fiscalía general del estado del ecuador - oea 1investigador forense se ve obligado a buscar...
TRANSCRIPT
INTRODUCCIÓN A LAINFORMÁTICA FORENSEDr. Santiago Acurio Del Pino
1Fiscalía General Del Estado del Ecuador - OEA
Agenda
Prueba de los Delitos InformáticosInformática ForenseEn la escena del DelitoRoles de la InvestigaciónCaso Práctico
2
Fiscalía General Del Estado del Ecuador - OEA
Prueba de los Delitos Informáticos
Evidencia Digital, Reconocimiento de laEvidenciaEvidencia electrónica
Prueba de los Delitos Informáticos
¨ La prueba dentro del proceso penal es de especialimportancia, ya que desde ella se confirma odesvirtúa una hipótesis o afirmación precedente, sellega a la posesión de la verdad material.
¨ De esta manera se confirmará la existencia de lainfracción y la responsabilidad de quienes aparecenen un inicio como presuntos responsables, todo estoservirá para que el Tribunal de Justicia alcance elconocimiento necesario y resuelva el asunto sometidoa su conocimiento.
Reconocimiento de la Evidencia Digital
¨ Es importante clarificar los conceptos y describir laterminología adecuada que nos señale el rol que tiene unsistema informático dentro del iter criminis o camino deldelito.
¨ Esto a fin de encaminar correctamente el tipo deinvestigación, la obtención de indicios y posteriormente loselementos probatorios necesarios para sostener nuestrocaso.
¨ Es así que por ejemplo, el procedimiento de unainvestigación por homicidio que tenga relación conevidencia digital será totalmente distinto al que, se utiliceen un fraude informático, por tanto el rol que cumpla elsistema informático determinara DONDE DEBE SERUBICADA Y COMO DEBE SER USADA LA EVIDENCIA.
Reconocimiento de la Evidencia Digital
¨ Ahora bien para este propósito se han creado categoríasa fin de hacer una necesaria distinción entre el elementomaterial de un sistema informático o hardware (evidenciaelectrónica) y la información contenida en este (evidenciadigital).
¨ Esta distinción es útil al momento de diseñar losprocedimientos adecuados para tratar cada tipo deevidencia y crear un paralelo entre una escena física delcrimen y una digital.
¨ En este contexto el hardware se refiere a todos loscomponentes físicos de un sistema informático, mientrasque la información, se refiere a todos los datos,programas almacenados y mensajes de datos trasmitidosusando el sistema informático.
SISTEMA INFORMÁTICO
HARDWARE (Elementos Físicos) Evidencia Electrónica
· El hardware es mercancíailegal o fruto del delito.
· El hardware es una mercancía ilegal cuando su posesión no estáautorizada por la ley. Ejemplo: en el caso de los decodificadoresde la señal de televisión por cable, su posesión es una violación alos derechos de propiedad intelectual y también un delito.
· El hardware es fruto del delito cuando este es obtenido medianterobo, hurto, fraude u otra clase de infracción.
· El hardware es uninstrumento
· Es un instrumento cuando el hardware cumple un papelimportante en el cometimiento del delito, podemos decir que esusada como un arma o herramienta, tal como una pistola o uncuchillo. Un ejemplo serían los snifers y otros aparatosespecialmente diseñados para capturar el tráfico en la red ointerceptar comunicaciones.
· El hardware es evidencia · En este caso el hardware no debe ni ser una mercancía ilegal,fruto del delito o un instrumento. Es un elemento físico que seconstituye como prueba de la comisión de un delito. Por ejemploel scanner que se uso para digitalizar una imagen de pornografíainfantil, cuyas características únicas son usadas como elementosde convicción
Elementos Físicos
InformaciónSISTEMA INFORMÁTICO
INFORMACIÓN Evidencia Digital
· La información esmercancía ilegal o elfruto del delito.
La información es considerada como mercancía ilegal cuando suposesión no está permitida por la ley, por ejemplo en el caso de lapornografía infantil. De otro lado será fruto del delito cuando seael resultado de la comisión de una infracción, como por ejemplolas copias pirateadas de programas de ordenador, secretosindustriales robados.
