Page 1


ru

revista

universitaria del ejĂŠrcito

Como no sabĂ­amos que era imposible, lo hicimos.


Eisenhower.

#18 �La verdadera ignorancia no es la ausencia de conocimiento, sino rehusarse a adquirirlos� Karl Popper

2


3


STAFF EUDE DECANO FACULTAD DEL EJERCITO Luis Esteban Dalla Fontana SECRETARIO DE EXTENSIÓN Pablo Osvaldo Ruiz DIRECTOR EDITORIAL Omar Alberto Locatelli

AÑO X RUE 17 OTOÑO 2018 ISSN 1852-026X Revista Universitaria del Ejército (RUE) es una publicación de la Editorial Universitaria del Ejército (EUDE). Se prohíbe su reproducción parcial o total sin autorización. Las opiniones vertidas en esta revista no representan necesariamente las de la EUDE. EDITORIAL EUDE CABILDO 65, (1426), BUENOS AIRES, ARGENTINA +(54-11) 4576-5650/51/54, INT. 7874/7807/7836

www.iue.edu.ar/eude/ eude@iue.edu.ar

Realización gráfica: Rotativos UNICOM

4

SUBDIRECTORA EDITORIAL Andrea Estrada EDITORES Florencia García Brunelli Juan Ignacion Cánepa DISEÑADORES Alejandro Arce María Gimena Gularte María Constanza Gomila María Agustina Moraco PÁGINA WEB María Ximena Riera COORDINACIÓN María Eugenia Arce Federico Cundins RELACIONES INSTITUCIONALES María Inés Grigera María Elina Martín


SUMARIO EDITORIAL

6

LA PROBLEMÁTICA DE LA INFORMACIÓN FORENSE La prueba documental informática El lugar del hecho Rol del experto en Informática Forense Las herramientas en Informática Forense El informe pericial La cadena de custodia en Informática Forense

10

LA INFORMÁTICA FORENSE COMO DISCIPLINA CRIMINALÍSTICA

38

La criminalística La prueba documental informática Conclusiones

5


NRO.17 EDITORIAL En esta edición, la EUDE conciente de la importancia de la evolución Informatica, ha dedicado un completo artíiculo a la Problemática de la Informática Forense. En el mismo se desarrola un completo análisis de lo que implica el delito informático. Su desarrollo actual, ha penetrado en los más diversos órdenes de la vida en común. Además la trascendencia del delito supera cualquier barrera de órden legal, haciendo que el mismo se ejecute desde diversas regiones y tome forma y actue en otras, geográficamente opuestas al lugar original. También el artículo explica la necesaria constatación de la sus pruebas documentales, como factor desencadenante de la forma de detectar al delito. Tanto sus lugares del hecho, ya sean real o virutal, dan lugar a necesarias y precissas interpretaciones, que buscan constatar la concreción del delito. La complejidad del hecho, hace que su informe perdicial deba tener una pulcra exactitud como forma irrevocable de evidenciar las factores que llevan a determinar la consumación de un delito, 6

de dificil constatación pero de sencilla factura. Su importancia radica en que para ser tenida en cuenta como válida y para que adquiera fuerza probatoria, debe necesariamente garantizar su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o, simplemente, su destrucción (algo muy común en la evidencia digital). También el artículo demuestra la precisión y rigurocidad de preservar, tanto al objeto que contiene la información (discos magnéticos, ópticos, ADN, proteínas, etc.) como al contenido de la información almacenada y, muy especialmente su significado. Sus partes constitutivas son una clara muestra de la rigurosidad de su contenido que van desde Identificación y registro de los indicios; la autenticación, duplicación y resguardo de la prueba ; su detección, recolección y registro de indicios probatorios; el análisis e interpretación de los indicios probatorios, reconstrucción y/o simulación del incidente; para concluir con el cotejo, correlación y conclusiones, dentro de la generación de la


cadena de custodia para llegar al informe pericial informático-forense. Un punto aparte, destacable y de específico conocimiento, es la disciplina criminalista. La misma se caracteriza por comenzar su investigación en la búsqueda de indicios en el lugar de los hechos. Luego las diferentes disciplinas integradoras comienzan a entrelazar los datos obtenidos para conjugarlos debidamente. El artículo busca hacer conocer las mismas, que van desde la Planimetría, la Fotografía pericial, pasando por los diferentes tipos de Balística (interna, externa, interior, identificación de vainas, etc) hasta llegar a la Papiloscopía. Como forma de completar el espectro desarrollado el artículo describe las características de los distintos métodos de investigación que hacen uso de las disciplinas integradoras y la importancia de la precisión en cada una de ellas. Además concluye con los principios y características periciales como imprescindibles herramientas para un correcto

empleo de la Informática Forense. En este momento de permanente evolución de las técnicas informáticas, es más que un deber el conocimeinto de las diferentes vulnerabilidades que ésta presenta. A partir de allí la EUDE ha dedicado esta edición al conocimeinto de la informática forense con el fin de evidenciar la facilidad de su detección a través de la criminalistica vinculada y la profundidad de sus gestores. Vaya nuestro respeto por la profundidad y dedicación de aquellos responsables de dilucidar esto delitos de común factura y de trascendente ejecución!!!!!!

Cnl (R) Mg Omar Alberto Locatelli Director Editorial EUDE

7


2018 LANZAMIENTOS

8


9


La problemรกtica de la informรกtica forense

10


Por My. SCD Luis Enrique Arellano González My. SCD María Elena Darahuge

La necesidad de la informática forense surge a partir de un conjunto de eventos que han influido en la sociedad globalizada e informatizada de fines del siglo XX y principios del XXI. Entre ellos, podemos destacar la aparición de una serie de agresiones delictivas realizadas a través de medios informáticos. Estas agresiones son capaces de transgredir, de forma directa o indirecta, prácticamente la totalidad de los artículos que se encuentran en la legislación de fondo, es decir, en el Código Penal. El permanente crecimiento y la continua difusión del uso de computadoras y servicios que ofrece el trabajo en redes de comunicaciones provocan el surgimiento de diversas actitudes hacia este tipo de entornos de trabajo o entretenimiento.

La computadora puede ser utilizada como elemento para cometer un delito o la computadora en sí misma es el objetivo del delito. Cuando una computadora es una víctima en sí misma, se la relaciona con una respuesta a un incidente. Por ejemplo, con el análisis y el reconocimiento de sistemas que han sido atacados en forma remota. Por lo tanto, las técnicas de detección y análisis de los delitos informáticos deben actualizarse en forma permanente para responder a la variada gama de ataques y a los nuevos delitos que surgen en el entorno de las redes, merced a la aguda creatividad de los seres humanos que lo componen. Estos ataques durante los años ochenta eran propios de los sistemas conectados por líneas 11


telefónicas a través de módems, pero actualmente se encuentran en su mayor parte en Internet. Los ataques remotos son facilitados por las propias vulnerabilidades de los sistemas operativos, las aplicaciones y los servicios de red hallados en las computadoras que se encuentran conectadas a una red área local amplia o en Internet. De esta forma, surgen distintos tipos de equipos que trabajan para responder a estos incidentes, entre ellos el CERT y el Forum of Incident Response and Security Teams. Asimismo, la legislación debe actualizarse, adaptarse y ser coherente con la evolución de este tipo de delitos para dar respuestas en tiempo y forma. La inserción de la informática en la sociedad como herramienta de gestión de la información es un proceso que se inició a mediados del siglo pasado y que se ha caracterizado por su expansión incremental. La informática ha invadido la mayoría de las sociedades humanas, sin distinciones políticas, sociales, ni religiosas. Afecta la vida de los habitantes del mundo de una u otra manera 12

y con mayor o menor intensidad. Ha llegado a introducirse efectivamente en millones de hogares, en las más diversas latitudes y longitudes. El instrumento, compuesto por la computadora y la red, no es bueno ni malo en sí mismo. La sociedad que utiliza la tecnología de las redes informáticas es la que le dará la connotación valorativa a esta tecnología con el objetivo de hacer uso de ella para bien de la comunidad o para cometer delitos propios de este ámbito, el de la comunicación social, dando lugar al delito y a la criminalidad en la red de redes. La gestión legal del delito informático (propio e impropio) implica una acción inter y transdisciplinaria, efectiva, eficiente y eficaz. Desde la Criminalística, la Informática y el Derecho, se propone una nueva disciplina: la Informática Forense. Los delitos informáticos son los siguientes: • El delito informático impropio. Afecta a otros bienes jurídicos protegidos y utiliza medios informáticos. Se trata, por ejemplo, de hurtos, robos, estafas, etc., que usan transferencias


