"Prueba Pericial y Cadena de Custodia en Crimenes Cibernetticos" del Mah. Hugo Ambosio Bejarano, desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
Prueba pericial y cadena de custodia
1. PRUEBA PERICIAL Y CADENA DE CUSTODIA
EN CRIMENES CIBERNETICOS
Mg. Hugo Ramiro Ambrosio
Bejarano
2. PRUEBA PERICIAL
Prueba es el conjunto de actividades destinadas a obtener el
cercioramiento judicial acerca de los elementos indispensables
para la decisión en litigio sometido a proceso, para desvirtuar la
prueba indirecta, circunstancial, conjetura o de las
presunciones.
Pericia es una prueba sui generis, a veces ilustra al Juez y opina
sobre lo que se le muestra.
Prueba Pericial, viene hacer el medio probatorio con el cual se
intenta obtener, para el proceso, un dictamen fundado en
especiales conocimientos científicos, técnicos, artísticos o de
experiencia calificada.
2
3. PRUEBA PERICIAL INFORMATICA FORENSE
La prueba documental informática, es a la Pericia Informática-
Forense, lo que la prueba documental física, es a la pericia
documentológica.
Desde el punto de vista técnico, requiere el empleo de ciertos
protocolos que aseguren su valides probatoria.
Los especialistas en informática para desarrollarla pueden
utilizar la detención, recolección, identificación, clasificación,
resguardo, certificación y traslado de la prueba indicaría
informática forense.
3
4. INFORME PERICIAL INFORMATICA FORENSE
Esta no difiere de los informe periciales clásicos, utilizados por
las disciplinas de criminalística: Medicina legal (historias clínicas
virtuales), Criminología (Modus operandi, perfil psicológico),
Criminalística (Aplicados a la resolución de las interrogantes
indiciarios), Otras disciplinas.
Presentación.
Cuatro secciones: Objeto de la pericia, elementos ofrecidos,
operaciones realizadas y conclusiones.
Cierre, elevación y recibo en devolución.
4
5. INFORMATICA FORENSE
Es un método probatorio consistente en la revisión científica,
tecnológica y técnica, con fines periciales, de una colección de
evidencias digitalizadas para fines de investigación o legales.
Cada caso específico debe ser analizado como si fuera a juicio,
de esta manera cualquier investigación en Informática Forense
puede soportar un escrutinio legal.
Informática Forense al conjunto multidisciplinario de teorías,
técnicas y métodos de análisis que brindan soporte conceptual y
procedimental a la investigación de la prueba indiciaria
informática.
5
6. INFORMATICA FORENSE
El propósito de la Informática Forense consiste en contribuir en
determinar la identificación de los responsables del delito
informático.
También permite esclarecer la causa original de un ilícito o
evento particular para asegurar de que no se vuelva a repetirse.
La Informática Forense es aplicable tanto en los casos llevados
a juicio como en las investigaciones particulares solicitadas por
las empresas u organismos privados con fines de prevención.
6
7. INFORMATICA FORENSE
Objeto: la prueba indiciaria informática.
Método: Desarrollar mecanismos de análisis criminalística,
con soporte científico, tecnológico y técnico, sobre la prueba
indiciaria informática.
Tipicidad: Aunque se trata de una construcción
transdisciplinaria, posee características propias derivadas de sus
diferencias conceptuales con las restantes ciencias forenses.
Especificidad: Su empleo, desde punto metodológico:
1.Análisis Pericial de la Prueba Indiciaria Informática.
2.Gestión Integral de la Prueba Documental Informática.
3.Auditoria Informática Forense.
7
8. La informática forenses, como instrumento de
análisis de la realidad
Por su propia naturaleza, la Informática Forense tiende a
generar un modelo de comportamiento racional con soporte
científico, tecnológico y técnico respecto de la prueba indiciaria
disponible en un determinado lugar.
Este modelo de comportamiento, incluyendo sus
consideraciones sociales, criminológicas y criminalística,
instrumentado por medios idóneos, como, por ejemplo, la
realidad virtual, se constituye en una autentica reconstrucción
del hecho virtual. De ahí que la utilidad se expanda mas allá del
ámbito jurídico y judicial.
8
9. EVIDENCIA
Certeza manifiesta y tan perceptible de una cosa que nadie
puede racionalmente dudar de ella. Material sensible
significativo que ha sido objeto de peritación.
EVIDENCIA DIGITAL
Es la certeza clara, manifiesta y tan perceptible que nadie puede
dudar de ella. Asimismo, es cualquier mensaje de datos
almacenados y trasmitidos por medio de un Sistema de
Información que tengan relación con el hecho indebido que
comprometa gravemente el sistema y que posteriormente guie
a los investigadores al descubrimiento de los incriminados.