· La información es uninstrumento
La información es un instrumento o herramienta cuando es usada comomedio para cometer una infracción penal. Son por ejemplo losprogramas de ordenador que se utilizan para romper lasseguridades de un sistema informático, sirven para rompercontraseñas o para brindar acceso no autorizado. En definitivajuegan un importante papel en el cometimiento del delito.
· La información esevidencia
Esta es la categoría más grande y nutrida de las anteriores, muchas denuestras acciones diarias dejan un rastro digital. Uno puedeconseguir mucha información como evidencia, por ejemplo lainformación de los ISP’s, de los bancos, y de las proveedoras deservicios las cuales pueden revelar actividades particulares de lossospechosos
Donde buscar la Evidencia: Fuentes deEvidencia
¨ SISTEMAS DE COMPUTACIÓNABIERTOS, son aquellos que estáncompuestos de las llamadascomputadores personales y todossus periféricos como teclados,ratones y monitores, lascomputadoras portátiles, y losservidores. Actualmente estoscomputadores tiene la capacidadde guardar gran cantidad deinformación dentro de sus discosduros, lo que los convierte en unagran fuente de evidencia digital.
Donde buscar la Evidencia: Fuentes deEvidencia
¨ SISTEMAS DE COMUNICACIÓN, estosestán compuestos por las redes detelecomunicaciones, la comunicacióninalámbrica y el Internet. Son tambiénuna gran fuente de información y deevidencia digital.
¨ SISTEMAS CONVERGENTES DECOMPUTACIÓN, son los que estánformados por los teléfonos celularesllamados inteligentes oSMARTPHONES, los asistentespersonales digitales PDAs, las tarjetasinteligentes y cualquier otro aparatoelectrónico que posea convergenciadigital y que puede contenerevidencia digital.
Propósito de la Clasificación
¨ En resumen el propósito fundamental de las categorías antesmencionadas es el de enfatizar el papel que juegan lossistemas informáticos en la comisión de delitos, a fin de que elinvestigador criminal tenga un derrotero claro y preciso albuscar los elementos convicción que aseguren el éxito dentrode un proceso penal.
¨ En estas condiciones para efectos probatorios son objeto deexamen, tanto el hardware como la información contenida eneste, para lo cual es necesario contar con el auxilio y elconocimiento que nos brinda la ciencia informática, y enparticular de la Ciencia Forense Informática.
Informática forense
Concepto, Dinámica de la Evidencia
Concepto
¨ Es una ciencia forense que se ocupa de la utilización delos métodos científicos aplicables a la investigación delos delitos, no solo Informáticos y donde se utiliza elanálisis forense de las evidencias digitales, en fin todainformación o datos que se guardan en unacomputadora o sistema informático.
¨ En conclusión diremos que Informática Forense es “laciencia forense que se encarga de la preservación,identificación, extracción, documentación y interpretaciónde la evidencia digital, para luego ésta ser presentada enuna Corte de Justicia”.
Evidencia Digital
¨ En derecho procesal la evidencia es la certeza clara,manifiesta y tan perceptible que nadie puede dudar deella.
¨ De otro lado la evidencia digital es cualquier mensaje dedatos almacenado y trasmitido por medio de un Sistema deInformación que tenga relación con el cometimiento de unacto que comprometa gravemente dicho sistema y queposteriormente guié a los investigadores al descubrimientode los posibles infractores.
¨ En definitiva son campos magnéticos y pulsos electrónicosque pueden ser recogidos y analizados usando técnicas yherramientas especiales
Clases de Evidencia Digital
¨ En un principio el tipo de evidencia digital que se buscaba en losequipos informáticos era del tipo CONSTANTE o PERSISTENTE esdecir la que se encontraba almacenada en un disco duro o en otromedio informático y que se mantenía preservada después de que lacomputadora era apagada.
¨ Posteriormente y gracias a las redes de interconexión, elinvestigador forense se ve obligado a buscar también evidencia deltipo VOLÁTIL, es decir evidencia que se encuentra alojadatemporalmente en la memoria RAM, o en el CACHE, son evidenciasque por su naturaleza inestable se pierden cuando el computadores apagado.
