Grupo 1 Cadena de Custodia de Evidencia Digital
91
POLICÍA NACIONAL DEL PERÚ ECAEPOL–PNP IRDAOC -DA TRABAJO APLICATIVO DE INVESTIGACIÓN TEMA : “EVALUACIÓN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS INFORMÁTICOS EFECTUADOS EN LA DIVINDAT PNP” ASESOR : Dr. MALCA CORONADO Héctor JEFE DE EQUIPO: CMDTE. PNP YUI BOTERI Luis Enrique INTEGRANTES : CMDTE PNP POMA GUERRA Jesús Arsedio CMDTE PNP HUAYPAR VASQUEZ Jorge MAYOR PNP SUAREZ CONTRERAS Ricardo CAP PNP DIAZ SALOMON Omar ALFZ PNP MELENDEZ SIFUENTES Fernando LIMA –2010
-
Upload
luis-cabrera -
Category
Documents
-
view
1.396 -
download
2
Transcript of Grupo 1 Cadena de Custodia de Evidencia Digital
POLICÍA NACIONAL DEL PERÚ
ECAEPOL–PNP IRDAOC -DA
TRABAJO APLICATIVO DE INVESTIGACIÓN
TEMA : “EVALUACIÓN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS INFORMÁTICOS EFECTUADOS EN LA DIVINDAT PNP”
ASESOR : Dr. MALCA CORONADO Héctor JEFE DE EQUIPO: CMDTE. PNP YUI BOTERI Luis Enrique INTEGRANTES : CMDTE PNP POMA GUERRA Jesús Arsedio CMDTE PNP HUAYPAR VASQUEZ Jorge MAYOR PNP SUAREZ CONTRERAS Ricardo CAP PNP DIAZ SALOMON Omar ALFZ PNP MELENDEZ SIFUENTES Fernando
LIMA –2010
2
TÍTULO DEL TRABAJO DE INVESTIGACIÓN
“EVALUACIÓN DEL SISTEMA DE CADENA DE CUSTODIA DE LA
EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS
INFORMÁTICOS EFECTUADOS EN LA DIVINDAT PNP”
3
AGRADECIMIENTO
Dejamos constancia de nuestro agradecimiento a la Plana Orgánica y
Académica de la Escuela de Capacitación y Especialización Policial –
ECAEPOL PNP, así como a los Directivos del Instituto Internacional de
Investigación y Desarrollo Contra el Crimen Organizado –IRDAOC, por su
invalorable apoyo, asesoramiento técnico y fortalecimiento académico de los
miembros integrantes de la Policía Nacional en aspectos relacionados a la
lucha contra las diversas modalidades del crimen organizado para enfrentarlos
eficientemente, en virtud a lo cual ha sido posible realizar de manera
satisfactoria el presente Trabajo de Investigación.
4
DEDICATORIA
El presente trabajo de investigación está
dedicado a los Oficiales y Suboficiales de la
Policía Nacional del Perú, que tienen a su cargo
la fundamental y delicada responsabilidad de la
función operativa de la institución, cuya labor es
valiosa y de gran utilidad en el marco de la
misión institucional.
5
ÍNDICE
TITULO
AGRADECIMIENTO
DEDICATORIA
INDICE
PRESENTACIÓN
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
A. Caracterización del problema 10
B. Formulación del problema 13
1. Problema principal
2. Problemas secundarios.
C. Delimitación de los objetivos 14
1. Objetivo General
2. Objetivos Específicos
D. Justificación del Estudio 15
1. Justificación
2. Importancia
E. Limitaciones 15
CAPITULO II
MARCO TEORICO
A. Antecedentes 17
B. Bases Teóricas 17
C. Base Legal 65
D. Definición de Términos 67
6
CAPITULO III
A. Sistematización de la Información 72
B. Análisis de la Información 75
C. Análisis de Resultados 77
CAPÍTULO IV
CONCLUSIONES 84
RECOMENDACIONES 85
BIBLIOGRAFÍA 86
ANEXOS 87
7
PRESENTACIÓN
Casi a diario somos testigos de un nuevo invento o producto tecnológico que
supera largamente al anterior y, en muchos casos deja obsoleto a uno que ni
siquiera llegó a tener mayor presencia en el mercado.
Esta vertiginosa carrera tecnológica ha generado en la práctica no sólo
beneficios para la sociedad, también ha permitido que personas inescrupulosas
y organizaciones criminales encuentren un nicho delictivo sacando provecho de
la rapidez con que estas nuevas tecnologías surgen para sacar ventaja de sus
vulnerabilidades. En ese sentido, son comunes las noticias de páginas web que
son víctimas de hackers, hurtos telemáticos a clientes del sistema financiero,
suplantación de identidades, entre otros delitos.
En el ámbito internacional se considera que no existe una definición propia del
delito informático, sin embargo, muchos han sido los esfuerzos de expertos que
se han ocupado del tema, aún cuando no existe una definición con carácter
universal, se han formado algunos conceptos funcionales atendiendo a
realidades nacionales concretas.
En nuestro país, los delitos contra el patrimonio y contra la fe pública (hurto,
estafa, falsificación, etc.) tal y como se encontraban originalmente tipificados,
daban lugar a una serie de lagunas de atipicidad que permitían nuevas formas
de crímenes que operaran bajo un cierto manto de impunidad. Ante ello, el
legislativo, poco a poco fue incluyendo nuevas formas o modalidades delictivas
y sus correspondientes sanciones al Código Penal, surgiendo de este modo los
llamados “Delitos informáticos”.
Las personas que cometen delitos informáticos, son aquellas que poseen
ciertas características que no presentan el denominador común de los
delincuentes, esto es, los sujetos activos poseen habilidades para el manejo de
8
los sistemas informáticos, generalmente por su situación laboral se encuentran
en lugares estratégicos, donde se maneja información de carácter sensible; o
bien son hábiles en el uso de los sistemas informatizados, aún cuando en
muchos de los casos, no desarrollen actividades laborales que faciliten la
comisión de este tipo de delitos. Para referirse a los sujetos pasivos, se debe
hacer una clara diferencia con las víctimas del delito, pues, este último es el
ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto
activo, en el caso de los delitos informáticos, las víctimas pueden ser
individuos, instituciones crediticias, gobiernos u otros, quienes usan sistemas
automatizados de información, generalmente conectados a otros. El sujeto
pasivo del delito es sumamente importante en la investigación de los delitos
informáticos, ya que mediante el podemos conocer los diferentes ilícitos
cometidos por los delincuentes informáticos, con la finalidad de prever las
acciones pertinentes y, descubrir a tiempo el delito y, no de forma casual,
debido al desconocimiento del modus operando de los sujetos activos.
Asimismo, las evidencias digitales son cada día más recurrentes en los
procesos judiciales. Son las pruebas que sustentan los delitos informáticos y
afines, son correos electrónicos, grabaciones generadas y conservadas en
formato digital, fotografías digitales, mensajes de texto de celulares, llamadas
reportadas en la base de datos de los operadores de telefonía móvil, entre
otras; lo que pone en la mira el deficiente conocimiento que sobre la gestión de
éste tipo de evidencias se debe asentar.
Los procedimientos policiales complejos conllevan en muchos casos al
contacto con elementos tecnológicos. Existen numerosas razones que pueden
llevar a cometer errores en la identificación y preservación de potencial
evidencia digital, así como también en el aseguramiento de la cadena de
custodia, tales como la falta de formación técnica, la ausencia de
procedimientos formales, y la dificultad para obtener documentación en
lenguaje nativo ya que la mayor parte del personal policial y muchos
9
profesionales del derecho no cuentan con un nivel de lectura adecuado en
idioma inglés.
Siempre que se trate con personal no técnico, es conveniente realizar -como
parte de la planificación general del procedimiento policial, una breve
explicación de los recaudos a tomar durante la obtención y el secuestro de
equipamiento informático. Si bien puede suceder que existan integrantes del
equipo de investigación que ya tengan alguna experiencia previa con este tipo
de material, no todos ellos suelen contar con documentación y/o formación
adecuada.
En ese contexto, el presente trabajo de investigación pretende contribuir a que
el personal operativo de la PNP durante las tareas de intervención por delitos
informáticos que realiza minimice cualquier error que pueda hacer fracasar la
identificación y secuestro de elementos probatorios (evidencia digital), sobre
todo cuando se realizan procedimientos simultáneos con numerosa cantidad de
personal y que tenga en cuenta que la base de cualquier caso que involucre
evidencia digital es el manejo apropiado de dicha evidencia. De esta forma, la
práctica de identificar, almacenar y acceder a la evidencia debe ser una rutina
al punto de la perfección mediante la correcta aplicación del sistema de cadena
de custodia, que va a permitir una eficiente investigación policial.
10
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
A. CARACTERIZACIÓN DEL PROBLEMA
El espectacular desarrollo de la tecnología informática ha abierto las puertas
a nuevas posibilidades de delincuencia antes impensables. La manipulación
fraudulenta de los ordenadores con ánimo de lucro, la destrucción de
programas o datos y el acceso y la utilización indebida de la información
que puede afectar la esfera de la privacidad, son algunos de los
procedimientos relacionados con el procesamiento electrónico de datos
mediante los cuales es posible obtener grandes beneficios económicos o
causar importantes daños materiales o morales. En este sentido, la
informática puede ser el objeto del ataque o el medio para cometer otros
delitos. La informática reúne unas características que la convierten en un
medio idóneo para la comisión de muy distintas modalidades delictivas, en
especial de carácter patrimonial (estafas, hurtos agravados, etc.). La
idoneidad proviene, básicamente, de la gran cantidad de datos que se
acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente
fácil manipulación de esos datos.
Derecho Penal, se ha visto en la necesidad de crear nuevas figuras para
poder cubrir los vacíos que se generaban con la normatividad del derecho
penal clásico; toda vez que, en los delitos contra el patrimonio y contra la fe
pública (hurto, estafa, falsificación, etc.) tal y como se encontraban
originalmente tipificados, daban lugar a una serie de lagunas de atipicidad
que permitían nuevas formas de crímenes que operaran bajo un cierto
manto de impunidad. Ante ello, el legislativo, poco a poco fue incluyendo
nuevas formas o modalidades delictivas y sus correspondientes sanciones
al Código Penal, surgiendo de este modo los llamados “Delitos
informáticos”.
11
Por su parte, la Policía Nacional del Perú, creó la División de Investigación
de Delitos de Alta Tecnología –DIVINDAT, unidad especializada en la
investigación de estas nuevas modalidades delictivas.
Sólo durante el año 2008, la DIVINDAT resolvió 177 casos, que
involucraban más de 5 millones de nuevos soles y 395 mil 356 dólares.
Durante dichas investigaciones, fueron detenidas cerca de 50 personas y se
desarticularon 17 bandas u organizaciones delictivas, lo que da una clara
idea de la creciente actividad delictiva en este sector.
Según indagaciones realizadas por la División de Investigación de Delitos
de Alta Tecnología de la PNP, en nuestro país los delitos informáticos se
han ido incrementando en los últimos años e incluso las bandas
organizadas han optado por operar en el interior del país para correr menos
riesgos y multiplicar sus ganancias. Según la información de la cual se
dispone actualmente, el tráfico de pornografía infantil y el desvalijamiento de
cuentas de débito y crédito ajenas son los casos que se dan con mayor
frecuencia. Estas acciones no solo se presentan en la ciudad de Lima, se
han detectado casos en Iquitos, Chiclayo y Chimbote.
Año tras año, las actividades ilícitas por parte de cibercriminales han ido en
aumento y cada vez más se han ido perfeccionando en sus técnicas para
engañar a los usuarios de tecnología. En este sentido, resulta necesario
que el funcionario policial tenga conocimientos especializados para
investigar y resolver este tipo de delitos, así como de procedimientos
especiales para la aprehensión, análisis y preservación de la evidencia
digital que se concretará mediante la aplicación eficiente del sistema de
cadena de custodia de la evidencia.
Los métodos o procedimientos de recolección y procesamiento de la
evidencia digital en la investigación de los delitos informáticos juega un
papel importante, toda vez que los elementos materiales del delito y la
12
evidencia física y/o lógica radica en que estas pueden probar la comisión
del delito, relacionar al sospechoso con la víctima o con la escena del
crimen, establecer las personas asociadas con el delito, corroborar el
testimonio de una víctima, definir el modo de operación del agresor y
relacionar casos entre si o exonerar a un inocente. Además, es más
confiable y objetiva que la prueba testimonial.
Dentro de la legislación nacional, el Reglamento de la Cadena de Custodia
de elementos materiales, evidencias y administración de bienes incautados
señala que este mecanismo descansa sobre los principios de: control en
todas las etapas desde la recolección o incorporación de los elementos
materiales, evidencias y bienes incautados hasta su destino final, así como
del actuar de los responsables de la custodia de los mismos; la
preservación , de estos elementos a fin de garantizar su inalterabilidad; la
seguridad de éstos con el empleo de técnicas y medios adecuados de
custodia; la mínima intervención de funcionarios o personas responsables
en cada uno de los procedimientos y la descripción detallada de las
características de los elementos materiales y evidencias así como también
del medio en que se hallaron, de las técnicas utilizadas y de las pericias.
La cadena de custodia, es un procedimiento determinado por la
normatividad jurídica, que tiene el propósito de garantizar la integridad,
conservación e inalterabilidad de elementos materiales de prueba de un
delito (documentos, muestras orgánicas e inorgánicas, armas de fuego,
proyectiles, etc.), y que los operadores de justicia (Policía, Ministerio Público
y Poder Judicial) están obligados a cumplir bajo responsabilidad. En ese
contexto, la División de Investigación de Delitos de Alta Tecnología –
DIVINDAT –DIRINCRI PNP, en la investigación de los delitos informáticos y
afines que por el cumplimiento de su misión y funciones realiza, con el
objeto de obtener, analizar y preservar la integridad de la evidencia digital,
cuenta con procedimientos idóneos que permiten una garantía de la prueba,
teniendo en consideración que el objetivo central de la Cadena de Custodia
13
no es proteger la calidad ni la cantidad de la evidencia sino la identidad de
la misma.
B. FORMULACIÓN DEL PROBLEMA
1. Problema principal
¿De qué manera el sistema de cadena de custodia de la evidencia
digital influye en el proceso de investigación de delitos informáticos
efectuados en la DIVINDAT –DIRINCRI PNP?.
1. Problemas secundarios
a. Los procedimientos implementados en la DIVINDAT –DIRINCRI
PNP no garantizan la obtención y custodia de la evidencia digital
en la investigación de delitos informáticos.
b. El nivel de capacitación del personal PNP de la DIVINDAT –PNP
no contribuye sustancialmente en las investigaciones por delitos
informáticos.
c. El manejo incorrecto de la cadena de custodia de la evidencia
digital no contribuye a garantizar la autenticidad de la misma.
C. DELIMITACIÓN DE OBJETIVOS
1. OBJETIVO GENERAL
Determinar si el sistema de cadena de custodia influye en el proceso de
investigación de delitos informáticos efectuados en la DIVINDAT –
DIRINCRI PNP.
2. OBJETIVOS ESPECÍFICOS
a. Determinar si los procedimientos implementados en la DIVINDAT –
DIRINCRI PNP garantizan la obtención y custodia de la evidencia
digital en la investigación de delitos informáticos.
14
b. Establecer la relación entre el nivel de capacitación del personal de
la DIVINDAT –DIRINCRI PNP en la obtención, preservación y
custodia de la evidencia digital con la investigación de delitos
informáticos.
c. Determinar el nivel de contribución de la cadena de custodia de la
evidencia digital en la investigación de los delitos informáticos
D. JUSTIFICACIÓN DEL ESTUDIO
1. JUSTIFICACION
El presente trabajo de investigación permitirá realizar un análisis y
evaluación del Sistema de cadena de custodia de la evidencia digital
implementado en la DIVINDAT –DIRINCRI PNP y su influencia en la
investigación de delitos informáticos
Debido a la sofisticación de los instrumentos y métodos empleados en
la comisión de los delitos informáticos, existe la necesidad imperiosa de
proponer e implementar medidas y procedimientos eficaces, que
permitan una investigación científica y el aporte de pruebas confiables.