electrónicas ilegítimas y/o ilegales. Quemadmoeum gladis nemeinum occidit, oddidentis telum est (“la espada jamás es la asesina, es la herramienta del asesino”). • El delito informático propio. Afecta directamente a la información como bien jurídico a proteger. Sirven de ejemplo la sustitución de identidad y el acceso indebido a datos personales. Con el fin de facilitar la comprensión del término “informática forense”, proponemos definir “criminalística” como la metodología integradora multidisciplinaria que provee la información necesaria para esclarecer el hecho a partir de los indicios recolectados (pruebas indiciarias). La prueba indiciaria es la prueba integrada por el conjunto de elementos físicos y virtuales que obran en un lugar determinado y que son necesarios y suficientes para efectuar una reconstrucción lógica, científica, tecnológica y técnica de los hechos investigados por medio del correspondiente análisis

pericial forense. Así, en base a los conceptos definidos de “criminalística” y “prueba indiciaria”, entendemos la informática forense como el conjunto multidisciplinario de teorías, técnicas y métodos de análisis que brinda soporte conceptual y procedimental a la investigación de la prueba indiciaria informática. Existen múltiples disciplinas derivadas de la Informática que aportan el conocimiento, el concepto y el procedimiento específico y propio de cada una para el análisis y la exploración de los indicios informáticos en el lugar del hecho. Por ejemplo, los delitos relacionados con la pornografía infantil, las amenazas a través de mensajes electrónicos, los fraudes o robos de la propiedad intelectual pueden dejar huellas indiciarias cuando la computadora o el celular son utilizados para cometer un delito. En estos casos se intenta investigar aquellas computadoras y/o celulares que se sospecha se encuentran involucrados en el delito. Por medio de la búsqueda de palabras clave específicas, del análisis de registros de eventos 13


para verificar qué ocurrió en determinado horario y fecha y del análisis de información almacenada en dispositivos volátiles o no volátiles, se podrían obtener evidencias de si una persona cometió un delito específico o no. Los profesionales de disciplinas legales especializados en delitos informáticos deben actualizarse y capacitarse para enfrentar los desafíos de las diversas facetas del crimen cibernético y evitar las resoluciones ambiguas o carentes de fundamentos, tomadas, normalmente, por el desconocimiento o la impericia. En países con una ley común como Canadá, Estados Unidos e Inglaterra los precedentes legales proporcionan una ayuda significativa para los casos asociados a juicios. Si bien uno de los propósitos de la informática forense consiste en determinar a los responsables de los delitos informáticos, la disciplina también permite esclarecer la causa original de un ilícito o un evento particular para asegurarse de que no vuelva a repetirse. La informática forense es 14

aplicable tanto a los casos llevados a juicio como a las investigaciones particulares solicitadas por empresas u organismos privados. En este sentido, podemos decir que la informática forense es un método probatorio que consiste en una colección de evidencias digitales para fines de investigación o legales, en la que cada caso específico debe ser analizado como si fuera a juicio. De esta manera, cualquier investigación en Informática Forense puede soportar un escrutinio legal.

La prueba documental informática La prueba documental informática consiste en indicios digitalizados, codificados y resguardados en un contenedor digital específico. Es decir, toda información es información almacenada (aun durante su desplazamiento por una red). Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria, es necesario que sea garantizada respecto


de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o, simplemente, su destrucción (algo muy común en la evidencia digital). Asimismo, es preciso diferenciar el objeto que contiene la información (discos magnéticos, ópticos, ADN, proteínas, etc.) de su contenido (la información almacenada) y, muy particularmente, de su significado. La información es todo el conocimiento referido a un objeto o un hecho, susceptibles de codificación y almacenamiento. Esta puede encontrarse en tres estados: en procesamiento, en tránsito o almacenada. El objeto es el conjunto físicamente determinable o lógicamente definible. El significado de la información tendrá la validez que le asigne su inserción como elemento pertinente y conducente a la argumentación, presentada como sustento de la pretensión jurídica manifestada. La prueba documental informática es un documento más que difiere de la prueba documental clásica (bibliográfica, foliográfica y pictográfica) únicamente en el soporte (digital vs. papel). Un bit

no es similar, sino idéntico a otro bit. Una copia bit a bit de un archivo digital es indiferenciable de su original. Por lo tanto, no se puede establecer cuál es el original y cuál su copia, salvo que se haya presenciado el proceso de copiado y se sepa cuál era el contenedor del original y cuál el de la copia (método indirecto e independiente de los archivos considerados). En la recolección de la prueba documental informática, a diferencia de la recolección tradicional, se puede secuestrar el indicio o no. Es suficiente con copiar bit a bit la prueba y luego trasladar la copia. La recolección de prueba mediante copia debidamente certificada –hash y ante la autoridad judicial, administrativa o notarial correspondiente– puede sustituir perfectamente el original. Esto es aplicable a los casos en que la información se encuentra almacenada en reservorios vitales para la continuidad del servicio de una determinada entidad u organización estatal o privada. Los mecanismos de certificación digital (hash, firma electrónica, firma digital) son mucho 15


más confiables y difíciles de falsificar que los mismos elementos referidos a la firma y certificación ológrafas.

El lugar del hecho El lugar del hecho es el lugar donde ocurrió un evento (delictivo o no), es decir, el lugar físico o virtual donde se procede a recolectar la prueba indiciaria pericial. En el siglo XXI aparecieron variantes del lugar del hecho: el lugar del hecho virtual impropio (LHVI) y el lugar del hecho virtual propio (LHVP). Lugar del hecho real (LHR) Es el clásico lugar del hecho situado en tiempo y espacio, objeto de análisis científico, metodológico (criminalístico) y técnico. Desde hace más de un siglo se inspecciona judicialmente, se resguarda, protege e identifica unívocamente (desde antaño, mediante el uso de fotografía pericial y planimetría). Posteriormente, se grafica y constituye la 16

base de operaciones de las distintas áreas periciales involucradas (medicina legal, balística, accidentología vial, laboratorio químico pericial, rastros, dactiloscopía, etc.). El análisis del hecho se vincula con la fidelidad de las mediciones y los registros efectuados por los diferentes expertos. Es comprobable mediante inspección judicial. Lugar del hecho virtual impropio (LHVI) Consiste en la representación y la virtualización del LHR a efectos de resguardar su integridad demostrativa en futuras acciones individuales inter o transdisciplinarias, según las necesidades del caso. Permite analizar el lugar a posteriori, incluyendo las prácticas periciales remotas (videoconferencia) y facilitando la discusión pericial y la explicación al juez sobre la prueba indiciaria detectada y el argumento reconstructivo propuesto. Se caracteriza por la emulación, es decir, debe responder de la forma más fidedigna posible a su original inspeccionado (LHR). El LHR y el LHVI se pueden contrastar mediante inspección o reconocimiento judicial.


Lugar del hecho virtual propio (LHVP) En este caso, las acciones ocurren completamente en entornos virtuales. Por ejemplo, un falsario que desde Buenos Aires utiliza por medios remotos una granja de servidores en Medio Oriente para descubrir una clave de acceso a una cuenta bancaria en Holanda y transferir fondos desde Barcelona a Punta del Este, con el objeto de cobrar el dinero en una sucursal de Piriápolis. La única forma de representar estas transacciones es por medio de una simulación virtual, ya que no existe la correspondencia con un LHR. En este caso no es posible emular y solo queda la solución de la simulación, en donde es imposible escapar a la subjetividad de quien la propone e implementa. En realidad, la labor pericial se diluye y únicamente resta la tarea testimonial del experto. Solo se puede contrastar mediante el empleo de un colegio de peritos con asistencia del juez, en reemplazo del clásico careo testimonial. Es decir, el colegio de peritos es al careo lo que el testigo experto al testigo.