¨ Este tipo de evidencias deben ser recuperadas casi de inmediato.
Volcado de la memoria global delsistema y de cada proceso
¨ Volcado de la memoria global del sistema yde cada proceso: ante la dificultad derealizar un análisis en profundidad, se podráutilizar el volcado de memoria para buscardeterminadas cadenas de caracteres quepuedan dar pistas sobre el incidente que haafectado al equipo.
Procesos y Servicios en ejecucióndentro del Sistema
¨ De cada proceso o servicio sería convenienteidentificar el archivo ejecutable y los parámetrosde ejecución, así como la cuenta de usuario bajo laque se ejecuta, archivos que está usando y quéotro proceso o servicio lo ha llamado (árbol deejecución), para posteriormente poder compararesta información con la situación estable del objetode estudio
Dinámica de la Evidencia
¨ La dinámica de la evidenciaes la forma como seentienden y se describen losdiferentes factores(humanos, de la naturaleza,de los equipos) que actúansobre las evidencias, a finde determinar los cambiosque estos producen sobreellas.
Dinámica de la evidencia
¨ Podemos afirmar indudablemente que existenmuchos agentes que intervienen o actúan sobre laevidencia digital, aquí se aplica el llamadoPrincipio de intercambio o de Locard; elinvestigador forense se ve en la necesidad dereconocer la forma como estos factores puedenalterar la evidencia, y así tener la oportunidad demanejarla de una manera apropiada, evitandogeneralmente contaminarla, dañarla y hastaperderla por completo.
Principio de Intercambio
¨ El principio de intercambio de Locard,menciona que cuando dos objetos entran encontacto siempre existe una transferencia dematerial entre el uno y el otro.
¨ Es decir que cuando una persona está en unaescena del crimen esta deja algo de si mismadentro de la escena, y a su vez cuando sale deella esta se lleva algo consigo
Principio de Intercambio
Afectación de la Escena del Crimen:Efectos de la dinámica
¨ EQUIPOS DE EMERGENCIAS: En el caso de unincendio, los sistemas informáticos pueden serafectados por el fuego y el humo,posteriormente sometidos a una gran presión deagua al tratar de apagar este. Esto provocaque los técnicos forenses no puedan determinara ciencia cierta si los sistemas informáticosencontrados en la escena estuvieroncomprometidos, fueron atacados o usadosindebidamente. En otras ocasiones los equiposde emergencia manipulan la escena cuando esnecesario para salvar la vida de una persona.
¨ TESTIGOS: Un administrador del sistemapuede borrar cuentas de usuariossospechosas, las mismas que fueron creadaspor un intruso, a fin de prevenir su acceso yutilización futura.
¨ EL CLIMA Y LA NATURALEZA: Los camposelectromagnéticos pueden corromper lainformación guardada en discos magnéticos.
¨ DESCOMPOSICIÓN: En algunos casos lainformación almacenada en discosmagnéticos, o en otros soportes puedeperderse o tornarse ilegible para lossistemas de información, a causa del tiempoy de las malas condiciones dealmacenamiento.
Afectación de la Escena del Crimen:Efectos de la dinámica
Comprender la Dinámica de laEvidencia
¨ El investigador forense debe entender como los factoreshumanos, de la naturaleza y de los propios equiposinformáticos pueden alterar, borrar o destruir evidencia,
¨ Debe comprender como dichas variables actúan sobrela escena misma del delito,
¨ Debe por tanto encaminar la investigación desde suetapa más temprana tomando en cuenta esos cambios,a fin de adecuar el mejor método para adquirir,preservar y luego analizar las pistas obtenidas, y asíreducir de manera considerable los posibles efectos dela dinámica de la evidencia.
En la escena del Delito
Procedimiento de Operaciones Estándar
Procedimiento de OperacionesEstándar
¨ Cuando se va revisar una escena del crimen del tipoinformático es necesario tener en cuenta un procedimientode operaciones estándar (POE), el mismo que es el conjuntode pasos o etapas que deben realizarse de formaordenada al momento de recolectar o examinar laevidencia digital.