2. IMPORTANCIA
La elaboración del presente estudio es relevante dentro del contexto de
la investigación criminal y sus procedimientos aplicados para el
esclarecimiento de los delitos informáticos mediante el manejo eficiente
de las evidencias, pues busca concretar la importancia que merece
garantizar la integridad, conservación e inalterabilidad de elementos
materiales de prueba de un delito, de la evidencia digital dentro de la
cadena de custodia que realiza la DIVINDAT –DIRINCRI PNP, a fin de
evitar su contaminación, alteración, deterioro y otros que acarrean
responsabilidad.
15
Asimismo, va a servir para establecer un criterio en la realización de
investigaciones preliminares a cargo del personal policial de la Unidad
Especializad en investigación de delitos informáticos, desde la
obtención de la evidencia digital y el valor probatorio que ésta tiene,
aplicando medidas y utilizando procedimientos operativos eficaces en
base a las normas legales y administrativas existentes que
generalmente no se han hecho uso por la falta de su operativización.
De igual forma el presente trabajo va a servir para sentar el precedente
necesario a fin de que lo tomen como punto de partida para la
elaboración de trabajos de investigación sobre los delitos informáticos,
dada su complejidad y el daño que puede ocasionar, es pues provisorio
que se va a seguir investigando sobre el particular a fin de hallar cada
vez mejores medidas y procedimientos que hagan efectiva la
investigación sobre este injusto penal, sobre todo por investigadores de
las Unidades Especializadas a cargo de la pesquisa de este delito,
capacitando al personal y brindándole un mayor horizonte cultural y por
ende una mejor capacidad de respuesta, fortaleciendo de este modo el
profesionalismo que debe caracterizar a los integrantes de nuestra
Institución.
E. LIMITACIONES
Durante el desarrollo de la presente investigación se han experimentado
limitaciones, en razón a los siguientes aspectos:
1. Ha existido Limitantes del factor tiempo, teniendo en consideración la
naturaleza y complejidad de tema a tratar, más aún si solo se ha
contado con pocas semanas para su elaboración, toda vez que en las
Instituciones educativas para la realización de un trabajo de
investigación en el peor de los casos cuentan con seis meses para su
16
elaboración y recopilación de información; sumado a esto que dicho
tiempo limitado es compartido con el desempeñado laboral que tienen
los integrantes del Grupo en las Unidades donde prestan servicios, que
muchas veces ocupa todo el período disponible sin que haya espacio
restante para emplearlo en la elaboración del trabajo aplicativo.
2. Por último, la principal limitante para realizar ésta investigación es la
débil infraestructura legal (Directivas, Manuales) que posee la Policía
Nacional, en especial la DIVINDAT PNP, encargada de la identificación
e investigación de delitos informáticos, respecto del tratamiento de la
evidencia digital a través del Sistema de Cadena de Custodia; no
obstante de ello, se poseen los criterios suficientes sobre la base de la
experiencia profesional del personal policial para el adecuado análisis e
interpretación de éste tipo de evidencia en la investigación de delitos
informáticos.
17
CAPÍTULO II
MARCO TEÓRICO A. ANTECEDENTES
MUÑOZ COBEÑAS, Froilán Raúl y otros, (2009), Policía Nacional del
Perú –ECAEPOL, I Curso de Capacitación en Procedimientos de
Investigación en Delitos de Alta Tecnología, tipo de investigación básica;
elaboró la monografía: “Conservación de la evidencia digital dentro de la
cadena de custodia y su influencia en la investigación de delitos de Alta
Tecnología”, arribó a las siguientes conclusiones: 1. El desconocimiento
por parte del personal PNP de los procedimientos y técnicas que se
deben emplear en la cadena de custodia, para el recojo, manejo y
conservación de evidencias digitales pueden provocar que estas se
contaminen, lo que implica la pérdida del valor probatorio de la evidencia
digital, ante un proceso judicial. 2. No se cuenta con equipos
informáticos de última generación, así como de las herramientas
(software) para que los operadores puedan realizar el análisis de las
evidencias de manera más sofistificada y confiable en menor tiempo. 3.
Se observan algunas deficiencias en relación al empleo de las técnicas y
procedimientos de recojo, manejo y conservación de las evidencias
digitales, pudiendo esto ocasionar probables falencias de parte de
nuestro personal PNP en la aplicación de la cadena de custodia.
B. BASES TEÓRICAS
1. TEORÍA DEL DELITO
Dorado Montero, dice: “que el concepto de delito es relativo, como lo
es el orden jurídico en que indefectiblemente reposa, sin que sea
posible lograr una definición en sí que lo sea para todo el mundo y
18
abarque todos los hechos que merezcan la calificación de delictuosos
por su propia naturaleza”. Se hace referencia a infracciones, claro es
que en lo definitivo es menester siempre una toma de posición e
incluso una determinada perspectiva.
En el Derecho Penal son aprovechadas las concepciones de la
Teoría jurídica del delito, pero en este campo estas teorías tan
básicas en el común, ofrecen en la nueva dimensión ciertos matices
que es forzoso considerar muchas veces con un espíritu totalmente
nuevo, por responder a presupuestos extraños, genuinamente
internacionalistas. La dificultad máxima existente en la edificación de
una teoría del delito, es la de no contar con la siempre inexcusable
referencia a un orden positivo dado que ofrezca características de un
todo con estructura armónica.
Los retazos de normativismo, consuetudinario, contractual o
legislativo existentes, presentan demasiada poca consistencia para
tan ambiciosa labor, ardua ya en lo interno para serlo muchísimo más
aún en lo internacional. No es de extrañar, en consecuencia, la
constante apelación a conceptos extrajurídicos, ni ello debe
interpretarse como una deserción de principios penales comunes,
que por gratos que sean, resultan inoperantes en el estado actual de
su fase internacionalista.
Una consecuencia inmediata de lo dicho es el gran papel que aun
desempeña en el Derecho Penal la visión material del delito como
lesión o riesgo de bienes jurídicos, no estructurados formalmente,
pero consagrados en el complejo natural-cultural de la comunidad.
Esta prevalencia de lo material sobre lo formal, presenta en lo penal
graves discrepancias con las doctrinas del estricto clasicismo
aferrados a la noción formalista de la tipicidad, en que solo es delito
el acto previo. Cobra en cambio alta significación en la materia la
19
visión de “delito natural” de Garófalo, como la precursora de la
antijuridicidad de normas de Jiménez de Asúa, etc.
Es imposible la trascripción al Derecho Penal, la simplista versión del
delito “como infracción de la ley del Estado”. Esta definición es
únicamente valedera para los delitos contra el orden internacional,
previstos y sancionados en los sistemas positivos nacionales.
Encuadrado en normas eventuales o legales, primarias o
secundarias, lo cierto es que el delito precisa morfológicamente un
campo de normatividad en que vivir; En lo Internacional la diversidad
parece inexcusable, siendo además de triple dimensión, por cuanto
que entran en juego no ya solamente lo cultural y lo positivo legal,
sino la de orden nacional e internacional, a veces acordes pero
posiblemente en discrepancias.
Comparando las definiciones dogmáticas-formalistas y material de
delito propuesta por Jiménez de Asúa como “acto imputable a un
hombre que por suponer injusto y culpable describen típicamente las
leyes y sancionan con una pena” y como “Conducta considerada
como contraria a una norma de cultura reconocida por el Estado y
lesiva de los bienes jurídicamente protegidos, procedente de un
hombre que manifiesta con su agresión peligrosidad social”, es claro
concluir que la segunda de las definiciones es la que resulta más
aplicable a lo internacional. En lo particular a tal definición le
sustituiría el término de Estado por el de comunidad y el de hombre
por el de persona. Sin embargo, aún haciendo tales cambios no esta
exenta de imprecisiones conceptuales y a pesar de la extensa
literatura que existe en torno al tema y a los fines de precisar tal
punto por efectos de esta investigación, seguiré a tal efecto dicha
definición con los cambios ya mencionados.
20
2. LA INVESTIGACIÓN DEL DELITO
La investigación del delito no se realiza simplemente efectuando
las diligencias de instructivas, preventivas, confrontaciones,
testimoniales, sino que además de diligenciar hay que seguir una
serie de pasos metodológicos que le permitan aplicar una
investigación científica del delito, los métodos de la investigación
del delito son los siguientes:
a. La Observación . En esta primera etapa se utilizan los cinco
sentidos, a fin de obtener información indiciaria que sea útil
para buscar la razón de lo que se pretende discutir. La acción
de la observación se puede considerar como una información
sistemática y dirigida hacia un objetivo firme y definido siendo
apoyada por instrumental científico.
b. Planteamiento del Problema . Se circunscribe a interrogantes
establecidos de los hechos fenómenos o cosas observadas. El
investigador del delito en su desempeño por reconocer lo que
observa, se formula varias preguntas encaminadas a plantear
objetivamente el problema. Esas preguntas el profesor Dr.
Hand Gross las denomino: El catecismo de la criminalistica y
son las siguientes:
¿QUE SUCEDIÓ? , ¿QUIÉN LO COMETIO? , ¿CUANDO SE
COMETIO?, ¿DÓNDE SE COMETIÓ?, ¿COMO SE
COMETIO?, ¿CON QUE SE COMETIO?, ¿POR QUÉ SE
COMETIO?.
A ello debemos agregar, que se deben hacer estas preguntas
en el escenario del delito para tener una apreciación
reconstructiva de lo que probablemente pudo haber ocurrido.
21
Recordando que para que se hable de una investigación
científica del delito tiene que existir problemas e hipótesis, si
falta alguno de ellos la investigación es empírica.
Además se debe en el escenario del delito, perennizar la
escena, para poder tener una mejor apreciación de los
hechos, y realizar hipótesis adecuadas.
c. Formulación de hipótesis . Las respuestas a las siete
preguntas del planteamiento del problema es una explicación
condicional que trata de predecir el desarrollo del hecho
ocurrido. Cada pregunta del planteamiento del problema
puede tener varias respuestas que son las hipótesis y estas
respuestas son simplemente probables porque tendrán que
ser sometidas a una profunda investigación de carácter
científico.
d. Experimentación . Es el medio de reproducir o provocar
deliberadamente los hechos o fenómenos cuantas veces sea
necesario, a fin de observarlos, comprenderlos y coordinarlos
con las experiencias y con las hipótesis establecidas.
e. La teoría . Es el resultado final de la investigación del delito.
Para llegar a esta etapa es porque se han realizado los
cuatros anteriores; en esta etapa recién se puede afirmar que
probablemente ocurrió tal o cual cosa respecto de la
investigación del delito que se realizo.
Algo más a tener en cuenta, es que no hay crimen ni delito
perfecto, lo que sucede es que la investigación del delito es
inadecuada.
22
3. EL DELITO INFORMÁTICO
Según el ilustre penalista Cuello Calón, los elementos integrantes
del delito son:
a) El delito es un acto humano, es una acción (acción u omisión)
b) Dicho acto humano ha de ser antijurídico, debe lesionar o
poner en peligro un interés jurídicamente protegido.
c) Debe corresponder a un tipo legal (figura de delito), definido
por La Ley, ha de ser un acto típico.
d) El acto ha de ser culpable, imputable a dolo (intención) o a
culpa (negligencia), y una acción es imputable cuando puede
ponerse a cargo de una determinada persona
e) La ejecución u omisión del acto debe estar sancionada por
una pena.
Por tanto, un delito es: una acción antijurídica realizada por un ser
humano, tipificado, culpable y sancionado por una pena.
Se podría definir el delito informático como: toda acción (acción
u omisión) culpable realizada por un ser humano, que cause un
perjuicio a personas sin que necesariamente se beneficie el autor o
que, por el contrario, produzca un beneficio ilícito a su autor
aunque no perjudique de forma directa o indirecta a la víctima,
tipificado por La Ley, que se realiza en el entorno informático y
está sancionado con una pena.
De esta manera, el autor mexicano Julio Tellez Valdez señala que
los delitos informáticos son "actitudes ilícitas en que se tienen a las
computadoras como instrumento o fin (concepto atípico) o las
conductas típicas, antijurídicas y culpables en que se tienen a las
computadoras como instrumento o fin (concepto típico)". Por su
parte, el tratadista penal italiano Carlos Sarzana, sostiene que los
delitos informáticos son "cualquier comportamiento criminal en que
23
la computadora está involucrada como material, objeto o mero
símbolo".
“El Delito Informático es toda acción consciente y voluntaria
que provoca un perjuicio a persona natural o jurídi ca sin que
necesariamente conlleve a un beneficio material par a su autor,
o que por el contrario produce un beneficio ilícito para su
autor aun cuando no perjudique de forma directa o i nmediata
a la víctima, y en cuya comisión interviene
indispensablemente de forma activa dispositivos nor malmente
utilizados en las actividades informáticas”.
a. FORMAS
Los delitos informáticos se manifiestan en dos sentidos: como
delitos de resultado y como delitos de medio.
El primer grupo se refiere a conductas que vulneran los
sistemas que utilizan tecnologías de información, es decir, que
lesionan el bien jurídico constituido por la información que los
sistemas contienen, procesan, resguardan y transmiten, puesto
que la información no es más que el bien que subyace en ellos.
El segundo grupo, correspondiente a los delitos informáticos de
medio, recoge las conductas que se valen del uso de las
tecnologías de información para atentar contra bienes jurídicos
distintos de la información contenida y tratada en sistemas
automatizados, esto es, bienes como la propiedad, la
privacidad de las personas o el orden económico. Lo que
distingue a este grupo de delitos informáticos es la utilización
de las tecnologías de información como único medio de
comisión posible -o como medio extremadamente ventajoso en
relación con cualquier otro- para vulnerar el bien jurídico objeto
de protección penal.
24
b. TIPOLOGÍA DEL ILÍCITO PENAL INFORMÁTICO
Las diferentes formas que pueda adoptar el delito informático
son de tal dimensión que para un profano prácticamente serían
inimaginables limitados quizás únicamente por la astucia del
autor, su capacidad técnica y las deficiencias de control
existentes en la instalación invadida.
Para darnos una idea del ámbito del problema conozcamos las
diversas formas en las que el delito informático puede
producirse sin que ello suponga de ninguna manera que
estamos ante una lista cerrada sino tan sólo de una relación
enumerativa de las situaciones más frecuentes. Veamos
algunas de ellas:
(1) Introducción de datos falsos o data diddling -
Consiste en manipular las transacciones de entrada al
computador con el fin de ingresar movimientos falsos
total o parcialmente, o eliminar transacciones verdaderas
que deberían haberse introducido. Es un método al
alcance de muchas personas que desarrollan tareas en
los servicios informáticos para lo cual no es necesario
poseer conocimientos técnicos especiales sino tan sólo
haber percibido las deficiencias de control que muestre
un determinado sistema.
(2) El Caballo de Troya o “Trojan Horse” - La
denominación “Caballo de Troya” se aplica a algo que en
apariencia es inofensivo para tranquilidad de la víctima,
pero cuando desencadena su dañino potencial causa
verdaderos estragos. Este método consiste en la
inclusión de instrucciones dentro del programa de uso
habitual una rutina para que realice un conjunto de
funciones desde luego, no autorizadas, para que dicho
25
programa ejecute en ciertos casos de una forma distinta
a como estaba previsto.
(3) El salame, redondeo de cuentas o “rounding down ” -
Es tal vez la técnica más sencilla de realizar y la que
menos probabilidades tiene de ser descubierta. La
modalidad consiste en introducir o modificar unas pocas
instrucciones de los programas para reducir
sistemáticamente una cantidad transfiriéndola a una
cuenta distinta o proveedor ficticio que se abre con
nombre supuesto y que obviamente la controla el
defraudador.
(4) Uso indebido de programas o “superzapping” - Es el
uso no autorizado de un programa de utilidad para
alterar, borrar, copiar, insertar o utilizar cualquier forma
no permitida los datos almacenados en el computador o
en los soportes magnéticos. El nombre proviene de un
programa llamado “Superzap” y es una especie de llave
que permite abrir cualquier rincón de una computadora
por más protegida que pueda estar.
Estos programas pertenecen al grupo de los llamados
“Programas de Acceso Universal” de uso imprescindible
en cualquier instalación de ciertas dimensiones cuando
fallan los procedimientos normales para recuperar o
reiniciar “el sistema”.