Rol del experto en Informática Forense Es de destacar que las palabras que caracterizan a la profesión son “informática” y “forense”, lo que define la característica transdisciplinaria que une a la criminalística, la informática y lo legal. Los roles que puede desempeñar un experto en Informática Forense con título habilitante de grado en, por ejemplo, Ingeniería en Informática, o con una Licenciatura en Informática, pueden ser los siguientes: perito oficial, perito de oficio y perito de parte (consultor o asesor técnico, según lo denomine el respectivo Código Procesal). La tarea pericial le suele requerir a los expertos distintas tareas. Estas pueden clasificarse en las siguientes: • Tareas de asesoramiento formal e informal. Típicas en el perito de partes (consultor o asesor técnico) y en los primeros contactos con el abogado y el potencial cliente. Se caracteriza por las solicitudes de puntos de asesoramiento. Estas tareas se implementan mediante un 17


informe técnico, cuya estructura es una decisión personal del experto que lo confecciona. • Tareas de recolección de prueba documental informática. Se caracteriza por un listado de tareas a realizar por parte del experto que se implementan mediante un informe de recolección de prueba documental informática. Es recomendable que el experto utilice el formato clásico de informe pericial, sustituya los puntos de pericia por puntos de recolección y limite las conclusiones a la confirmación y validación de la tarea realizada de manera completa, parcial o no realizada, según sea el caso. • Tareas periciales informático-forenses. Se caracterizan por la resolución de puntos de pericia que, si están bien confeccionados, se formulan como preguntas que deben ser respondidas por sí o por no de manera estricta, evitando las opiniones del perito y limitando su tarea a la descripción exhaustiva de los 18

elementos comprobados en el caso particular y sustentados lógica, científica, criminalística y técnicamente. En este caso consideramos obligatorio el uso de la estructura formal del informe pericial criminalístico implementada desde hace más de cien años en nuestro país (objeto de la pericia, elementos ofrecidos, operaciones realizadas y conclusiones). Como este último formato resulta el más estricto, útil, convincente y comprensible para los operadores del derecho, los autores utilizamos el formato clásico para los tres casos detallados en los apartados anteriores, simplemente por ser la forma más eficiente, efectiva y eficaz de comunicar resultados de operaciones de asesoramiento, recolección o pericia informático-forense.


Las herramientas en Informática Forense Las herramientas pueden ser de hardware (bloqueadores de escritura, duplicadores de discos rígidos, analizadores de celulares, borradores de discos rígidos o degausser, destructores físicos de discos rígidos, entre otros). Las herramientas de software y los programas o aplicaciones disponibles a utilizar para la gestión de la prueba documental informática pueden ser de código abierto o de código cerrado. En cuanto a las herramientas de código cerrado, al no ser posible acceder al código fuente, es imposible establecer si los resultados alcanzados son auténticos o producto de un error del programa o de una circunstancia fortuita no prevista por su fabricante. La aplicación debe contar con su licencia de uso, que se incluirá en el respectivo informe pericial, o debe ser de código abierto (por ejemplo, las herramientas basadas en Linux). Los sistemas operativos y herramientas comerciales se denominan de “código cerrado”, ya que sus algoritmos,

fundamentos lógico-matemáticos y código fuente pertenecen a la empresa que los ha desarrollado, no son entregados a los usuarios y constituyen parte del denominado “secreto comercial1”. Los sistemas operativos y las herramientas basados en código abierto (Linux) ponen a disposición de todos los usuarios sus algoritmos, los fundamentos matemáticos y el código fuente para su revisión, auditoría, comprobación y eventual modificación. Los sistemas y herramientas basados en código abierto cumplen con el requisito criminalístico de ser auditados, analizados, revisados, entendidos, explicados y, de ser necesario, modificados por otros profesionales de Informática Forense en igualdad de condiciones. Contrariamente, los que son de código cerrado, por ser herramientas comerciales, no lo permiten. En las aplicaciones comerciales el código fuente forma parte del secreto comercial de la empresa considerada. El usuario se limita a cargar ciertos datos en el programa y recibir los resultados aportados, pero sin tener acceso a los 1 Ver Encase en el siguiente enlace: www.guidancesoftware.com 19


mecanismos por los cuales se llegó a ese resultado (falta de transparencia). Por lo tanto, no es posible realizar una comparación efectiva con otra herramienta, ya que no sabemos de qué forma llega a los resultados alcanzados. Solo podemos decir de qué manera fueron obtenidos en el caso del código abierto. En el caso del código cerrado, nada podemos hacer para comprobar la razón de la diferencia y mucho menos podemos interactuar para analizarla y entender sus razones con fines periciales. El perito informático-forense, al no poder analizar la herramienta, no puede responder por los resultados obtenidos y, por lo tanto, debe basar sus conclusiones en la confianza que le merezca la empresa que produce la herramienta, sin posibilidad de auditoría, control o supervisión alguna, es decir, sin transparencia. Por consiguiente, para el juez esto implica la más absoluta falta de confiabilidad en la prueba que recibe y en las conclusiones del experto, ya que este no puede fundarlas técnicamente al desconocer los algoritmos, métodos y rutinas utilizadas en el análisis. 20

El informe pericial Al efectuar un informe pericial informático-forense se debe realizar un conjunto de etapas sistémicas y cronológicas que permitan la reconstrucción de la información por parte de cualquier profesional que así lo requiera. La importancia de registrar las acciones, las tareas y la documentación de la información en cada etapa es fundamental. Las etapas de la gestión pericial en Informática Forense son las siguientes: • Identificación y registro de los indicios. • Autenticación, duplicación y resguardo de la prueba. • Detección, recolección y registro de indicios probatorios. • Análisis e interpretación de los indicios probatorios, reconstrucción y/o simulación del incidente.


• Cotejo, correlación y conclusiones, generación de la cadena de custodia e informe pericial informático-forense. Estructura formal del informe pericial Resulta evidente la conveniencia y la utilidad de emplear un formato único en la presentación de informes periciales realizados por distintos expertos en diferentes disciplinas criminalísticas. Este formato se fue perfeccionando a lo largo de la evolución de la Criminalística y su empleo en los distintos foros judiciales involucrados. Se basa en la siguiente estructura: • Presentación del experto (rol del experto, datos filiatorios, dirección legal, correo electrónico, CUIL/CUIT, identificación de la causa, tribunal interventor). • Objeto de la pericia. Contiene los puntos de pericia solicitados. Estos deben ser claros y expresados en el lenguaje más llano posible, ya que deben ser interpretados por las partes,

sus representantes o patrocinantes legales y los funcionarios judiciales que tienen que tenerlos en cuenta –la mayoría de ellos serán legos en las disciplinas a las que hace referencia el informe (simplemente porque esta es la naturaleza de la prueba pericial, asesorar sobre un tema en el que el juez y las partes son legos, lo que requiere la intervención del experto)–. Se deben utilizar puntos de pericia expresados como preguntas, cuya resolución sea estrictamente lógica (es decir, que puedan ser respondidos por sí o por no) para evitar ambigüedades y confusiones que puedan complicar su interpretación por parte de los destinatarios del informe (el perito debe entender que está brindando un servicio de asesoramiento a legos y que una de sus principales tareas es comunicarse con ellos con claridad, sencillez y evidencia lingüística). • Elementos ofrecidos. Se describen exhaustiva y detalladamente los elementos a ser peritados y los instrumentos que se emplearán en este 21


análisis pericial (debe incluir las herramientas informáticas utilizadas y, de ser pertinente, sus números de licencia de uso). El perito debe identificarlos unívocamente, con lo cual el lenguaje técnico se hace imprescindible. • Operaciones realizadas. Se debe detallar la totalidad de los procedimientos utilizados de forma cronológica para resolver los puntos de pericia y sus resultados comprobados y comprobables. Estos procedimientos deben ser factibles de ser repetidos por cualquier otro profesional en similares condiciones, en cualquier momento posterior, y deben arribar a idénticos resultados. • Conclusiones. Afirmación, negación o probabilidad de certeza del punto de pericia considerado. Se dará respuesta estricta y completa a los puntos periciales solicitados sin restringirlos ni expandirlos y evitando la resolución de interrogantes no solicitados. 22

• Objeto de la pericia. Observaciones, aclaraciones, sugerencias de nuevas pericias, anexos con resultados en formato de texto, tablas o imágenes que ayuden a la comprensión del requirente pericial (generalmente el juez de la causa, pero no exclusivamente), al cierre formal de rigor en todo escrito judicial y a la firma del experto que presenta el informe. Esta estructura del informe pericial en Informática Forense facilita la correlación de informes que proceden de otras disciplinas criminalísticas y le brinda al destinatario del informe una forma eficiente, en apoyo de la decisión (por ejemplo, la sentencia). La cadena de custodia en Informática Forense Es un procedimiento controlado y supervisado que se aplica a los indicios materiales o virtuales relacionados con un hecho delictivo o no, desde


su localización hasta su valoración por parte de los encargados de administrar justicia. Tiene como fin asegurar la confiabilidad de la prueba documental informática desde su recolección en un determinado lugar del hecho, real o virtual, hasta su disposición definitiva por orden judicial. La prueba documental informática, desde el punto de vista de la cadena de custodia, permite lo siguiente: preservar las copias manteniendo el valor probatorio del original y evitando riesgos para él; entregar al perito una copia de los archivos dubitados y preservar los archivos dubitados en su reservorio original en el local del Tribunal, con las seguridades que este puede ofrecer (entre otras, caja fuerte y reservado en secretaría). Además, posibilita al perito realizar su tarea sin inconvenientes, si la prueba documental informática es resguardada en el tribunal (por ejemplo, en un CD o DVD) y si se le entrega una copia. Si la copia es destruida, en nada afecta al original resguardado en el juzgado.