¨ Esta serie de procedimientos se utilizan para asegurar quetoda la evidencia recogida, preservada, analizada yfiltrada se la haga de una manera transparente e integra.
¨ La transparencia y la integridad metodológica (estabilidaden el tiempo de los métodos científicos utilizados) serequieren para evitar errores, a fin de certificar que losmejores métodos son usados, incrementado cada vez laposibilidad de que dos examinadores forenses lleguen almismo dictamen o conclusión cuando ellos analicen la mismaevidencia por separado. A esto se lo conoce comoreexaminación.
Manual de Manejo de Evidencias Digitales y EntornosInformáticos
¨ Con el propósito de tener una guía de buenas prácticas en larecolección de evidencia digital, la Dirección Nacional de Tecnologíasde la Información presento en Junio de este año el Manual de Manejode evidencias digitales y entornos informáticos V. 2.0 al Señor FiscalGeneral Dr. Washington Pesantez Muñoz quien con visión de futuroordeno la impresión de 1600 guías para ser entregadas a todos losfuncionarios de la Fiscalía General del Estado.
¨ El Manual pretende ser una guía de actuación para miembros de laPolicía Judicial a si como de los Funcionarios de la Fiscalía General DelEstado, cuando en una escena del delito se encuentren dispositivosInformáticos o electrónicos que estén relacionados con el cometimientode una infracción de acción pública
Principios Básicos
¨ El funcionario de la Fiscalía o de la Policía Judicialnunca debe acudir solo al lugar de los hechos, estetipo de actividad debe ser realizada como mínimopor dos funcionarios.
¨ Un segundo funcionario, por un lado, aportaseguridad personal y, por otro, ayuda a captar másdetalles del lugar de los hechos. Los funcionariosdeberían planear y coordinar sus acciones.
¨ Si surgen problemas inesperados, es más fácilresolverlos porque “dos cabezas piensan más que una.
Principios Básicos¨ Ninguna acción debe
tomarse por parte de laPolicía Judicial, Fiscalía opor sus agentes yfuncionarios que cambie oaltere la informaciónalmacenada dentro de unsistema informático omedios magnéticos, a fin deque esta sea presentadafehacientemente ante untribunal.
Principios Básicos
¨ En circunstancias excepcionales una personacompetente puede tener acceso a la informaciónoriginal almacenada en el sistema informático objetode la investigación, siempre que después se expliquedetalladamente y de manera razonada cual fue laforma en la que se produjo dicho acceso, sujustificación y las implicaciones de dichos actos.
Principios Básicos
¨ Se debe llevar una bitácora de todos los procesosadelantados en relación a la evidencia digital.Cuando se hace una revisión de un caso por partede una tercera parte ajena al mismo, todos losarchivos y registros de dicho caso y el procesoaplicado a la evidencia que fue recolectada ypreservada, deben permitir a esa parte recrear elresultado obtenido en el primer análisis.
Principios Básicos
¨ El Fiscal del Caso y/o el oficial a cargo de lainvestigación son responsables de garantizarel cumplimiento de la ley y del apego a estosprincipios, los cuales se aplican a la posesióny el acceso a la información almacenada enel sistema informático. De igual forma debeasegurar que cualquier persona que accedaa o copie dicha información cumpla con laley y estos principios.
Investigación en la escena del Delito
¨ Observe y establezca los parámetros dela escena del delito: El primero enresponder debe establecer si el delitotodavía se esta cometiendo, tiene quetomar nota de las características físicas deel área circundante. Para los investigadoresforenses esta etapa debe ser extendida atodo sistema de información y de red quese encuentre dentro de la escena. En estoscasos dicho sistema o red pueden serblancos de un inminente o actual ataquecomo por ejemplo uno de denegación deservicio (DoS).
Investigación en la escena del Delito
¨ Inicie las medidas de Seguridad: El objetivoprincipal en toda investigación es la seguridadde los investigadores y de la escena. Si unoobserva y establece en una condición inseguradentro de una escena del delito, debe tomarlas medidas necesarias para mitigar dichasituación.
¨ Se deben tomar las acciones necesarias a finde evitar riesgos eléctricos, químicos obiológicos, de igual forma cualquier actividadcriminal.
¨ Esto es importante ya que en una ocasión enuna investigación de pornografía infantil enEstados Unidos un investigador fue muerto yotro herido durante la revisión de una escenadel crimen.
Investigación en la Escena del Delito
¨ Facilite los primeros auxilios: Siempre se deben tomarlas medidas adecuadas para precautelar la vida de lasposibles víctimas del delito, el objetivo es brindar elcuidado médico adecuado por el personal deemergencias y el preservar las evidencias.
¨ Asegure Físicamente la Escena: Esta etapa es crucialdurante una investigación, se debe retirar de la escenadel delito a todas las personas extrañas a la misma, elobjetivo principal es el prevenir el acceso no autorizadode personal a la escena, evitando así la contaminaciónde la evidencia o su posible alteración.
Investigación en la Escena del Delito
¨ Asegure Físicamente las Evidencias: Este paso es muyimportante a fin de mantener la cadena de custodia[1] delas evidencias, se debe guardar y etiquetar cada una delas evidencias. En este caso se aplican los principios y lametodología correspondiente a la recolección deevidencias de una forma práctica. Esta recolección debeser realizada por personal entrenado en manejar,guardar y etiquetar evidencias.
¨
[1] La cadena de custodia es un sistema de aseguramiento que, basado enel principio de la “mismidad”, tiene como fin garantizar la autenticidad dela evidencia que se utilizará como “prueba” dentro del proceso.
Investigación en la escena del Delito
¨ Entregar la Escena del Delito: Después deque se han cumplido todas las etapasanteriores, la escena puede ser entregada alas autoridades que se harán cargo de lamisma. Esta situación será diferente en cadacaso, ya que por ejemplo en un caso penalserá a la Policía Judicial o al MinisterioPúblico; en un caso corporativo a losAdministradores del Sistema. Lo esencial deesta etapa es verificar que todas lasevidencias del caso se hayan recogido yalmacenado de forma correcta, y que lossistemas y redes comprometidos puedenvolver a su normal operación.
Investigación en la Escena del Crimen
¨ Elaborar la Documentación de la explotación de laEscena: Es Indispensable para los investigadoresdocumentar cada una de las etapas de este proceso,a fin de tener una completa bitácora de los hechossucedidos durante la explotación de la escena deldelito, las evidencias encontradas y su posiblerelación con los sospechosos. Un investigador puedeencontrar buenas referencias sobre los hechosocurridos en las notas recopiladas en la explotaciónde la escena del Delito.
Reconstrucción de la Escena
¨ La reconstrucción del delitopermite al investigadorforense comprender todos loshechos relacionados con elcometimiento de unainfracción, usando para ellolas evidencias disponibles.
Reconstrucción de la Escena
¨ Los indicios que son utilizados en la reproducción del Delito permiten alinvestigador realizar t res formas de reconstrucción a saber:
nn ReconstrucciónReconstrucción RelacionalRelacional,, sese hacehace enen basebase aa indiciosindiciosqueque muestranmuestran lala correspondenciacorrespondencia queque tienetiene unun objetoobjeto enen lalaescenaescena deldel delitodelito yy susu relaciónrelación concon loslos otrosotros objetosobjetospresentespresentes.. SeSe buscabusca susu interaccióninteracción enen conjuntoconjunto oo entreentrecadacada unouno dede ellosellos;;
nn ReconstrucciónReconstrucción FuncionalFuncional,, sese hacehace señalandoseñalando lala funciónfuncióndede cadacada objetoobjeto dentrodentro dede lala escenaescena yy lala formaforma enen queque estosestostrabajantrabajan yy comocomo sonson usadosusados;;
nn ReconstrucciónReconstrucción TemporalTemporal,, sese hacehace concon indiciosindicios queque nosnosubicanubican enen lala línealínea temporaltemporal deldel cometimientocometimiento dede lalainfraccióninfracción yy enen relaciónrelación concon laslas evidenciasevidencias encontradasencontradas..
Roles de la Investigación
Primeros en responder, Peritos, DetectivesDigitales
Roles en la Investigación
TÉCNICOS EN ESCENAS DEL CRIMEN INFORMÁTICAS, tambiénllamados FIRST RESPONDENDERS, son los primeros en llegar a la escenadel crimen, son los encargados de recolectar las evidencias que ahí seencuentran. Tiene una formación básica en el manejo de evidencia ydocumentación, al igual que en reconstrucción del delito, y la localizaciónde elementos de convicción dentro de la red.
EXAMINADORES DE EVIDENCIA DIGITAL O INFORMÁTICA, que sonlos responsables de procesar toda la evidencia digital o informáticaobtenida por los Técnicos en Escenas del Crimen Informáticos. Para estodichas personas requieren tener un alto grado de especialización en el áreade sistemas e informática.
INVESTIGADORES DE DELITOS INFORMÁTICOS, que son losresponsables de realizar la investigación y la reconstrucción de los hechosde los Delitos Informáticos de manera general, son personas que tiene unentrenamiento general en cuestiones de informática forense, sonprofesionales en Seguridad Informática, Abogados, Policías, yexaminadores forenses.
Peritos Informáticos
¨ Por otro lado, se hace indispensable para la valoraciónde las pruebas o elementos de convicción laintervención de personas que tengan especialesconocimientos en materias especiales en este caso de lamateria informática, personas que prestan un servicioespecial al Fiscal y al Juez al momento ilustrar sobre lasmaterias, técnicas o artes que son de su conocimiento, afin de dichos funcionarios en función de dichasexplicaciones puedan emitir su criterio en el momentoadecuado (Dictamen Fiscal o la Sentencia)
Peritos Informáticos
¨ El perito no es mas que un testigo que ha visto losresultados y examinado los rastros materiales: es lamirada del Juez y el Fiscal en esos rastros querequieren algún conocimiento especial propio de suciencia, arte, profesión u oficio.
¨ El dictamen del perito debe contener una opiniónfundada, exponiendo al juez y al fiscal losantecedentes de orden técnico que tuvo en cuenta,pues, como ya se dijo, su objeto es ilustrar elconocimiento al magistrado y al representante de laFiscalía General del Estado.
¨ La pericia, por definición no puede consistir en unamera opinión del experto, prescindiendo del necesariosustento científico
Principios del Peritaje
¨ Objetividad: El perito debe ser objetivo, debeobservar los códigos de ética profesional.
¨ Autenticidad y conservación: Durante lainvestigación, se debe conservar la autenticidad eintegridad de los medios probatorios
¨ Legalidad: El perito debe ser preciso en susobservaciones, opiniones y resultados, conocer lalegislación respecto de sus actividad pericial ycumplir con los requisitos establecidos por ella
Principios del Peritaje
¨ Idoneidad: Los medios probatorios deben serauténticos, ser relevantes y suficientes para el caso.
¨ Inalterabilidad: En todos los casos, existirá unacadena de custodia debidamente asegurada quedemuestre que los medios no han sido modificadosdurante la pericia.
¨ Documentación: Deberá establecerse por escrito lospasos dados en el procedimiento pericial
¨ Estos principios deben cumplirse en todas las pericias y por todos losperitos involucrados
Formación del Perito Informático
¨ El Perito Informático Forense según la opinión delProfesor Jeimy Cano[1] requiere la formación de unperito informático integral que siendo especialista entemas de Tecnologías de información, también debe serformado en las disciplinas jurídicas, criminalisticas yforenses. En este sentido, el perfil que debe mostrar elperito informático es el de un profesional híbrido queno le es indiferente su área de formación profesional ylas ciencias jurídicas.
¨ [1] CANO Jeimy, Estado del Arte del PeritajeInformático en Latinoamérica. ALFA-REDI, 2005
Documentos Informáticos y un casoprácticoConcepto y validez de los documentos
Documentos Informáticos o Electrónicos
¨ El documento informático puede ser definidocomo la representación en forma informáticade hechos jurídicamente relevantessusceptibles de ser presentados en una formahumanamente comprensible
Validez de los Documentos Electrónicos
¨ Toda pretensión jurídica dentro de un juicio debeser sustentada mediante las reglas dadas por elderecho probatorio interno de cada país, ya quede ello depende la efectiva titularidad sobre underecho discutido o negado.
¨ Por ello, la prueba se constituye en una de laspartes primordiales del proceso y en una condiciónde seguridad jurídica esencial para elpronunciamiento de una sentencia justa y objetiva.
Confidencialidad
Integridad
No rechazabilidad
Autenticidad
Validez de los Documentos Electrónicos(comunicaciones electrónicas)
Validez de los Documentos Electrónicos
¨ Para que un documento electrónico sea válidodentro de un proceso judicial debe tener lassiguientes características
¤ AutenticidadCapacidad de identificar si determinada persona es el
autor de un documento electrónico o si reconoce elcontenido del mismo.n Confidencialidad
Capacidad de mantener un documento electrónico comoinaccesible para terceros ajenos a él.
Validez de los Documentos Electrónicos
¤ IntegridadCapacidad de impedir que un documento electrónico sea
alterado en el transcurso de su envío y recepción.
¤No RechazabilidadCapacidad de impedir que las partes puedan negar
haber enviado o recibido un documento electrónico.
Caso Práctico
Caso de RaúlReyes
Mensajes de Datos
¨ Fragmento de una delas cartassupuestamenteencontradas en lascomputadoras deRaúl Reyes
Medio de Prueba de los D.E.
¨ Mensajes de Datos comomedio de prueba
¨ Medio de Prueba.-procedimiento que establece laLey para ingresar un elementode prueba en el proceso
¨ Art. 53 LCE, Art. 156 del CPP
Admisibilidad de la Evidencia
¨ Establecer un Procedimiento de OperacionesEstándar
¨ Cumplimiento de los Principios Básicos¨ Cumplir los principios constitucionales y legales
(Teoría del Árbol Envenenado, Secreto a lacorrespondencia y las comunicaciones)
¨ Seguir el trámite legal
Admisibilidad de la Evidencia
Para esto es necesario probar dos situaciones:¨ Debemos establecer que el mensaje de datos usado
como evidencia digital fue localizado y recuperadodel equipo informático del sospechoso y de ningúnotro equipo informático perteneciente a alguienmás.
Admisibilidad de la Evidencia
¨ Debemos comprobar que el mensaje dedatos usado como evidencia fue creado ooriginado en el equipo perteneciente alsospechoso más allá de cualquier duda deque dicho mensaje fue puesto o creado ahípor el equipo informático del investigador
Como se logra la Admisibilidad
¨ La admisibilidad se logra con la aplicaciónde los códigos de integridad (Valor HASH) ysu comparación
¨ Es un error verificar la admisibilidad de laevidencia digital (mensajes de Datos) através de la cadena de custodia.
¨ La solución es más simple
Código de Integridad o Hash
¨ Es una función matemática que, a partir de uncierto volumen de datos, derivan una pequeñaserie de datos, o huella digital.
¨ 397B3732D63F53BF51FF5210551476F7¨ Una función hash comprime los bits del mensaje
a un valor hash de tamaño fijado, de maneraque distribuye los posibles mensajesuniformemente entre los posibles valores hash.
Caso Reyes
¨ Evidencia No. 31¨ Nombre del Archivo: Esperanza-Enviados.doc¨ Fecha de Creación: 06/10/07 09:40:38a.m.¨ Fecha de Modificación:01/02/07 03:33:20p.m.¨ Hash MD5:
BB14EF3049F0D11C32692ED42618CE47¨ Ruta completa o Path:
\comisionInternacional\INTEGRANTES-CMI\AÑO2006\Esperanza-Enviados.doc
Metodología de un Análisis Forense
Identificar
Preservar
Analizar
Presentar
1 23
4
Preguntas
Fiscalía General Del Estado del Ecuador - OEA
64
Muchas Gracias por su atención
Dr. Santiago Acurio Del PinoFiscalía General del Estado
[email protected]@minpec.gov.ec