Efectivamente, cuando un sistema informático almacena
gran cantidad de información se hace necesario disponer
de un mecanismo de emergencia que permita entrar a
cualquier punto del sistema en caso que se produzca
alguna avería o lo que normalmente se ha denominado
“caída del sistema”.
Es por esta razón que se justifica la existencia de los
llamados “Programa de Acceso Universal” (PAU)
26
herramientas imprescindibles en cualquier instalación de
ciertas proporciones cuando fallan los procedimientos
normales para “recuperar” o “reiniciar” el sistema.
Los programas de utilidad son una herramienta valiosa y
muchas veces imprescindible en los casos de caída del
sistema pero igualmente un arma peligrosísima cuando
se encuentra al alcance de personas que lo utilizarán con
otras intenciones.
(5) Puertas falsas o “Traps Doors” - Es una costumbre en
el desarrollo de aplicaciones complejas que los
programas permitan introducir interrupciones en la lógica
de los desarrollos del mismo, con el objeto de chequear
por medio de los procesos informáticos si los resultados
intermedios son correctos, producir salidas de
emergencia y de control a fin de guardar resultados
parciales en ciertas áreas del sistema para comprobarlos
después. Inclusive algunas veces este procedimiento se
enlaza con rutinas del sistema operativo para facilitar una
"puerta de entrada al programa” que no estaba prevista,
pero de esta manera facilitan la labor de desarrollo y
prueba de programas.
El problema radica en tener la seguridad de que cuando
los programas entran en proceso de producción normal
todas esas “puertas falsas” hayan desaparecido.
Y aunque parezca mentira, las puertas creadas no se
eliminan, permitiendo a su paso puertas de acceso al
programa con el agravante que por ser elementos
temporales creados por la computadora no constan en la
documentación del sistema.
Es de uso frecuente para posibles recuperaciones en
caso de “Caída del Sistema” a mitad de un proceso ir
27
grabando en cinta resultados intermedios o copia de las
transacciones procesadas, o incluso ciertas áreas de
memoria para la recuperación más rápida y sencilla.
Las puertas falsas son: Por personas que no las crearon,
pero que una vez descubiertas se aprovechan de ella sin
necesidad de poseer una formación informática profunda.
(6) Bombas lógicas o “logic bombs” - Previamente debe
señalarse que este tipo de delito se ejecuta para producir
daños sin otro beneficio que el placer de perjudicar. El
método consiste en introducir en un programa un
conjunto de instrucciones no autorizadas para que en una
fecha o circunstancia predeterminada se ejecuten
automáticamente desencadenando el borrado o la
destrucción de información almacenada en el
computador, distorsionando el funcionamiento del
sistema o paralizaciones intermitentes.
(7) Recojo de información residual o “scavenging” - Este
procedimiento se basa en aprovechar los descuidos de
los usuarios ya que la información ha sido abandonada
sin ninguna protección como residuo de un trabajo real
efectuado con la debida autorización.
Tiene dos formas bien definidas:
a) El Scavenging Físico : Consiste en recoger el
material de desecho que se abandona en las
papeleras, encima de las mesas, en el suelo, etc., y
que frecuentemente incluye listados de pruebas de
programas, documentos conteniendo información de
entrada a un programa de la computadora, copias
de apoyo que no han sido repartidas, etc.
b) El Scavenging Electrónico : Consiste en
aprovechar las finalizaciones de las ejecuciones de
los programas realizados en el computador para
28
obtener la información residual que ha quedado en
la memoria o en soportes magnéticos.
Una de las formas más simples del scavenging
electrónico es cuando se ordena la impresión diferida ya
que en la computadora queda preparada la información
que posteriormente se imprimirá sin ningún tipo de
protección, siendo sumamente fácil recuperar la
información sin la necesidad de utilizar ningún tipo de
clave o cualquier procedimiento de seguridad.
(8) Divulgación no autorizada de datos o data leaka ge -
Consiste en sustraer información confidencial
almacenada en un computador central desde un punto
remoto, accediendo a ella, recuperándola y finalmente
enviándola a una unidad de computador personal,
copiándola simultáneamente. La sustracción de
información confidencial es quizás uno de los cánceres
que con mayor peligro acechan a los grandes sistemas
informáticos.
Se ha empleado también bajo la denominación de
espionaje industrial, pues sería particularmente débiles al
sustraerse aspectos claves de su actividad empresarial,
como por ejemplo estrategias de mercado, nuevos
productos, fórmulas de producción, etc. Inclusive hay
cierto tipo de empresas que dependen de la privacidad
de su información como las empresas de publicidad
directa en donde tiene ficheros completos de su público
objetivo.
(9) Acceso a áreas no autorizadas o piggyn baking -
Pese a no tener una traducción específica consiste en
acceder a áreas restringidas dentro de la computadora o
de sus dispositivos periféricos como consecuencia de
puertas abiertas o dispositivos desconectados. Se da
29
también cuando el usuario que está trabajando en un
Terminal en un nivel autorizado que le permite realizar
ciertas funciones reservadas deja el Terminal conectado,
con lo que cualquier otra persona puede continuar
trabajando sin necesidad de identificarse pudiendo
efectuar operaciones que en condiciones normales no le
estarían permitidas.
(10) Suplantación de la personalidad o impersonatio n -
Puede ser entendida como la suplantación de
personalidad fingiendo ser una persona que no es
imitándola e inclusive remedándola. Algunos sistemas
requieren la identificación con una clave para acceder al
sistema.
Más adelante se ha requerido la posesión de algo
pudiendo ser una llave o tarjeta magnética. Y aún
podríamos complicarlo aun más si adicionamos
dispositivos de reconocimiento biométrico como
identificación con la palma de la mano o dactilográfica,
scanners de retina o del iris, reconocimiento de voz, etc.
Un caso muy frecuente de Impersonation o suplantación
de personalidad se da en el robo de las tarjetas de
crédito y de cajeros automáticos.
(11) Pinchado de líneas informáticas wiretapping - Se trata
de pinchar o interferir líneas de transmisión de datos y
recuperar la información que circula en ellas,
generalmente se produce en el mismo origen de la
transmisión. No es necesario tener equipo sofisticado,
sólo se requerirá un pequeño cassette, una grabadora,
una radio portátil AM-FM, un módem para demodular las
señales telefónicas analógicas y convertirlas en digitales,
y una pequeña impresora para listar la información que
30
se hubiera captado. La forma de realizarlo depende del
sujeto que lo ejecuta.
(12) Hurto de tiempo - Se da cuando los empleados utilizan
sin autorización las horas de la máquina del empleador
por ejemplo para realizar trabajos particulares hurtando el
tiempo del computador o del servicio de procesamiento
de datos y por tanto incrimina un uso no autorizado.
(13) Simulación e imitación de modelos o simulation and
Modeling - Se trata del uso de la computadora para
simular y planificar la comisión de un delito antes de
realizarlo. La utilización de la computadora se realiza de
forma mediata para conseguir un fin ilícito como ejemplos
podemos señalar desde la simulación del robo de una
bóveda de un banco hasta el contador que contrató los
servicios contables de una empresa para estudiar
detenidamente las repercusiones de los asientos
fraudulentos que pensaba realizar para sustraer una
cantidad importante de dinero.
Aquí se difiere de los anteriores tipos de delitos
informáticos pues el computador que puede ser usado
para simular situaciones previsibles o efectuar modelos
que representen el comportamiento previsible de una
empresa, una fábrica, una inversión, es utilizado
equivocadamente con fines delictivos.
(14) Piratas o “hackers” - Conocido también como “Pirateo
Informático”, consiste en entrar sin autorización a una
computadora y explorar su interior. No existe
aparentemente límite pudiendo acceder por vía remota a
servicios de noticias, servicios financieros, información
financiera, instalaciones universitarias, correo electrónico,
computadoras oficiales.
31
(15) Crackers - Es el típico Hacker que no ingresa al sistema
por curiosidad o porque le represente un reto para
entender el funcionamiento de cualquier sistema. En
realidad nos referimos a la persona que conscientemente
ingresa a un sistema con la finalidad de destruir
información.
Existen dos vertientes:
a) El que ingresa en un sistema informático y roba
información produciendo destrozos en el mismo.
b) El que se dedica a desproteger todo tipo de
programas, tanto para hacerlas plenamente
operativas como para los programas que presentan
anticopias.
(16) Phreakers - Es el especialista en telefonía. Se le podría
llamar el pirata de los teléfonos, sobre todo emplea sus
conocimientos para poder utilizar las telecomunicaciones
gratuitamente. Los principales perjudicados son los
usuarios nacionales e internacionales y las compañías
telefónicas.
(17) Virus - Son una serie de claves programáticas que
pueden adherirse a otros programas, propagarse a otros
sistemas informáticos. Un virus puede ingresar por una
pieza de soporte lógico que se encuentre infectado desde
una forma remota ingresando al programa.
(18) Gusanos - Se fabrica en forma análoga al virus con
miras a infiltrarlo en programas normales de
procesamiento de datos o para modificar o destruir la
información, pero se diferencia del virus porque no puede
regenerarse. Si se asimilara a la medicina podría decirse
que es una especie de tumor benigno. Ahora las
consecuencias del ataque de un gusano pueden ser tan
peligrosas como el de un virus.
32
(19) Delitos de connotación sexual por Internet - De la
misma manera deben considerarse las conductas que
ponen a disposición de menores de edad imágenes de
contenido altamente sexual explícito y que ponen en
riesgo su formación integral ocasionando trastornos en
normal desenvolvimiento de su personalidad. Se debería
controlar esto mediante el acceso a estas páginas Web
con doble clave. Así mismo evitar casos de prostitución
infantil por esta vía.
4. TIPIFICACIÓN DEL DELITO INFORMÁTICO EN EL CÓDIGO
PENAL PERUANO
El 17 de julio del año 2000 se publicó en el Diario Oficial ‘El
Peruano’ la Ley Nº 27309, que incorporó al Código Penal los
delitos informáticos dentro de la figura genérica de los Delitos
Contra el Patrimonio.
Debido a la importancia del caso, y a pesar del tiempo transcurrido
desde su promulgación, es bueno saber sobre los delitos
informáticos y la trascendencia de la ley que los reprime, pues
compromete la participación de la Policía Nacional del Perú en las
tareas de prevención e investigación de los mismos, lo que
requiere de una adecuada preparación, especialización y
capacitación del personal policial en este aspecto.
Así, hasta antes de la promulgación de la mencionada ley, el
Código Penal hacía alusión a una modalidad de hurto agravado,
tipificado en el Art. 186, inciso 6. O, que podía catalogarse como
una figura de delito informático, configurado cuando el hurto se
cometía mediante la utilización de sistemas de transferencia
electrónica de fondos; de la telemática, en general; o, se violaban
claves secretas.
33
El Código Penal Peruano, al incorporar la figura del delito
informático, no establece una definición genérica del mismo, ergo,
lo conceptualiza en forma típica como: “las conductas típicas,
antijurídicas y culpables, en que se tiene a las computadoras como
instrumento o fin”; y, atípica, entendiendo que los delitos
informáticos son “las actitudes ilícitas en que se tiene a las
computadoras como instrumento o fin”.
La ley que incorpora los delitos informáticos al Código Penal ha
considerado únicamente dos tipos genéricos, de los que se
desprende una serie de modalidades. Para ello, el legislador se ha
basado en el criterio del uso de la computadora como instrumento
o medio y en el de su utilización como fin u objetivo.
El primer tipo genérico lo encontramos en el Art. 207-A, que
describe una conducta criminógena que se vale de la computadora
para la comisión del ilícito penal. Un ejemplo de ello lo constituyen
los fraudes cometidos en perjuicio de las instituciones bancarias o
de cualquier empresa por personal del área de sistemas que tiene
acceso a los tipos de registros y programas utilizados. También se
encuadra el fraude efectuado por manipulación informática, es
decir, cuando se accede a los programas establecidos en un
sistema de información y se les manipula para obtener una
ganancia monetaria.
Otras modalidades son la falsificación informática, que consiste en
la manipulación de la información arrojada por una operación de
consulta en una base de datos; el acceso no autorizado a sistemas
o servicios; la reproducción no autorizada de programas
informáticos de protección legal, conocida como piratería; entre
otras.
34
El segundo tipo genérico lo encontramos en el Art. 207-B, donde
se enmarcan las conductas criminógenas dirigidas a la utilización,
interferencia o ingreso indebido a una base de datos con el fin de
alterarla, dañarla o destruirla.
A continuación se detalla la lista de algunos de los delitos
informáticos y el artículo de Código Penal Peruano que se aplica.
• Art. 207–A, Acceso no autorizado a servicios y sistemas
informáticos y telemáticos y Base de datos público y privado.
• Art. 207-B y 207-C, Manipulación de programas informáticos.
• Art. 186, Manipulación de los datos bancarios personales (uso
indebido de tarjetas de crédito y de cajeros automáticos).
• Art. 427, Falsificación electrónica de documentos.
• Art. 161, Suplantación (e-mail)
• Art. 183-A, Pornografía infantil.
• Art. 216, 217, 218, 219 y 220, Propiedad intelectual.
• Art. 222, 223 y 224, Propiedad industrial: marcas, patentes.
• Art. 249, Pánico financiero.
• Art. 316, Apología.
• Art. 132, Difamación.
• Art. 331, Espionaje.
• Art.427, Manipulación y/o falsificación de datos
5. PROCEDIMIENTOS DE INVESTIGACIÓN EN DELITOS INFORMÁTICOS
A. Protección de la escena del delito
Una escena del delito es caracterizada frecuentemente con un
espacio físico delimitado de alguna manera, por paredes, por
un área más extensa o simplemente delimitadas por el suelo.
35
En función de estas características, se dice, que la escena es
cerrada, abierta o mixta.
Un componente electrónico puede hallarse en cualquiera de
estas escenas; cuando se encuentra en escena abierta, se
puede asumir que el dispositivo electrónico se halla en una
escena virtual cerrada. Con esa misma lógica de los opuestos
complementarios, cuando la escena física es cerrada por
ejemplo, delimitada por un edificio u oficina, se puede asumir
que la escena virtual será abierta o mixta en el supuesto de que
exista algún tipo de red.
Si en una escena física se procede con el acordonamiento del
lugar, en casos de escenas que comprendan ordenadores, se
debe tomar en cuenta que éstos pueden estar conectados a
redes, por ello se los deberá aislar de la forma más eficiente.
Una de las mejores maneras de aislar la escena electrónica del
hecho es quitar la alimentación de forma inmediata. En caso de
ordenadores personales se quitará la energía eléctrica sin
apagar, vía sistema operativo. En caso de un ordenador portátil
se apagará quitando la batería o en su defecto por el botón de
energía. Se debe tomar en cuenta que lo que se llega a perder,
es poco comparado con la protección que se logra. También se
debe tomar en cuenta que, por el principio de administración de
memoria RAM, gran parte de lo que existe en ella está también
en el disco duro, en espacio de memoria virtual.
La escena del delito informática es idéntica a la física en los
cuidados requeridos, no se deben utilizar, encender o apagar
los dispositivos dado que estaría contaminando las evidencias.
Tener en cuenta que con el solo hecho de conectar una
36
memoria flash, modifica la escena del delito introduciendo
elementos ajenos al hecho.
B. Evaluación de la escena del delito
Esta etapa consiste en tomar conocimiento del hecho ocurrido;
el responsable de la investigación debe realizar la observación
de la escena y decidir acerca de la presencia de los peritos o
especialistas que deben participar en la investigación y
planificar el procedimiento a seguir.
La inspección debe contemplar toda la información relativa al
hecho acontecido:
a) Análisis de esquemas de conexión: Se deberá determinar si
existen medios visibles que indiquen presencia de redes de
comunicaciones.
b) Determinación de los dispositivos y medios comprometidos:
Se debe observar qué existe en el lugar que pueda contener
evidencia digital.
c) Determinación del escenario: La escena del delito tiene
mucha similitud virtual en su determinación con la escena
del delito física. Si en la escena física está determinada por
los componentes: piso, pared y techo. En la escena virtual
tiene que ver con la propiedad del medio físico o canal por
el cual se transmiten los datos.
• Cerrado - PCs sin conexión a redes
• Abierto - PCs con conexión a Internet vía ISP
• Mixto - PCs en LAN/MAN/WAN.
C. Fijación de la escena del delito
Todo proceso de investigación requiere de un registro confiable
del o de los hechos producidos, plasmados de una manera más
37
adecuada en un acta, con todas las formalidades de rigor; de
forma tal que permita su estudio posterior, así como su
reconstrucción si es necesario, con las garantías necesarias
para que pueda ser utilizada en un proceso judicial.
• Narración y Fijación con fotografía o videograbación.
Procurar que el medio a utilizar sea en un formato estándar:
MP3 por ejemplo.
• Marcado: Utilizar la ubicación de marcas numeradas que
nos permitan reconstruir con exactitud la ubicación física de
cada objeto, con detalle de la cantidad de evidencias
recogidas.
• Fijación planimétrica, en sus formas de planta o abatimiento.
Utilizar la forma de croquis de red a mano alzada para
identificar los posibles puntos.
D. Rastreo de evidencias o indicios
Concluida la etapa de las fijaciones que nos impedían tocar la
escena, en esta fase, podemos alterar la escena del hecho en
busca de las evidencias o algún rastro, mover todo tipo de
objetos en busca de huellas digitales o de indicios de otro tipo.
Y en ese caso volver a fotografiar y marcar los nuevos
descubrimientos, utilizando diferentes métodos:
• Método espiral, cuadrantes, triangulación, etc.
• Los dispositivos físicos y medios removibles se rastrean
siguiendo los métodos tradicionales.
• En función de los esquemas de red o croquis se rastrean los
elementos remotos o lógicos, se consideran: datos,
aplicaciones, tecnología, personas e infraestructura. En
función de la Topología se van identificando los elementos
38
que deben ser tomados en cuenta como fuente de evidencia
digital. En escenas mixtas y abiertas se entenderá que esta
etapa requiere de más personas y especialistas, dada la
complejidad de entornos informáticos y redes actuales.
E. Reconocimiento del dispositivo comprometido
Se debe tomar en cuenta que los delitos informáticos o los
delitos comunes que involucran dispositivos electrónicos como
medio o fin, pueden involucrar un sin fin de elementos,
entonces se torna complejo determinar cual fue el objetivo
principal, asumiendo teorías como la Estrategia del TERO (ave
que cacarea en lugar distinto al que puso sus huevos) que
sugiere la posibilidad de estar enfocado en un punto cuando en
realidad la gravedad radica en otro.
Examen del activo afectado: Un sistema, un dispositivo, un
medio removible. Algo que inicialmente pueda ser identificado
como hardware y posteriormente en su software si aplica.
Por ejemplo, si el ataque se ha producido sobre los datos de un
sistema, físicamente tendremos el servidor, pero lógicamente
se compromete la base de datos. Ahora el ataque puede ser
vía sistema, entonces se compromete el aplicativo mismo o
directamente sobre la base de datos donde se compromete
cada una de las tablas que hacen la Base misma.
F. Recogida y embalaje de evidencias
Antes de empezar esta etapa hay que disponer de todos los
elementos necesarios, no se debe utilizar material de la misma
escena del delito.
39
Se recomienda tener en cuenta lo siguiente:
a) Recoger todos los medios móviles y removibles, teniendo
en cuenta su rol en el esquema tecnológico.
b) Levantamiento de actas escritas, grabadas y/o filmadas.
c) Registro de los números de serie y demás características
de los equipos, si no tiene número de serie márquelo y
fírmelo con un rotulador indeleble. Deje constancia de la
marca en el acta del levantamiento.
6. LA CADENA DE CUSTODIA
La cadena de custodia de la prueba es el procedimiento controlado
que se aplica a los indicios materiales relacionados con el delito,
desde su localización hasta su valoración por los encargados de
administrar justicia y que tiene como fin no viciar el manejo de que
ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones.
“La Cadena de custodia es el procedimiento destinado a garantizar
la individualización, seguridad y preservación de los elementos
materiales y evidencias, recolectados de acuerdo a su naturaleza o
incorporados en toda investigación de un hecho punible,
destinados a garantizar su autenticidad, para los efectos del
proceso, las actas, formularios y embalajes forman parte de la
cadena de custodia”. Para tal efecto, se ha diseñado un formulario
en el cual se consignaran todos los datos que permitan identificar a
los funcionarios que han tenido bajo su cuidado el material
recolectado, y cuales son las pruebas o pericias a las que ha sido
sometido, de tal suerte que al llegar a juicio no exista la menor
posibilidad de duda con respecto a su autenticidad.
40
Así, la Cadena de Custodia se inicia con el aseguramiento,
inmovilización o recojo de los elementos materiales y evidencias
en el lugar de los hechos, durante las primeras diligencias o
incorporados en el curso de la investigación preparatoria y
concluye con la disposición o resolución que establezca su destino
final. Es necesario que la Policía Nacional tenga a su disposición el
recurso de intervenir más activa y decisoriamente en el proceso de
la investigación del delito de manera conjunta con el Fiscal, habida
cuenta que dicha Institución actúa directamente desde el primer
momento en que toma conocimiento del hecho y está en contacto
íntimo con las circunstancias de su realización, así como del
imputado y de la víctima, por lo que la Policía Nacional posee
vastos conocimientos de causa sobre el acto punible, sus móviles,
las modalidades, los efectos del delito, los partícipes, los
cómplices, los encubridores, los receptadores, los autores
intelectuales, los testigos, los informantes, los confidentes, las
redes del crimen organizado, etc. que en muchos casos el
Ministerio Público desconoce o no domina a cabalidad.
La cadena de custodia involucra la aplicación de una serie de
normas tendientes a asegurar, embalar y proteger cada elemento
material probatorio para evitar su destrucción, suplantación o
contaminación, lo que podría implicar serios tropiezos en la
investigación de una conducta punible.
Comienza, la cadena de custodia, cuando el Policía embala y
rotula el elemento material probatorio y evidencia física (huellas,
rastros, manchas, residuos, armas, instrumentos, dinero,
documentos, grabaciones en audio y video). Tal procedimiento
inicia en el sitio donde se descubren, recauden o encuentren
elementos materiales probatorios y finaliza por orden de autoridad
competente.
41
Para demostrar la autenticidad del material, la cadena de custodia
se aplica teniendo en cuenta tanto los factores de identidad, estado
original, condiciones de recolección, preservación, embalaje y
envío; como los lugares y fechas de permanencia y cambios que
cada custodio haga. El nombre y la identificación de todas las
personas que hayan estado en contacto con esos elementos
quedarán registrados.
El funcionario que recoja, embale y rotule el elemento material
probatorio o evidencia física la trasladará al laboratorio
correspondiente, donde la entregará bajo el recibo que figura en el
formato de cadena de custodia. A su turno, el servidor público que
reciba dicho material lo entregará, según la especialidad, al perito
correspondiente.
Ese dejará constancia del estado en que se encuentra el material y
procederá a las investigaciones y análisis en el menor tiempo
posible, para que su informe pericial pueda ser oportunamente
remitido al fiscal correspondiente. El servidor que tenga el material
probatorio o la evidencia física será responsable de que ese
material no sea destruido, suplantado, alterado o deteriorado.
Tanto la policía judicial, como los peritos certificarán la cadena de
custodia. Tal certificación es la afirmación de que el elemento
hallado en el lugar, fecha y hora indicada en el rótulo es el que fue
recolectado por la policía judicial y es el mismo que fue llevado al
laboratorio para ser examinado por el perito. Por último, los
remanentes del material analizado se guardarán en el almacén
destinado para ese fin en el laboratorio, tras previa identificación
para su pronta ubicación si las investigaciones lo requieren.
42
a. IMPORTANCIA DE LA CADENA DE CUSTODIA .
La cadena de custodia juega un papel importante en el nuevo
proceso penal tal como señala el Dr. Manuel Restro que indica
sobre “los elementos materiales del delito y la evidencia física
radica en que estas pueden probar la comisión de un delito,
relacionar al sospechoso con la víctima o con la escena del
crimen, establecer las personas asociadas con el delito,
corroborar el testimonio de una víctima, definir el modo de
operación del agresor y relacionar casos entre si o exonerar a
un inocente. Además, es más confiable y objetiva que la
prueba testimonial, y el desarrollo de la ciencia le ha hecho
más importante”. Pero se debe de seguir el procedimiento
establecido por el nuevo código procesal penal para que los
elementos materiales y evidencias físicas que se recoja en la
escena del delito que actúan como elemento de convicción
sean evaluadas, las mismas que deberán de ser incorporadas
en la investigación preparatoria, admitidas en la etapa
intermedia y valoradas en el juicio oral, para efectos de
acreditar los hechos delictivos materia de la investigación, ya
que es precisamente la cadena de custodia la que garantizara
que aquello que es incorporado al proceso es lo mismo que se
encontró en la escena del delito.
b. PRINCIPIOS DE LA CADENA DE CUSTODIA
La cadena de custodia al iniciarse en la escena del delito en
donde se descubran, recauden o encuentren los elementos
materiales probatorios y evidencia física, se rige con los
siguientes principios, tal como lo prevé el artículo 4 del
reglamento de cadena de custodia que estable “los
43
procedimientos previstos en el presente reglamento, se rigen
por los siguientes principios:
EL CONTROL de todas las etapas desde la recolección o
incorporación de los elementos materiales, evidencias y
bienes incautados hasta su destino final, así como del actuar
de los responsables de la custodia de aquellos.
LA PRESERVACIÓN de los elementos materiales y
evidencias, así como de los bienes incautados para garantizar
su inalterabilidad, evitar confusiones o daño de su estado
original, así como un indebido tratamiento o incorrecto
almacenamiento.
LA SEGURIDAD de los elementos materiales y evidencias así
como de los bienes incautados con el empleo de medios y
técnicas adecuadas de custodia y almacenamiento en
ambientes idóneos, de acuerdo a su naturaleza. que
garanticen la integridad, continuidad, autenticidad, identidad y
registro, de acuerdo a su clase y naturaleza,
LA MÍNIMA INTERVENCIÓN de funcionarios y personas
responsables en cada uno de los procedimientos, registrando
siempre su identificación.
LA DESCRIPCIÓN DETALLADA de las características de los
elementos materiales y evidencias además de los bienes
incautados o incorporados en la investigación de un hecho
punible, del medio en el que se hallaron, de las técnicas
utilizadas, de las pericias, de las modificaciones o alteraciones
que se generen en aquellos entre otros”.
44
Dichos principios son importantes para efecto de demostrar
que los elementos materiales probatorios y la evidencia física
han sido detectados, fijados, recogidos, obtenidos y
embalados técnicamente, observando lo prescrito por la
Constitución Política, los Tratados Internacionales sobre
derechos humanos vigentes.
c. SUPERVISIÓN DE LA CADENA DE CUSTODIA.
El Artículo IV del Titulo Preliminar del NCPP impone al
Ministerio Publico el deber de la carga de la prueba y si bien
es cierto el NCPP no lo establece de manera expresa que es
el Ministerio Público la entidad encargada de la conservación
de los elementos materiales y evidencias físicas recogidas en
la escena del delito, la norma le impone el deber de garantizar
la autenticidad de estos elementos materiales y evidencias
físicas, para lo cual tendrá que habilitar ambientes adecuados
y adoptar las medidas necesarias para evitar que se alteren de
cualquier forma con el apoyo de la Policía Nacional del Perú
“por ello la tarea de cuidar la cadena de custodia resulta mas
relevante, por que debe formar convicción en el Juzgador, de
manera que cualquier duda de sospecha respecto de la
indemnidad o integridad de la evidencia, o su manejo
adecuado, puede repercutir negativamente en la presentación
de su caso”.
d. PROCEDIMIENTO DE LA CADENA DE CUSTODIA.
La cadena de custodia debe de ser constante en todos los
procedimientos que se usan en la técnica criminalística, en la
medicina legal y en las ciencias forenses y no únicamente
unas reglas que se utilizan al explorar la escena de los
45
homicidios, como se piensa usualmente. En todo caso, las
escenas del delito son tan diversas como la misma tipicidad
del código penal lo permite, por lo que en cada escena del
delito los niveles adoptar son los siguientes:
PRIMER NIVEL: Cuando se produce un hecho delictuoso, por
lo general los primeros en constituirse al lugar de la escena
del delito son los efectivos policiales locales, los mismos que
verificaran y confirmaran la noticia criminal para que procedan
a comunicar al fiscal para que se constituya al lugar de la
escena del delito conjuntamente con efectivos especializados
de la PNP, y procedan a asegurar y fijar el área a ser aislada y
acordonaran el lugar utilizando una barrera física (cuerdas,
cintas, etc.), a fin de evitar la perdida o alteración de los
elementos materiales o evidencias físicas que se puedan
encontrar.
SEGUNDO NIVEL: Cuando llegan a la escena del delito, el
fiscal y los efectivos especializados de la PNP, solicitaran
información previa de la persona que dio a conocer el hecho y
realizaran un registro cronológico de todo lo que van hacer
para proceder a la búsqueda de los elementos materiales y
evidencias físicas utilizando un método de búsqueda
dependiendo de las características del lugar y circunstancias
de la escena del delito, quienes registraran la información
obtenida de toda sus actividades.
TERCER NIVEL: Una vez encontrando los elementos
materiales y evidencias físicas en la escena del delito se
procederá a perennizarlo antes, durante y después de
recolectar, embalar, rotular y etiquetar por medio de fotografía,
video o topográficamente de forma adecuada clasificándolo de
46
acuerdo a su clase, naturaleza y estado, observando las
condiciones de bioseguridad y protección como por ejemplo
uso de guantes, tapabocas, gorros, gafas, caretas y equipos,
entre otros, según la naturaleza del elemento material o
evidencia física que se hayan encontrado o aportado, pero
observando las condiciones de preservación y seguridad
radica en que estas pueden probar la comisión de un delito,
relacionar al sospechoso con la víctima o con la escena del
crimen, establecer las personas asociadas con el delito,
corroborar el testimonio de una víctima, definir el modo de
operación del agresor y relacionar casos entre si o exonerar a
un inocente. Además, es más confiable y objetiva que la
prueba testimonial, y el desarrollo de la ciencia le ha hecho
más importante”. Pero se debe de seguir el procedimiento
establecido por el nuevo código procesal penal para que los
elementos materiales y evidencias físicas que se recoja en la
escena del delito que actúan como elemento de convicción
sean evaluadas, las mismas que deberán de ser incorporadas
en la investigación preparatoria, admitidas en la etapa
intermedia y valoradas en el juicio oral, para efectos de
acreditar los hechos delictivos materia de la investigación, ya
que es precisamente la cadena de custodia la que garantizara
que aquello que es incorporado al proceso es lo mismo que se
encontró en la escena del delito.
CUARTO NIVEL: Una vez obtenido los elementos materiales
y evidencias físicas el fiscal determinara la remisión a los
correspondientes laboratorios para que sea analizado en los
laboratorios criminalisticos, quienes realizaran los estudios o
análisis solicitados y emitirán el informe pericial, pero en caso
que no requiera de análisis o estudio inmediato se procederá a
enviarlo al almacén de evidencias, pero en uno u otro caso se
47
deberá prever para que quede un remanente con la finalidad
de que en el futuro puedan constatar ciertos análisis o
estudios sobre dichos elementos materiales o evidencias
físicas y todo personal que se encuentre en contacto con los
elementos materiales y evidencias físicas deberá de señalar
en el formato de cadena de custodia el lugar, la fecha y la
hora.
Este procedimiento se sigue debido a que este sistema de
cadena de custodia, debe nacer a la luz del proceso penal en
sus diferentes fases, y quedar establecidas a las pautas que
deberán seguir las personas que reglamenten, desarrollen,
apliquen y controlen el sistema de cadena de custodia.
e. DISPOSICIÓN FINAL DE LA CADENA DE CUSTODIA.
Son aquellas actividades que se desarrollan para precisar el
destino final de los elementos materiales o evidencias físicas
encontrados por parte de la fiscalía o juez competente quien
una vez dependiendo de la etapa que se encuentre el proceso
dispondrá su destino final, que consistirá en la conservación o
custodia definitiva, devolución, destrucción o incineración, libre
disposición o remate del elemento material o evidencias
físicas encontrado en la escena del delito.
7. LA EVIDENCIA DIGITAL
La evidencia es el aspecto más importante en cualquier disputa
legal o extrajudicial y dentro de un delito donde esté involucrado
directa o indirectamente un equipo informático es imprescindible la
búsqueda de evidencia digital.
48
Podemos decir que la evidencia digital son los datos que genera
por un equipo informático, todo lo que se realice en estos equipos
ya sea un computador, celular o una palm, etc., queda registrado
pudiendo ser recuperados y procesados de forma correcta para
que sea presentado como evidencia dentro de un procesos legal.
Tomemos en cuenta que los datos eliminados normalmente o
después de una formateada del disco pueden ser recuperados y
ser prueba fundamental dentro de un proceso.
Uno de los pasos a tener en cuenta en toda investigación, sea la
que sea, consiste en la captura de la/s evidencia/s. Por evidencia
entendemos toda información que podamos procesar en un
análisis . Por supuesto que el único fin del análisis de la/s
evidencia/s es saber con la mayor exactitud qué fue lo que ocurrió.
Podemos entender evidencia como:
• El último acceso a un fichero o aplicación (unidad de tiempo)
• Un Log en un fichero
• Una cookie en un disco duro
• El uptime de un sistema (Time to live o tiempo encendido)
• Un fichero en disco
• Un proceso en ejecución
• Archivos temporales
• Restos de instalación
• Un disco duro, pen-drive, etc...
RFC3227. Recolección y manejo de evidencias
El propósito de este documento (RFC3227) no es otro que proveer
a los administradores de sistemas unas pautas a seguir en el
aspecto de recolección de evidencias, si se diese el caso de un
49
incidente de seguridad.
En este RFC se trata los siguientes aspectos:
• Principios para la recolección de evidencias
• Orden de volatilidad
• Cosas a evitar
• Consideraciones relativas a la privacidad de los datos
• Consideraciones legales
• Procedimiento de recolección
• Transparencia
• Pasos de la recolección
• Cadena de custodia
• Como archivar una evidencia
• Herramientas necesarias y medios de almacenamiento de
éstas
Algunos de los principios que rige el documento para la recolección
de evidencias son:
• Comprometer al personal de aplicación de la ley y manejo de
incidentes apropiados
• Capturar la imagen tan exacta del sistema como sea posible
• Anotar todo lo que se vaya investigando
• Recolectar las evidencias en función de la volatilidad de la
misma. Primero se recogerán las de mayor volatilidad
El orden de volatilidad que recoge el RFC es el siguiente:
• Registros, Cache
• Tabla de ruta. ARP Cache, Tabla de Proceso, Núcleo de
estadísticas, memoria
• Sistema de Archivo temporales
• Disco
50
• Datos de monitoreo y Log's remotos relativos al caso
• Configuración física, topología de red
• Medio de Archivos
La evidencia digital es frágil y volátil. La información residente en
los medios de almacenamiento electrónico puede ser borrada,
cambiada o eliminada sin dejar rastro, lo cual limita la labor del
investigador forense en informática para identificar y encontrar
elementos claves para esclarecer los hechos relevantes de una
investigación.
En este sentido, la evidencia es pieza probatoria básica que
requiere una revisión detallada sobre cómo se crea, cómo se
recolecta, cómo se asegura y finalmente cómo se presenta en la
corte, con el fin de aportar con claridad y precisión factores que
orienten las decisiones sobre casos donde ésta evidencia sea
parte fundamental del mismo.
Así mismo, la evidencia digital al ser un objeto relativamente fácil
de manipular, generado por dispositivos electrónicos, de los cuales
no sabemos nada sobre su funcionamiento, la susceptibilidad a las
fallas, entre otras características, nos advierte que estamos
entrando en un campo de investigación delicado y formal donde el
conocimiento técnico es tan fundamental como el conocimiento
forense y de técnicas probatorias.
En razón a lo anterior, es preciso indagar sobre estrategias que
permitan establecer reglas mínimas que le permitan a la corte
validar pruebas digitales o no. Si bien esta labor requiere un
entendimiento técnico de los medios electrónicos, también
establece un reto a los policías, fiscales y jueces para involucrarse
en los cambios que establece una sociedad digital, donde la
51
delincuencia también ha evolucionado en sus técnicas y
estrategias delictivas.
Luego, al aportar elementos digitales en un caso, es preciso que el
aparato judicial cuente con una base formal y clara sobre la
admisibilidad de la evidencia digital presentada. Es decir, que la
justicia pueda contar con características básicas de ésta evidencia,
estableciendo procedimientos básicos que le permitan verificar su
autenticidad, confiabilidad, suficiencia (completa) y conformidad
con las leyes establecidas.
FALLAS Y PÉRDIDA DE EVIDENCIA DIGITAL
De acuerdo con Casey (2002) la evidencia digital está
frecuentemente sometida a errores, fallas y pérdidas, eventos que
hay que analizar y profundizar para tratar de disminuir el nivel de
incertidumbre relativo a las mismas. Mientras mayor sea la
incertidumbre alrededor de la evidencia digital identificada,
recolectada y aportada a un proceso, menor será la fortaleza de su
admisibilidad y capacidad probatoria sobre los hechos presentados
en la corte.
Los errores asociados con los medios de almacenamiento y
configuraciones de los sistemas de cómputo son frecuentes.
Generalmente se encuentra que los diskettes, discos duros, cintas,
CD-Roms, DVD (Digital Video Disk), entre otros, (MORGAN, C.
2002) tienen errores de fábrica, los cuales no son identificables
previo su uso, haciendo que las posibles evidencias allí residentes,
no cuenten con características confiables y verificables dada las
condiciones defectuosas del medio inicial. Sin embargo, importante
aclarar que, aunque más adelante se revisarán aspectos sobre
técnicas anti-forenses, muchas veces los atacantes o intrusos en
los sistemas (MILLER, T. 2001) con amplios conocimientos de los
52
sistemas de almacenamiento de archivos pueden manipular las
estructuras de datos de dichos sistemas y esconder información
valiosa en sectores de los discos que aparentemente reflejen fallas
del medio de almacenamiento.
De otra parte y complementario a las fallas de los medios de
almacenamiento, la fallas del software base (sistema operacional)
o del software de aplicación pueden generar inconsistencias o
imprecisiones sobre los archivos generados. En este sentido, el
afinamiento de la instalación del sistema operacional, la
sincronización de tiempo de las máquinas e instalación de
actualizaciones del software se convierten en actividades críticas
para disminuir la posibilidad de funcionamientos inadecuados del
software base y por ende, de las aplicaciones que se ejecuten en
las máquinas.
Al no contar con una adecuada sincronización de tiempo en las
máquinas, los eventos registrados no corresponden a la realidad
de los mismos, abriendo la posibilidad de mayor incertidumbre
alrededor de los hechos, favoreciendo la posición del posible
intruso y generando una duda razonable sobre las acusaciones
efectuadas. De manera complementaria al presentarse una falla en
el sistema operacional, la cual puede ser provocada por el
atacante o producto del sistema mismo, puede involucrar
elementos técnicos de admisibilidad de las pruebas, que no
favorezcan la veracidad de las mismas, desviando el proceso
judicial normal, a concentrarnos en la validez de la Evidencia
Digital aportada.
Como hemos revisado hasta el momento la evidencia digital está
soportada en medios electrónicos que si bien, físicamente pueden
presentar fallas y que lógicamente pueden ser manipulados, son la
53
vía requerida para presentar las pruebas de los hechos ocurridos
en sistemas o dispositivos electrónicos.
No obstante lo anterior, existe una disciplina científica denominada
computación forense (ALLGEIER, M. 2000, FARMER, D y
VENEMA, W. 2000, ARMSTRONG, I. 2001), que ofrece un marco
de acción para disminuir las imprecisiones e incertidumbre, no
sobre los medios de almacenamiento y sus fallas, sino sobre las
estrategias de identificación, recolección, aseguramiento, análisis y
presentación de evidencia digital, que permitan a las partes
involucradas y al aparato judicial, obtener una visión
medianamente certera de los acontecimientos identificados en los
registros digitales involucrados los sistemas o dispositivos
electrónicos.
ESTRATEGIAS EVASIVAS: ELIMINANDO LOS RASTROS
Dadas las características de los investigadores forenses en
informática y sus métodos de trabajo, los cuales deben cumplir
entre otros, tres requisitos básicos: (CANO 2001)
1. Uso de medios forenses estériles (para copias de información)
2. Mantenimiento y control de la integridad del medio original
3. Etiquetar, controlar y transmitir adecuadamente las copias de
los datos, impresiones y resultado de la investigación
No siempre logran avanzar e identificar los posibles móviles de los
hechos o mejor aún, no pueden aportar las evidencias suficientes
para establecer las relaciones entre la víctima, el sospechoso y la
escena del crimen que permitan validar el principio de intercambio
de Locard (CASEY 2000, pág.4). Si esto ocurre, el esfuerzo
adelantado alrededor de la evidencia digital presente en el caso
podría no rendir los frutos esperados.
54
En este sentido, la experiencia del investigador, sus calificaciones
y herramientas utilizadas (CANO 2001), son elementos
importantes en el levantamiento de información digital
(BREZINSKI, D. y KILLALEA, T. 2002, BROWN, C. 2002,
FARMER, D y VENEMA, W. 2000) involucrado en el caso. Sin
embargo, pese a contar con un profesional en computación
forense de las más altas calidades, si la organización no se
encuentra preparada para atender un incidente, es decir, no cuente
con estrategias mínimas de registro, control y análisis de registros
de auditoria, la labor del investigador será más demorada y con
mayores limitantes para aportar la evidencia digital requerida en un
proceso judicial.
Pese a contar con esta medidas referenciadas en el párrafo
anterior, los atacantes constantemente están actualizando sus
estrategias de ataque para causar mayor daño y dificultar la labor
del investigador (CERT 2002), es decir, cubrir sus rastros o mejor,
aún invalidar el trabajo de las herramientas forenses generando
falsas pistas o manipulaciones lógicas que confundan dichos
programas. Esta tendencia, denominada como estrategias anti-
forenses, revelan la necesidad de que los profesionales e
investigadores en computación forense avancen en un estudio más
detallado de las características de los sistemas operacionales y los
sistemas de archivo presentes en cada uno de ellos.
Un caso relativamente sencillo de implementación de éstas
técnicas anti-forenses, es la de tratar de esconder información en
los discos flexibles o diskettes. Dicha técnica consiste en identificar
los espacios lógicos dejados por el sistema operacional al efectuar
el formato de un diskette el cual no es detectado a simple vista por
el usuario final. En dichos espacios lógicos un intruso puede
esconder archivos o información sensible que pasa desapercibido
55
por el sistema de archivos utilizado, dado que ésta no se encuentra
registrada en el espacio establecido por el sistema operacional
para identificación de los mismos. Para lograr la identificación de
esta información, es necesario recorrer físicamente la superficie
del disco, pista a pista con el fin de analizar los mencionados
espacios lógicos.
De otra parte, existen en el mercado herramientas que buscan
“sanear” los medios magnéticos para su disposición final. Es decir,
una vez los dispositivos magnéticos como cintas, CD-ROM,
diskettes, discos zip, magneto-ópticos, discos duros, entre otros,
han cumplido su ciclo de funcionamiento y no se usen más, bien
sea, por daño o donación a terceros, es preciso eliminar de
manera permanente la información allí residente. En este sentido,
Gutmann (1996) desarrolla una serie de características requeridas
para que los medios magnéticos puedan ser “saneados”,
eliminando la posibilidad de recuperación posterior de la
información previamente registrada en ellos.
En este sentido, se requiere que los medios mencionados sean
sometidos a técnicas de borrado seguro, bien sea por
sobreescritura del medio de manera aleatoria, que dificulte y limite
la extracción de información, o por la utilización de
“desmagnetizadores” o “degaussers”. Estos últimos dispositivos
hardware que técnicamente cambian la polaridad de los campos
magnéticos presentes en el medio. Un desmagnetizador emite un
campo magnético lo suficientemente fuerte para generar un
cambio de dirección del trazado magnético del medio dejándolo
semejante a cuando lo creó el fabricante (GUTMANN, P. 1996).
Después de este procedimiento, es prácticamente imposible
recuperar la información allí residente, pues ha ocurrido un cambio
físico del medio mismo.
56
Estas técnicas mencionadas, son útiles para las organizaciones
cuando de disponer de medios magnéticos se tratan, sin embargo
en manos equivocadas o por fallas en los procedimientos de uso,
pueden desaperecer de manera permanente información sensible
de las organizaciones.
ELEMENTOS BÁSICOS PARA LA ADMISIBILIDAD DE
EVIDENCIA DIGITAL
Características legales de la Evidencia Digital
Con las consideraciones anteriores, la evidencia digital,
representada en todas las formas de registro magnético u óptico
generadas por las organizaciones, debe avanzar hacia una
estrategia de formalización que ofrezca un cuerpo formal de
evaluación y análisis que deba ser observado por el ordenamiento
judicial de un país. En general las legislaciones y las instituciones
judiciales han fundado sus reflexiones sobre la admisibilidad de la
evidencia en cuatro (4) conceptos (SOMMER, P. 1995, IOCE 2000,
CASEY 2001, cap.6):
1. Autenticidad.
2. Confiabilidad.
3. Completitud o suficiencia
4. Conformidad con las leyes y reglas del Poder Judicial
Autenticidad
La autenticidad de la evidencia nos sugiere ilustrar a las partes que
dicha evidencia ha sido generada y registrada en los lugares o
sitios relacionados con el caso, particularmente en la escena del
posible ilícito o lugares establecidos en la diligencia de
57
levantamiento de evidencia. Así mismo, la autenticidad, entendida
como aquella característica que muestra la no alterabilidad de los
medios originales , busca confirmar que los registros aportados
corresponden a la realidad evidenciada en la fase de identificación
y recolección de evidencia.
En este sentido verificar la autenticidad de los registros digitales
requiere, de manera complementaria a la directriz general
establecida por la organización sobre éstos registros, el desarrollo
y configuración de mecanismos de control de integridad de
archivos. Es decir, que satisfacer la característica de autenticidad
se requiere que una arquitectura exhiba mecanismos que
aseguren la integridad de los archivos y el control de cambios de
los mismos.
Luego, al establecer una arquitectura de cómputo donde se
fortalezca la protección de los medios digitales de registro y el
procedimiento asociado para su verificación, aumenta
sustancialmente la autenticidad y veracidad de las pruebas
recolectadas y aportadas. En consecuencia, la información que se
identifique en una arquitectura con éstas características, tendrá
mayor fuerza y solidez, no sólo por lo que su contenido ofrezca,
sino por las condiciones de generación, control y revisión de los
registros electrónicos.
En otras palabras, al contar con mecanismos y procedimientos de
control de integridad se disminuye la incertidumbre sobre la
manipulación no autorizada de la evidencia aportada,
concentrándose el proceso en los hechos y no en errores técnicos
de control de la evidencia digital bajo análisis.
58
Confiabilidad
De otro lado la confiabilidad de la evidencia, es otro factor
relevante para asegurar la admisibilidad de la misma. La
confiabilidad nos dice si efectivamente los elementos probatorios
aportados vienen de fuentes que son creíbles y verificables , y
que sustentan elementos de la defensa o del fiscal en el proceso
que se sigue.
En medios digitales, podríamos relacionar el concepto de
confiabilidad con la configuración de la arquitectura de
computación. Cómo se diseñó la estrategia de registro? Cómo se
diseñó su almacenamiento? Cómo se protegen? Cómo se
registran y se sincronizan? Cómo se recogen y analizan? Son
preguntas, cuyas respuestas buscan demostrar que los registros
electrónicos poseen una manera confiable para ser identificados,
recolectados y verificados.
Cuando logramos que una arquitectura de cómputo ofrezca
mecanismos de sincronización de eventos y una centralización de
registros de sus actividades, los cuales de manera
complementaria, soportan estrategias de control de integridad,
hemos avanzado en la formalización de la confiabilidad de la
evidencia digital. Así mismo, en el desarrollo de software o diseño
de programas es necesario incluir desde las primeras fases de la
creación de aplicaciones un momento para la configuración de los
logs o registros de auditoría del sistema, ya que de no hacerlo, se
corre el riesgo de perder trazabilidad de las acciones de los
usuarios en el sistema y por tanto, crear un terreno fértil para la
ocurrencia de acciones no autorizadas.