9
10. Fuentes de la evidencia digital
1.SISTEMAS DE COMPUTACION ABIERTOS: Son aquellos que
están compuestos de las llamadas computadoras personales y
todos sus periféricos como teclados, ratones y monitores, las
computadoras portátiles y los servidores.
2.SISTEMAS DE COMUNICACIÓN: Están compuestos por la
redes de telecomunicaciones, la comunicación inalámbrica y el
Internet, gran fuentes de información y evidencia digital.
3.SISTEMAS CONVERGENTES DE COMPUTACION: Aquellos
formados por los teléfonos celulares llamados inteligentes, los
sistemas inteligentes y de convergencia digital.
10
11. CLASIFICACION DE LA EVIDENCIA DIGITAL
Registros generador por computador: Generados como
efecto de la programación de un computador, son inalterables
por una persona, llamados registros de eventos de seguridad y
sirven como prueba tras demostrar el correcto y adecuado
funcionamiento del sistema o computador que genero el
registro.
11
12. CLASIFICACION DE LA EVIDENCIA DIGITAL
Registros no generados sino simplemente almacenados por o
en computadores: Generados por una persona, y que son
almacenados en el computador, por ejemplo, un documento
realizado con un procesador de palabras. En estos registros es
importante lograr demostrar la identidad del generador, y
probar hechos o afirmaciones contenidas en la evidencia misma.
12
13. CLASIFICACION DE LA EVIDENCIA DIGITAL
Registro híbrido que incluyan tanto registros generados por
computador como almacenados en los mismos: Los registros
híbridos son aquellos que combinan afirmaciones humanas y los
registros llamados de evento de seguridad.
13
14. EVIDENCIA DIGITAL
Puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera la original.
Mediante herramientas informáticas existentes se puede
comparar la evidencia digital con su original, para determinar si
ha sido alterada.
Es muy fácil de eliminar. Aun cuando un registro es borrado del
disco duro del computador, y éste ha sido formateado, es posible
recuperarlo.
Cuando los individuos involucrados en un crimen tratan de
destruir la evidencia, existen copias que permanecen en otros
sitios.
14
15. MANIPULACION DE EVIDENCIA DIGITAL
Hacer uso de medios forenses estériles (para copias de
información)
Mantener y controlar la integridad del medio original. Esto
significa, que a la hora de recolectar la evidencia digital, las
acciones realizadas no deben cambiar nunca esta evidencia.
Cuando se necesario que una persona tenga acceso a
evidencia digital forense, esa persona debe ser un profesional
forense.
15
16. MANIPULACION DE EVIDENCIA DIGITAL
Las copias de los datos obtenidos, deben estar correctamente
marcadas, controladas y preservadas. Y al igual que los
resultados de la investigación, deben estar disponibles para su
revisión.
Siempre que la evidencia digital este en poder de algún
individuo, este será responsable de todas la acciones tomadas
con respecto a ella, mientras este en su poder.
Las agencias responsables de llevar el proceso de recolección
y análisis de la videncia digital, serán quienes deben garantizar
el cumplimiento de los principios de criminalística.
16
17. INFORMATICO FORENSE
Objeto: la prueba indiciaria informática.
Método: Desarrollar mecanismos de análisis criminalística,
con soporte científico, tecnológico y técnico, sobre la prueba
indiciaria informática.
Tipicidad: Aunque se trata de una construcción
transdisciplinaria, posee características propias derivadas de sus
diferencias conceptuales con las restantes ciencias forenses.
Especificidad: Su empleo, desde punto metodológico:
1.Análisis Pericial de la Prueba Indiciaria Informática.
2.Gestión Integral de la Prueba Documental Informática.
3.Auditoria Informática Forense.
17
18. LOS ROLES EN LA INVESTIGACION
La investigación científica de una escena del crimen es un
proceso formal, donde el investigador forense, documenta y
adquiere toda clase de evidencias, usa su conocimiento
científico y sus técnicas para identificarla y generar indicios
suficientes para resolver un caso.
18
19. 1. TECNICOS EN ESCENA DEL CRIMEN INFORMATICAS: Son los
primeros en llegar a la escena del crimen, son los encargados
de recolectar las evidencias que ahí se encuentran. Tiene
una formación básica en el manejo de evidencia y
documentación, al igual que en reconstrucción del delito, y
la localización de elementos de convicción dentro de la red.
2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMATICA:
Aquellos responsables de procesar toda la evidencia digital o
informática obtenida por los Técnicos en Escenas del Crimen
Informáticos. Para esto dichas personas requieren tener un
alto grado de especialización en el área de sistemas e
informática.