Diagrama de recolección de prueba documental informática y su cadena de custodia. Acceso al lugar del hecho

Requisitoria Pericial

Detección e identificación Virtual

Físicos Equipo apagado

Recolección

Formulario de inventario

Registro

Acta de secuestro y testigos

Rotulado y embalaje

Equipo encendido Formulario de registro de evidencia

Formulario de recibo de efectos Formulario de cadena de custodia Destino temporal laboratorio informático forense

Traslado Formulario de responsables de la cadena de custodia

Destino y depósito final

La informática forense, que integra la Criminalística, aplica la metodología propia de esta disciplina, que trataremos en el próximo artículo. 23


2018 LANZAMIENTOS

24


25


La informรกtica forense como disciplina criminalistica

26


Por My. SCD Luis Enrique Arellano González My. SCD María Elena Darahuge

La criminalística La criminalística es la disciplina orientada al derecho penal que se encarga de brindar soporte a la investigación judicial, aportando criterios científicos, tecnológicos y técnicos al análisis a posteriori de los hechos criminales. Surge como una respuesta metodológica racional, con la intención de reemplazar a los restantes métodos probatorios clásicos. Constituye el fin de un proceso que abandona la prueba divina, las pruebas corporales y sus sucesores, la prueba confesional, con sus resabios de tortura integrados, y la prueba testimonial, con sus problemas de subjetividad, coerción y cohecho.

La criminalística aparece como el remedio neutralizador aportado por y para la sociedad industrializada de fines del siglo XIX y conceptualmente se fundamenta en el estudio de los indicios (“testigos mudos”) que obran en el lugar del hecho con la finalidad de su posterior reconstrucción. Resulta imprescindible destacar que la determinación de la autoría de un hecho delictivo no forma parte de la actividad criminalística. Dicha actividad es una potestad exclusiva, insustituible e irrenunciable del juez, en la que la criminalística se constituye en una herramienta más de apoyo a la decisión que resulta del proceso decisorio en la sentencia. A continuación, intentaremos describir los principales aspectos de la criminalística. 27


Objetivos • Investigar técnicamente y demostrar científicamente la existencia de un hecho en particular (que probablemente sea delictivo). • Reconstruir los hechos acaecidos determinando los fenómenos ocurridos y los mecanismos utilizados y señalando los instrumentos u objetos de ejecución, sus manifestaciones y las acciones puestas en juego. • Aportar evidencias y coordinar técnicas y sistemas para la identificación de la víctima. • Aportar evidencias para la identificación de los presuntos autores. • Aportar pruebas indiciarias para probar el grado de participación de los presuntos autores y demás involucrados.

28

Conceptos destacables de la criminalística • Indicios” (testigos mudos). Es todo objeto, instrumento, huella, marca, rastro, señal o vestigio que se produce como resultado de la ejecución de un hecho, independientemente de su naturaleza y sus condiciones particulares. Su estudio nos puede ayudar a establecer relaciones respecto de la sucesión de acontecimientos que lo generó, los instrumentos utilizados y/o los actores involucrados, que pueden o no corresponder con actos ilegítimos o ilegales. Es importante destacar que todo indicio está formado de signos y, en algunos casos, de símbolos, cuyo sentido e interpretación dependerán del entorno y el objetivo de nuestra labor reconstructiva. Solo a partir de un trabajo de reconstrucción se pueden realizar predicciones objetivas y con probabilidad de acierto. • “Identidad”. Un indicio es idéntico a sí mismo y diferenciable de sus copias y modelos representativos.


• “Intercambio”. Es la interacción, deliberada o inadvertida, que existe entre el criminal, la víctima y el lugar del hecho en un acto delictivo. • “Correspondencia” o “identificación comparativa”. Es la relación de los indicios entre sí y, eventualmente, con una persona. Por ejemplo, si dos huellas dactilares corresponden a la misma persona, si dos proyectiles fueron disparados por la misma arma, etc. • “Reconstrucción de hechos”. Es deducir, generar y proponer una secuencia de ejecución de acciones a partir de los indicios localizados en el lugar del hecho, establecer sus relaciones y proponer una situación originaria, una serie de hechos y una situación resultado, coherente, metodológica y lógicamente válida, soportada en medios de investigación científicos, tecnológicos y técnicos de validez reconocida y de reproducción asegurada. Es una propuesta sobre la manera en que pudieron ocurrir los hechos.

• “Probabilidad”. Es la probabilidad de ocurrencia de un fenómeno con base en el número de características verificadas durante un cotejo. La gama de probabilidades puede ir desde la certeza metodológica, lógica e instrumental, hasta un grado muy bajo de ella. En todos los casos, la probabilidad puede resultar pertinente y conducente a la investigación judicial. Los indicios y el lugar del hecho Los indicios, acorde al lugar del hecho, se pueden clasificar del siguiente modo: • Indicios determinados. Requieren solamente un análisis minucioso, a simple vista o con lentes de aumento, y que guarden relación directa con el objeto o la persona que los produce. Pueden clasificarse según su naturaleza física. Son armas, huellas dactilares e instrumentos. • Indicios indeterminados. Necesitan un análisis completo de su composición y estructura, 29


de acuerdo con su naturaleza física. De lo contrario, no se los puede definir. Son pelos, fibras, semen, orina, vómito, manchas, huellas de sangre y pastillas desconocidas, con o sin envoltura. Entre ellos, se deben destacar especialmente los indicios que conforman la prueba indiciaria informático-forense. • Indicios microscópicos. Por su naturaleza, exigen el empleo de algún instrumento óptico – de amplificación macro o microscópica– para su observación u otras técnicas como la activación neutrónica, la espectrofotometría de acción de masas o la resonancia nuclear magnética. Son pelos, fibras, etc. • Indicios macroscópicos. Son los que se observan a simple vista: manchas, armas, discos ópticos. • Indicios trasladables. Por su naturaleza, forma, volumen, peso o cualidades inherentes, 30

se pueden sacar del lugar de investigación y preservar de forma adecuada para ser trasladados al laboratorio, en el que se realiza el estudio pericial respectivo. Son armas, fibras, datos codificados en soportes magnéticos, ópticos, etc. • Indicios no trasladables. Por su naturaleza, forma, volumen, peso o cualidades inherentes, no pueden moverse del lugar de investigación ya que se alterarían sus condiciones originales. Son huellas de efracción en paredes, muros, redes de cableado para interconexión digital, antenas de comunicaciones, etc. • Indicios virtuales. Se obtienen a partir de la investigación informático-forense. Pueden o no constituirse en prueba documental informática (lugar del hecho virtual propio, LHVP).


