La cadena de custodia informtico forense:

La preservacin de la cadena de custodia sobre la prueba indiciaria

criminalstica, es un objetivo que afecta a la totalidad de los miembros del
poder judicial, los operadores del derecho y sus auxiliares directos.
Entre stos ltimos debemos incluir el personal de las Fuerzas de Seguridad,
las Policas Judiciales y al conjunto de Peritos Oficiales, de Oficio y Consultores
Tcnicos o Peritos de Parte.
Por esta razn el establecer mecanismos efectivos, eficientes y eficaces que
permitan cumplir con dicha tarea a partir de mtodos y procedimientos que
aseguren la confiabilidad de la informacin recolectada, nico elemento
integrador a proteger en los activos informticos cuestionados, ya que incluye
la confidencialidad, la autenticidad, la integridad y el no repudio de los mismo,
es una necesidad imperiosa para asegurar el debido proceso en cualquiera de
los fueros judiciales vigentes.
En trminos sencillos implica establecer un mecanismo que asegure a quien
debe Juzgar, que los elementos probatorios ofrecidos como Prueba Documental
Informtica, son confiables. Es decir que no han sufrido alteracin o
adulteracin alguna desde su recoleccin, hecho que implica su uso pertinente
como indicios probatorios, en sustento de una determinada argumentacin
orientada a una pretensin fundada en derecho.
El juez debe poder confiar en dichos elementos digitales, por considerarlos
autnticos testigos mudos, desde el punto de vista criminalstico clsico y
evaluarlos en tal sentido, desde la sana crtica, la prueba tasada o las libres
convicciones segn sea el caso y la estructura judicial en que se desarrolle el
proceso.
Consideramos a la cadena de custodia como un procedimiento controlado que
se aplica a los indicios materiales (prueba indiciaria) relacionados con un
hecho delictivo o no, desde su localizacin hasta su valoracin por los
encargados de administrar justicia y que tiene como fin asegurar la inocuidad y
esterilidad tcnica en el manejo de los mismos, evitando alteraciones,
sustituciones, contaminaciones o destrucciones, hasta su disposicin definitiva
por orden judicial.
Para asegurar estas acciones es necesario establecer un riguroso y detallado
registro, que identifique la evidencia y posesin de la misma, con una razn
que indique, lugar, hora, fecha, nombre y dependencia involucrada, en el
secuestro, la interaccin posterior y su depsito en la sede que corresponda
(judicial o no).
Desde la deteccin, identificacin, fijacin, recoleccin, proteccin, resguardo
empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta
la presentacin como elemento probatorio, la cadena de custodia debe
garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

que se recolect en la escena, es la misma que se est presentando ante el

evaluador y/o decisor.
Subsidiariamente, pero a idntico tenor, es importante considerar el significado
implcito en los indicios recolectados, el valor que van a tener en el proceso de
investigacin, anlisis y argumentacin del cual dependen. En dicho marco de
referencia es que adquirirn su relevancia y pertinencia, de ah la necesidad de
evitar en lo posible la impugnacin de los mismos en razn de errores
metodolgicos propios de cada disciplina en particular (no son idnticas la
cadena de custodia de muestras biolgicas que la que se corresponde con
armas, o documentos impresos o virtuales). Es por esta razn que existen
componentes genricos y componentes particulares en toda cadena de
custodia. Por ejemplo el realizar un acta de secuestro es un elemento genrico,
pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre
el archivo secuestrado es un elemento propio de la cadena de custodia
informtico forense.
Suele asociarse a la cadena de custodia con el proceso judicial orientado a
dilucidar acciones delictivas, sin embargo la misma no se agota en el orden
penal. En particular la cadena de custodia informtico forense debe
preservarse en todas las transacciones virtuales susceptibles de ser valoradas
econmicamente. Cuando un banco realiza una transferencia de fondos o un
consumidor adquiere un producto por medios virtuales (Internet entre otros)
requiere de esa operacin la misma confiabilidad que puede aportarle la
cadena de custodia informtico forense, es decir afecta en todo momento a la
comunidad virtual y sus actores involucrados.
Al recolectar las pruebas, lo importante es el significado, el valor que va a
tener en el proceso de investigacin y por medio de la cadena de custodia,
este valor va a ser relevante, debido a que no se va a poder impugnar, al
haberse acatado el procedimiento.
Para que la prueba documental informtica sea tenida por vlida y adquiera
fuerza probatoria ante el encargado de decidir a partir de la misma, es
necesario que la misma sea garantizada respecto de su confiabilidad, evitando
suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su
destruccin (algo muy comn en la evidencia digital, ya sea mediante borrado
o denegacin de servicio). Desde su recoleccin, hasta su disposicin final,
debe implementarse un procedimiento con soporte terico cientfico,
metodolgico criminalstico, estrictamente tcnico y procesalmente adecuado.
Si carece de alguno de estos componentes, la prueba documental informtica
recolectada no habr alcanzado el valor probatorio pretendido. Este
procedimiento se caracteriza por involucrar mltiples actores, los que deben
estar profundamente consustanciados de su rol a cumplir dentro del mismo,
sus actividades a desarrollar durante la manipulacin de la prueba y sus
responsabilidades derivadas.
Definicin: Podemos definir a la cadena de custodia informtico forense como
un procedimiento controlado y supervisable, que se aplica a los indicios
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

materiales o virtuales relacionados con un hecho delictivo o no, desde su

localizacin hasta su valoracin por los encargados de administrar justicia y
que tiene como fin asegurar la confiabilidad de la prueba documental
informtica recolectada en un determinado lugar del hecho real o virtual desde
su recoleccin hasta su disposicin definitiva por orden judicial.
Sin embargo, esta definicin es abarcativa, pero genrica, la prueba
documental informtica tiene componentes particulares diferenciativos que la
tornan sumamente diversa a la hora de recolectar, preservar y trasladar la
misma:
1. La prueba documental informtica consiste en indicios digitalizados,
codificados y resguardados en un contenedor digital especfico. Es decir
toda informacin es informacin almacenada (an durante su
desplazamiento por una red, est almacenada en una onda
electromagntica).
2. Es necesario diferenciar entre el objeto que contiene a la informacin
(discos magnticos, pticos, cunticos, ADN, protenas, etc.) de su
contenido: informacin almacenada y sobre todo de su significado.
3. Para este caso consideramos:
a. Informacin: Todo conocimiento referido a un objeto o hecho,
susceptible de codificacin y almacenamiento.
b. Objeto: Conjunto
definible.