19
20. 1.3. INVESTIGADORES DE DELITOS INFORMATIOS: Son los
responsables de realizar la investigación y la reconstrucción de
los hechos de los Delitos Informáticos de manera general, son
personas que tienen un entrenamiento general en cuestiones de
informática forense, son profesionales en seguridad informática,
Abogados, Policías, y examinadores forenses.
20
21. EL PERFIL DEL INVESTIGADOR FORENSE
Debe de regirse bajo los Principios:
1.OBJETIVIDAD: El investigador Forense debe ser objetivo, debe
observar los códigos de ética profesional.
2.AUTENTICIDAD Y CONSERVACION: Durante la investigación, se
debe conservar la autenticidad e integridad de los medios
probatorios.
3.LEGALIDAD: El perito debe ser preciso en sus observaciones,
opiniones y resultados, conocer la legislación respecto de sus
actividades periciales y cumplir con los requisitos establecidos por
ella.
21
22. 4. IDONIEDAD: Los medios probatorios debe ser auténticos, ser
relevantes y suficientes para el caso.
5. INALTERABILIDAD: En todos los casos, existirá una cadena de
custodia debidamente asegurada que demuestre que los
medios no han sido modificados durante la pericia.
6. DOCUMENTACION: Deberá establecer por escrito los pasos
dados en el procedimiento pericial
El perfil que debe demostrar es de un profesional híbrido que
no le es indiferente su área de formación profesional, con
temas de: Tecnología de la información, ciencias jurídicas,
criminalística y de las ciencias forenses.
22
23. Principios y relaciones periciales informático
forenses
Principio de entidad pericial propia.- El empleo de los medios
informáticos como instrumentos de conformación de prueba
indiciaria informático forense. Prueba que si bien constituye una
parte de la Criminalística y en lo formal no difiere de cualquier
otra prueba pericial, se integra con metodología propia, que
permite asegurar la detención, identificación, documentación,
preservación y traslado de la evidencia obtenida, con técnicas e
instrumentos propios e inéditos para las ciencias criminalísticas.
En ese sentido, la prueba indiciaria informático forense,
requiere de cuidados específicos que la diferencian de otras
pruebas periciales.
23
24. Principios y relaciones periciales informático
forenses
Principio de protección y preservación.- Cadena de custodia
estricta y con certificación unívoca comprobable.
24
25. Principios y relaciones periciales informático
forenses
Principio de identidad impropio (de copias).- Del original, ya
que cuando se duplica un archivo informático la copia no es
igual a la original sino idéntica (un bit no difiere de otro bit y
entre sí son identificables unívocamente).
25
26. Principios y relaciones periciales informático
forenses
Principio tecnológico transdisciplinario.- Se requiere
conocimientos específicos por parte de todos los involucrados
en la prueba indiciaria informático forense:
•Jueces para evaluar correctamente la prueba.
•Fiscales y abogados para efectuar la presentación de manera
adecuada y oportuna.
•Profesionales de la Criminalística y otros peritos, para no
contaminar dicha prueba durante sus propias tareas periciales a
su preservación.
•Funcionario judiciales y policiales a efectos de proteger y
mantener la cadena de custodia establecida.
26
27. Principios y relaciones periciales informático
forenses
Principio de oportunidad.- Debido a su finalidad de destrucción
normalmente requiere de tareas complementarias que
aseguren su recolección (medidas preliminares, inspecciones o
reconocimientos judiciales, ordenes de allanamiento o de
intercepción judicial)
27
28. Principios y relaciones periciales informático
forenses
Principio de compatibilización legislativa internacional.- Gran
parte de los contratos particulares celebrados en el marco del
derecho Internacional Privado se realiza mediante
comunicaciones digitales (instrumentos de correo electrónico en
claro o cifrado y certificadas por medido de claves criptográficas
o firmas digitales). Estas actividades no solo devienen en
demandas civiles, comerciales y laborales internacionales, sino
que en algunas oportunidades constituyen delitos tipificados en
la legislación de casa país.
28
29. Principios y relaciones periciales informático
forenses
Principio de vinculación estricta.- Gran parte de los contratos
particulares celebrados en el marco del derecho Internacional
Privado se realiza mediante comunicaciones digitales
(instrumentos de correo electrónico en claro o cifrado y
certificadas por medido de claves criptográficas o firmas
digitales). Estas actividades no solo devienen en demandas
civiles, comerciales y laborales internacionales, sino que en
algunas oportunidades constituyen delitos tipificados en la
legislación de casa país.
29
30. Principio de Criminalística
Principio del intercambio.- Locard, nos dice que cuando dos
objetos entran en contacto siempre existe una transferencia de
material entre el uno y el otro. Es decir que cuando una persona
esta en una escena del crimen esta deja algo de si misma dentro
de la escena, y a su vez cuando sale de ella esta se lleva algo
consigo.