La criminalística y sus disciplinas integradoras Recordemos que la criminalística es la metodología integradora multidisciplinaria que provee la información necesaria para esclarecer el hecho a partir de los indicios recolectados (prueba indiciaria). En reiteradas oportunidades se confunde la criminalística con la criminología, pero la criminalística no es la criminología. Esta es el estudio de las razones que provocan la comisión de delitos, su posible prevención y la reinserción del delincuente en la sociedad (naturaleza causal, psicológica, objetivos preventivos y de recuperación social). Resulta necesario establecer una relación directa entre la criminalística y la actividad pericial. Esta genera de inmediato una división en especialidades permanentes y especialidades esporádicas u ocasionales. El análisis de la prueba indiciaria se apoya en tres fundamentos principales: científico (medicina, química, biología, electrónica, etc.), tecnológico

(desarrollo particular a partir de una determinada ciencia) y técnico (instrumento adecuado a las necesidades específicas de investigación). Es así que nadie duda de la permanencia como especialidad de la dactiloscopía o la balística en la investigación del delito. Sin embargo, otras especialidades de menor empleo suelen ser igualmente requeridas por el Tribunal. Por ejemplo, expertos en artes para tasar obras, confirmar autenticidad o detectar falsificaciones (esto es sumamente abarcativo, ya que incluye objetos muy variados: desde katanas hasta cuadros y desde muebles antiguos hasta trajes de época – quedan, así, para la imaginación del lector todos los casos que se le ocurran y que seguramente demandarán la opinión de un experto–) y expertos en maquinarias o vehículos para resolver ciertas cuestiones mecánicas específicas, ajenas a la accidentología vial específica, etc. Para comprender el alcance de estas actividades, basta pensar en la variedad de artes, ciencias y técnicas que coexisten a diario en la sociedad e 31


interactúan con el individuo. Seguro hay por lo menos un experto en cada una de ellas, y este puede ser requerido por el Tribunal siempre que se considere necesario para esclarecer los hechos. Intentaremos, por lo tanto, enumerar y describir únicamente aquellas especialidades que han demostrado su permanencia y su evolución dentro de los laboratorios criminalísticos, pero no pretendemos en forma alguna ser estrictos. De hecho, veremos que ciertas especialidades, consideradas primordiales (pericias mecanográficas), prácticamente han desaparecido y que algunas fueron creadas recientemente (pericias informático-forenses). Planimetría Se dedica a efectuar relevamientos del lugar del hecho, que serán volcados en planos, calcos, cartas, diagramas, esquicios, mapas y todo tipo de representaciones gráficas que sirvan al Tribunal para identificar y situar los componentes básicos del lugar del hecho y las posibles ubicaciones de los participantes. 32

Fotografía pericial Realiza las documentaciones fotográficas necesarias para guardar un registro completo de las actividades periciales llevadas a cabo. Al respecto, es necesario aclarar que incluye, entre otras cosas, lo siguiente: • vistas panorámicas de lugares abiertos y cerrados con lentes normales y teleobjetivos; • vistas generales y ampliaciones de sectores específicos del lugar del hecho; • macrofotografías2 de lugares y objetos considerados probatorios, aclaratorios o complementarios de la prueba indiciaria y utilizados para facilitar la identificación y la preservación de estos lugares u objetos; • microfotografías3 , individuales o comparadas, de elementos probatorios; 2 Ampliación microfotográfica por medio de lentes especiales. 3 Fotografías a través de diferentes tipos de microscopios, si bien uno de los más utilizados es el microscopio comparador.


• fotogrametría o restitución estereométrica4. Balística Reúne todas las técnicas relacionadas con el empleo de las armas de fuego. Se encuentran, entre otras, las siguientes: • Balística exterior. Analiza la trayectoria de los proyectiles, desde que abandonan el ánima del cañón de las armas hasta su impacto o caída natural. • Balística de efectos. Analiza los efectos producidos en los diferentes blancos por los distintos proyectiles y sus masas, formas y velocidades. 4 Técnica especial que, mediante el uso de dos cámaras separadas por un barral solidario a un soporte (trípode), permite obtener secuencias fotográficas de un mismo lugar, pero con diferentes ángulos de incidencia. A partir de las fotografías generadas y el uso de medios informáticos de reconstitución, es posible generar un mapa del lugar del hecho empleando técnicas CDW (Close-range Digital Workstation). La fotogrametría reúne, de esta manera, la técnica fotográfica y la planimétrica en un solo acto y permite una representación estricta de las posiciones respectivas detectadas en el lugar.

• Balística interior. Estudia todos los componentes del arma de fuego y sus municiones, mecanismos y técnicas asociadas. Incluye, también, la determinación de la aptitud para el disparo, del calibre y de la celosidad (fuerza necesaria para producir el disparo y la posibilidad asociada de disparo accidental) y el funcionamiento de las armas involucradas. • Balística interna. Se encarga de la trayectoria del proyectil dentro de la víctima, desde su impacto en el cuerpo hasta su alojamiento o egreso. La disciplina es propia y específica de la medicina legal. • Identificación de armas y cartuchos. Implica la determinación de la marca, el origen, la procedencia y demás datos identificatorios de un arma o su munición. • Identificación de vainas. Intenta relacionar las vainas resultantes del disparo de armas de fuego con estas últimas por medio de las 33


características propias del espaldón, el percutor, el extractor y el botador, si las hubiera. Recurre generalmente a medios ópticos particulares, entre los que se destaca el microscopio comparador. • Identificación de proyectiles. Realiza las mismas tareas detalladas en el apartado anterior, pero en relación a los proyectiles. Utiliza, entre otros elementos, el microscopio comparador y el fotocomparador sistema Belaunde. Este último es un aporte de Ernesto Belaunde. Revolucionó y simplificó la tarea pericial al permitir fotografiar y comparar el área de contacto del proyectil con el cañón del arma que lo dispara, permitiendo, luego, el cotejo entre fotografías ampliadas para determinar áreas en común y características identificatorias propias. • Determinación de restos de deflagración (cuando la velocidad de ignición es superior a un metro por segundo) en objetos y piel 34

humana. Analiza los vestigios generados por el estallido de la pólvora y sus derivados en objetos, víctimas o tiradores. Papiloscopía Incluye el estudio de las huellas papilares (surcos y crestas característicos de la piel humana). Puede ser dividida en cuatro subdisciplinas: • Pelmatoscopía. El estudio de las huellas plantares. Se utiliza especialmente en la identificación del recién nacido. • Palametoscopía. El estudio de las huellas palmares. • Dactiloscopía. El estudio de las huellas papilares procedentes de los pulpejos de los dedos. A partir de ellas se llevan a cabo distintos procedimientos de cotejo y archivo (archivos decadactilares, monodactilares y digitalizados). • Necropapiloscopía. El estudio de técnicas para


lograr la identificación de cadáveres. Abarca todas las especialidades papiloscópicas (pelma, pala y dactiloscopía). Rastros Se dedica a estudiar las huellas dejadas en el lugar de los hechos por vehículos o personas. Analiza las huellas dactilares, pero también marcas de ruedas, huellas de pies calzados y con medias (retrato del paso) y toda otra marca dejada por un elemento móvil o un instrumento de efracción (herramientas propias e impropias). Identificación humana Conforma registros que permiten realizar una adecuada identificación personal por medio de documentación. Con el avance de la tecnología, se recurrió a diversos sistemas de identificación humana, como, entre otros, los siguientes: • Sistema fotográfico. Complementa la documentación normal de la mayoría de los países.

• Retrato Hablado de Bertillón. Es de suma utilidad para la descripción anatómica del rostro de un individuo, ya que realiza una estricta clasificación de sus componentes (nariz, ojos, cejas, labios, orejas, etc.). • Sistema Otométrico de Frigerio. Analiza el pabellón auditivo, dada la variedad y complejidad de formas de oreja que existen en distintos individuos. • Sistema Craneográfico de Anfosso. Incluye, entre otras tareas, la medición del contorno del cráneo y la longitud del dedo medio de la mano derecha. • Sistema Geométrico de Matheios. Utiliza fotografías del rostro ampliadas y separadas por dos perpendiculares, que pasan por las pupilas y por el centro de la frente hasta la barbilla.

35


• Sistema Dentario de Amoedo. Utiliza impresiones dentarias. Fue perfeccionado por el perito odontólogo del Servicio de Identificaciones de San Pablo (Brasil), el Prof. y Dr. Luis Silva. Se basa en el principio de que no existen dos bocas iguales. Sus técnicas se utilizan actualmente en la odontología forense.

poco apropiado para los negros, los mestizos, los gordos y las personas con algunas enfermedades específicas.

• Sistema Oftalmétrico de Capdevielle. Se basa en la curvatura de las corneas, la distancia interpupilar, la medida interorbitaria máxima, el color del iris y las anomalías. Se utiliza un aparato de su invención llamado oftalmostatómetro.

• Sistema Poroscópico de Locard. En este sistema las crestas papilares aparecen como líneas y surcos, pero si usamos una lupa veremos que tales líneas están conformadas por una serie de espacios blancos con contornos negros, denominados poros. Es considerado como un complemento de la papiloscopía, que se restringe a espacios papiloscópicos reducidos y con pocas características propias.

• Sistemas Oftalmoscopio y Radiográfico de Levinhson. Consisten en fotografiar el fondo de ojo (la retina) y complementarlo con radiografías de las falanges, el metacarpio y el metatarso.