En otras palabras, se sugiere que la confiabilidad de la evidencia
en una arquitectura de cómputo estará en función de la manera
59
como se sincronice el registro de las acciones de los usuarios y de
un registro centralizado e íntegro de los mismos. Lo cual reitera la
necesidad de un control de integridad de los registros del sistema,
para mantener la autenticidad de los mismos.
Suficiencia
La completitud o suficiencia de la evidencia o más bien, la
presencia de toda la evidencia necesaria para adelantar el caso.
Esta es una característica, que igual que las anteriores, es factor
crítico de éxito en las investigaciones adelantadas en procesos
judiciales. Frecuentemente la falta de pruebas o insuficiencia de
elementos probatorios ocasiona la dilación o terminación de
procesos que podrían haberse resuelto. En este sentido, los
abogados reconocen que mientras mayores fuentes de análisis y
pruebas se tengan, habrá posibilidades de avanzar en la defensa o
acusación en un proceso judicial.
Desarrollar estas características en arquitecturas de cómputo
requiere afianzar y manejar destrezas de correlación de eventos en
registros de auditoría. Es decir, contando con una arquitectura con
mecanismos de integridad, sincronización y centralización, es
posible establecer patrones de análisis que muestren la imagen
completa de la situación bajo revisión.
La correlación de eventos, definida como el establecimiento de
relaciones coherentes y consistentes entre diferentes fuentes de
datos para establecer y conocer eventos ocurridos en una
arquitectura o procesos, sugiere una manera de probar y verificar
la suficiencia de los datos entregados en un juicio. Si analizamos
esta posibilidad, es viable establecer relaciones entre los datos y
eventos presentados, canalizando las inquietudes y afirmaciones
de las partes sobre comportamientos y acciones de los
60
involucrados, sustentando dichas relaciones con hechos o
registros que previamente han sido asegurados y sincronizados.
Con esto en mente, la correlación se convierte en factor
aglutinante de las características anteriores referenciadas para
integridad y confiabilidad de la evidencia, sugiriendo un panorama
básico requerido en las arquitecturas de cómputo para validar las
condiciones solicitadas por la ley con relación a la evidencia.
Es decir, que la correlación de eventos como una función entre la
centralización del registro de eventos y el debido control de
integridad de los mismos, se soporta en una sincronización formal
de tiempo y eventos en el tiempo, que deben estar disponibles por
la arquitectura de cómputo para asegurar la suficiencia del análisis
de la información presente en una arquitectura de cómputo.
Conformidad con las leyes y reglas del Poder Judici al.
Finalmente, lo relacionado con la conformidad de las leyes y reglas
de la justicia, hace referencia a los procedimientos
internacionalmente aceptados para recolección, aseguramiento,
análisis y reporte de la evidencia digital. Si bien esta previsto en los
códigos de procedimiento civil y penal las actividades mínimas
requeridas para aportar evidencia a los procesos, en medios
digitales existen iniciativas internacionales como las de IOCE
(International Organization of Computer Evidence), la convención
de cybercrimen presentada por la comunidad europea, el digital
forensic reseach workshop, entre otros donde se establecen
lineamiento de acción y parámetros que cobijan el tratamiento de
la evidencia en medios electrónicos, los cuales deben ser
revisados y analizados en cada uno de los contextos nacionales
para su posible incorporación.
61
Cuando se tiene acceso a evidencia digital por medios no
autorizados y no existen medios para probar su autenticidad,
confiabilidad y suficiencia, los elementos aportados carecerán de la
validez requerida y serán tachados de ilegales. Esta evidencia
obtenida de esta manera, no ofrece maneras para comprobar las
posibles hipótesis que sobre el caso se hayan efectuado, dadas la
irregularidades que enmarcan su presentación.
Buenas prácticas a la hora de la recogida y análisi s de los
datos
Estudio Preeliminar
Es el primer paso de cualquier análisis forense. Nos deben explicar
con la mayor exactitud posible qué ha ocurrido, qué se llevaron o
intentaron llevar y cuándo ocurrió. También se tendrá que recoger
información sobre la organización, ya sea organización, casa, etc.
Se recogerá información sobre la tipología de red y de gente
directa o indirectamente implicada. También se recogerá
información sobre el tipo de escenario y el/los sistema/s
afectado/s.
¿Apagamos el equipo?
Se pueden presentar dos casos. El primero es el de no apagar el
equipo. Si no se apaga el equipo, se podrá ver todos los procesos
en ejecución, los consumos de memoria, las conexiones de red,
los puertos abiertos, los servicios que corren en el sistema, etc.
También se presenta el problema de que si apagamos el equipo,
se perderá información volátil que puede ser esencial para el curso
de la investigación.
62
La parte mala de esta situación es que el sistema, al poder estar
contaminado, éste puede ocultar la información. También se
presenta el problema de que si se apaga el sistema, éste puede
comprometer a toda la red.
Si no se apaga el sistema se tendrá que controlar este aspecto de
la seguridad, y aislarlo completamente de la red, lo cual llega a ser
prácticamente imposible en determinados escenarios.
Tipo de Herramientas
Una de las cosas más importantes a la hora de realizar un análisis
forense es la de no alterar el escenario a analizar. Esta es una
tarea prácticamente imposible, porque como mínimo, alteraremos
la memoria del sistema al utilizar cualquier herramienta. Las
herramientas que se utilicen deben de ser lo menos intrusivas en el
sistema, de ahí que se huya de las herramientas gráficas, las que
requieren instalación, las que escriben en el registro, etc.
Lo normal y lógico sería utilizar herramientas ajenas al sistema
comprometido, ya sean herramientas guardadas en cualquier
soporte (CD-ROM, USB, etc.). Esto se hace para no tener que
utilizar las herramientas del sistema, ya que pueden estar
manipuladas y arrojar falsos positivos, lecturas erróneas, etc.
Tipo de Copia del Sistema
En el caso de que se pueda realizar, lo ideal sería hacer más de
una copia de seguridad. Una de ellas se podría guardar
herméticamente junto con algún sistema de fechado digital y una
copia se destinaría a trabajar sobre ella.
En el caso que sea posible, la imagen obtenida podremos montarla
sobre un hardware similar al de la máquina afectada.
63
Destacar los siguientes aspectos:
• La copia que se realice debería ser lo más exacta posible
• Si es posible, hacer varias copias de seguridad
• Una de ellas se guardará herméticamente, para aislarla de todo
tipo de agente exterior
• A ser posible se fecharán digitalmente y sobre el papel
• En el caso que sea posible, la imagen obtenida montarla sobre
hardware similar
Cuentas de usuario y perfiles de usuario
Dejando a un lado si se accede legítima o ilegítimamente, un
usuario no es más que cualquier persona que pueda acceder al
sistema.
En una cuenta de usuario se almacena información acerca del
usuario. Algunos datos que se guardan son:
• Nombre de usuario: Nombre con el que se identifica en el
sistema
• Nombre completo: Nombre completo del usuario (Siempre que
se rellene)
• Contraseña: Palabra cifrada para autenticarse en el sistema
• SID: Código de identificación de seguridad
• Directorio: Es el lugar donde en un principio se guardará toda
información relevante al usuario.
8. LA DIVINDAT –DIRINCRI PNP
a. Misión
La División de Investigación de Delitos de Alta Tecnología, es el
órgano de ejecución de la Dirección de Investigación Criminal
que tiene como misión, investigar, denunciar y combatir el
64
crimen organizado transnacional (Globalizado) y otros hechos
trascendentes a nivel nacional en el campo de los Delitos
Contra la Libertad, Contra el Patrimonio, Seguridad Pública,
Tranquilidad Pública, Contra la Defensa y Seguridad Nacional,
Contra la Propiedad Industrial y otros, cometidos mediante el
uso de la tecnología de la información y comunicación,
aprehendiendo los indicios, evidencias y pruebas, identificando,
ubicando y deteniendo a los autores con la finalidad de
ponerlos a disposición de la autoridad competente.
b. Funciones
1. Investigar y Denunciar la Comisión de los Delitos Contra el
Patrimonio (hurto agravado) mediante la utilización de
sistemas de transferencias electrónicas de fondos, de la
telemática en general, o la violación del empleo de claves
secretas, identificando, ubicando y capturando a los
autores y cómplices, poniéndolos a disposición de la
autoridad competente.
2. Investigar y Denunciar la Comisión de los Delitos
Informáticos en la modalidad de interferencia, acceso,
copia ilícita, alteración, daño o destrucción contenida en
base de datos y otras que ponga en peligro la seguridad
nacional, identificando, ubicando y capturando a los
autores y cómplices, poniéndolos a disposición de la
autoridad competente.
3. Investigar y Denunciar la Comisión de los delitos contra la
libertad (ofensas al pudor público-pornografía infantil),
ubicando y capturando a los autores y cómplices,
poniéndolos a disposición de la autoridad competente.
65
4. Solicitar las Requisitorias de las Personas plenamente
identificadas, no habidas a quienes se les ha probado
responsabilidad en la comisión de los delitos investigados.
5. Transcribir a las Unidades Especializadas los Delitos que
no son de su competencia y de cuya comisión se tenga
conocimiento.
6. Colaborar con la Defensa Interior del Territorio.
7. Participar en las Acciones de Defensa Civil.
8. Contribuir en el Desarrollo Socio-Económico Nacional.
9. Cumplir con las Funciones que le asigne el Comando
Institucional.
10. También investiga aquellos Delitos que son cometidos
mediante el uso de TIC's.
C. BASE LEGAL
MARCO NORMATIVO NACIONAL
1. Constitución Política del Perú, art. 166 y 171
2. Código Penal, Decreto Legislativo 635 promulgado el 03 de Abril de
1991.
• Art. 207–A, Acceso no autorizado a servicios y sistemas
informáticos y telemáticos y Base de datos público y privado.
• Art. 207-B y 207-C, Manipulación de programas informáticos.
• Art. 186, Manipulación de los datos bancarios personales (uso
indebido de tarjetas de crédito y de cajeros automáticos).
• Art. 427, Falsificación electrónica de documentos.
• Art. 161, Suplantación (e-mail)
66
• Art. 183-A, Pornografía infantil.
• Art. 216, 217, 218, 219 y 220, Propiedad intelectual.
• Art. 222, 223 y 224, Propiedad industrial: marcas, patentes.
• Art. 249, Pánico financiero.
• Art. 316, Apología.
• Art. 132, Difamación.
• Art. 331, Espionaje.
• Art.427, Manipulación y/o falsificación de datos
3. Decreto Legislativo Nº 957, promulgado el 29 de julio de 2004, art.
IV, VIII, 220, inciso 2 y 221.
4. Reglamento de la Cadena de Custodia de Elementos materiales,
evidencias y Administración de bienes incautados, aprobado por
Resolución No.729-2006-MP-FN del 15 de junio del 2006, art. 4, 7, 8,
11, 12, 13, 14, 15 y 36.
5. Ley No. 27238, Ley de la Policía Nacional del Perú.
6. Ley No. 27379, promulgada el 20 diciembre.2000 y publicada el 21
de diciembre del 2000. Ley de procedimiento para adoptar medidas
excepcionales de limitación de derechos en investigaciones
preliminares
7. Ley No.27934, establece la intervención de la Policía en la
investigación preliminar en aquellos casos que por motivos de
distancia u otros, el Fiscal no puede asistir de manera inmediata al
lugar donde la Policía realiza su intervención.
8. Ley No. 27697, que otorga facultad al Fiscal para intervención y
control de comunicaciones y documentos privados en caso
excepcional.
9. Ley Nº 27808, Ley de Transparencia y acceso a la Información
Pública.
10. Resolución Directoral Nº 1695-2005-DIRGEN/EMG del 08AGO2005.
se crea la División de Investigación de Delitos de Alta Tecnol ogía
- DIVINDAT dentro de la estructura orgánica de la DIRINCRI y se le
67
asigna la misión de: Investigar, denunciar y combatir el crimen
organizado y otros hechos trascendentes a nivel nacional en el
campo del Delito Contra el Patrimonio (Hurto Agravado de fondos
mediante sistemas de transferencias electrónicas de la telemática en
general) y Delito Contra la Libertad - Ofensas al Pudor Público
(Pornografía Infantil), en sus diversas modalidades.
D. DEFINICIÓN DE TÉRMINOS
1. Antivirus : Programa que busca y eventualmente elimina los virus
informáticos que pueden haber infectado un disco rígido o disquette.
2. Botnets : Asociación en red (nets) de máquinas autónomas (robots)
que forman un grupo de equipos que ejecutan una aplicación
controlada y manipulada por el artífice del botnet, que controla todos
los ordenadores/servidores infectados de forma remota y que pueden
emplearse para robar datos o apagar un sistema.
3. Cadena de Custodia : La cadena de custodia de la prueba es el
procedimiento controlado que se aplica a los indicios materiales
relacionados con el delito, desde su localización hasta su valoración
por los encargados de administrar justicia y que tiene como fin no
viciar el manejo de que ellos se haga y así evitar alteraciones,
sustituciones, contaminaciones o destrucciones.
4. Carding : consiste en la obtención de los números secretos de la
tarjeta de crédito, a través de técnicas de phishing, para realizar
compras a través Internet.
5. Cracker : Es alguien que viola la seguridad de un sistema informático
de forma similar a como lo haría un hacker, sólo que a diferencia de
este último, el cracker realiza la intrusión con fines de beneficio
personal o para hacer daño.
6. Delito: Es una acción antijurídica realizada por un ser humano,
tipificado, culpable y sancionado por una pena
7. Delito Informático: El Delito Informático es toda acción consciente y
voluntaria que provoca un perjuicio a persona natural o jurídica sin
68
que necesariamente conlleve a un beneficio material para su autor, o
que por el contrario produce un beneficio ilícito para su autor aun
cuando no perjudique de forma directa o inmediata a la víctima, y en
cuya comisión interviene indispensablemente de forma activa
dispositivos normalmente utilizados en las actividades informáticas.
8. Escena del delito: Una escena del delito es caracterizada
frecuentemente con un espacio físico delimitado de alguna manera,
por paredes, por un área más extensa o simplemente delimitadas por
el suelo. En función de estas características, se dice, que la escena
es cerrada, abierta o mixta.
9. Evidencia digital : Son los datos que genera por un equipo
informático, todo lo que se realice en estos equipos ya sea un
computador, celular o una palm, etc., queda registrado pudiendo ser
recuperados y procesados de forma correcta para que sea
presentado como evidencia dentro de un procesos legal. Tomemos
en cuenta que los datos eliminados normalmente o después de una
formateada del disco pueden ser recuperados y ser prueba
fundamental dentro de un proceso.
10. Hacker : Persona que posee elevados conocimientos de sistemas y
seguridad informática, los cuales pueden emplear en beneficio propio
y de la comunidad con que comparten intereses
11. Hoax : Del inglés, engaño o bulo. Se trata de bulos e historias
inventadas, que no son más que eso, mentiras solapadas en
narraciones cuyo fin último es destapar el interés del lector o
destinatario. Dichas comunicaciones pueden tener como finalidad
última: Conseguir dinero o propagar un virus.
12. Keylogger : Programa o dispositivo que registra las combinaciones
de teclas pulsadas por los usuarios, y las almacena para obtener
datos confidenciales como contraseñas, contenido de mensajes de
correo, etc. La información almacenada se suele publicar o enviar por
internet.
69
13. Malware : El término Malvare (Acrónimo en inglés de: "Malcious
software") engloba a todos aquellos programas "maliciosos"
(troyanos, virus, gusanos, etc.) que pretenden obtener un
determinado beneficio, causando algún tipo de perjuicio al sistema
informático o al usuario del mismo.
14. Pederastia : Según la Real Academia Española se define como el
“Abuso cometido con niños”. El término « abuso » significa cualquier
uso excesivo del propio derecho que lesiona el derecho ajeno, en
tanto que agresión significa acometimiento, ataque; mientras que en
el abuso la violencia o intimidación no parece significativa del
concepto, en la agresión es inequívoca. La consumación del delito de
abuso se produce tan pronto se materialice el tocamiento íntimo o la
conducta de que se trate, aunque el sujeto activo no alcance la
satisfacción buscada
15. Pedofilia : “Atracción erótica o sexual que una persona adulta siente
hacia niños o adolescente”, sin que llegue a consumarse el abuso.