Ej. En el caso de las bitácoras o LOGS del sistema operativo de
un equipo informático utilizado por un Hacker o Cracker para
romper las seguridades de un programa o vulnerar la seguridad
de un Sistema Informático remoto. En dicha bitácora el
investigador podre encontrar registrada dicha actividad ilegal.
30
31. PRINCIPIO FUNDAMENTAL EN LAS CIENCIAS
FORENSES
ESCENA DEL CRIMEN
INCRIMINADOINCRIMINADO VICTIMAVICTIMA
EVIDENCIA
32. PRINCIPIO DE INTERCAMBIO
OBJETO 1
OBJETO 2
LA INTERACCION CAUSA INTERCAMBIO DE DATOS
LA INTERACCION CAUSA INTERCAMBIO DE DATOS
33. LA CADENA DE CUSTODIA
Es aquel procedimiento, oportunamente documentado, que
permite constatar la identidad, integridad y autenticidad de los
vestigios o indicios delictivos, desde que son encontrados hasta
que se aportan al proceso como pruebas.
33
34. PRINCIPIOS DE LA CADENA DE CUSTODIA
La cadena de custodia, fundamenta su fuerza aseguradora de
intangibilidad en cinco principales principios: El principio de
identidad, principio de integridad, principio de preservación,
principio de seguridad, principio de almacenamiento, principio
de continuidad y registro.
34
35. EL PRINCIPIO DE IDENTIDAD
Quienes participan en la recolección de las evidencias físicas o el
material sensible significativo del lugar de los hechos, deberán
individualizar cada uno de los mismos a través de una
descripción completa y detallada de sus características,
ciñéndose en esta tarea a una estricta y objetiva descripción de
cada elemento integrante de la misma.
35
36. EL PRINCIPIO DE INTEGRIDAD
La no alteración de los elementos de prueba recogidos por los
peritos, garantiza su integridad. En ese sentido, los operadores
encargados de su levantamiento, análisis y transporte deben
ceñirse su actuar respetando los debidos procedimientos
emanados de la ley y la ciencia.
36
37. EL PRINCIPIO DE PRESERVACION
Durante el almacenamiento y conservación de los indicios y
evidencia, se deben de tomar en cuenta los principios que la
ciencia, el arte, la técnica y la experiencia, aconsejan. En eses
orden de ideas, los operadores criminalísticas, se rigen por sus
lineamientos para asegurar las condiciones y cuidados de
conservación e inalterabilidad de los indicios y evidencias.
37
38. EL PRINCIPIO DE SEGURIDAD
El cuidado y la seguridad de los elementos recogidos en la
escena, deben de asegurarse en todo momento; así, los
operadores policiales, de ser el caso, deberán de custodiar y
vigilar que los mismos no se extravíen o sean manipulados o
alterados por personal no capacitado, ni autorizado.
38
39. EL PRINCIPIO DE CONTINUIDAD Y REGISTRO
Esta referido a la secuencia continua e ininterrumpida de todos
y cado uno de los movimientos y traspasos (de persona a
persona, de institución a institución, de la escena al laboratorio)
de los elementos materiales de prueba o elementos recogidos
del lugar del suceso, entre diferentes agentes encargados de la
custodia de los mismos, garantizando el registro documental del
sistema de cadena de custodia.
39
40. IMPORTANCIA DE LA CADENA DE CUSTODIA
Para demostrar de manera fehacientemente que los elementos
de prueba recocidos en el escenario de los hechos es el mismo;
Asimismo que fueron protegidos debidamente contra cualquier
agente contaminante, que no han sido objeto de adulteración,
intercambio, de sustracción y destrucción, para demostrar ante
los tribunales la integridad de los indicios y evidencias, desde
que fue recogido hasta su presentación.
40
41. ELEMENTOS INFORMATIVOS MINIMOS QUE
DEBEN DE CONTENER LOS FORMATOS DE LA
CADENA DE CUSTODIA
Datos referidos a la fecha y hora en la que se recogieron las
evidencias.
La ubicación precisa del lugar en donde fueron localizados los
indicios y evidencias.
El tipo de soporte en que que se embalo la muestra y la
descripción de su contenido.
El nombre y firma de los sujetos que recogieron la nuestra.
41
42. El tipo de examen solicitado.
El nombre de la entidad actuante.
Una descripción sucinta del caso.
El nombre y firma del represéntate del Ministerio Público
(Fiscal) que avale la originalidad y la veracidad del documento.
Nombre y firma quienes recibieron las muestras en el
laboratorio.
Información relevante acerca de quienes estuvieron en
posesión y contacto con la evidencia.
42
43. Gracias por su atenciónGracias por su atención
999094327
Mg. Hugo Ramiro Ambrosio Bejarano
hugo_ambrosio2000@hotmail.com