Share

Cecilia Lara1, Liliana Figueroa1, Graciela Viaña1, Alfredo Corvalán2


1 Instituto de Investigación en Informática y Sistemas de Información, Facultad de Ciencias Exactas y Tecnologías, Universidad Nacional de Santiago del Estero
clara@unse.edu.ar; lmvfigueroa@yahoo.com.ar; gv857@hotmail.com

2 Oficina de Informática Forense del Gabinete de Ciencias Forenses del Ministerio Público Fiscal de Santiago del Estero
acorvalan@jussantiago.gov.ar

Resumen. Resulta relevante destacar los desafíos que genera el avance tecnológico para incorporar la utilización de la evidencia digital al sistema procesal penal, como prueba fundamental en la investigación de cualquier delito. Para ello, es necesaria una regulación adecuada de la misma, que permita una utilización eficiente de estas en el proceso penal. Si bien, en algunas provincias de nuestro país existen guías de buenas prácticas plasmadas en protocolos de actuación que orientan la obtención de evidencias digitales, en la provincia de Santiago del Estero no se cuenta con normativa al respecto. Es por eso que este trabajo propone un conjunto de lineamientos a los que se puede recurrir al momento de la obtención de las evidencias digitales, específicamente en dispositivos móviles. Estos lineamientos están diseñados permitiendo la integridad de la evidencia, con una metodología aceptable para contribuir a su admisibilidad en procesos legales y en concordancia con las normas ISO/IEC 27037:2012.

Palabras claves: evidencia digital, dispositivos móviles, proceso penal, lineamientos para la obtención de evidencia digital. Normas ISO/IEC 27037:2012.

1 Introducción

Actualmente las personas requieren cada vez más mejorar las comunicaciones, lo cual ha motivado el desarrollo de la telefonía incorporando conceptos inalámbricos y de movilidad.

De esta manera los dispositivos móviles celulares no son solamente utilizados para enviar o recibir mensajes o llamadas, sino que en la mayoría de los casos están proporcionando otros servicios o funcionalidades, como lograr la conexión a Internet, acceso remoto a portales y, en algunos casos, proveer las mismas funcionalidades que brinda una computadora de escritorio.

Además, esta tecnología de comunicación se ha convertido en elemento importante de evidencias en situaciones delictivas. En este contexto, los celulares pasan a considerarse en una fuente valiosa de pruebas durante el proceso penal.

Este artículo tiene como propósito plantear un conjunto de lineamientos organizados en fases, procurando optimizar la labor de los operadores jurídicos durante la obtención válida de la evidencia digital móvil, para evitar el empleo de prácticas que a la postre resulten cuestionadas en el proceso judicial. Por tal razón, se plantea la necesidad de organizar y generar lineamientos de prácticas plasmadas en protocolos, sobre todo a partir de la aparición del nuevo Sistema Acusatorio que requiere de mayores exigencias durante el trabajo en la investigación penal.

A partir del año 2012 la norma de alcance global referente para el análisis forense es ISO/IEC 27037:2012 [1], la misma proporciona pautas para el manejo de la evidencia digital; sistematizando la identificación, recolección, adquisición y preservación de la misma. Estos procesos deben diseñarse para mantener la integridad de la evidencia y con una metodología aceptable para contribuir a su admisibilidad en procesos legales. Según esta norma la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital.

En concordancia con lo planteado, los lineamientos que se proponen están definidos bajo el enfoque de esta norma, siguiendo con los tres principios fundamentales que le da formalidad a la investigación digital.

Para abordar esta propuesta ha sido importante examinar las prácticas de actuación de otras provincias más adelantadas en el tema y la jurisprudencia vinculada, para abordar los criterios jurídicos a tener en consideración al tiempo de concretar y plasmar la propuesta.