fsicamente

determinable

lgicamente

4. La informacin puede estar en uno de los siguientes estados:

a. Almacenada: se encuentra en un reservorio a la espera de ser
accedida (Almacenamiento primario, secundario o terciario) es un
estado esttico y conforma la mayora de las recolecciones
posibles, sin embargo difiere de la mayora de los indicios
recolectables, en que puede ser accedida por medios locales y/o
remotos.
b. En desplazamiento: es decir viajando en un elemento fsico
determinado (cable, microonda, lser, etc.), es susceptible de
recoleccin mediante intercepcin de dicho elemento y est
condicionada por las mismas cuestiones legales que la escucha
telefnica o la violacin de correspondencia.
c. En procesamiento: es el caso ms complicado y constituye la
primera decisin a tomar por el recolector. Ante un equipo en
funcionamiento, donde la informacin est siendo procesada, es
decir modificada, actualizada y nuevamente resguardada, debe
decidir si apaga o no el equipo. Esta decisin es crtica y puede
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

implicar la prdida de informacin y la destruccin de la prueba

documental informtica pretendida 1. La solucin por medio del
acceso remoto, indetectable por el accedido, es un tema que an
no se encuentra en discusin en nuestro pas.2
5. En cuanto a su significado, el mismo tendr la validez que le asigne su
insercin como elemento pertinente y conducente a la argumentacin
presentada como sustento de la pretensin jurdica manifestada. Es decir
no deja de ser un documento ms, que difiere de la prueba documental
clsica (bibliogrfica, foliogrfica y pictogrfica) nicamente en el
soporte (digital vs. papel).
6. Sin embargo es necesario tener en cuenta que un bit no es similar sino
idntico a otro bit. De ah que una copia bit a bit de un archivo digital es
indiferenciable de su original, esto significa que no puede establecerse
cul es el original y cual su copia, salvo que hayamos presenciado el
proceso de copiado y tengamos conocimiento sobre cul era el
contenedor del original y cul el de la copia (mtodo indirecto e
independiente de los archivos considerados) Esto no resulta en un
inconveniente sino en una ventaja, desde el punto de vista de la cadena
de custodia, ya que permite preservar la copias, manteniendo el valor
probatorio del original y evitando riesgos para el mismo. Se puede
entregar al perito una copia de los archivos dubitados y preservar los
mismos en su reservorio original en el local del Tribunal y con las
seguridades que este puede ofrecerle (entre otros caja fuerte). 3
1

Es una decisin en francas condiciones de incertidumbre. Si decide mantener el equipo encendido, corre
el riesgo de haber sido detectado durante su aproximacin al equipo y que en realidad la actividad del
mismo est consistiendo en borrar de manera segura (tcnicas especficas de eliminacin de la
informacin que la hacen irrecuperable a los mtodos informtico forenses, es decir borra sin dejar
trazas), con lo que cuanto ms tiempo permanezca el equipo funcionando mayor ser el dao producido.
Si por el contrario decide apagar el equipo, es posible que el mismo tenga un mecanismo de seguridad
ante estos eventos que dispare las mismas acciones de borrado detalladas, sobre los equipos remotos,
eliminando enlaces y reservorios dentro de la misma red o en redes externas (es muy comn que con
fines delictivos o no, la informacin sea almacenada en un reservorio remoto, lo que aumenta la
seguridad y confiabilidad de la misma, ya que est excenta de los riesgos edilicios, fsicos y lgicos, del
local donde se utiliza).
La mejor manera de solucionar este problema es la labor de inteligencia previa (ataques pasivos,
consistentes en intercepcin, escucha o anlisis de trfico, por medios remotos). Esta tarea resuelve el
problema pero requiere disponer de recursos tcnicos y sobre todo humanos sumamente escados, por
otra parte debe ser autorizada judicialmente y la prctica nos indica que la mayora de los Juzgados, por
muy diversas causas, son sumamente reacios a la hora de autorizar estar intervenciones (lo mismo
ocurre con las clsicas y siempre restringidas medidas previas o preliminares, aunque constituyan prueba
anticipada y reunan las condiciones requeridas para la misma: peligro en la demora, credibilidad del
derecho invocado y contracautela de privacidad).
2
Con los medios adecuados es perfectamente posible acceder a un equipo remoto y recolectar la
informacin pretendida, preservando las condiciones legalmente establecidas desde la Constitucin
Nacional y sus normas derivadas, sin embargo en un ambiente donde la diferencia entre el Delito
Informtico Impropio (delitos clsicos cometidos utilizando medios informticos) tipificado en la Ley
26.388 y el Delito Informtico Propio (que afecta al bien jurdico protegido: informacin, algo que ni
siquiera est contemplado en nuestro Cdigo Penal) es un tema propio slo de algunos operadores del
derecho especializados en derecho de alta tecnologa, el suponer la comprensin real de las
particularidades que identifican al Lugar del Hecho Virtual (propio e impropio) respecto del Lugar del
Hecho Real, parecen ser ms una ilusin utpica que una realidad jurdica tangible en el mediano plazo.
3
Si un documento en papel es reservado en secretara, en la caja fuerte y luego se le debe realizar una
pericia caligrfica, debe ser entregado al perito, porque slo puede trabajar sobre originales. Esto implica
la salida de la prueba, abandonando la proteccin del Tribunal, hasta que regrese al mismo, si durante
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez
4

7. Mientras que en la recoleccin fsica de prueba indiciaria tradicional, se

secuestra el indicio y se lo traslada, en la recoleccin de documental
informtica esta accin puede realizarse o no, ya que es suficiente con
copiar bit a bit la prueba y luego trasladar dicha copia. Es una extensin
del caso anterior, donde no es necesario entregar el original al perito sino
que alcanza con su copia. La recoleccin de prueba, mediante copia
debidamente certificada puede sustituir perfectamente al original, es
aplicable a los casos en que la informacin est almacenada en
reservorios vitales para la operacin de una determina entidad u
organizacin estatal o privada. Supongamos la necesidad de secuestrar
informacin almacenada en uno de los servidores operativos del Banco
Central, es evidente que el secuestro de dicho servidor, podra sacar de
operacin a la entidad con las consecuencias que dicho hecho implicara,
mientras que su copia, certificacin mediante hash y ante la autoridad
judicial, administrativa o notarial correspondiente, en nada afectara a la
continuidad del servicio y servira perfectamente como elemento
probatorio.
8. Los mecanismos de certificacin digital (hash, firma electrnica, firma
digital) son mucho ms confiables y difciles de falsificar que los mismos
elementos referidos a la firma y certificacin olgrafas. Sin embargo la
susceptibilidad de los operadores del derecho ante el nuevo mundo
virtual hace que tengan sensaciones de inseguridad que no tienen
sustento alguno en la realidad matemtica que brinda soporte a los
mecanismos referidos. Se adopta una actitud sumamente crtica y
negativa frente a la seguridad que los mismos brindan, en parte como
consecuencia de la necesidad implcita de confiar en algoritmos que no
se conocen. Entender, comprender y analizar un algoritmo de cifrado por
clave pblica, es una tarea de expertos y que no est al alcance de una
formacin matemtica bsica como la que posee la mayora de los
operadores del derecho. Por otra parte el individuo inserto en la sociedad
tiende ms a confiar en la medicina (por eso no cuestiona los mtodos
del mdico legista o del psiquiatra forense) que la matemtica con la que
se relaciona mucho menos.4 Es un proceso lento de aceptacin, que
como todo en derecho seguramente llegar a posteriori del desarrollo
social y tecnolgico que nos rodea e impulsa hacia el futuro.

ese desplazamiento es destruido en forma dolosa o culposa, la prueba se pierde. En cambio si la

documental informtica es resguardada en el tribunal (por ejemplo en un CD o DVD) y al perito se le
entrega una copia de la misma, podr realizar su tarea sin inconveniente y si su copia es destruida, en
nada afecta al original resguardado en el Juzgado.
4
Las posibilidades reales de ser engaados al comprar un libro por Internet, son mucho menores que sus
similares ante un vendedor ambulante, sin embargo sentimos cierta aprensin al ingresar el cdigo de
seguridad de nuestra tarjeta de crdito para confirmar la compra, algo que ocurre mucho menos con los
jvenes y los adolescentes, es un problema generacional que supongo se superar con el simple paso del
tiempo.
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez
5

Protocolo para la Cadena de Custodia en la pericia de informtica

forense

La informtica forense como especialidad dentro de la criminalstica debe

incluir los requisitos generales establecidos en la Inspeccin Judicial en
Criminalstica. En esta especialidad los elementos dubitados pueden ser del
tipo fsico o virtual. En el caso de los elementos virtuales la deteccin,
identificacin y recoleccin deber efectuarse en tiempo real, es decir en vivo,
con el equipo encendido. La informacin es un elemento intangible que se
encuentra almacenado en dispositivos que pueden ser voltiles o no. Con el fin
de determinar la validez de la informacin contenida en los mencionados
dispositivos ser necesario efectuar la correspondiente certificacin
matemtica por medio de un digesto o hash. Esta comprobacin es la que
permitir posteriormente determinar la integridad de la prueba recolectada y
su correspondencia con el elemento original.
El objetivo principal es preservar la evidencia, por lo tanto al acceder al
lugar del hecho deber:
- Identificar - Situar Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

- Relacionar
A travs de un accionar metdico, sistemtico y seguro, cuya consigna
ser:
- Rotular - Referenciar - Proteger En sntesis, se deber mantener la seguridad, procurar el resguardo
legal y aplicar una metodologa estricta.
En el lugar del hecho se deber seguir una secuencia de pasos expresadas
en el siguiente procedimiento que ser considerado como la etapa preliminar a
la elaboracin del formulario de la cadena de custodia, el cual debe ser
considerado como informacin confidencial, clasificada y resguardada en un
lugar seguro:

1. Deteccin, Identificacin y registro

En lo posible se deben identificar la totalidad de los elementos informticos
dubitados, computadoras, red de computadoras, netbook, notebook, celular,
ipad, gps, etc.-.- Inventario de Hardware en la Inspeccin y
Reconocimiento Judicial - Formulario Registro de Evidencia
a. Colocarse guantes
b. Fotografiar el lugar del hecho o filmar todos los elementos que se
encuentran en el rea de inspeccin, desde la periferia hacia el
rea dubitada.
c. Fotografiar los elementos informticos, determinando en cul de
ellos efectuar macro fotografa:
i. Pantallas del monitor del equipo dubitado.
ii. Vistas frontal, lateral y posterior, segn corresponda
iii. Nmeros de series de los elementos informticos, etiquetas
de garantas.
iv. Perifricos, (teclados, mouse, monitor, impresoras, agendas
PDA, videocmaras, video grabadora, Pendrive, dispositivos
de almacenamiento en red, Unidades de Zip o Jazz,
celulares, ipod, entre otros)
v. Material impreso en la bandeja de la impresora o circundante
vi. Cableados
vii. Dispositivos de conectividad, almbricos e inalmbricos
viii. Diagramas de la red y topologas
d. Inventariar todos los elementos utilizando una planilla de registro
del hardware, identificando: Tipo, Marca, Nmero de serie,
Registro de garanta, Estado (normal, daado), Observaciones
Particulares. consultar Inventario del hardware de la
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

Inspeccin Judicial y Reconocimiento Judicial Formulario

de Registro de evidencia de la computadora
e. Efectuar un croquis del lugar del hecho, especificando el acceso al
lugar, la ubicacin del o los equipos informticos y de cualquier
otro elemento, mobiliario, racks, cableado, existentes en el rea a
inspeccionar, para luego representarlo con cualquier herramienta
de diseo.
2. Recoleccin de los elementos informticos dubitados Fsicos o
VirtualesEl Perito Informtico Forense deber recolectar la evidencia procediendo
acorde al origen del requerimiento de la pericia informtico forense, a saber:
Procedimiento

1. Por orden judicial, cuyo texto indica:

a. Secuestrar la evidencia para su posterior anlisis en el laboratorio,
el Perito Informtico Forense proceder a:
i. Certificar matemticamente la evidencia
ii. Identificar y registrar la evidencia
iii. Elaborar un acta ante testigos
iv. Iniciar la cadena de custodia
v. Transportar la evidencia al laboratorio
b. Efectuar la copia de la evidencia para su posterior anlisis en el
laboratorio, el Perito Informtico Forense proceder a:
i. Certificar matemticamente la evidencia
ii. Duplicar la evidencia
iii. Identificar y registrar la evidencia y la copia
iv. Elaborar un acta ante testigos
v. Transportar la copia o duplicacin de la evidencia al
laboratorio
2. Por solicitud particular de una persona especfica, de una consultora,
empresa, institucin, organismo o por otros profesionales, el Perito
Informtico Forense proceder a:
a. Concurrir al lugar del hecho con un escribano pblico.
b. Certificar matemticamente la evidencia ante el escribano pblico.
c. Duplicar la evidencia ante escribano pblico.

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

d. Solicitar al escribano que deje constancia en el acta de los motivos

del secuestro, de los datos de la o las personas que solicitaron la
pericia, las razones argumentadas y los fines pretendidos.
e. Solicitar una copia del acta realizada por el escribano.
f. Transportar la copia de la evidencia para su posterior anlisis en el
laboratorio
a. Duplicacin y autenticacin de la prueba
En ciertas situaciones el Perito Informtico Forense no podr trasladar el
equipamiento que contiene la informacin dubitada, por lo tanto deber en el
lugar del hecho efectuar la duplicacin de la informacin contenida en su
repositorio original. Esta tarea se deber realizar de manera tal que la
duplicacin o copia generada preserve la validez de su contenido original.
A continuacin se enuncian los pasos para efectuar la autenticacin y
duplicacin de la prueba, el Perito Informtico Forense llevar en su maletn
los dispositivos de almacenamiento limpios y desinfectados y el dispositivo de
arranque (disco rgido externo, CD ROM, DVD, diskette) o inicio en vivo
protegido contra escritura, que contiene el software de base seleccionado para
la tarea y el software de autenticacin y duplicacin.
Las imgenes de los discos se deben realizar bit a bit para capturar la
totalidad del disco rgido los espacios libres, no asignados y los archivos de
intercambio, archivos eliminados y ocultos. Acorde a lo expresado por el NIST5
(National Institute of Standard and Technlogy), la herramienta utilizada para la
generacin de la imagen debe reunir ciertas especificaciones, a saber:
1. La herramienta deber efectuar una imagen bit a bit de un disco original
o de una particin en un dispositivo fijo o removible
2. La herramienta debe asegurar que no alterar el disco original.
3. La herramienta podr acceder tanto a discos SCSI como IDE.
4. La herramienta deber verificar la integridad de la imagen de disco
generada.
5. La herramienta deber registrar errores tanto de entrada como de salida
e informar si el dispositivo de origen es ms grande que el de destino.
6. Se debe utilizar un bloqueador de escritura, preferiblemente por
hardware, para asegurar la inalterabilidad del elemento de
almacenamiento accedido.

Fecha de consulta 04-11-2011, http://www.nist.gov/index.html

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

La documentacin de la herramienta deber ser consistente para cada uno

de los procedimientos. Esta imagen del disco se utilizar en la computadora del
laboratorio para efectuar el anlisis correspondiente.
1.

Apagar el equipo desconectando el cable

de alimentacin elctrica.

2.
3.

Retirar diskette, PenDirve, Zip.

Descargar la propia electricidad esttica,
tocando alguna parte metlica y abrir el gabinete.

4.

Desconectar la interfaz o manguera de

datos, puede ser IDE o SCSI.

5.

Desconectar la alimentacin elctrica del

dispositivo de disco rgido

6.

Ingresar al CMOS (Complementary Metal

Oxide Semiconductor) o Configuracin del BIOS (Sistema de entrada y
salida de la computadora):
i.
Encender la computadora
ii.
Oprimir el conjunto de teclas que se muestra en el monitor
cuando se inicia la computadora para acceder al CMOS
iii.
Verificar la fecha y hora del CMOS y registrarla en el
formulario de recoleccin de evidencia. y documentar todo tipo de
dato que el Perito Informtico Forense considere relevante.
iv.
Modificar la unidad de inicio o arranque del sistema
operativo, es decir seleccionar la unidad de diskette, CD-ROM / DVD o
zip.
v.
Guardar los cambios al salir

8. Verificar la existencia de discos CD-ROM o DVD:

a. Abrir la lectora o grabadora de CD-ROM o de DVD y quitar el disco
pertinente
9. Colocar la unidad de arranque, diskette, CD-ROM/DVD o zip en el
dispositivo de hardware pertinente
10.

Verificar el inicio desde la unidad seleccionada.

11.

Apagar el equipo

12. Asegurar el dispositivo de almacenamiento secundario original

generalmente est configurado en el CMOS como Master maestro o
primario- con proteccin de solo lectura, a travs de la configuracin de los
jumpers que indique el fabricante del disco o a travs de hardware
bloqueador de lectura.
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

10

13.

Conectar el cable plano al disco rgido, puede ser IDE o SCSI

14. Conectar la alimentacin elctrica del dispositivo de disco rgido master

maestro o primario15. Conectar el dispositivo que se utilice como destino para hacer la
duplicacin del disco rgido dubitado como slave esclavo o secundario-, ya
sea una controladora SCSI, un disco IDE esclavo o una unidad de cinta, o
cualquier otro hardware utilizado para la duplicacin de tamao superior al
disco original o dubitado. Si el almacenamiento secundario original es
demasiado grande o es un arreglo de discos, efectuar la copia en cintas.
16. Verificar que en el dispositivo de arranque seleccionado se encuentren
los controladores del hardware para la duplicacin, en caso de que sean
requeridos.
17. Encender la computadora iniciando desde la unidad de arranque
configurada en el CMOS.
18.

Efectuar la certificacin matemtica del dispositivo dubitado.

19.

Guardar el resultado en un dispositivo de almacenamiento

20.

Registrar el resultado en el formulario verificacin de la evidencia

21. Duplicar el dispositivo de los datos con la herramienta de software y

hardware seleccionada.
22. Efectuar, acorde al requerimiento de la pericia una o dos copias de la
evidencia. En el caso de realizar dos copias, una se deja en el lugar del
hecho, para permitir la continuidad de las actividades, otra copia se utiliza
para el anlisis en el laboratorio del perito informtico forense y el original
se deja en depsito judicial o si la pericia ha sido solicitada por un
particular, registrarlo ante escribano pblico y guardarlo, segn lo indicado
por el solicitante de la pericia y el escribano pblico.
23. Efectuar la certificacin matemtica de la o las copias del dispositivo
dubitado.
24. Guardar el resultado generado por las copias duplicadas en un dispositivo
de almacenamiento.
25. Registrar el resultado generado por las copias duplicadas en el formulario
de recoleccin de la evidencia.
26.

Apagar el equipo

27.

Retirar los tornillos de sujecin del dispositivo de disco rgido

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

11

28.

Retirar el disco rgido con cuidado de no daar el circuito electrnico.

3. Recoleccin y registro de evidencia virtual

a. Equipo encendido
En el caso de que se deba acceder a un equipo encendido, se debe
considerar la obtencin de los datos en tiempo real y de los dispositivos de
almacenamiento voltil. Los dispositivos de almacenamiento voltil de datos
pierden la informacin luego de interrumpirse la alimentacin elctrica, es
decir al apagar la computadora la informacin almacenada se pierde.
Los datos que se encuentran en el almacenamiento voltil muestran la
actividad actual del sistema operativo y de las aplicaciones, como por ejemplo:
procesos en el estado de ejecucin, en el estado de listo o bloqueado,
actividad de la impresora (estado, cola de impresin), conexiones de red
activas, puertos abiertos, (puerto es una estructura a la que los procesos
pueden enviar mensajes o de la que pueden extraer mensajes, para
comunicarse entre s, siempre est asociado a un proceso o aplicacin, por
consiguiente slo puede recibir de un puerto un proceso, recursos
compartidos, estado de los dispositivos como discos rgidos, disqueteras,
cintas, unidades pticas.
Los datos voltiles estn presentes en los registros de la unidad central
de procesamiento del microprocesador, en la memoria cach, en la memoria
RAM o en la memoria virtual.
Procedimiento

Conjunto de tareas a realizar en el

almacenamiento voltil:

acceso a los dispositivos de

1. Ejecutar un intrprete de comandos confiable o verificado

matemticamente.
2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quin o quienes se encuentran con una sesin abierta, ya
sea usuarios locales o remotos.
4. Registrar los tiempos de creacin, modificacin y acceso de todos los
archivos.
5. Verificar y registrar todos los puertos de comunicacin abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

12

10. Verificar la integridad de los datos.

11. Documentar todas las tareas y comandos efectuados durante la
recoleccin.
Posteriormente, en lo posible, se debe realizar una recoleccin ms
detallada de los datos existentes en el almacenamiento voltil, efectuando las
siguientes tareas:
1. Examinar y extraer los registros de eventos
2. Examinar la base de datos o los mdulos del ncleo del sistema
operativo
3. Verificar la legitimidad de los comandos del sistema operativo
4. Examinar y extraer los archivos de claves del sistema operativo
5. Obtener y examinar los archivos de configuracin relevantes del
sistema operativo
6. Obtener y examinar la informacin contenida en la memoria RAM del
sistema
Procedimiento

En la computadora, con el equipo encendido, acceder al recurso acorde al

orden de volatilidad de la informacin, con las herramientas forenses
almacenadas en diskette o cd-rom y de acceso de solo lectura:
1. Ejecutar un intrprete de comandos legtimo
2. Obtener y transferir el listado de comandos utilizados en la computadora,
antes de la recoleccin de datos.
3. Registrar fecha y hora del sistema
4. Recolectar, transferir a la estacin forense o medio de recoleccin forense y
documentar
a.
Fecha y hora del sistema
b.
Memoria Principal
c.
Usuarios conectados al sistema
d.
Registro de modificacin, creacin y tiempos de acceso de todos los
archivos.
e.
Listado de puertos abiertos y de aplicaciones escuchando en dichos
puertos.
f.
Listado de las aplicaciones asociadas con los puertos abiertos
g.
Tabla de procesos activos
h.
Conexiones de red actuales o recientes
i.
Recursos compartidos
j.
Tablas de ruteo
k.
Tabla de ARP
l.
Registros de eventos de seguridad, del sistema, de las aplicaciones,
servicios activos
m. Configuracin de las polticas de auditoria del sistema operativo
n.
Estadsticas del ncleo del sistema operativo
o.
Archivos de usuarios y contraseas del sistema operativo
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

13

p.
q.
r.
s.
t.
u.
v.
4.

Archivos de configuracin relevantes del sistema operativo

Archivos temporales
Enlaces rotos
Archivos de correo electrnico
Archivos de navegacin en Internet
Certificacin matemtica de la integridad de los datos.
Listado de los comandos utilizados en la computadora, durante la
recoleccin de datos.
w.
Recolectar la topologa de la red
Si es factible, apagar el equipo.

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

14

b. Equipo apagado

En el caso que el Perito Informtico Forense efecte la recoleccin de la

evidencia a partir del equipo apagado, deber previamente asegurarse que el
dispositivo de inicio del equipo no se realice a travs del disco rgido o
dispositivo de almacenamiento secundario dubitado.
Deber utilizar dispositivos de arranque en el modo solo lectura, con
herramientas informticas forenses para realizar la deteccin, recoleccin y
registro de indicios probatorios.
Procedimiento
1.

Apagar el equipo desconectando el cable

de alimentacin elctrica

2.
3.

Retirar diskettes, PenDirve, Zip.

Descargar la propia electricidad esttica,
tocando alguna parte metlica y abrir el gabinete
4.
Desconectar la interfaz o manguera de
datos, puede ser IDE o SCSI
5.
Desconectar la alimentacin elctrica del
dispositivo de disco rgido
6.
Ingresar al CMOS (Complementary Metal
Oxide Semiconductor) o Configuracin del BIOS (Sistema de entrada y
salida de la computadora):
a.
Encender la computadora
b.
Oprimir el conjunto de teclas que se muestra en el monitor cuando se
inicia la computadora para acceder al CMOS
c.
Verificar la fecha y hora del CMOS y registrarla en el formulario de
recoleccin de evidencia. y documentar todo tipo de dato que el Perito
Informtico Forense considere relevante y documentarlo con fotografa,
filmadora o en la lista de control.
d.
Modificar la unidad de inicio o arranque del sistema operativo, es
decir seleccionar la unidad de diskette, cd-rom/dvd o zip de solo lectura
con las herramientas informticas forenses.
e.
Guardar los cambios al salir
8.
Colocar la unidad de arranque, diskette, cd-rom/dvd o zip en el
dispositivo de hardware pertinente
9.
Verificar el inicio desde la unidad seleccionada.
10.
Apagar el equipo
11.
Acorde a la decisin del perito informtico forense o a lo
solicitado en la requisitoria pericial, se podr realizar el Procedimiento de
duplicacin y autenticacin de la prueba, explicado anteriormente o
continuar con la lectura del dispositivo original, configurando el mismo con
los jumpers que el fabricante indique como solo lectura o colocando un
dispositivo de hardware de bloqueo de escritura.
12.
Conectar el cable plano al disco rgido, puede ser IDE o SCSI
13.
Conectar la alimentacin elctrica del dispositivo de disco rgido
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

15

14.
Encender la computadora iniciando desde la unidad de arranque
configurada en el CMOS.
15.
Colocar el dispositivo de almacenamiento forense.
16.
Efectuar la certificacin matemtica del dispositivo dubitado.
17.
Guardar el resultado en un dispositivo de almacenamiento
forense.
18.
Registrar el resultado en el formulario de recoleccin de la
evidencia.
19.
Por medio del conjunto de herramientas informtico forense,
obtener la siguiente informacin del disco dubitado, documentarla y
almacenarla en dispositivos de almacenamiento forense, para su posterior
anlisis, ya sea en el lugar del hecho o en el laboratorio:
a)
b)
c)
d)
e)
f)
g)
h)

Tipo de Sistema Operativo

Fecha, hora y zona horaria del Sistema Operativo
Versin del Sistema Operativo
Nmero de particiones
Tipo de particiones
Esquema de la tabla de particiones
Listado de todos los nombre de archivos, fecha y hora
Registro del espacio descuidado o desperdiciado.
i. Incluido el MBR
ii. Incluida la tabla de particiones
iii. Incluida la particin de inicio del sistema y los archivos de comandos
i) Registro del espacio no asignado
j) Registro del espacio de intercambio
k) Recuperacin de archivos eliminados
l) Bsqueda de archivos ocultos con las palabras claves en el:
i. espacio desperdiciado
ii. espacio no asignado
iii. espacio de intercambio
iv. MBR y tabla de particiones
m)Listado de todas las aplicaciones existentes en el sistema
n) Bsqueda de programas ejecutables sospechosos
o) Identificacin de extensiones de archivos sospechosas.
p) Listado de todos los archivos protegidos con claves.
q) Listado del contenido de los archivos de cada usuario en el directorio raz
y si existen, en los subdirectorios
r) Verificacin del comportamiento del sistema operativo:
i. Integridad de los comandos
ii. Integridad de los mdulos
iii. Captura de pantallas
20.
Generar la autenticacin matemtica de los datos a travs del
algoritmo de hash al finalizar la deteccin, recoleccin y registro.
21.
Conservar las copias del software utilizado
22.
Apagar o dejar funcionando el equipo, esto depender de la
requisitoria pericial.

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

16

4. Procedimiento para el resguardo de la prueba y preparacin para su

traslado
Procedimiento
1. Disponer, segn sea el caso, las pruebas obtenidas en una zona despejada,
para su posterior rotulado y registro.
2. Registrar en el formulario de registro de la evidencia cada uno de los
elementos dubitados, acorde a lo especificado en dicho formulario y
agregando cualquier otra informacin que considere pertinente el perito
informtico forense.
3. Proteger:
a.
en
bolsas
antiestticas
los
elementos
informticos
de
almacenamiento secundario, registrando: Fecha y hora del secuestro,
Tipo, Nro de serie del elemento si se puede obtener, Capacidad de
almacenamiento, Apellido, Nombre y DNI del Perito Informtico
Forense, Firma del Perito Informtico Forense. Rtulos de Evidencia
b.
en bolsas manufacturadas con filamentos de cobre y nquel para
prevenir la interferencia de seales inalmbricas celulares, gps, etc.4. Proteger con plstico y/o con bolsas estriles cualquier otro elemento que
considere relevante el Perito Informtico Forense y rotularlos con los datos
pertinentes al elemento, Apellido, Nombre y DNI del Perito Informtico
Forense, Firma del Perito Informtico Forense.
5. Elaborar el acta de secuestro acorde al formulario del Recibo de Efectos
6. Colocar los elementos identificados y registrados en una caja o recipiente
de traslado que asegure la suficiente rigidez, aislamiento trmico,
electromagntico y proteccin para evitar daos accidentales en el traslado
de los elementos probatorios.
7. Trasladar, en lo posible, los elementos secuestrados reunidos en un nico
recipiente, evitando la confusin, separacin o prdida durante su
almacenamiento posterior. Formulario Cadena de Custodia
5. Traslado de la evidencia de informtica forense
El traslado de la evidencia tendr como destino el Laboratorio de
Informtica Forense correspondiente al organismo establecido en la
requisitoria pericial. La permanencia en este laboratorio puede ser temporal,
pero ser necesario mantener la cadena de custodia mientras la prueba sea
analizada por las entidades involucradas. Formulario de responsables de la
cadena de custodia.
Acorde a la evolucin del proceso judicial en donde se encuentra
involucrada la prueba de informtica forense, la prueba podr ser
posteriormente entregada y resguardada en un lugar o destino especfico para
su resguardo y depsito final o definitivo.

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

17

Inventario de Hardware en la Inspeccin y Reconocimiento Judicial

Id

Tipo

Monitor

Teclado

Mouse

Gabinete

Impresora

Unidad de Zip

Unidad de Jazz

PenDrive

Cmara

10

Parlantes

11

Discos Externos

12

Disco Rgido

13

Diskettes

14

CD-ROM

15

DVD

16

Hub

17

Switch

18

Router

19

Computadora
Porttil

20

Modem

21

Placa de red

22

Celular

23

Telfono

24

UPS

25

Ipod

26

Otros no
especificados

Nro de Serie/Marca/Modelo
Capacidad/Velocidad

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

Estado

Observaciones

18

Formulario de Registro de evidencia

Organismo

Formulario de registro de evidencia de la computadora

Caso Nro

Juzgado

IF-Nro

Lugar y fecha

Especificaciones de la computadora
Marca
Modelo
Nro de Serie
Garanta
Placa Madre
Marca/Modelo
Microprocesador
Marca/Modelo/Velocidad
Memoria Ram
Memoria Cache
Almacenamiento Secundario, Fijo y /o Removible
Tipo
Disketera-CD-ROMCantid
Marca/Model
Velocidad/
DVD-Disco Rgidoad
o
Capacidad
IDE-SCSI-USB-ZipJazz-PenDrive

Nro de Serie

Accesorios y Perifricos
Cantid
ad

Tipo
Placa de red,
modem, cmara,
tarjeta de acceso,
impresora, etc

Marca/Model
o

Velocidad/
Capacidad

Nro de Serie

Lugar

Fecha

Observaciones
Perito Informtico Forense
Apellido:
Nombre:
Legajo Nro:
DNI:

Firma
Aclaracin:

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

19

Formulario de Registro de evidencia celulares

Organismo

Formulario de registro de evidencia celulares

Caso Nro

Juzgado

IF-Nro

Lugar y fecha

Especificaciones del celular

Marca
Modelo
Nro de Serie
Garanta
IMEI
Nro telfono
Proveedor de enlace
Otro
Cantid
ad

Tipo
Memoria

Cantid
ad

Tipo

Almacenamiento
Marca/Model
Velocidad/
o
Capacidad

Accesorios y Perifricos
Velocidad/
Marca/Modelo
Capacidad

Nro de Serie

Nro de Serie

Observaciones
Perito Informtico Forense
Apellido:
Nombre:
Legajo Nro:
DNI:

Lugar

Fecha

Firma
Aclaracin:

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

20

Rtulos para las evidencias

Nro
Caso
Fecha
Tipo

Observaciones
Firma

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

21

Formulario Recibo de Efectos *

Fecha

Organismo

Caso Nro

Direccin

Ciudad/Provincia

Telfono

Requiere Consentimiento
SI

Firma del responsable del

consentimiento

Rtulo

NO

Descripcin del elemento

Nmero Unico de
Identificacin
Modelo
P/N
S/N
Firma
Entrega Conforme
Firma
Recibe Conforme

*Adjuntar con el formulario de cadena de custodia

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

22

Formulario para la cadena de custodia

Cadena de Custodia de la Evidencia

Nro Identificacin de Caso:

Nro
Unico de
Identificacin

Ubicacin
Actual

Fecha

Razn de
traslado

Sitio a
donde se
traslada

Observaciones

Firma y Aclaracin
Entregado por:
Recibido por:

Firma y Aclaracin

Lugar de depsito final de la evidencia:

Fecha:

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

23

Formulario de Cadena de Custodia de responsables

Nro de Idenficacin Unica del Caso:
Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Responsable
Entregado por:
Recibido por:
Razn de traslado:

Firma y Aclaracin

Fecha

Hora

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

24

Acta de Inspeccin o secuestro

En la Ciudad Autnoma de Buenos Aires, a los trece das del mes de Junio de 2013,
el funcionario que suscribe, Inspector Nelson Torres, Jefe de la Unidad de Delitos
Informticos de la Polica Metropolitana, en cumplimiento de la Orden de
Allanamiento N 132/13, emitida por el Sr. Juez Nacional de Primera Instancia en lo
Criminal de Instruccin Dr. Pedro Achaval, por ante la Secretara N 2, del Dr. Andrs
Amenabar y en relacin con los autos caratulados Andrea Castaneta, s/Infraccin a
la Ley 11.723, hace constar, que en este acto se constituye en el inmueble sito en la
calle Virrey Loreto 8.612, piso 35, Dpto 305, donde en presencia de los testigos:
Jorge Omar Felman, DNI , TE, Email, ddo. en Campillay 123, Llavallol, Pcia de
Buenos Aires y Carmelo Arevalo, DNI, TE, Email, ddo. en Pedro Luro 451, San
Pedro, Pcia de Buenos Aires y de la titular del inmueble, Andrea Castaneta, DNI , y
procede al secuestro6, a fin de ser trasladado a la Dependencia Policial antes citada,
de un equipo de computacin, compuesto de Un Gabinete de color negro, identificado
con el N de Serie 1234345622-11, cuyo registro fotogrfico se acompaa a la
presente, un monitor marca View Sonic, de 17 pulgadas, color, Serie 1165654, con
su correspondiente teclado marca Microsoft Serie 888898889234 y mouse de tres
botones, de color negro, marca Logitech, sin nmero de serie. Que se procedi a la
apertura del Gabinete precitado y a la desconexin fsica del cable de alimentacin y
del cable de datos del disco rgido marca Seagate, N 234890765432, con capacidad
de 80 Gigabytes, cerrndose nuevamente el gabinete, que fue envuelto en film y
precintado con dos franjas de clausura transversales, acorde con la fotografa que se
anexa, la que fue firmada por la totalidad de los presentes en el acto. Se inicia en el
mismo acto el correspondiente formulario de cadena de custodia, referido con el
nmero UDI-PMCABA 1245/13, el que forma parte integral de la presente,
conjuntamente con los referidos registros fotogrficos. Se deja constancia que la
mencionada Andrea Castaneta, mostr en todo momento una actitud colaborativa
con la comisin policial, facilitando el todo la labor de la misma. Terminado el acto y
leda que fue la presente en alta voz a los participantes del acto, se ratifican del
contenido de la misma, firmando al pi de la presente para constancia de que
CERTIFICO.
6

En referencia a estos actos tenga en cuenta el correcto empleo de los siguientes vocablos:
Expropiar (paras. de propio)
1. Desposeer legalmente (de una cosa) a su propietario por razn de Inters pblico.
2. tr. Quitar una cosa a su propietario por motivos de utilidad pblica y a cambio ofrecerle generalmente una indemnizacin:
le han expropiado una finca para construir una autopista.
Confiscar
1. Atribuir al fisco (los bienes de una persona)
2. tr. Privar a alguien de sus bienes y aplicarlos a la Hacienda Pblica o al Fisco.
3. Apropiarse las autoridades competentes de lo implicado en algn delito: confiscar mercadera de contrabando.
4. Apropiarse de algo (por la fuerza, con o sin violencia).
Secuestrar
1. tr. Detener y retener por la fuerza a una o a varias personas para exigir dinero u otra contraprestacin a cambio de su
liberacin: amenazaron con asesinar a los secuestrados, si no liberaban a sus compaeros encarcelados.
2. Tomar el mando de un vehculo o nave por la fuerza, reteniendo a sus pasajeros o a su tripulacin, con el fin de obtener un
beneficio a cambio de su rescate: secuestrar un avin.
3. Ordenar el juez el embargo o retirada de la circulacin de una cosa: secuestrar la edicin de un peridico.
Decomisar tr. Incautarse el Estado como pena de las mercancas procedentes de comercio ilegal o los instrumentos del delito:
se ha decomisado un kilo de herona
Incautar(se) (no existe el verbo incautar): (de in y cautum, multa) Forma pronominal.
1. Dicho de una autoridad judicial o administrativa. Privar a alguien de sus bienes como consecuencia de la relacin de estos
con un delito, falta o infraccin administrativa. Cuando hay condena firma se sustituye por la pena accesoria de comiso.
2. Apoderarse arbitrariamente de algo.
Fuente: www.rae.es.
Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez
25

Prof(s) Ing(s) Mara Elena Darahuge y Luis Enrique Arellano Gonzlez

26