• Sistema Dactiloscópico Argentino, diseñado, desarrollado e instrumentado por Juan Vucetich. Consiste en la obtención de fichas decadactilares de los individuos a identificar.

• Sistema Venoso de Tamassia y Ameuille. Se basa en el estudio y la medición de la red venosa de la cara dorsal de las manos. Era

En el desempeño del rol del perito como auxiliar de la ley es necesario aplicar una metodología científica, es decir, un método criminalístico que

36


le permita al experto proteger las evidencias o las pruebas de posibles acciones negligentes. Como dijimos antes, la criminalística es una metodología que provee la información necesaria para esclarecer un hecho a partir de indicios recolectados (prueba indiciaria). La validez y la confiabilidad de las pruebas constituyen una responsabilidad ineludible del experto en Informática Forense, ya que este debe brindar un servicio de auxilio a la ley que denote profesionalidad, compromiso y responsabilidad social. En la actualidad se observan importantes fallas en el procedimiento, en el método y en la elaboración de informes técnicos y/o periciales, que obstaculizan el rol esencial de servir de auxilio o apoyo a la decisión judicial. Estas fallas, en general, por desconocimiento de los principios criminalísticos y metodológicos de aplicación en las tareas de recolección, protección y traslado de pruebas, acarrean una conducta equívoca en el manejo y gestión de la actividad pericial. La única forma de comenzar a revertir estos errores en los

expertos en Informática Forense es a través de la difusión educativa de los principios y las pautas esenciales de la labor pericial.

Métodos de investigación en Criminalística Si bien es cierto que existen serias discusiones teóricas entre los expertos para establecer la naturaleza científica de la criminalística, no hay dudas sobre la pertinencia de los métodos que esta emplea para investigar la prueba indiciaria. En realidad, no podemos decir que todos los métodos aplicados a la criminalística sean propios de ella. Muchos son adaptados a las necesidades de cada caso. La aparente diversidad (por no decir “disparidad”) de los problemas tratados en el laboratorio de criminalística permite reconocer una unidad intrínseca representada normalmente por métodos físicos y químicos, entre los cuales los ópticos son, desde luego, los más utilizados, pues ofrecen grandes ventajas de sensibilidad 37


y seguridad, sin alterar en nada las sustancias u objetos a los que se aplican y evitando su destrucción o modificación.

Características del método criminalístico El método criminalístico reúne las siguientes características: • soporte científico válido; • tecnología adecuada a la especialidad;

• validez demostrativa (deducción, inducción, abducción); • lógica estricta (marco de referencias, hipótesis de trabajo, variables, premisas, razonamientos, conclusiones); • experiencias reproducibles comprobables a posteriori.

y

resultados

Debemos tener en cuenta que para que una demostración criminalística sea admitida como prueba debe cumplir con ciertas condiciones:

• técnica instrumental reproducible; • desarrollo progresivo equivalente y universal; • aplicación in situ, trabajo de campo (inspección judicial en el fuero penal) y/o de laboratorio. • progresivo (de lo más general a lo más particular);

38

• Debe constituir un soporte científico universal (que la teoría científica en la que se basa sea considerada válida por la comunidad científica). • La prueba debe caracterizarse por su credibilidad y confiabilidad (que sea reconocida como fiable).


• Deben analizarse las condiciones de implementación del examen (debe demostrarse que las técnicas se aplicaron adecuadamente en el caso concreto analizado). • Debe realizarse una inspección del lugar del hecho en todos los casos, ya que la prueba es susceptible de ser detectada. En la criminalística siempre se ha considerado el criterio de identidad como reflexivo. Una cosa solo es idéntica a sí misma. Para las restantes condiciones, se trabaja por analogía. Las huellas son iguales, parecidas, similares, correspondientes, pero nunca idénticas. En el caso de la prueba indiciaria informático-forense, este criterio es modificado por la naturaleza idéntica que relaciona dos bits (o dos electrones, o dos fotones, o dos partículas primarias cualquiera) entre sí. Las equivalencias de identificación entre las disciplinas criminalísticas pueden ser, por ejemplo, caracteres externos de visu, señas particulares,

descripción técnica (Retrato Hablado de Bertillón), fotografía, huella dactilar y ADN. Los indicios desde la criminalística deben ser necesarios y suficientes, mientras que desde lo legal deben ser pertinentes y conducentes. Los indicios recolectados o dudosos son denominados dubitados. Por otra parte, a los utilizados para cotejar o comparar se los llama indubitados. En criminalística, la identificación de los indicios, los elementos dubitados (indicios recolectados) e indubitados (elementos de cotejo), se realiza aplicando una valoración específica de cada disciplina que permite asignar validez criminalística a través de la determinación de doce puntos igualmente, situados, orientados y dirigidos. En la siguiente tabla mostramos la equivalencia metodológica entre algunas disciplinas criminalísticas.

39


Balística

Documentología

Papiloscopía

Proyectiles

Vainas

Mecanográficas

Manuscritas

Huellas dactilares

Mismo calibre

Mismo calibre

Misma tipografía

Misma personalidad gráfica

Misma mano

Número de estrías

Empleo

Clasificación tipografica

Paso de estría

Marcas varias

Tipografía (marca y modelo)

Rodado equivalente

Huellas espaldón

Paso mecánico, proporcional

Microscopía (*) Microscopía (*)

Análisis de tipos(*)

Análisis extrínseco

Análisis intrínseco (*)

Mismo dedo Clasificación Subclasificación Puntos de bertillón(*)

(*) Doce puntos característicos igualmente situados. orientados y dirigidos El 40


lugar del hecho Las evidencias son los indicios probatorios obtenidos en el lugar del hecho que pasan por un proceso de detección, registro, protección y análisis. Al acceder al lugar del hecho, deben considerarse, fundamentalmente, la revisión, los objetivos, la metodología y la consigna. La revisión debe ser organizada (preparación previa a la revisión del lugar, más sencilla cuanto más se planifica), minuciosa (revisión exhaustiva y detallada del lugar, no obviar detalles aunque se consideren superfluos) y sistemática (utilización de un sistema, método o procedimiento en forma estricta y que permita la reconstrucción y la repetición). Primero está la seguridad y luego el registro y la protección de las pruebas. Los objetivos consisten en detectar los indicios propios de cada área de estudio o especialidad, los elementos probatorios (edilicios, físicos, lógicos y humanos), identificar los indicios

relacionados con el punto anterior y documentar, secuestrar y proteger los indicios detectados (rotulado, acta de secuestro, cadena de custodia). La metodología implica una serie de pasos a seguir: 1.Aislar el área. 2.Determinar el orden de ingreso. 3.Ingresar, observar y documentar (fotografiar, graficar y anotar todo). 4.Revisar el área, trazando una espiral desde el centro hacia afuera.

41


5. Secuestrar los indicios, si no se puede asegurar su protección. 6. Cumplir con los requisitos legales (acta, descripción, testigos). 7. Evitar modificar la escena o el lugar del hecho. 8.Restringir el ingreso por un tiempo limitado. 9.Clausurar formalmente el lugar (con acta y faja de seguridad) al retirarse. 10.Priorizar el trabajo en equipo e interdisciplinario. 11.Utilizar testigos, de ser posible. Lo más importante es identificar, situar y relacionar. Es fundamental recordar, al momento de inspeccionar, que lo más sencillo es lo más probable (es la vida real, no una película) y hay que tener en cuenta que el sentido común y la metodología son los mejores aliados. También es importante que la experiencia sea útil, aunque no infalible (analizar objetivamente), que no se brinden opiniones prematuras (somos esclavos de las palabras y dueños de los silencios) y que se documente mediante procedimientos mixtos 42

(escritos, topográficos y fotográficos), que es lo ideal. Por último, es imprescindible el trabajo inter y transdisciplinario. La consigna es rotular, referenciar y proteger. El perito en Informática Forense forma parte de un equipo. Por lo tanto, debe proteger las huellas de pisadas, los rastros de sangre y otras secreciones, los pelos y fibras textiles, los trozos de vidrios, astillas, etc., las marcas de efracción, los documentos, las herramientas delictivas y los recursos informáticos (hardware y software, elementos digitales y electrónicos cableados, entre otros). En síntesis, el perito debe velar por la seguridad de las pruebas, asegurar su resguardo legal y aplicar una metodología estricta.