16. Pharming : Manipulación de la resolución de nombres de dominio
producido por un código malicioso, normalmente en forma de
troyano, que se nos ha introducido en el ordenador mientras
realizábamos una descarga, y que permite que el usuario cuando
introduce la dirección de una página web, se le conduzca en realidad
a otra falsa, que simula ser la deseada. Con esta técnica se intenta
obtener información confidencial de los usuarios, desde números de
tarjetas de crédito hasta contraseñas. De manera que si el usuario
accede a la web de su banco para realizar operaciones bancarias, en
realidad accede a una web que simula ser la del banco, casi a la
perfección, logrando los delincuentes, obtener los códigos secretos
del usuario, pudiendo materializar el fraude con los mismos.
17. Phishing : Es la contracción de "password harvesting fishing"
(cosecha y pesca de contraseñas). Las técnicas denominadas
"phishing" consisten en el envío de correos electrónicos, en los
cuales el usuario cree que el remitente se trata de una entidad
70
reconocida y seria (usualmente bancos), en los que se solicita al
mismo que por unos u otros motivos debe actualizar o verificar sus
datos de cliente a través, normalmente, de un enlace a una página
que simula ser de la entidad suplantada. Una vez el usuario remite
sus datos, los delincuentes o estafadores pueden proceder a operar
con los mismos.
18. Pornografía infantil : Se define como “toda representación, por
cualquier medio, de un niño dedicado a actividades sexuales
explícitas, reales o simuladas, o toda representación de las partes
genitales de un niño, con fines primordialmente sexuales”
19. Spam o “correo basura” : Todo tipo de comunicación no solicitada,
realizada por vía electrónica. De este modo se entiende por Spam
cualquier mensaje no solicitado y que normalmente tiene el fin de
ofertar, comercializar o tratar de despertar el interés respecto de un
producto, servicio o empresa. Aunque se puede hacer por distintas
vías, la más utilizada entre el público en general es mediante el
correo electrónico. Quienes se dedican a esta actividad reciben el
nombre de spammers.
20. Spoofing : Hace referencia al uso de técnicas de suplantación de
identidad generalmente con usos maliciosos o de investigación.
Tipos: I
21. IP Spoofing : suplantación de IP. Consiste básicamente en sustituir la
dirección IP origen de un paquete TCP/IP por otra dirección IP a la
cual se desea suplantar.
22. Tráfico de menores con fines de explotación sex ual : La conducta
consiste en favorecer la entrada, estancia o salida del territorio
nacional de personas menores de edad con el propósito de su
explotación sexual empleando violencia, intimidación o engaño, o
abusando de una situación de superioridad o de necesidad o
vulnerabilidad de la víctima o para iniciarla o mantenerla en una
situación de prostitución.
71
23. Virus informático : Programa de ordenador que puede infectar otros
programas o modificarlos para incluir una copia de sí mismo. Los
virus se propagan con distintos objetivos, normalmente con
finalidades fraudulentas y realizando daños en los equipos
informáticos.
72
CAPITULO III
ANÁLISIS
A. SISTEMATIZACIÓN DE LA INFORMACIÓN
1. El uso frecuente de computadoras y de la posibilidad de su
interconexión a nivel global da lugar a un verdadero fenómeno de
nuevas dimensiones denominado: el delito informático; este delito,
implica actividades criminales que en un primer momento los países
han tratado de encuadrar figuras típicas de carácter tradicional, tales
como: hurto, fraude, falsificaciones, estafa, sabotaje, entre otros. Sin
embargo, debe destacarse que el uso de las técnicas informáticas
ha creado nuevas posibilidades del uso indebido de computadoras,
propiciando a su vez la necesidad de regulación por parte del
derecho.
2. En nuestro país los delitos informáticos se encuentran previstos en
el Título V: Delitos contra el Patrimonio, Capítulo X: Delitos
Informáticos del Código Penal, contemplados por los artículos 207-
A, 207-B y 207-C, incorporados por la Ley No. 27309. El delito más
utilizado por los criminales es el “Hurto Telemático”, previsto y
sancionado en el artículo 186º del Código Penal, pero esta figura no
está incluída en el Capítulo referido a los delitos informáticos.
3. La informática y la información, como valor económico, no tienen
regulación específica en nuestro país, a diferencia de lo que ocurre
en otros países (Derecho Comparado). No obstante, existen normas
que de alguna u otra forma hacen referencia a ellas, así por ejemplo
en nuestro Código Penal se encuentran tipificados implícitamente en
los delitos contra el honor (cuando el delito se comete por
comunicación social –internet, etc.), contra la libertad (Coacción),
contra el patrimonio (estafa, extorsión, fraude de personas jurídicas,
73
etc.) y en normas no codificadas como la Ley de Derechos del Autor
(Decreto Legislativo Nº 822, en el que se dedica dos capítulos
específicos a la protección de programas de ordenador (Título VI –
Disposiciones Especiales para ciertas obras, Capítulo III – de las
bases de datos, art. 78); en este caso la protección jurídica se centra
en los derechos intelectuales inmanentes a la creación de estos, la
Ley de Propiedad Industrial, Decreto Legislativo Nº 823, que
constituye el fundamento de protección de la información se centra
en su confidencialidad de la misma, resguardándose tan sólo la
revelación, adquisición o uso del secreto.
4. La Ley Nº 27808 (Ley de Transparencia y acceso a la Información
Pública), que regula el derecho fundamental del acceso a la
información, consagrado en el numeral 5 del Art. 2 de la Constitución
Política del Perú, a la par que establece las excepciones al ejercicio
de dicho derecho (art. 15) prohibiendo taxativamente acceder a la
información expresamente, clasificada como estrictamente secreta,
materias cuyo conocimiento público pueden afectar los intereses del
país en negociaciones o tratados internacionales, información
protegida por el secreto bancario, etc.; de modo que si alguien no
autorizado viola dicho precepto está sujeto a las responsabilidades
de ley sin que se tipifique expresamente la penalidad ni menos se le
califique como figura agravante.
5. La cadena de custodia de la prueba es el procedimiento controlado
que se aplica a los indicios materiales relacionados con el delito,
desde su localización hasta su valoración por los operadores de
justicia (Policía, Ministerio Público y Poder Judicial) y que tiene como
fin no viciar el manejo que de ellos se haga y así evitar alteraciones,
sustituciones, contaminaciones o destrucciones. Es el procedimiento
destinado a garantizar la individualización, seguridad y preservación
de los elementos materiales y evidencias, recolectados de acuerdo a
74
su naturaleza o incorporados en toda investigación de un hecho
punible, destinados a garantizar su autenticidad, para los efectos del
proceso, las actas, formularios y embalajes forman parte de la
cadena de custodia.
6. Este procedimiento, en la investigación de delitos informáticos, se
inicia con el aseguramiento, inmovilización o recojo de los elementos
materiales y evidencias digitales en el lugar de los hechos, durante
las primeras diligencias o incorporados en el curso de la
investigación preliminar o preparatoria y concluye con la disposición
o resolución judicial que establezca su destino final. En ese sentido,
la Policía Nacional en el cumplimiento de su misión y funciones
actúa directamente desde el primer momento en que toma
conocimiento del hecho y está en contacto íntimo con las
circunstancias de su realización, así como del imputado y de la
víctima, por lo que posee vastos conocimientos de causa sobre el
acto punible, sus móviles, las modalidades, los efectos del delito, los
partícipes, los cómplices, los encubridores, los receptadores, los
autores intelectuales, los testigos, los informantes, los confidentes,
las redes del crimen organizado, etc. que en muchos casos el
Ministerio Público desconoce o no domina a cabalidad
7. En tal sentido, la evidencia digital son cada día más recurrentes en
los procesos judiciales. Son las pruebas que sustentan los delitos
informáticos y afines, son correos electrónicos, grabaciones
generadas y conservadas en formato digital, fotografías digitales,
mensajes de texto de celulares, llamadas reportadas en la base de
datos de los operadores de telefonía móvil, entre otras; lo que pone
en la mira el deficiente conocimiento que sobre la gestión de éste
tipo de evidencias se debe asentar.
75
8. En ese contexto, la División de Investigación de Delitos de Alta
Tecnología –DIVINDAT PNP, que se encarga de la investigación de
los delitos informáticos, alimentándose de información de las
denuncias directas recibidas y del patrullaje virtual que efectúa en el
desempeño de su función, para que las investigaciones que realiza
sean eficientes debe de contar con el personal profesional
especializado, los recursos logísticos necesarios y tener presente
que el valor de las pruebas y/o evidencias digitales obtenidas con el
mayor esmero y mejor conservadas puede perderse si no se
mantiene debidamente la cadena de custodia y asumir que este
sistema es el punto débil de las investigaciones policiales y/o
judiciales. Pues debe de entender además que la documentación
cronológica y minuciosa de las pruebas son vitales para establecer
su vinculación con el presunto delito, desde el principio, es decir,
debe garantizar la trazabilidad y la continuidad de las pruebas desde
la escena del delito hasta su destino final en la sala del juzgado.
B. ANÁLISIS DE LA INFORMACIÓN
1. La presente investigación se realizó en la División de Investigación
de Delitos Informáticos –DIVINDAT –DIRINCRI PNP, Sub unidad
especializada encargada de investigar, denunciar y combatir el
crimen organizado y otros hechos trascendentes a nivel nacional los
Delitos Informáticos, Contra la Libertad, Contra el Patrimonio,
Seguridad Pública, Tranquilidad Pública, Contra la Defensa y
Seguridad Nacional, Contra la Propiedad Industrial y otros,
cometidos mediante el uso de la tecnología de la información y
comunicación, durante el mes de Mayo 2010, con la finalidad de
evaluar el sistema de cadena de custodia de la evidencia digital en
las investigaciones que realiza esta dependencia policial; así como
determinar de que manera influye este procedimiento de tratamiento
de la prueba en la investigación.
76
2. Durante la presente investigación, pese a las limitaciones por el
factor tiempo y otros precedentemente señalados, se ha acopiado
información importante respecto de los procedimientos
implementados en esta Sub Unidad que utilizan para la obtención y
custodia de la evidencia digital en la investigación de delitos
informáticos y del nivel de capacitación del personal en la obtención,
preservación y custodia de la evidencia digital, para responder
eficientemente en el cumplimiento de su misión.
3. Se realizó por que se debe de tener en cuenta el valor de las
pruebas y/o evidencias digitales obtenidas durante un proceso
investigatorio, que a pesar de haberse efectuado con el mayor
esmero y mejor conservadas puede perderse, alterarse o destruirse
si no se mantiene debidamente la cadena de custodia y asumir que
este aspecto es el punto débil de las investigaciones policiales y/o
judiciales. Además, que el tratamiento correcto de estas evidencias
son vitales para establecer su vinculación con el presunto delito,
desde el principio, es decir, desde que son descubiertas en la
escena del delito hasta su destino final dispuesto por el Fiscal o
Juez competente.
4. El objetivo del estudio realizado está orientado a determinar la
influencia del sistema de cadena de custodia de la evidencia digital
en la investigación de los delitos informáticos realizados por la
DIVINDAT –PNP, estableciéndose de acuerdo a los resultados
obtenidos que si no se instituyen esquemas y/o procedimientos
apropiados y continuos con la evidencia digital, desde el inicio
(descubiertas) o incorporada durante la investigación preliminar o
preparatoria hasta su destino final (Fiscalía o Poder Judicial)
repercutirá de manera negativa en la investigación y acarreará
responsabilidades, pues se debe de tener en cuenta que la cadena
de custodia es un procedimiento establecido por la Ley (CPP) y su
77
aplicación obliga a los operadores de justicia a actuar con la debida
diligencia a fin de que la prueba digital sea conservada para
garantizar su autenticidad, para los efectos del proceso y no sea
alterada, contaminada o destruida.
5. A pesar que en la DIVINDAT –PNP en la actualidad no exista un
Manual o Guía de procedimientos Operativos adecuado, oportuno y
actualizado para el tratamiento de la evidencia digital a través del
sistema de cadena de custodia de la evidencia, así como a las
limitaciones existentes de índole personal y logística; en la labor
operativa que están desempeñando vienen dando resultados
eficientes en su lucha contra los delincuentes cibernautas y crimen
organizado, desbaratando bandas u organizaciones delictivas que
usan como medios o fines los sistemas y equipos informáticos o
telemáticos; no habiéndose presentado hechos o situaciones en las
que la evidencia digital obtenida haya sido dañada, alterada o
contaminada y perjudicado la investigación.
C. ANÁLISIS DE RESULTADOS
Resultados de la variable investigación de delitos informáticos
Con la finalidad de presentar los resultados de la variable investigación
de delitos informáticos, sobre la base de los resultados obtenidos se
empleó la técnica de análisis de los indicadores de selección, nivel de
capacitación y logros alcanzados del personal PNP de la DIVINDAT PNP
1. Selección de personal.
En la Policía Nacional del Perú, en el proceso de selección de
personal policial que se lleva a cabo en la Dirección de Recursos
Humanos –DIRREHUM, con motivo de los Cambios Generales
anuales, para el desempeño profesional de un efectivo PNP (Oficial
78
o Suboficial) en una determinada Unidad policial, no se toman en
cuenta la especialidad, nivel de capacitación entre otros con el
objeto de mejorar la capacidad operativa de la Unidad. En la
DIVINDAT PNP, en el periodo 2010 se cuenta con el recurso
humano siguiente:
Tabla No. 1
Personal PNP que labora en la DIVINDAT PNP, por jerarquías, año 2010
JERARQUÍAS CANTIDAD
OFICIALES SUPERIORES 14
OFICIALES PNP 11
SUBOFICIALES PNP 24
TOTAL 49
Fuente: DIVINDAT PNP
• La tabulación nos indica que existe en igual porcentaje Oficiales y
Suboficiales PNP, de los cuales, los Oficiales Superiores ejercen
cargos de Jefe de Unidad y Departamento, dirigen las
investigaciones que se llevan a cabo.
OFICIALES SUPERIORES
29%
OFICIALES22%
SUBOFICIALES
49%
OFICIALESSUPERIORES
OFICIALES
SUBOFICIALES
79
• Los Oficiales PNP desempeñan cargos operativos en los Tres (03)
Departamentos existentes en la DIVINDAT PNP (Dpto. de Análisis
Técnico, Dpto. de Investigación de pornografía infantil, Dpto. de
Investigaciones Especiales y Dpto. de delitos informáticos), al igual
que los Suboficiales.
2. Nivel de capacitación
Tabla No. 2
Nivel de instrucción y capacitación del personal de la DIVINDAT PNP periodo
2010
INSTRUCCIÓN CANTIDAD
PROFESIONALES EN INFORMÁTICA 03
ESTUDIANTES UNIVERSITARIOS DE INFORMÁTICA
06
CURSO DE CAPACITACIÓN EN INFORMÁTICA
08
NO TIENEN CURSO DE INFORMÁTICA 32
TOTAL 49
Fuente: DIVINDAT –PNP
Profesionales6%
Estudiantes U12%
Cursos Capac16%No tienen
66%
Profesionales
Estudiantes U
Cursos Capac
No tienen
80
• De los resultados obtenidos se infiere que sólo el 18% del personal
que labora en la DIVINDAT PNP son profesionales y con estudios
universitarios en informática, quienes vienen a ser el soporte
profesional y técnico de los análisis forenses de la evidencia digital.
• El 16% del personal cuenta con Curso de Capacitación en
Informática, quienes contribuyen de manera significativa en la
obtención de la evidencia digital y manejo del sistema de custodia de
la misma; así como de las investigaciones policiales..
• Existe un 66% del personal en la DIVINDAT PNP que podrían poner
en riesgo los procedimientos para la obtención y conservación de la
evidencia digital, así como la investigación propiamente dicha.
3. Logros alcanzados
Durante el periodo de Enero a Mayo 2010, en la DIVINDAT PNP se
han registrado un total de 685 denuncias, entre directas y
provenientes del Ministerio Público, por diferentes delitos, según su
competencia funcional (delitos informáticos, delito Contra el
Patrimonio –Hurto agravado, estafa, pornografía infantil, etc.),
cometidos mediante el uso de la informática o sistemas telemáticos.