La presente propuesta surge en el marco del proyecto de investigación “Métodos y herramientas para el análisis forense de dispositivos móviles”, que se desarrolla en el Instituto de Investigaciones en Informática y Sistemas de Información de la Universidad Nacional de Santiago del Estero. Se ha conformado un equipo de trabajo integrado por profesionales del derecho e informáticos que pertenecen al proyecto de investigación mencionado, al Ministerio Publico Fiscal y al Poder Judicial de Santiago del Estero, los cuales vienen trabajando de manera conjunta para brindar un apoyo a la labor de la oficina de Informática Forense del Gabinete de Ciencias Forenses del Ministerio Público Fiscal durante el proceso de obtención de evidencias digitales móviles.

El presente artículo está organizado de la siguiente manera: en la sección 2 se analizan las normas ISO 27307, en la sección 3 se definen los lineamientos para la obtención de evidencia digital en móviles, con un análisis desde los principios relevancia, confiabilidad y suficiencia propuestos en las normas ISO 27307 y, por último, en la sección 4, se plantean conclusiones.

2 Norma ISO 27037

Según la norma ISO/IEC 27037 [1], en la mayoría de las jurisdicciones y organizaciones, la evidencia digital se rige por tres principios fundamentales: relevancia, confiabilidad y suficiencia. Estos tres principios no solo se aplican en la admisibilidad legal de la evidencia digital, sino que son importantes en toda investigación.

La relevancia es una condición técnicamente jurídica, a través del cual debería ser posible demostrar que el material adquirido es relevante para la investigación, es decir, que contiene información de valor para ayudar a la investigación del hecho y que hay una buena razón para que se haya adquirido. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra propiedad fundamental en la cual se establece que todos los procesos utilizados en el manejo de la potencial evidencia digital deben ser auditables y repetibles. Los resultados de la aplicación de tales procesos deben ser reproducibles. La evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

La suficiencia es la propiedad que está relacionada con la completitud de las pruebas informáticas, se debe haber reunido suficiente material para permitir una adecuada investigación, es decir que se tienen los elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. [2]

Teniendo en cuenta los principios es necesario realizar prácticas que permitan validar los mismos, que si bien se describen en [8], no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse. En este contexto, en [3] se detallan algunas preguntas que pueden ser útiles para efectos de validar los tres principios enunciados, las cuales se toman como referencia para analizar las fases propuestas en el apartado siguiente de este artículo.

3 Lineamientos para la obtención de evidencia digital en dispositivos móviles

Según [4], la investigación del delito es una tarea compleja que se aborda de modo multi e interdisciplinario, llevada a cabo bajo la dirección de un Agente del Ministerio Publico Fiscal como titular de la acción pública (sistema procesal penal acusatorio).

La presunta comisión de un delito puede llegar a conocimiento de la justicia por distintas vías, ya sea durante el patrullaje que realice la policía administrativa, advirtiendo un hecho susceptible de su intervención, o esta institución ser alertada por la activación de dispositivos automáticos de alarma. También puede ocurrir que un ciudadano (víctima o testigo) comunique vía telefónica o se presente ante una dependencia policial para realizar una denuncia, o la denuncia sea presentada directamente ante las oficinas del Ministerio Publico Fiscal.

Conocido el hecho por las autoridades, se propone una serie de fases que describen los lineamientos del trabajo sugeridos durante la identificación, recolección, adquisición y preservación de la potencial evidencia digital obtenida de dispositivos móviles, teniendo en cuenta los principios propuestos en la norma ISO 27037[1] y las buenas practicas que se deben cumplir para que la evidencia digital sea admisible.

Estos lineamientos pretenden ofrecer suficiente respaldo jurídico para la labor de los peritos informáticos y auxiliares de la justicia en la investigación penal, además de servir como una herramienta para la planificación y control de dicho proceso en la investigación penal preparatoria.

Figura 1: Conjunto de fases del lineamiento propuesto

Los lineamientos propuestos [8] han sido refinados y se organizan en fases, que intentan abarcar el proceso completo de tratamiento de la evidencia digital, poniendo especial énfasis en las actividades y técnicas relacionadas con dispositivos móviles. En la figura 1 se muestra esquemáticamente el conjunto de fases en las que se organiza la propuesta.

A continuación, se describen las fases del proceso sugerido [5] [6] [7] [9]. [11]:

FASE 1- Planificación de la intervención en el lugar del hecho

Recepcionado el requerimiento judicial por parte del Fiscal a cargo de la causa, es necesario realizar una planificación sobre la intervención primaria en el lugar del hecho, en relación a las necesidades concernientes a las características del hecho delictivo. Para ello, se determinará fecha y hora, personal técnico necesario y los recursos tecnológicos requeridos. En esta fase es importante definir si alguna tarea de recolección de evidencia digital se llevará a cabo en el lugar del hecho (riesgo de vida, integridad de la persona, fuga) o si se procederá en el laboratorio.

Es necesario identificar con mayor precisión los objetos de interés, por lo tanto, se recomienda generar un plan de acción que tenga en cuenta las distintas situaciones delictivas y decidir en función del caso.

Siguiendo lo que se propone en [4], las tareas planificadas deben seguir uno de los principios fundamentales que corresponde al campo de las estrategias de la Investigación Criminal, el cual se denomina “Principio de Completitud”, que enuncia “Mayor información es igual a Mejor investigación”; contribuyendo de esta manera al logro del principio de Suficiencia definido en la Norma ISO 27037.

En resumen, las actividades que se proponen seguir son:

  • Definir objetos de interés y posibles fuentes de información digital a recolectar en la intervención primaria del hecho.
  • Elaborar un plan de acción que se seguirá durante la intervención en el lugar del hecho.

Con el fin de dar cumplimiento a los principios establecidos en la Norma ISO 27037, en esta fase se recomienda que al preparar el plan de acción se considere:

  • Dispositivos móviles que vinculen al sujeto con la escena del crimen y la víctima.
  • Priorizar dispositivos móviles que den apoyo a las situaciones que se deben probar.
  • Adoptar las medidas necesarias para evitar potenciales pérdidas de información almacenada en los dispositivos móviles.
  • Definir procedimientos sobre los dispositivos móviles que sean respetados como prácticas aceptadas para realizar una investigación de manera sistemática e imparcial.

FASE 2-.Interveción en el lugar del hecho

La entrada de esta fase es el plan de acción elaborado anteriormente, y genera como resultado un conjunto de elementos secuestrados con la documentación que respalda las actuaciones realizadas durante la intervención primaria del hecho. Para un trabajo eficiente, se recomienda considerar las siguientes actividades:

2.1 Asegurar la escena del crimen.

2.2 Identificar los objetos de interés que se encuentran en la escena del crimen.

2.3 Documentar los elementos secuestrados.

2.1 Asegurar la escena del crimen.

Esta actividad tiene como objetivo asegurar la restricción del acceso para que ninguna persona u objeto pueda alterar la escena a investigar. Los responsables de esta tarea deben garantizar actuaciones seguras, evitando procesos que podrían alterar la evidencia digital. [9] Se aconsejan tomar en cuenta las siguientes buenas prácticas durante la intervención en el lugar del hecho:

• Identificar la escena y establecer un perímetro de seguridad.

• Restringir el acceso de personas y equipos informatizados en el perímetro trazado.

• Impedir el uso de dispositivos con tecnología inalámbrica.

• Preservar las huellas mediante la utilización de guantes látex.

2.2 Identificar los objetos de interés que se encuentran en la escena del crimen.

Al identificar los objetos de interés (dispositivos móviles), se debe tener en cuenta los siguientes estados en el que se puede encontrar los teléfonos celulares [1]:

  • Encendido: se requiere mantener la batería cargada y sin manipular, evitando tocar la pantalla táctil. Además, realizar los procedimientos adecuados para aislar al celular de la red (cubriéndolo con varias capas de papel aluminio, colocarlo en una Jaula Faraday, encender un inhibidor de señal en cercanía del teléfono celular o configurar el dispositivo en Modo de Avión). Luego, apagarlo.
  • Apagado: mantener de ese modo para ser trabajado en el laboratorio con las herramientas específicas, y de esta manera evitar la sobreescritura.

Con el dispositivo apagado, extraer la batería (en el caso de que sea posible), tarjeta SIM y memoria externa en caso de exista. Todos estos elementos junto con sus accesorios se deben embalar como una unidad, en el mismo sobre, que tendrá que ser de papel. En el caso de que el dispositivo telefónico cuente con dos ranuras para SIM se deberá indicar en cuál de las mismas se encontraba la tarjeta SIM.

Se recomienda considerar la solicitud de los métodos de seguridad de acceso (PIN, contraseña, patrón de bloqueo, huella dactilar, entre otros) que utilizan los dispositivos secuestrados para ser documento en la cadena de custodia.

2.3 Documentar los elementos secuestrados.

Cada elemento recolectado debe ser correctamente embalado y rotulado con los datos que identifiquen al mismo, de modo de asegurar la inviolabilidad de los cierres. Los objetos secuestrados serán señalados con el sello de la Fiscalía y con la firma del Fiscal de Instrucción y de los testigos que dan fe del acto. [10]

Junto con la recolección se labrará un acta, que se denomina “cadena de custodia, que es el registro minucioso del movimiento de la evidencia y las personas responsables que tomaron contacto con ella. En [4] se presenta un modelo de cadena de custodia, que debe ser iniciada por el funcionario que recolecte el dispositivo que almacena la evidencia digital, en presencia de dos testigos hábiles. Se debe confeccionar la cadena de custodia para cada elemento secuestrado. Los datos deben ser llenados con letra clara, sin tachaduras ni enmiendas y, en caso de equivocaciones se deben realizar las salvedades con las firmas pertinentes.

Los datos requeridos en la cadena de custodia son los siguientes:

• Descripción de cada elemento secuestrado, detallando marca, modelo, IMEI, SIM y alguna característica que lo distinga (color, si tiene algún daño físico, etc.).

• Lugar de recolección y el número o letra con que se identifica a la evidencia durante el procedimiento en el lugar del hecho.

• Los eslabones, que se corresponde con cada persona que tome contacto con la evidencia. Se debe hacer constar nombre completo del interviniente, dependencia a la cual pertenece, fecha y hora de recepción e integridad del embalaje (Ej. “sobre cerrado, rotulado y firmado en sus cierres”).

• Firmas, a través de la cual se manifiesta la voluntad de una persona, dando fe de las actuaciones.

En la Figura 2, puede observar el modelo de cadena de custodia que se propone.

Figura 2. Modelo de Cadena de Custodia

Una vez que la evidencia digital se recolecte debe recorrer un camino, ya sea al laboratorio de Informática Forense o preservada en los depósitos hasta que llegue el momento procesal oportuno para ser ofrecida como prueba.

Para esta fase se recomienda:

  • Inspeccionar el lugar para detectar todos los objetos de interés para la investigación.
  • Realizar el levantamiento de los objetos identificados utilizando los medios adecuados al tipo de evidencia, esto es: colocarse guantes, elementos de protección para evitar contaminación, fotografiar dispositivos.

Si fuera necesario solicitar al Gabinete de Criminalística para que registre la existencia de huellas digitales o cualquier otro elemento biológico acorde sus procedimientos.

  • Rotular cada elemento, disponiendo para ello de una zona despejada.
  • Confeccionar el acta de secuestro, consignando número de tarjeta SIM e IMEI (identidad internacional de equipo móvil, por su sigla en inglés), estado general del dispositivo y demás accesorios identificados (cables, tarjetas de memoria, cargador, etc.).
  • Almacenar adecuadamente el equipamiento recolectado.
  • Iniciar la cadena de custodia.

Teniendo en cuenta el principio de confiabilidad de la Norma ISO 27037, el Fiscal debe asegurar que la evidencia digital es la misma que fue recolectada, o que fue analizada y se ofrece el resultado obtenido. Es decir, que el órgano acusador debe garantizar que la evidencia digital no fue alterada, reemplazada, contaminada o dañada. El modo que tiene el Ministerio Publico Fiscal de garantizar la autenticidad y confiabilidad de su ofrecimiento probatorio, es mediante el empleo correcto de la cadena de custodia.

Visto de este modo, la cadena de custodia es un procedimiento específico que se plasma físicamente en un formulario destinado a garantizar la autenticidad e integridad de la evidencia digital, que inicia en esta fase de recolección y la acompaña registrando a cada persona que la manipula durante su recorrido hasta si disposición final.

FASE 3-.Recepción del Oficio sobre solicitud de pericia

A partir de esta fase, es responsabilidad del Gabinete de Ciencias Forenses recibir para la adquisición de la evidencia los objetos de interés secuestros y, asegurar la conservación y preservación de los mismos. Por lo tanto, se deben tener en cuenta los siguientes aspectos:

  • Disponer de un área de recepción – mesa de entrada del Gabinete de Ciencias Forenses- que se encuentre separada del área de laboratorio donde llevan a cabo la tarea técnica los peritos; logrando de esta manera evitar el acceso no autorizado al laboratorio.
  • Llevar un registro de los elementos ingresados al Gabinete.
  • Disponer de un área designada para ubicar los elementos recibidos que posteriormente serán asignados al perito responsable
  • Verificar que los datos consignados en el rótulo del sobre (en el que se encuentra el objeto recibido) se corresponda con lo especificado en la cadena de custodia correspondiente.
  • Chequear el estado del sobre (roto, abierto, etc.) y consignar en el espacio de “observaciones” del eslabón correspondiente en la cadena de custodia.
  • Completar un nuevo eslabón de la cadena de custodia con los datos del responsable del área de recepción consignando firma, datos personales, dependencia, fecha, hora y las observaciones que se consideren oportunas.
  • Registrar los datos generados en esta etapa, por ejemplo, identificación del número de ingreso (asignados por el responsable de la mesa de entrada del Gabinete de Ciencias Forense), fecha de la pericia, perito designado, prioridad asignada a la causa, entre otros.

La etapa de recepción de oficio incluye los siguientes procedimientos:

3.1 Ingresar oficio.

3.2 Asignar prioridad a la causa.

3.3 Designar Perito a la causa.

3.1 Ingresar oficio.

El trabajo se inicia con la recepción de un oficio judicial en la mesa de entrada del Gabinete de Informática Forense, donde se revisa el oficio y se determina si lo solicitado es factible según el alcance de la ciencia forense digital, es decir, la evidencia es electrónica y no de otra manera – como el ADN o las huellas dactilares.

En esta actividad se debe controlar que la información proporcionada en el oficio incluya: número de legajo que identifique la causa, identificación de las partes (imputados, denunciante, victima), el delito en cuestión, identificación de los elementos secuestrados que son remitidos, puntos de interés, una breve reseña de la causa y la firma de la autoridad competente.

3.2 Asignar prioridad a la causa.

A partir del oficio, el responsable de la mesa de entrada del Gabinete de Ciencias Forense evalúa la prioridad de la causa para determinar la urgencia de la pericia y organizar las actividades involucradas en la pericia.

3.3 Designar Perito a la causa.

El responsable del Gabinete de Ciencias Forenses:

  • Asigna al perito y acuerda fecha de inicio de la pericia teniendo en cuenta:
  1. Los métodos y herramientas pertinentes que se utilizaran en la etapa de Adquisición para el atender el pedido.
  2. La disponibilidad del personal para llevar a cabo las actividades de pericia.
  • Comunica al Fiscal de la causa “perito asignado, lugar, fecha y hora del inicio de la pericia” para su notificación a las partes, con al menos 3 días de anticipación según lo establece el Art. 273 en [10].
  • Reserva el uso de los equipos forenses necesarios según los elementos remitos para la pericia (por ejemplo, módulo de extracción de datos UFED).

Considerando como referencia el principio de confiabilidad de la Norma ISO 27037, en esta fase la cadena de custodia está debidamente garantizada si se han completado y registrado correctamente los datos solicitados en los procedimientos descriptos anteriormente.

Al disponer de un área de recepción aislada del laboratorio aporta a que se avale el principio de suficiencia de la Norma ISO 27037 porque se evitaría potenciales perdidas de los objetos secuestrados.

FASE 4-.Elaboración del plan de trabajo pericial

Esta fase se inicia cuando el responsable de la mesa de entrada del Gabinete de Ciencias Forense entrega los elementos secuestrados al perito designado; registrando este movimiento en nuevo eslabón de la cadena de custodia según los datos requeridos.

A partir de esto, el responsable de elementos es el perito, por lo cual deberá disponer de un área segura y aislada destinada para almacenar los mismos.

El perito designado en esta fase elabora un plan de trabajo pericial a partir de lo especificado en el requerimiento judicial recibido.

Las actividades asociadas a esta fase son:

  • Recabar información sobre el objeto de la investigación, para comprender los objetivos que se pretende alcanzar con la labor pericial en el marco de la investigación penal preparatoria.
  • Informarse sobre los tiempos procesales a fin de establecer una prioridad para el caso.
  • Sugerir la solicitud de determinadas pruebas o informes como, por ejemplo: reportes a empresas telefónicas, de proveedores de servicios de internet, método de seguridad de acceso (contraseña, pin o patrón de bloqueo).
  • Establecer las herramientas técnicas y el equipamiento necesario para realizar la Adquisición y el Análisis de la evidencia digital.

Al definir un plan de trabajo pericial es una herramienta que favorece al principio de confiabilidad de la Norma ISO 27037 al permitir que se puedan obtener los mismos resultados siguiendo el proceso planificado..

En definitiva, el plan de trabajo pericial es un instrumento adecuado para organizar el proceso de Adquisición de la evidencia digital, afectando recursos disponibles y, asegurando que todos los elementos secuestrados sean tratados siguiendo el principio de la suficiencia.

FASE 5-.Adquisición

Esta etapa está a cargo del perito designado y tiene como propósito obtener la copia forense del dispositivo móvil considerando la tarjeta SIM, la memoria externa y el dispositivo propiamente dicho, según sea el caso.

Esta etapa incluye las siguientes tareas:

5.1 Apertura del sobre

5.2 Completar el plan de trabajo pericial

5.3 Realizar la copia forense

5.1 Apertura del sobre

Se realiza la apertura de sobres, controlando el contenido del mismo con la cadena de custodia correspondiente. Se elabora un acta de apertura donde se detallan las personas presentes, la cantidad de sobres y el contenido de cada uno, consignando si hubiese discordancia con lo especificado en la cadena de custodia. Se especifica para cada dispositivo móvil marca, modelo, número de serie, IMEI, color. Si posee tarjeta SIM, su número y compañía a la que pertenece. Si tuviese memoria externa, marca y capacidad de almacenamiento.

Se realizan toma fotográfica de cada sobre con lo contenido en él, esto permitirá registrar el estado de los elementos e identificarlos con eficacia en el futuro. Las tomas fotográficas deberán realizarse desde una visión global, así como una vista en primer plano. Registrar si la pantalla está activa y si solicita algún método de validación de ingreso (patrón, PIN, contraseña, etc.).

5.2 Completar el plan de trabajo pericial

Es necesario completar el plan de trabajo pericial considerando la estrategia a utilizar para la obtención de la evidencia digital, teniendo en cuenta el modelo del teléfono, si cuenta con SIM y tarjeta de memoria externa, los puntos de pericia y la tecnología forense con la que se cuenta.

5.3 Realizar la copia forense

Para cada elemento del que se requiere realizar la extracción de datos es necesario evaluar las opciones disponibles para cada caso. La extracción se puede clasificar en cinco niveles, de acuerdo al nivel que se elija se consume mayor o menor recursos. El nivel más técnico consume más recursos, como se puede observar en la Figura 3:

Más técnica,

tiempo,

costo e

intrusión.

Figura 3. Método de extracción de datos de dispositivos móviles

Las actividades sugeridas en esta tarea son:

  • Corroborar que el dispositivo se encuentra aislado de toda red. Se puede emplear el clonado de la tarjeta SIM o colocarlo en Modo Avión y desactivar el WiFi, Bluetooth y otras conexiones de red para evitar el intento de conexión de terceros.
  • Verificar el hash de la imagen forense para autenticar y preservar la integridad de los datos.
  • Comprobar que los datos obtenidos tengan el formato apropiado, fechas y horas consistentes y que se pudo extraer toda la información.

Teniendo como referencia los principios de confiabilidad y suficiencia de la Norma ISO 27037, las tareas propuestas en esta fase tienen como propósito que la adquisición de la evidencia digital sea del modo menos intrusivo posible, tratando de preservar la originalidad de los datos contenidos en los elementos secuestrados, evitando potenciales perdidas de información y empleando las herramientas disponibles y adecuadas para cada uno de los dispositivos.

Resulta de vital importancia la repetibilidad y auditabilidad del proceso, a través de la documentación de las diferentes operaciones realizadas sobre el dispositivo como, por ejemplo: toma fotográfica, revisión del acta de apertura y cadena de custodia; asegurar maniobras adecuadas relacionadas al aislamiento del dispositivo de toda red y del método de acceso al mismo.

FASE 6-. Análisis de la evidencia digital

A partir de la copia forense, se seleccionan y analizan los elementos relevantes según los puntos de pericia, considerándolos como potencial evidencia digital.

Se recomienda llevar a cabo las siguientes actividades:

  • Extraer la información de las imágenes forenses, seleccionando la potencial evidencia digital (archivos eliminados, comprimidos, protegidos o encriptados, metadatos, información de configuración, etc.)
  • Analizar el contenido de los datos extraídos.
  • Analizar las relaciones entre los distintos elementos extraídos.
  • Proponer hipótesis y sugerir otras diligencias o pericias que se consideren útiles para la causa.

Se recomienda realizar el análisis con una mirada integral, considerando el conjunto de dispositivos vinculados al caso, desde la perspectiva de los puntos de pericia.

Es importante que la obtención de la evidencia digital responda al principio de relevancia de la Norma ISO 27037, es decir que sirva como prueba de alguna hipótesis de la investigación o que valide algún indicio que permita esclarecer el hecho que se investiga. Además es apropiado llevar a cabo un análisis de todos los elementos vinculados con el hecho y asegurar que no se eliminó o sobrescribió evidencia digital para garantizar el principio de suficiencia de la Norma ISO 27037.

FASE 7-.Preparación del informe o dictamen pericial

En esta fase se documenta lo realizado durante todas las fases del proceso, fundamentando todas las acciones, los métodos, técnicas y herramientas utilizadas. A partir del resultado de las fases previas, se elabora el documento respondiendo a los puntos de pericia, haciendo referencia a la evidencia digital detallada, de acuerdo a lo establecido en el artículo 276 de [10].

Es recomendable que el lenguaje utilizado sea formal no necesariamente técnico, y que permita informar el resultado de la investigación de forma clara y concisa, ya que el lector no tiene porqué conocer la parte técnica.

Durante el desarrollo de esta fase, se deberá:

  • Documentar lo realizado durante todo el proceso, fundamentando todas las acciones realizadas, los métodos, técnicas y herramientas utilizadas.

El cumplimiento de las actividades eficiente y eficazmente durante las fases anteriores contribuyen a la validación de los tres principios de la Norma ISO 27037: relevancia, confiabilidad y suficiencia, los cuales se verán reflejados en el informe final.

FASE 8-. Remisión de los elementos peritados y entrega del dictamen

Finalizada la pericia, el documento del dictamen o el informe y los elementos probatorios se remiten al solicitante, resguardando el material para garantizar su integridad y autenticidad hasta el final del proceso.

Las actividades propuestas para esta fase son:

  • Elaborar un acta de remisión, detallando los elementos que se entregarán y la persona que queda al resguardo de los mismos.
  • Generar un nuevo eslabón en la cadena de custodia con los datos de la persona a la cual se le entregan los dispositivos peritados.
  • Remitir los elementos secuestrados conjuntamente con el dictamen al organismo solicitante.
  • Definir el resguardo de las copias forenses y los documentos generados en cada fase, según las políticas establecidas por la autoridad competente (en función de los recursos de almacenamiento disponibles, relevancia del caso y otros criterios internos).

En esta última fase se debe garantizar el cumplimiento del principio de confiabilidad de la Norma ISO 27037 documentando los elementos remitidos y las personas a las cuales se les entrega los mismos.

Un aspecto clave es el resguardo de las copias forenses, el tiempo y lugar deben ser definidos por la autoridad competente en función de la legislación y teniendo en cuenta la capacidad de almacenamiento con la que se cuenta.

4 Conclusiones

Al finalizar el trabajo se destaca:

  • La necesidad de organizar y generar lineamientos de prácticas plasmadas en protocolos en la provincia de Santiago del Estero, a partir de la aparición del nuevo Sistema Acusatorio que requiere de mayores exigencias durante el trabajo en la investigación penal.
  • Los lineamientos a los que se puede recurrir al momento de obtener las evidencias digitales, específicamente en dispositivos móviles, deben seguir los tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia establecidos por la Norma ISO 27037.
  • Sin embargo, sería conveniente definir formalmente herramientas para evaluar los principios de forma sistemática, ya que se puede observar que la dificultad para validar el cumplimiento del mencionado estándar radica en que el documento de la norma sólo los describe, pero no especifica líneas de acción para llevarlos a cabo, de las que se puedan derivar los mecanismos de validación asociados [3].

Referencias

[1] ISO/IEC 27037:2012(en) Information technology— Security techniques— Guidelines for identification, collection, acquisition and preservation of digital evidence. Disponible en https://www.iso.org/obp/ui/#iso:std:iso-iec:27037:ed-1:v1:en

[2] Reflexiones sobre la norma ISO/IEC 27037:2012 para la identificación, recolección y preservación de evidencia digital. Disponible en: http://www.informaticalegal.com.ar/2013/09/15/reflexiones-sobre-la-norma-isoiec-270372012-directrices-para-la-identificacion-recoleccion-adquisicion-y-preservacion-de-la-evidencia-digital/

[3] Cano, J.: IT-Insecurity. (2013) Disponible en http://insecurityit.blogspot.com.ar/2013/09/reflexiones-sobre-la-norma-isoiec.html

[4] Corvalán, A: “La intervención en el lugar de los hechos y la escena del crimen. Principios básicos para una investigación”. Santiago del Estero, Argentina. (2017). Disponible en: https://drive.google.com/file/d/1wb8QcmXk4tCCSu5Ep18hZsE1hbM3E9Jf/view?usp=sharing

[5] Unidad Fiscal Especializada en Ciberdelicuencia: Guía de obtención, preservación y tratamiento de evidencia digital. (2016). Disponible en http://www.fiscales.gob.ar/procuracion-general/wp-content/uploads/sites/9/2016/04/PGN-0756-2016-001.pdf

[6] Poder Judicial de Neuquén: Pericias informáticas sobre telefonía celular. (2013). Disponible en http://200.70.33.130/images2/Biblioteca/ProtocoloPericiasTelefoniaCelular.pdf

[7] Info-Lab: Guía integral de empleo de la informática forense en el proceso penal. (2015) Disponible en http://info-lab.org.ar/images/pdf/14.pdf

[8 13] Viaña, G., Lara, C., Lesca, N., Figueroa, L.: “Importancia de la evidencia digital móvil en el Sistema Procesal Penal”. 8vo Congreso Iberoamericano de Investigadores y Docentes de Derecho e Informática (CIIDDI). (2018).

[9] Alvarez Murillo, M. “Análisis Forense de dispositivos móviles iOS y Android”. Trabajo final de grado de la Universidad Abierta de Cataluña. (2016).

[10] Ley provincial 6.941. Código Procesal Penal de la Provincia de Santiago del Estero (2009).

[11] INTERPOL Complejo Mundial para la Innovación de 2019. Directrices Mundial de INTERPOL para los laboratorios forenses digitales. (2019).

Share