PRUEBA PERICIAL Y CADENA DE CUSTODIA

EN CRIMENES CIBERNETICOS
Mg. Hugo Ramiro Ambrosio
Bejarano

PRUEBA PERICIAL

Prueba es el conjunto de actividades destinadas a obtener el
cercioramiento judicial acerca de los elementos indispensables
para la decisin en litigio sometido a proceso, para desvirtuar la
prueba indirecta, circunstancial, conjetura o de las presunciones.

Pericia es una prueba sui generis, a veces ilustra al Juez y opina
sobre lo que se le muestra.

Prueba Pericial, viene hacer el medio probatorio con el cual se
intenta obtener, para el proceso, un dictamen fundado en
especiales conocimientos cientficos, tcnicos, artsticos o de
experiencia calificada.
2
PRUEBA PERICIAL INFORMATICA FORENSE

La prueba documental informtica, es a la Pericia Informtica-
Forense, lo que la prueba documental fsica, es a la pericia
documentolgica.

Desde el punto de vista tcnico, requiere el empleo de ciertos
protocolos que aseguren su valides probatoria.

Los especialistas en informtica para desarrollarla pueden
utilizar la detencin, recoleccin, identificacin, clasificacin,
resguardo, certificacin y traslado de la prueba indicara
informtica forense.
3
INFORME PERICIAL INFORMATICA FORENSE

Esta no difiere de los informe periciales clsicos, utilizados por
las disciplinas de criminalstica: Medicina legal (historias
clnicas virtuales), Criminologa (Modus operandi, perfil
psicolgico), Criminalstica (Aplicados a la resolucin de las
interrogantes indiciarios), Otras disciplinas.

Presentacin.

Cuatro secciones: Objeto de la pericia, elementos ofrecidos,
operaciones realizadas y conclusiones.

Cierre, elevacin y recibo en devolucin.
4
INFORMATICA FORENSE

Es un mtodo probatorio consistente en la revisin cientfica,
tecnolgica y tcnica, con fines periciales, de una coleccin de
evidencias digitalizadas para fines de investigacin o legales.

Cada caso especfico debe ser analizado como si fuera a juicio,
de esta manera cualquier investigacin en Informtica Forense
puede soportar un escrutinio legal.

Informtica Forense al conjunto multidisciplinario de teoras,
tcnicas y mtodos de anlisis que brindan soporte
conceptual y procedimental a la investigacin de la prueba
indiciaria informtica.
5
INFORMATICA FORENSE
El propsito de la Informtica Forense consiste en contribuir en
determinar la identificacin de los responsables del delito
informtico.

Tambin permite esclarecer la causa original de un ilcito o
evento particular para asegurar de que no se vuelva a repetirse.

La Informtica Forense es aplicable tanto en los casos llevados
a juicio como en las investigaciones particulares solicitadas
por las empresas u organismos privados con fines de
prevencin.
6
INFORMATICA FORENSE

Objeto: la prueba indiciaria informtica.
Mtodo: Desarrollar mecanismos de anlisis criminalstica,
con soporte cientfico, tecnolgico y tcnico, sobre la prueba
indiciaria informtica.
Tipicidad: Aunque se trata de una construccin
transdisciplinaria, posee caractersticas propias derivadas de
sus diferencias conceptuales con las restantes ciencias
forenses.
Especificidad: Su empleo, desde punto metodolgico:
1. Anlisis Pericial de la Prueba Indiciaria Informtica.
2. Gestin Integral de la Prueba Documental Informtica.
3. Auditoria Informtica Forense.

7
La informtica forenses, como instrumento de
anlisis de la realidad

Por su propia naturaleza, la Informtica Forense tiende a generar
un modelo de comportamiento racional con soporte cientfico,
tecnolgico y tcnico respecto de la prueba indiciaria disponible
en un determinado lugar.

Este modelo de comportamiento, incluyendo sus
consideraciones sociales, criminolgicas y criminalstica,
instrumentado por medios idneos, como, por ejemplo, la
realidad virtual, se constituye en una autentica reconstruccin
del hecho virtual. De ah que la utilidad se expanda mas all del
mbito jurdico y judicial.
8
EVIDENCIA

Certeza manifiesta y tan perceptible de una cosa que nadie
puede racionalmente dudar de ella. Material sensible
significativo que ha sido objeto de peritacin.

EVIDENCIA DIGITAL

Es la certeza clara, manifiesta y tan perceptible que nadie puede
dudar de ella. Asimismo, es cualquier mensaje de datos
almacenados y trasmitidos por medio de un Sistema de
Informacin que tengan relacin con el hecho indebido que
comprometa gravemente el sistema y que posteriormente guie a
los investigadores al descubrimiento de los incriminados.





9
Fuentes de la evidencia digital

1. SISTEMAS DE COMPUTACION ABIERTOS: Son aquellos que
estn compuestos de las llamadas computadoras personales
y todos sus perifricos como teclados, ratones y monitores,
las computadoras porttiles y los servidores.

2. SISTEMAS DE COMUNICACIN: Estn compuestos por la
redes de telecomunicaciones, la comunicacin inalmbrica y
el Internet, gran fuentes de informacin y evidencia digital.

3. SISTEMAS CONVERGENTES DE COMPUTACION: Aquellos
formados por los telfonos celulares llamados inteligentes,
los sistemas inteligentes y de convergencia digital.
10
CLASIFICACION DE LA EVIDENCIA DIGITAL

Registros generador por computador: Generados como
efecto de la programacin de un computador, son inalterables
por una persona, llamados registros de eventos de seguridad
y sirven como prueba tras demostrar el correcto y adecuado
funcionamiento del sistema o computador que genero el
registro.

11
CLASIFICACION DE LA EVIDENCIA DIGITAL

Registros no generados sino simplemente almacenados por
o en computadores: Generados por una persona, y que son
almacenados en el computador, por ejemplo, un documento
realizado con un procesador de palabras. En estos registros es
importante lograr demostrar la identidad del generador, y
probar hechos o afirmaciones contenidas en la evidencia
misma.
12
CLASIFICACION DE LA EVIDENCIA DIGITAL

Registro hbrido que incluyan tanto registros generados por
computador como almacenados en los mismos: Los registros
hbridos son aquellos que combinan afirmaciones humanas y
los registros llamados de evento de seguridad.
13
EVIDENCIA DIGITAL
Puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera la original.

Mediante herramientas informticas existentes se puede
comparar la evidencia digital con su original, para determinar
si ha sido alterada.

Es muy fcil de eliminar. Aun cuando un registro es borrado
del disco duro del computador, y ste ha sido formateado, es
posible recuperarlo.

Cuando los individuos involucrados en un crimen tratan de
destruir la evidencia, existen copias que permanecen en otros
sitios.
14
MANIPULACION DE EVIDENCIA DIGITAL

Hacer uso de medios forenses estriles (para copias de
informacin)

Mantener y controlar la integridad del medio original. Esto
significa, que a la hora de recolectar la evidencia digital, las
acciones realizadas no deben cambiar nunca esta evidencia.

Cuando se necesario que una persona tenga acceso a
evidencia digital forense, esa persona debe ser un profesional
forense.
15
MANIPULACION DE EVIDENCIA DIGITAL

Las copias de los datos obtenidos, deben estar correctamente
marcadas, controladas y preservadas. Y al igual que los
resultados de la investigacin, deben estar disponibles para su
revisin.

Siempre que la evidencia digital este en poder de algn
individuo, este ser responsable de todas la acciones tomadas
con respecto a ella, mientras este en su poder.

Las agencias responsables de llevar el proceso de recoleccin
y anlisis de la videncia digital, sern quienes deben
garantizar el cumplimiento de los principios de criminalstica.
16
INFORMATICO FORENSE

Objeto: la prueba indiciaria informtica.
Mtodo: Desarrollar mecanismos de anlisis criminalstica,
con soporte cientfico, tecnolgico y tcnico, sobre la prueba
indiciaria informtica.
Tipicidad: Aunque se trata de una construccin
transdisciplinaria, posee caractersticas propias derivadas de
sus diferencias conceptuales con las restantes ciencias
forenses.
Especificidad: Su empleo, desde punto metodolgico:
1. Anlisis Pericial de la Prueba Indiciaria Informtica.
2. Gestin Integral de la Prueba Documental Informtica.
3. Auditoria Informtica Forense.

17
LOS ROLES EN LA INVESTIGACION

La investigacin cientfica de una escena del crimen es un
proceso formal, donde el investigador forense, documenta y
adquiere toda clase de evidencias, usa su conocimiento
cientfico y sus tcnicas para identificarla y generar indicios
suficientes para resolver un caso.


18

1. TECNICOS EN ESCENA DEL CRIMEN INFORMATICAS: Son los
primeros en llegar a la escena del crimen, son los encargados
de recolectar las evidencias que ah se encuentran. Tiene
una formacin bsica en el manejo de evidencia y
documentacin, al igual que en reconstruccin del delito, y la
localizacin de elementos de conviccin dentro de la red.

2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMATICA:
Aquellos responsables de procesar toda la evidencia digital o
informtica obtenida por los Tcnicos en Escenas del Crimen
Informticos. Para esto dichas personas requieren tener un
alto grado de especializacin en el rea de sistemas e
informtica.
19

1. 3. INVESTIGADORES DE DELITOS INFORMATIOS: Son los
responsables de realizar la investigacin y la reconstruccin
de los hechos de los Delitos Informticos de manera general,
son personas que tienen un entrenamiento general en
cuestiones de informtica forense, son profesionales en
seguridad informtica, Abogados, Policas, y examinadores
forenses.


20
EL PERFIL DEL INVESTIGADOR FORENSE

Debe de regirse bajo los Principios:

1. OBJETIVIDAD: El investigador Forense debe ser objetivo,
debe observar los cdigos de tica profesional.

2. AUTENTICIDAD Y CONSERVACION: Durante la investigacin,
se debe conservar la autenticidad e integridad de los medios
probatorios.

3. LEGALIDAD: El perito debe ser preciso en sus observaciones,
opiniones y resultados, conocer la legislacin respecto de sus
actividades periciales y cumplir con los requisitos
establecidos por ella.
21

4. IDONIEDAD: Los medios probatorios debe ser autnticos, ser
relevantes y suficientes para el caso.

5. INALTERABILIDAD: En todos los casos, existir una cadena de
custodia debidamente asegurada que demuestre que los
medios no han sido modificados durante la pericia.

6. DOCUMENTACION: Deber establecer por escrito los pasos
dados en el procedimiento pericial

El perfil que debe demostrar es de un profesional hbrido que
no le es indiferente su rea de formacin profesional, con
temas de: Tecnologa de la informacin, ciencias jurdicas,
criminalstica y de las ciencias forenses.
22
Principios y relaciones periciales informtico
forenses

Principio de entidad pericial propia.- El empleo de los medios
informticos como instrumentos de conformacin de prueba
indiciaria informtico forense. Prueba que si bien constituye una
parte de la Criminalstica y en lo formal no difiere de cualquier
otra prueba pericial, se integra con metodologa propia, que
permite asegurar la detencin, identificacin, documentacin,
preservacin y traslado de la evidencia obtenida, con tcnicas e
instrumentos propios e inditos para las ciencias criminalsticas.
En ese sentido, la prueba indiciaria informtico forense, requiere
de cuidados especficos que la diferencian de otras pruebas
periciales.

23
Principios y relaciones periciales informtico
forenses

Principio de proteccin y preservacin.- Cadena de custodia
estricta y con certificacin unvoca comprobable.

24
Principios y relaciones periciales informtico
forenses

Principio de identidad impropio (de copias).- Del original, ya
que cuando se duplica un archivo informtico la copia no es igual
a la original sino idntica (un bit no difiere de otro bit y entre s
son identificables unvocamente).

25
Principios y relaciones periciales informtico
forenses

Principio tecnolgico transdisciplinario.- Se requiere
conocimientos especficos por parte de todos los involucrados
en la prueba indiciaria informtico forense:

Jueces para evaluar correctamente la prueba.
Fiscales y abogados para efectuar la presentacin de manera
adecuada y oportuna.
Profesionales de la Criminalstica y otros peritos, para no
contaminar dicha prueba durante sus propias tareas periciales
a su preservacin.
Funcionario judiciales y policiales a efectos de proteger y
mantener la cadena de custodia establecida.

26
Principios y relaciones periciales informtico
forenses

Principio de oportunidad.- Debido a su finalidad de destruccin
normalmente requiere de tareas complementarias que aseguren
su recoleccin (medidas preliminares, inspecciones o
reconocimientos judiciales, ordenes de allanamiento o de
intercepcin judicial)
27
Principios y relaciones periciales informtico
forenses

Principio de compatibilizacin legislativa internacional.- Gran
parte de los contratos particulares celebrados en el marco del
derecho Internacional Privado se realiza mediante
comunicaciones digitales (instrumentos de correo electrnico en
claro o cifrado y certificadas por medido de claves criptogrficas
o firmas digitales). Estas actividades no solo devienen en
demandas civiles, comerciales y laborales internacionales, sino
que en algunas oportunidades constituyen delitos tipificados en
la legislacin de casa pas.
28
Principios y relaciones periciales informtico
forenses

Principio de vinculacin estricta.- Gran parte de los contratos
particulares celebrados en el marco del derecho Internacional
Privado se realiza mediante comunicaciones digitales
(instrumentos de correo electrnico en claro o cifrado y
certificadas por medido de claves criptogrficas o firmas
digitales). Estas actividades no solo devienen en demandas
civiles, comerciales y laborales internacionales, sino que en
algunas oportunidades constituyen delitos tipificados en la
legislacin de casa pas.
29
Principio de Criminalstica

Principio del intercambio.- Locard, nos dice que cuando dos
objetos entran en contacto siempre existe una transferencia de
material entre el uno y el otro. Es decir que cuando una persona
esta en una escena del crimen esta deja algo de si misma dentro
de la escena, y a su vez cuando sale de ella esta se lleva algo
consigo.

Ej. En el caso de las bitcoras o LOGS del sistema operativo de un
equipo informtico utilizado por un Hacker o Cracker para
romper las seguridades de un programa o vulnerar la seguridad
de un Sistema Informtico remoto. En dicha bitcora el
investigador podre encontrar registrada dicha actividad ilegal.
30
PRINCIPIO FUNDAMENTAL EN LAS CIENCIAS
FORENSES
ESCENA DEL CRIMEN
INCRIMINADO
VICTIMA
EVIDENCIA
PRINCIPIO DE INTERCAMBIO
OBJETO 1
OBJETO 2
LA INTERACCION CAUSA INTERCAMBIO DE DATOS
LA INTERACCION CAUSA INTERCAMBIO DE DATOS
LA CADENA DE CUSTODIA

Es aquel procedimiento, oportunamente documentado, que
permite constatar la identidad, integridad y autenticidad de los
vestigios o indicios delictivos, desde que son encontrados hasta
que se aportan al proceso como pruebas.
33
PRINCIPIOS DE LA CADENA DE CUSTODIA

La cadena de custodia, fundamenta su fuerza aseguradora de
intangibilidad en cinco principales principios: El principio de
identidad, principio de integridad, principio de preservacin,
principio de seguridad, principio de almacenamiento, principio
de continuidad y registro.
34
EL PRINCIPIO DE IDENTIDAD

Quienes participan en la recoleccin de las evidencias fsicas o el
material sensible significativo del lugar de los hechos, debern
individualizar cada uno de los mismos a travs de una
descripcin completa y detallada de sus caractersticas,
cindose en esta tarea a una estricta y objetiva descripcin de
cada elemento integrante de la misma.
35
EL PRINCIPIO DE INTEGRIDAD

La no alteracin de los elementos de prueba recogidos por los
peritos, garantiza su integridad. En ese sentido, los operadores
encargados de su levantamiento, anlisis y transporte deben
ceirse su actuar respetando los debidos procedimientos
emanados de la ley y la ciencia.
36
EL PRINCIPIO DE PRESERVACION

Durante el almacenamiento y conservacin de los indicios y
evidencia, se deben de tomar en cuenta los principios que la
ciencia, el arte, la tcnica y la experiencia, aconsejan. En eses
orden de ideas, los operadores criminalsticas, se rigen por sus
lineamientos para asegurar las condiciones y cuidados de
conservacin e inalterabilidad de los indicios y evidencias.
37
EL PRINCIPIO DE SEGURIDAD

El cuidado y la seguridad de los elementos recogidos en la
escena, deben de asegurarse en todo momento; as, los
operadores policiales, de ser el caso, debern de custodiar y
vigilar que los mismos no se extraven o sean manipulados o
alterados por personal no capacitado, ni autorizado.
38
EL PRINCIPIO DE CONTINUIDAD Y REGISTRO

Esta referido a la secuencia continua e ininterrumpida de todos y
cado uno de los movimientos y traspasos (de persona a persona,
de institucin a institucin, de la escena al laboratorio) de los
elementos materiales de prueba o elementos recogidos del lugar
del suceso, entre diferentes agentes encargados de la custodia
de los mismos, garantizando el registro documental del sistema
de cadena de custodia.
39
IMPORTANCIA DE LA CADENA DE CUSTODIA

Para demostrar de manera fehacientemente que los elementos
de prueba recocidos en el escenario de los hechos es el mismo;
Asimismo que fueron protegidos debidamente contra cualquier
agente contaminante, que no han sido objeto de adulteracin,
intercambio, de sustraccin y destruccin, para demostrar ante
los tribunales la integridad de los indicios y evidencias, desde
que fue recogido hasta su presentacin.
40
ELEMENTOS INFORMATIVOS MINIMOS QUE
DEBEN DE CONTENER LOS FORMATOS DE LA
CADENA DE CUSTODIA

Datos referidos a la fecha y hora en la que se recogieron las
evidencias.

La ubicacin precisa del lugar en donde fueron localizados los
indicios y evidencias.

El tipo de soporte en que que se embalo la muestra y la
descripcin de su contenido.

El nombre y firma de los sujetos que recogieron la nuestra.
41
El tipo de examen solicitado.

El nombre de la entidad actuante.

Una descripcin sucinta del caso.

El nombre y firma del represntate del Ministerio Pblico
(Fiscal) que avale la originalidad y la veracidad del
documento.

Nombre y firma quienes recibieron las muestras en el
laboratorio.

Informacin relevante acerca de quienes estuvieron en
posesin y contacto con la evidencia.
42
Gracias por su atencin
999094327

Mg. Hugo Ramiro Ambrosio Bejarano


hugo_ambrosio2000@hotmail.com