Tabla No. 3
Documentos policiales formulados en la DIVINDAT PNP en el periodo Enero –
Mayo 2010
ATESTADOS PARTES INFORMES TECNICOS INFORMES 62 183 150 67
Fuente: DIVINDAT PNP
• Del cuadro que antecede se infiere que en la DIVINDAT PNP se han
resuelto el 35.77% del total de denuncias existentes, lo que
determina que pese a las limitaciones de índole personal y logística
que adolece esta Sub Unidad, los resultados son eficaces.
81
• Asimismo, se tiene que mensualmente en la DIVINDAT PNP se
registran 137 denuncias, de cuyo aspecto se deduce que los delitos
cometidos mediante el uso de sistemas informático o telemáticos se
estarían incrementando en el país.
Tabla No. 4
Atestados policiales formulados en la DIVINDAT PNP según modalidad
delictiva en el periodo Enero –Mayo 2010
DELITO ATESTADOS
DCP –HURTO AGRAVADO 39
DCP –EXTORSIÓN 6
DCP –ESTAFA 4
DCL –COACCIÓN 1
DCL –OFENSAS AL PUDOR 6
VIOLACIÓN SEXUAL DE MENOR 2
DELITOS INFORMÁTICOS 3
DERECHOS DE AUTOR 1
TOTAL 62
0
5
10
15
20
25
30
35
40
45
1
HURTO AGRAV
EXTORSION
ESTAFA
COACCION
OFENSA PUDOR
VIOL. SEXUAL MEN
DELITOS INFORM
DER AUTOR
82
• De la tabulación efectuada se infiere que los delitos contra el
patrimonio en la modalidad de Hurto agravado mediante el uso de
sistemas informáticos o telemática, son los que en mayor número se
registran e investigan.
Resultados de la variable Cadena de Custodia de la evidencia
digital
Con la finalidad de presentar los resultados de la variable Cadena de
Custodia de la evidencia digital, se empleó la técnica de análisis de
contenido de las normas y procedimientos que regulan este sistema en
el proceso de la investigación judicial.
1. Análisis documental de la Cadena de Custodia est ablecida en
el Ministerio Público
La Resolución Nº 729-2006-MP-FN del 15.junio.2006, Reglamento
de la Cadena de Custodia de elementos materiales, evidencias y
administración de bienes incautados, que normaliza el
procedimiento de “Cadena de Custodia” tanto de los elementos
materiales y evidencias, así como de los bienes incautados, a efecto
de garantizar la autenticidad y conservación de los elementos
materiales y evidencias incorporados en toda investigación de un
hecho punible, auxiliados por las ciencias forenses, la criminalística,
entre otras disciplinas y técnicas que sirvan a la investigación
criminal; establece que los elementos materiales, evidencias y
bienes incautados se registrarán en el formato de la cadena de
custodia mediante una descripción minuciosa y detallada de los
caracteres, medidas, peso, tamaño, color, especie, estado, entre
otros datos del medio en el que se hallaron los elementos
materiales y evidencias, de las técnicas utilizadas en el recojo y
pericias que se dispongan, en el cual no se admiten enmendaduras.
83
Y que los bienes materiales y las evidencias recolectadas o
incorporadas, deberán ser debidamente rotuladas y etiquetadas
para su correcta identificación y seguridad e inalterabilidad.
Estableciendo además en esta Directiva el formato y supervisión de
la cadena de custodia, el procedimiento de recolección, embalaje y
traslado, el registro y la custodia de los elementos materiales,
evidencias y bienes incautados.
2. Análisis documental de la Cadena de Custodia en la DIVINDAT
En el Manual de Procedimientos Operativos de la DIVINDAT PNP,
vigente para el año 2010, se establece los procedimientos
elementales, básicos y especializados, que deben de adoptar los
efectivos de esa Unidad, cuando tomen conocimiento de la comisión
de un delito informático o de la comisión de un delito con el empleo
de la informática. Estableciéndose en dicho documento además
algunas acciones o procedimientos operativos en la escena del
delito, comprendiendo: Llegada al lugar de los hechos, en el lugar
de los hechos, del traslado de equipos incautados; no señalándose
los procedimientos específicos para el aseguramiento de la
evidencia digital mediante la recolección, embalaje, registro y
custodia del mismo, acorde a lo establecido en el Reglamento de
Cadena de Custodia del Ministerio Público, a fin que la evidencia
obtenida no sufra alteración, manipulación o deterioro.
A pesar del procedimiento empírico desarrollado en la DIVINDAT
PNP respecto del sistema de cadena de custodia de la evidencia
digital, durante el presente estudio efectuado no se ha registrado
caso alguno en la que la evidencia digital se haya alterado,
contaminado o deteriorado y consecuentemente haya perjudicado
las investigaciones policiales.
84
CONCLUSIONES
A. El personal de la DIVINDAT –PNP que participa en intervenciones
policiales (allanamientos y secuestros) que involucra tecnología, ha
demostrado que es necesario contar con un conjunto de acciones legales
y de informática que deben ser ejecutadas sistemáticamente con
procedimientos validos y adecuados a una legislación propia e invariable
en el manejo de la evidencia digital. El material tecnológico, en especial,
de informática debe contar con manipulación adecuada para evitar que se
viole la cadena de custodia, cuyo cometido es esencial para garantizar la
integridad de la evidencia, así como también otras fallas materiales y
procesales.
B. La DIVINDAT PNP, debe de contar con recursos humanos calificados y/o
especializados, presupuestaria y tecnológica, por ser esta la unidad
encargada de monitorear e investigar la criminalidad informática
organizada en el Perú y, para hacerlo de una manera efectiva, es
necesario contar con instrumentos informáticos de última generación y
personal altamente capacitado.
C. Pese a que no se cuenta con un Manual o Guía de Procedimientos
adecuado, oportuno y actualizado para el tratamiento de la evidencia
digital a través del sistema de cadena de custodia, no se han presentado
casos o situaciones en los que la evidencia digital haya sido alterada,
contaminada o destruida y perjudicado la investigación de los delitos y/o
procesos penales por delitos informáticos, por lo que urge la necesidad
de implementar la operatoria correspondiente en aras de garantizar la
autenticidad de la evidencia.
85
RECOMENDACIONES A. Aplicar de forma correcta por parte de la Dirección de Recursos
Humanos de la PNP el procedimiento de selección del personal, a fin de
escoger al personal más idóneo, capacitado y especializado para el
desempeño funcional operativo en la DIVINDAT PNP y otras Unidades
Especializadas de la PNP, a fin de coadyuvar a lograr la misión de la
institución y prestar un servicio con eficiencia y calidad a favor de la
comunidad.
B. Equipar con equipos de tecnología de punta o de última generación
(hardware y software) a la DIVINDAT PNP, así como implementar
laboratorios de informática forense en la DIRCRI PNP, que coadyuven al
correcto manejo de la evidencia digital a través de la cadena de custodia
de la evidencia, desde su obtención, traslado, conservación, registro,
análisis y destino final de la misma, para beneficiar a que las
investigaciones por delito informático o mediante el uso de sistemas
informáticos o telemáticos, pese a su complejidad sean eficaces.
C. Desarrollar en el plazo más breve un Manual o Guía de procedimientos
sobre la Cadena de Custodia de elementos materiales y evidencias
digitales a efecto de garantizar la autenticidad y conservación de las
mismas en toda investigación de un hecho punible vinculado o cometido
mediante el uso de computadoras o sistemas informáticos y telemáticos,
de alcance a todo el personal de las Unidades Especializadas.
86
BIBLIOGRAFIA
1. Constitución Política del Perú
2. Código Penal Peruano.
3. Resolución Nº 729-2006-MP-FN del 15.junio.2006
4. Manual de Procedimientos Operativos de la DIVINDAT –PNP
5. Ciberdelitos: Regulación en el Perú, Ministerio de Transportes y
comunicaciones, 2005
6. Delitos Informáticos, Dr. Luis Alberto Bramont-Arias Torres, Publicado en
Revista Peruana de Derecho de la Empresa - “DERECHO
INFORMATICO Y TELEINFORMÁTICA JURÍDICA” N° 51
7. Wikipedia, http://www.wikipedia.org/
8. Delitos Informáticos, Autor: Walter Purizaca Castro, año 2007, I edición.
9. BLOSSIERS MAZZINI, Juan José. “Descubriendo los Delitos
Informáticos”, En: Normas Legales, Legislación, Jurisprudencia y
Doctrina. tomo 280, Setiembre 1,999.
10. BLOSSIERS MAZZINI, Juan José. “Delitos Informáticos” En: Diario Oficial
El Peruano, Mayo, 1998.
87
ANEXO 1
PROYECTO DE GUIA DE PROCEDIMIENTOS PARA EL MANEJO D E LA
EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS INFORMÁTICOS
En este proyecto se exponen los pasos esenciales para la identificación y el resguardo de la evidencia digital. Si bien es cierto que existen en la actualidad guías de buenas prácticas, muchas de ellas están orientadas a profesionales informáticos o no son totalmente operativas para ser aplicadas en intervenciones policiales o allanamientos. Existen otras guías sobre manejo de evidencia digital que abordan esta temática, pero en el ámbito local también presentan inconvenientes por estar expuestas en otros idiomas, lo que las hace inaccesibles a personas sin estos conocimientos. Todo ello hace que sea necesario ofrecer en la siguiente guía, un conjunto ordenado de pasos que el personal policial deberá realizar durante un allanamiento por delito informático, a saber: 1. Separar a las personas que trabajen sobre los equipos informáticos lo
antes posible y no permitirles volver a utilizarlos. Si es una empresa, se debe identificar al personal informático interno (administradores de sistemas, programadores, etc.) o a los usuarios de aplicaciones específicas que deban someterse a peritaje. Dejar registrado el nombre del dueño o usuarios del equipamiento informático ya que luego pueden ser de utilidad para la pericia. Siempre que sea posible obtener contraseñas de aplicaciones, dejarlas registradas en el acta de allanamiento.
2. Fotografiar todos los elementos antes de moverlos o desconectarlos.
Fotografiar una toma completa del lugar donde se encuentren los equipos informáticos, y fotos de las pantallas de las computadoras, si están encendidas. Si un especialista debe inspeccionar el uso de programas, puede ser conveniente realizar una filmación.
3. Evitar tocar el material informático sin uso de guantes
descartables. Dependiendo el objeto de la investigación, el teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para análisis de huellas dactilares, ADN, etc. Si se conoce que no se realizarán este tipo de pericias puede procederse sin guantes.
4. Si los equipos están apagados deben quedar apagados, si están
prendidos deben quedar prendidos. Si participa del procedimiento un perito informático y los equipos informáticos están encendidos, se debe consultar o esperar que el profesional determine la modalidad de apagado y desconexión de la red eléctrica. Si los equipos están
88
apagados, desconectarlos desde su respectiva toma eléctrica y no del enchufe de la pared. Si son notebooks es necesario quitarles la o las baterías.
5. Identificar si existen equipos que estén conectados a una línea telefónica,
y en su caso el número telefónico para registrarlo en el acta de allanamiento.
6. Impedir que nadie –excepto un perito informático- realice búsquedas
sobre directorios o intente ver la información almacenada ya que se altera y destruye la evidencia digital (esto incluye intentar hacer una “copia” sin tener software forense específico y sin que quede documentado en el expediente judicial el procedimiento realizado). Sólo un especialista puede realizar una inspección en el lugar del hecho tendiente a determinar si el equipamiento será objeto del secuestro y de recolectar –en caso de ser necesario- datos volátiles que desaparecerán al apagar el equipo.
7. Identificar correctamente toda la evidencia a secuestrar:
a. Siempre debe preferirse secuestrar únicamente los dispositivos informáticos que almacenen grandes volúmenes de información digital (computadoras, notebooks y discos rígidos externos). También pueden secuestrarse DVD, CDs, diskettes, discos Zip, etc. pero atento a que pueden encontrarse cantidades importantes, debe ser consultado a un perito en informática si es procedente o no realizar el secuestro de este material. Los diskettes u otros medios de almacenamiento (CDs, discos Zips, etc.) deben ser secuestrados únicamente por indicación de un perito informático designado en la causa o cuando lo especifique la orden de allanamiento.
b. Rotular el hardware que se va a secuestrar con los siguientes datos:
(1) Para computadoras, notebooks, palmtops, celulares, etc.: N° del
Expediente o caso, fecha y hora, número de serie, fabricante, modelo.
(2) Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en
conjunto en un sobre antiestático, indicando N° del Expediente o caso, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y Cantidad.
(3) Cuando haya periféricos muy específicos conectados a los equipos informáticos y se deban secuestrar –por indicación de un perito informático designado en la causa- se deben identificar con etiquetas con números los cables para indicar dónde se deben conectar. Fotografiar los equipos con sus respectivos cables de conexión etiquetados.
89
8. Usar bolsas especiales antiestática para almacenar diskettes, discos
rígidos, y otros dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de electricidad estática que puede destruir los datos.
9. Precintar cada equipo informático en todas sus entradas eléctricas y
todas las partes que puedan ser abiertas o removidas. Es responsabilidad del personal policial que participa en el procedimiento el transporte sin daños ni alteraciones de todo el material informático hasta que sea peritado.
10. Resguardar el material informático en un lugar limpio para evitar la
ruptura o falla de componentes. No deberán exponerse los elementos secuestrados a altas temperaturas o campos electromagnéticos. Los elementos informáticos son frágiles y deben manipularse con cautela.
11. Mantener la cadena de custodia del material informático transportado. Es
responsabilidad del personal policial la alteración de la evidencia antes de que sea objeto de una pericia informática en sede policial o judicial. No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informático tiene rotos los precintos al momento de ser entregado, siempre que no esté descrita en el expediente la intervención realizada utilizando una metodología y herramientas forenses por profesionales calificados.
90
ANEXO 2 MATRIZ DE CONSISTENCIA
Tema: “EVALUACIÓN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS INFORMÁTICOS EFECTUADOS EN LA DIVINDAT PNP”
PROBLEMA
OBJETIVOS
VARIABLES
INDICADORES
METODOLOGÍA
Principal ¿De qué manera el sistema de cadena de custodia de la evidencia digital influye en el proceso de investigación de delitos informáticos efectuados en la DIVINDAT –DIRINCRI PNP?. Específicos 1. Los procedimientos
implementados en la DIVINDAT –DIRINCRI PNP no garantizan la obtención y custodia de la evidencia digital en la investigación de delitos informáticos.
2. El nivel de capacitación del personal PNP de la DIVINDAT –PNP no contribuye sustancialmente en las investigaciones por delitos informáticos.
3. El manejo incorrecto de la cadena de custodia de la evidencia digital no contribuye a garantizar la autenticidad de la misma.
General Determinar si el sistema de cadena de custodia influye en el proceso de investigación de delitos informáticos efectuados en la DIVINDAT –DIRINCRI PNP.
Específicos
1. Determinar si los procedimientos implementados en la DIVINDAT PNP garantizan la obtención y custodia de la evidencia digital en la investigación de delitos informáticos.
2. Establecer el nivel de capacitación del personal de la DIVINDAT –DIRINCRI PNP en la obtención, preservación y custodia de la evidencia digital en la investigación de delitos informáticos.
3. Determinar el nivel de contribución de la cadena de custodia de la evidencia digital en la investigación de los delitos informáticos.
Variable Independiente Delitos informáticos. Variable Dependiente
Sistema de cadena de custodia de la evidencia digital
- Selección personal. - Capacitación. - Especialización - Capacidad Operativa - Procedimientos - Norma legal - Implementación de
Sistemas - Evaluación de Desempeño
Tipo de Investigación Básica. Diseño de Investigación No experimental. Nivel de Investigación Descriptiva-Correlacional
91
ANEXO 2 ARBOL CAUSA –EFECTOS
Tema: “EVALUACIÓN DEL SISTEMA DE CADENA DE CUSTODIA DE LA EVIDENCIA DIGITAL EN LA INVESTIGACIÓN DE DELITOS INFORMÁTICOS EFECTUADOS EN LA DIVINDAT PNP”