La Informática Forense como disciplina criminalística La Informática Forense es una disciplina criminalística que ha alcanzado un enorme auge a partir de su surgimiento en las postrimerías


del siglo XX. Aún no ha alcanzado su apogeo, pero se vislumbra que su desarrollo, evolución y crecimiento tendrán una expansión constante, al menos en lo que resta de la segunda década y la totalidad de la tercera del siglo XXI. Desde la Administración Pública Nacional (APN) se estimula la migración hacia el documento digital para reducir la cantidad de documentación en papel, que abarrota los edificios oficiales. La misma circunstancia se observa en el Poder Judicial: su despliegue hacia el expediente digital fue impulsado por la Corte Suprema de Justicia de la Nación, a la cual adhieren de manera constante los organismos judiciales de menor nivel (incluyendo los que dependen de la Justicia provincial). A esto se suman el Plan Nacional de Gobierno Electrónico y los planes sectoriales de Gobierno Electrónico. En cuanto al sector privado, cada vez más se observan contrataciones efectuadas mediante intercambio de mensajes de correo electrónico, además de comprobaciones de asistencia y despidos por vías similares. En lo social, el empleo

de redes sociales y medios de comunicación digital (Facebook, Twitter, WhatsApp) se ha constituido en norma. A través de ellos se lleva a cabo la mayoría de los vínculos inter e intrapersonales. Por supuesto, todo este avance de la tecnología se produjo a partir del pasaje de la clásica experiencia real hacia una nueva forma de experiencia real con soporte virtual o, directamente, hacia una relación absolutamente virtual. Como en todas las relaciones humanas, surgen conflictos, solo que estos actualmente escapan al harto conocido y siempre vigente lugar del hecho real para constituirse en el tan vigente lugar del hecho virtual (propio e impropio). Cuando estos conflictos devienen en afectaciones a los bienes propios de las personas (la vida, la libertad, el patrimonio) y se resuelven por procesos judiciales u otros medios alternativos de resolución de conflictos, surge la necesidad de utilizar una nueva forma de prueba, llamada prueba documental informática, cuya recolección constituye un nuevo desafío para los expertos en Informática Forense.

43


La prueba documental informática La prueba documental clásica, ya reconocida en todos los códigos procesales, puede ser de distintos tipos: bibliográfica5 (pericia documentológica, caligráfica, física y/o química), foliográfica6 (pericia de agrimensura, planimetría, arquitectura) o pictográfica7 (fotografía pericial, expertos en cinematografía, incluyendo audio analógico). A dicha prueba se le incorpora la prueba documental informática, que es igual a la documental clásica, pero diferente en cuanto al tipo de soporte, que es digital (magnético u óptico) en la documental informática y en papel en la documental clásica. Las características y los empleos de la prueba documental informática con fines jurídicos son los siguientes: pertinencia y empleo (similar a la prueba documental clásica), oportunidad (diligencia previa, preliminar, prueba anticipada, inaudita altera pars), recolección 5 Textos impresos o manuscritos. 6 Mapas, esquemas, planos. 7 Foto y película no digitales. 44

(similar a la prueba documental clásica), certificación (funcionario, escribano, abogado, perito), comprobación (prueba de informes) y revisión (auditoría y/o pericia informático-forense, en subsidio). En la siguiente tabla se muestran las similitudes y las diferencias entre la prueba documental clásica y la prueba documental informática. Similitudes • Poseen el mismo valor probatorio. • Son comprobables por prueba de informes. • Son susceptibles de revisión pericial (Informática Forense). • Presentan una utilidad intrínseca y extrínseca, dependientes de su confiabilidad (autenticidad). Diferencias • Principios criminalísticos de identidad y correspondencia atípicos. En la documental informática es imposible identificar original y copia. • Elemento incriminado y testigo idénticos.


• Alta sensibilidad del soporte digital a las acciones externas dolosas o culposas. • Posibilidad de modificación local o remota “en línea”. Si la prueba documental informática no es aceptada por la contraparte, entonces se recurre a la solución pericial mediante un informe pericial informático forense realizado por un experto. Pero aún la formación técnica del profesional en Informática, con título de grado en Informática y Sistemas de Información o en Computación, no es suficiente para desarrollar la actividad de manera efectiva, eficiente y eficaz. La Informática Forense requiere formación en Criminalística, Derecho y, por supuesto, Seguridad Informática. La carencia de esa formación es lo que provoca las constantes nulidades por errores procesales (legales) o procedimentales (criminalísticos, por ejemplo, falta de cadena de custodia adecuada) que llevan al descarte de la pericia presentada y a la pérdida de tiempo y recursos valiosos y que contribuyen

al estado de indefensión observado en los casos judicializados, donde el ciudadano pierde la oportunidad de recurrir a dicha prueba por errores del perito. Claro está, esto afecta profundamente a la seguridad jurídica que nuestra Constitución pretende asegurar. El marco de inserción de la prueba documental informática es indiscutiblemente transdisciplinario. Hay que destacar que las palabras que caracterizan a la profesión son “informática” y “forense”, y esto es lo que define su aspecto transdisciplinario, que reúne a la Criminalística, la Informática y el Derecho. El Derecho está incluido entre los métodos probatorios procesalmente aceptados. En este sentido, forma parte de la prueba documental. Es factible de confirmación mediante prueba de informes y de verificación mediante prueba pericial informático-forense. La Informática abarca la Informática Forense y la Seguridad Informática. En este sentido, la Informática Forense constituye una rama de la Informática. Por su parte, la 45


Criminalística también es una rama conformada por una nueva disciplina dentro de este conjunto de técnicas periciales. La Informática Forense coexiste de manera interdisciplinaria, en sus respectivas relaciones criminalísticas, con la Balísica, la Documentología, la Papiloscopía, la Fotografía, además del laboratorio pericial y de los rastros, entre otras especialidades, y de manera transdisciplinaria en sus funciones probatorias judiciales.

Principios y características periciales informático-forenses Principio de entidad pericial propia Conlleva el empleo de los medios informáticos como instrumentos de conformación de prueba indiciaria informático-forense, prueba que, si bien constituye una parte de la Criminalística y en lo formal no difiere de cualquier otra prueba pericial, se integra con una metodología propia que permite asegurar la detección, la identificación, la 46

documentación, la preservación y el traslado de la evidencia obtenida con técnicas e instrumentos propios e inéditos en las ciencias criminalísticas. En este sentido, la prueba indiciaria informáticoforense requiere de cuidados específicos que la diferencian de otras pruebas periciales. Principio de protección y preservación Implica una cadena de custodia estricta y con certificación unívoca comprobable (hash). Principio de identidad impropio Utiliza copias del original, ya que cuando se duplica un archivo informático la copia no es igual al original, sino idéntica (un bit no difiere de otro bit y entre sí son inidentificables unívocamente) Principio tecnológico transdisciplinario Se requieren conocimientos específicos en todos los especialistas involucrados en la prueba indiciaria informático-forense: jueces para evaluar correctamente la prueba, fiscales y abogados para efectuar la requisitoria de manera adecuada


y oportuna, profesionales en Criminalística y otros peritos para no contaminar la prueba durante las tareas periciales y contribuir a su preservación y, finalmente, funcionarios judiciales y policiales a efectos de proteger y mantener la cadena de custodia establecida. Principio de oportunidad Debido a la facilidad de destrucción de la prueba, normalmente se requieren tareas complementarias que aseguren su recolección (medidas preliminares, inspecciones o reconocimientos judiciales, órdenes de allanamiento o intercepción judicial). Principio de compatibilización legislativa internacional Gran parte de los contratos particulares celebrados en el marco del derecho internacional privado se realizan mediante comunicaciones digitales (instrumentadas en correo electrónico, en claro o cifrado, y certificadas por medio de claves criptográficas o firmas digitales). Estas actividades no solo devienen en demandas civiles, comerciales

y laborales internacionales, sino que en muchas oportunidades constituyen delitos tipificados en la legislación de fondo de cada país. Principio de vinculación estricta La prueba indiciaria informático-forense puede estar relacionada con múltiples actividades delictivas dentro de la legislación internacional o del derecho interno, algo que, si bien es propio de toda prueba pericial, se vuelve crítico respecto de esta disciplina. Estas actividades delictivas con las que mantiene un vínculo directo pueden ser, entre otras, las siguientes: actividades de espionaje industrial y comercial, trata de personas, tráfico de órganos, blanqueo de capitales, terrorismo (político, delictivo, ideológico, narcoterrorismo), prostitución y pornografía infantil. Los indicios en Informática Forense que se detallan en el apartado “Elementos ofrecidos” del informe pericial (ofrecidos por el elemento judicial o por el cliente y utilizados en las operaciones realizadas por el experto o el perito) son clasificados en recursos edilicios, físicos, lógicos y humanos. En la validez criminalística de los indicios 47


informático-forenses, en relación a la identificación de las evidencias a partir de la aplicación de la metodología expresada anteriormente de otras disciplinas criminalísticas, se aplica el criterio de error, relativo o absoluto, es decir, de las diferencias entre medición efectuada y valor real. En criminalística se aplica el error relativo. A mayor

Almacenamiento de datos

Discos Controladora

Geometría Tipos

Área protegida -HPA

IDE ATA - SATA SCSi HCS- Cilindros Pistas Sectores LBA- Logic block address Tamaño - según fabricante

Sistema de archivos. Particiones

Estructura de archivo Estructura de un ejecutable

Usuario y/o maestro Método de Seguridad Alta o máxima Contraseña de acceso acceso Planificación lógica

48

cantidad de mediciones, mayor aproximación al valor real. En la siguiente tabla se muestra un ejemplo de valor de certeza para los recursos de hardware, como el disco rígido y los de tipo lógico (software), el sistema de archivo y el correo electrónico.

FCSFS-First Come Firs Serve CSCAN-Cyclic

Correo electrónico

Sector de inicio -MBR Análisis de encabezado Primaria (hora GMT, origen, Extendida destino) Tipos: FAT-NTFS- Ext2-Ext3 MFT:Windows: Cabecera-atributos-tamañoseguridad-datos-vlusters. Unix- Nodo-i: Tipo y Informa ISP, confirma protección, nro de nombres, dueño, grupo del datos anteriores dueño, fecha y hora de creación, último acceso. Servidor de correo Punteros Cabecera-código-datos-información de inicio Secuencial-directo o aleatorio

Relación encabezado y contenido Correlación cronológica, validación pericial

Doce puntos característicos igualmente situados, orientados y dirigidos. Descripción y análisis de los elementos ofrecidos con un valor de certeza del 80 %


Conclusiones La Criminalística es la disciplina auxiliar de la investigación judicial que aplica los conocimientos, los métodos y las técnicas de investigación de las ciencias naturales en el examen de material sensible significativo relacionado con un presunto hecho delictivo o no, con el fin de determinar su existencia, o bien reconstruirlo, para señalar y precisar la intervención de uno o varios sujetos, llegando, así, a la verdad histórica o al material del hecho. Su objeto de estudio es la prueba indiciaria. Se entiende por “prueba indiciaria” el conjunto de elementos físicos y virtuales que obran en un lugar determinado y que son necesarios y suficientes para efectuar una reconstrucción lógica científica, tecnológica y técnica de los hechos investigados por medio del correspondiente análisis pericial forense. La metodología criminalística ofrece las siguientes características: • soporte científico válido;

• tecnología adecuada a la especialidad; • técnica instrumental reproducible; • desarrollo progresivo equivalente y universal; • la validez de la prueba criminalística debe cumplir con tres condiciones: soporte científico universal (que la teoría científica en que se basa sea considerada válida por la comunidad científica), credibilidad y confiabilidad de la prueba (que la prueba sometida a estudio sea reconocida como fiable) y condiciones de implementación del examen (debe demostrarse que las técnicas fueron aplicadas adecuadamente en el caso concreto analizado). La cadena de custodia es un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria), relacionados con un hecho delictivo o no, desde su localización hasta su valoración por parte de los encargados de administrar justicia. Este procedimiento brinda trazabilidad y confiabilidad a la gestión de la prueba indiciaria. 49


2018 LANZAMIENTOS

50


51


BIBLIOGRAFÍA Libros: Albarracín, Roberto. (1969). Manual de Criminalística. Buenos Aires, Argentina: Editorial Policial. Carrier, Brian. (2003). “Open Source Digital Forensics Tools. The Legal Argument”. Disponible en http://www.digital-evidence.org/papers/opensrc_legal.pdf Darahuge, María Elena y Luis Enrique Arellano González. (2011). Manual de Informática Forense. Buenos Aires, Argentina: Errepar. --------. (2012). Manual de Informática Forense II. Buenos Aires, Argentina: Errepar. --------. (2016). Manual de Informática Forense III. Buenos Aires, Argentina: Errepar. --------. (09/2010). “La prueba documental informática (recaudos procesales)”. Compendio Jurídico, (44), pp. 13-33. --------. (08/2011). “La recolección ilegítima de datos (el problema del phishing)”. Compendio Jurídico, (54), pp. 263-275. --------. (10/2013). “Credibilidad probatoria informático forense. La prueba indiciaria tecnológica”. Revista Profesional & Empresaria, (169), tomo XIV, pp. 1066-1077. --------. (11/2013). “La naturaleza pericial de la informática forense”. Revista Profesional & Empresaria, (170), tomo XIV, pp. 1170-1180. Guzmán, Carlos. (2000). Manual de Criminalística. Buenos Aires, Argentina: Ediciones La Rocca. Ministerio de Justicia y Derechos Humanos. (2008). “Ley 26.388”. Recuperado de http://servicios. infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm Morrisey, Sean. (2010). iOS Forensic Analysis, for iPhone, iPac and iPod touch. New York, USA: 52


Apress. Rosset, Ricardo y Pedro Lago. (1962). El abc del dactilóscopo. Buenos Aires, Argentina: Biblioteca Policial. The Sleuth Kit, Autopsy. (2003-2017). Sleuthkit: Open Source Digital Forensics. Recuperado de http://www.sleuthkit.org/ Vacca, John. (2002). Computer Forensic: Computer Crime Scene Investigation. Massachusetts, USA: Charles River Media Networking Series. Zajaczkowski, Raúl Enrique. (2012). Manual de criminalística. Buenos Aires, Argentina: Ediciones Dosyuna. Normas internacionales ISO/IEC 27037:2012: information technology, security techniques, guidelines for identification, collection, acquisition and preservation of digital evidence. ISO/IEC 27041: information technology, security techniques, guidelines on assuring suitability and adequacy of incident investigative methods (FDIS). ISO/IEC 27042: information technology, security techniques, guidelines for the analysis and interpretation of digital evidence. ISO/IEC 27043: information technology, security techniques, incident investigation principles and processes (FINAL DRAFT). ISO/IEC 27050: information technology, security techniques, electronic discovery. Sitios web de interés Cibercrimen: http://www.cybercrime.gov/cccases.html Delitos informáticos: http://delitosinformaticos.com/ FBI (Federal Berau Investigation): http://www.fbi.gov/majcases/fraud/fraudschemes.htm 53


Fraudes informáticos: http://www.fraud.org/news.htm. Fraudes informáticos y estadísticas: http://www.fraud.org/internet/2001stats10mnt.htm Incidentes informáticos: http://www.terrorism.com/iwdb/incidents.asp Políticas en Internet: http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/CrimeCommEN. html Grupos y foros de discusión Foro de discusión sobre ciencias criminalísticas (abarca todas las especialidades): http://www. criminalistica.net/forense/index.php Grupos de discusión sobre criminalística: http://es.groups.yahoo.com/group/criminalistica/ Grupo de discusión sobre informática forense: http://br.groups.yahoo.com/group/ PericiaForense/ Grupo del Curso de Experto y Perito en Informática Forense: https://espanol.groups.yahoo.com/ neo/groups/informatica-forense/info

54


SISTEMA DE INCORPORACIÓN DEL EJÉRCITO Para oficiales, suboficiales y soldados voluntarios del Ejército Argentino CENTRO ÚNICO DE INFORMACIÓN 0810-888-4373 informes@iue.edu.ar www.ejercito.mil.ar/incorporacion/ 55


CARRERAS - CURSOS - IDIOMAS

FACULTAD DEL EJÉRCITO Av. Cabildo 65, 2° piso (C1426BOP) Ciudad Autónoma de Buenos Aires

56

CENTRO ÚNICO DE INFORMACIÓN 0810-888-4373 dieseinfor@iue.edu.ar ecinfor.distancia@iue.edu.ar


PALABRAS EPÍLOGOFINALES ESTIMADOS LECTORES Y FUTUROS COLABORADORES, NUESTROS OBJETIVOS SON: 1. Conformar un espacio de comunicación e intercambio entre nuestra Universidad, sus graduados y sus pares de otras instituciones académicas. 2. