Vous êtes sur la page 1sur 9
Evidencia digital Ciber crimen 1

Evidencia

digital

Evidencia digital Ciber crimen 1

Cibercrimen

Evidencia digital Ciber crimen 1
Evidencia digital En la presente unidad, podrás conocer el concepto de evidencia digital y los
Evidencia digital En la presente unidad, podrás conocer el concepto de evidencia digital y los

Evidencia digital

En la presente unidad, podrás conocer el concepto de evidencia digital y los diferentes escenarios que se pueden presentar a la hora de su recolección. Por otro lado, también abordaremos la cadena de custodia, que resguarda la legitimidad de la prueba desde el inicio hasta el fin del proceso. En otro costado, se tratarán algunos de los nuevos desafíos en la investigación desde la órbita de la normativa procesal.

Concepto

Si bien encontramos distintas acepciones del fenómeno de la evidencia digital, es importante destacar que, con base en una interpretación general, es:

destacar que, con base en una interpretación general, es: Toda información de valor para una investigación

Toda información de valor para una investigación que se guarda, obtiene o transfiere a través de dispositivos o medios electrónicos.

Estos se adquieren una vez que se ha cumplido con la orden de allanamiento emanada del juez en un determinado lugar y a la vez se asegura su cadena de custodia para que luego sea analizada en el laboratorio. No nos olvidemos de que la evidencia digital es la tradicional evidencia que todos conocemos como física. Por otro lado, encontramos que también se la suele llamar prueba electrónica, ya que cumple la misma función referida antes.

Es importante destacar que la evidencia cumple un rol muy importante dentro de la investigación digital en los ciberdelitos. En sus comienzos solo se tenía en cuenta el análisis sobre discos duros, pero luego, a través de los avances en investigaciones, se comenzó a orientar al análisis de la evidencia volátil (caso de la RAM o caché). En efecto, vemos cómo la evidencia digital va surgiendo en diferentes lugares y contextos que no podemos dejar de lado a la hora de realizar una investigación.

Debemos considerar ciertas cuestiones de la evidencia como importantes:

Es implícita: aunque no la podamos ver, está, como un ADN (ácido desoxirribonucleico).

Trasciende fronteras: ya que es ágil y dinámica, y cambia en todo momento.

Fácilmente, es destruible o modificable.

fronteras : ya que es ágil y dinámica, y cambia en todo momento.  Fácilmente, es
 Tiene un tiempo de vida útil . Diferentes escenarios Dentro de los posibles escenarios

Tiene un tiempo de vida útil.

Diferentes escenarios

Dentro de los posibles escenarios que encontramos dentro de la evidencia digital, podemos decir que hay dos grandes: el físico (ver Figura 1) y el digital (ver Figura 2). Si bien son diferentes, ya que nos proporcionan información distinta, se complementan entre sí, ya que muchas veces son parte clave en una investigación y dependen uno de otro.

parte clave en una investigación y dependen uno de otro. Figura 1: Escenario físico Fuente: captura

Figura 1: Escenario físico

y dependen uno de otro. Figura 1: Escenario físico Fuente: captura de pantalla de FAROSpain, 2015,

Fuente: captura de pantalla de FAROSpain, 2015, https://goo.gl/h9vFse

de pantalla de FAROSpain, 2015, https://goo.gl/h9vFse Figura 2: Escenario digital Fuente: Evidencetalks, 2011,

Figura 2: Escenario digital

2015, https://goo.gl/h9vFse Figura 2: Escenario digital Fuente: Evidencetalks, 2011, https://goo.gl/5VtsPJ En el

Fuente: Evidencetalks, 2011, https://goo.gl/5VtsPJ

En el caso del escenario físico, es toda aquella evidencia que se encuentra en crímenes tradicionales, es decir, que hace hincapié en el lugar del

es toda aquella evidencia que se encuentra en crímenes tradicionales, es decir, que hace hincapié en
hecho, testigos, objetos tangibles, documentos, formas de escritura, dibujos, firmas, tipos de armas involucradas con

hecho, testigos, objetos tangibles, documentos, formas de escritura, dibujos, firmas, tipos de armas involucradas con el hecho, su numeración, registro de portación o tenencia, huellas, rastros, restos de sangre u otras sustancias, ADN y ropas utilizadas.

Ahora bien, si avanzamos junto con la tecnología, ello ha llevado a que la perspectiva sea otra, tomando en cuenta la escena en ambientes digitales, que va más allá del plano físico al cual complementa. En este escenario, encontramos computadoras, programas destinados a ingresar a sistemas de terceros, dispositivos como pendrives, tablet, impresoras, smartphones, servidores, juegos de entrenenimiento (consolas), Internet de las cosas, etcétera.

Como se puede analizar, estamos frente a un sinnúmero de elementos que se suman a lo tradicional, con lo cual el investigador debe encontrarse con mayor atención que antes con base en los elementos que se vayan a secuestrar para su posterior análisis.

Con base en la diferenciación en hechos relacionados a ciberdelitos, actualmente encontramos dispositivos de almacenamiento que a veces son inimaginables. Siguiendo con esta idea, pero desde el plano físico, observamos que en un delito común también podemos encontrar, a su vez evidencia digital, ya que toda persona utiliza hoy en día un smartphone, dispositivos para conectarse y almacenar su información.

En otro costado, es significativo que hagamos una diferenciación del tipo de evidencia de acuerdo con el caso concreto, ya que no es lo mismo en un caso de homicidio que uno de acceso indebido. Así, tenemos en cuenta tres tipologías:

Las computadoras como blanco de un crimen: aquí encontramos casos

de pornografía infantil, espionaje corporativo, ciberterrorismo, phishing, acceso indebido o fraudes en Internet, entre otros. 2) Las computadoras como instrumento de un crimen: aquí podemos ver casos de explotación de niños, falsificación, fraude de tarjetas de crédito, ciberterrorismo, ingeniería social, propiedad intelectual y

1)

3)

homicidios. Las computadoras como depósito de pruebas: fraude y malversación de fondos, imágenes de pornografía infantil, grooming, narcotráfico, e-mail o chats.

Cadena de custodia

de fondos, imágenes de pornografía infantil, grooming , narcotráfico, e-mail o chats. Cadena de custodia 4
El presente contenido es trascendental dentro de la evidencia digital, ya que será el que

El presente contenido es trascendental dentro de la evidencia digital, ya que será el que permita que durante todo el proceso desde la identificación, la recolección y el análisis hasta el transportela evidencia se mantenga inalterable, para lo cual quedará un registro documentado de cada una de las etapas. De esta forma, podrá ser presentado ante el tribunal competente y se podrá demostrar que, de una u otra manera, dicha evidencia no fue manipulada desde el momento de su recolección. Para ello, se deben cumplir ciertas guías o protocolos que permitan al investigador poder hacerse del material que luego será usado como elemento de la acusación ante el tribunal.

Como primera medida, debemos remarcar la importancia de ciertos pasos dentro de la cadena de custodia:

Identificación del material que vamos a secuestrar: eso nos va a permitir tener presente un listado de los elementos que hemos detectado como evidencia frente a un ciberdelito, que luego se verá reflejado en el análisis de cada uno y en la presentación final. Por otra parte, este proceso se acompaña del uso de fotografías que han sido extraídas al momento del hecho y que dan solidez sobre el momento en que se secuestró cada material.

Recolección: es el momento en que comienza el verdadero sentido de la cadena de custodia, ya que se deben seguir ciertas guías que nos ayudan a conocer con precisión la manera en que debemos recolectar cada material relevante para la investigación. Por ejemplo, se debe tener en cuenta si nos encontramos frente a sistemas vivos (encendidos) o muertos (apagados); o si trabajaremos con computadoras de escritorio, laptops, smartphones, impresoras u otros, ya que cada dispositivo tiene su forma. De cada caso concreto dependerá de si se hace una copia bit a bit, imagen, backup, copia u otra metodología de adquisición forense. Existen casos en los cuales se ordena, debido a que amerita la investigación, utilizar el método de triage. Cabe mencionar que en todos estos procedimientos se utilizan herramientas forenses que evitan que la prueba sea inalterable. Es importante mencionar que, en cada caso de recolección, debemos documentar cada paso realizado con el objeto de que posteriormente pueda ser verificable si es necesario.

Empaquetado: en este proceso se comienza por individualizar cada elemento secuestrado con un envoltorio que dependerá del elemento que haya que guardar y del tipo de preservación, a fin de que luego pueda ser identificable quién fue el o los responsables encargados de tal proceso, si es necesario, en el depósito o laboratorio. Aquí es primordial cumplir con ciertos cuidados; por ejemplo: cubrir con cinta las entradas de fuentes de alimentación. Debemos tener en cuenta los datos que

cuidados; por ejemplo: cubrir con cinta las entradas de fuentes de alimentación. Debemos tener en cuenta
debe llevar cada elemento (número, fecha, ítem, descripción, lugar, nombre del agente y testigo). 

debe llevar cada elemento (número, fecha, ítem, descripción, lugar, nombre del agente y testigo).

Transporte: en esta etapa, debemos considerar el transporte en vehículos acondicionados para tal fin, ya que el material debe estar en un lugar seguro, seco y en zonas frías. El hecho de una zona fría es clave, ya que el calor elevado puede alterar o dañar el material. Una cuestión no menor es consignar el lugar donde el material va a permanecer custodiado, ya que es importante para la conservación de la cadena.

Análisis en laboratorio: al momento de realizar el análisis del material en el laboratorio, debemos tomar ciertos recaudos, como estar facultados para poder hacerlo o respetar los procesos de custodia que presenta cada material, desde el inicio hasta el final del proceso. Esto es debido a que en numerosos casos se han presentado planteos de nulidad debido a que se ha considerado que se ha manipulado la prueba, y en la mayoría de los casos es porque no se han respetado los procesos de custodia documentando cada acto (ver Figura 3).

Figura 3: Laboratorio forense

cada acto (ver Figura 3). Figura 3: Laboratorio forense Fuente FBI, 2009, https://goo.gl/B3DcLp  Presentación:

Fuente FBI, 2009, https://goo.gl/B3DcLp

Presentación: en el último paso, se deja plasmado todo el trabajo realizado desde su comienzo, cumpliendo con cada uno de los pasos y respetando la cadena de custodia. De esta manera, no genera ningún tipo de duda más allá de los planteos que se puedan presentarde que la prueba haya sido manipulada en algún momento del proceso y que lleve a generar una injusta resolución del tribunal, por la inobservancia ocasionada durante el trámite de esta.

y que lleve a generar una injusta resolución del tribunal, por la inobservancia ocasionada durante el
Nuevos desafíos en la investigación En la experiencia del trabajo en investigación en ciberdelitos, se

Nuevos desafíos en la investigación

En la experiencia del trabajo en investigación en ciberdelitos, se plantean numerosas situaciones que llevan a generar muchos interrogantes, algunos de los cuales, hasta el día de hoy, no han podido ser esclarecidos. Uno de ellos es el caso de los paraísos de evidencia digital (Salt, 2012). Autores como Marcos Salt (2012) plantean que son lugares que dificultan la prosecución del delito debido a que se sirven de las facilidades que le brinda la tecnología y de la pobre regulación existente en esos países en materia de ciberdelitos, lo cual lleva a la inaccesibilidad de la información, sin ningún tipo de excepción.

Otra de las situaciones que se observan es la de los allanamientos a distancia o registro remoto sobre equipos informáticos, en donde se plantean interrogantes en cuanto a la recolección de la evidencia, ya que no se tiene competencia en materia de jurisdicción si ingresamos a información alojada en servidores extranjeros. Es por ello que hoy en día, a nivel mundial, se requiere de mayor cooperación entre los Estados, a fin de lograr que no se pierda la prueba, debido a su volatilidad; eso sin siquiera considerar si esta se encuentra en la nube y cómo obtenemos los datos alojados en la cuenta del ciberdelincuente. Este caso puntual hasta el día de hoy se encuentra sin dar respuesta, debido a que un tribunal de los Estados Unidos exigió a un imputado a que desencripte su disco rígido,

debido a que existiría importante prueba relacionada a pornografía infantil.

El

tema aquí tiene que ver con las garantías constitucionales que protegen

a

las personas que se podrían estar violando, independientemente de que

el

juez interprete lo contrario (Kravets, 2017). Por otra parte, se plantea el

uso de dispositivos de geolocalización y seguimiento hoy en día no contemplado en los ordenamientos, que en algunos casos de ciberdelitos, como con el grooming, pueden permitir ubicar al agresor sexual en caso de que este se encuentre con alguna víctima menor de edad.

Desafíos procesales

Como hemos venido estudiando a lo largo de este primer módulo, cuando hemos hablado de los ciberdelitos y de que la norma va por detrás de las nuevas conductas delictivas podemos ver cómo se plasma al hablar de los nuevos desafíos en materia procesal, vinculada netamente a la evidencia digital. Hoy los ordenamientos en general hacen mención de la libertad probatoria, siempre y cuando no afecte la moral, las buenas costumbres ni vulnere ningún derecho constitucional. El tema se suscita en la práctica, cuando el funcionario o magistrado debe actuar con base en la libertad probatoria, pero esta no le da el amparo que sí existe, por ejemplo, en otros ordenamientos procesales, tales como en España con la Ley de

no le da el amparo que sí existe, por ejemplo, en otros ordenamientos procesales, tales como
Enjuiciamiento Criminal 1 , que contempla figuras que permiten al investigador y juzgador poder valerse

Enjuiciamiento Criminal 1 , que contempla figuras que permiten al investigador y juzgador poder valerse en el proceso sin tener que afectar ningún derecho constitucional. Otro de los ordenamientos que traen novedades al respecto, dentro de la República Argentina, es el Código Procesal Penal de Neuquén 2 , en donde se ha incorporado cierto articulado referido al procedimiento para secuestro, comunicaciones e información digital.

Como podemos ver, son diferentes ordenamientos que se manejan sobre la vieja interpretación de la libertad probatoria, pero que, dada la experiencia de casos y jurisprudencia, es importante dejar plasmado cada uno con su respectiva normativa, con la finalidad de que el funcionario o magistrado vea las alternativas que pueden avalar ciertas cuestiones que hacen al proceso y a garantizar estar a derecho en cuanto a las medidas que sean tomadas para el esclarecimiento del caso concreto.

1 (Legislación Nacional Española, 2015) Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal. España. Url: https://goo.gl/15o3sZ

2 Ley N.º 2784. (2011). Código Procesal Penal de la Provincia de Neuquén. Legislatura de la Provincia de Neuquén. Recuperado de https://goo.gl/itFwM4

Procesal Penal de la Provincia de Neuquén. Legislatura de la Provincia de Neuquén. Recuperado de https://goo.gl/itFwM4
Bibliografía de referencias Evidencetalks. (2011). SPEKTOR for Law Enforcement [captura de pantalla de
Bibliografía de referencias Evidencetalks. (2011). SPEKTOR for Law Enforcement [captura de pantalla de

Bibliografía de referencias

Evidencetalks. (2011). SPEKTOR for Law Enforcement [captura de pantalla

de

https://www.youtube.com/watch?v=_rPz8VY9lA4&t=6s

de

video

de

YouTube].

Recuperado

FAROSpain. (2015). Escáner 3D portátil FARO Freestyle3D, documentación 3D de escena del crimen [captura de pantalla de video de YouTube]. Recuperado de https://www.youtube.com/watch?v=U6jYwWqC3kY

FBI. (2009). Some of the electronic media awaiting examination at the

Silicon

https://archives.fbi.gov/archives/news/stories/2009/august/rcfls_081809

Recuperado de

Valley

(California)

RCFL.

Kravets, D. (2017). Man in jail 2 years for refusing to decrypt drives. Will he ever get out? Recuperado de https://arstechnica.com/tech-

policy/2017/08/man-in-jail-2-years-for-refusing-to-decrypt-drives-will-he-

ever-get-out/?amp=1%20).

Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal. (1882). Ley de Enjuiciamiento Criminal [con modificaciones hasta el año 2015]. Ministerio de Gracia y Justicia español. Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

Ley N.º 2784. (2011). Código Procesal Penal de la Provincia de Neuquén.

Legislatura de

http://www.abognqn.org/publicaciones/codigo-procesal-penal-de-la-

provincia-del-neuquen.html

Neuquén. Recuperado de

la

Provincia

de

Salt, M. (2012). Nuevos Desafíos de la Evidencia digital. El Acceso transfonterizo de datos en los países de América Latina. Recuperado de

http://docplayer.es/691269-Nuevos-desafios-de-la-evidencia-digital-el-

acceso-trasfronterizo-de-datos-en-los-marcos-salt-2.html

acceso-trasfronterizo-de-datos-en-los-marcos-salt-2.html 9