permita realizar una diligencia tcnica con participacin de
los especialistas suscribientes, a fin de:
a.
b.
c.

Verificar el estado actual del equipo informtico

Obtener la copia espejo y asegurarlo con sus cdigos hash
Ser analizarlo en busca de la evidencia digital - "141MB de
informacin almacenada en la laptop asignada a su persona, de los
aos 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S
LOGISTI-K", almacenada en la computadora laptop HP.

Lima, agosto del 2013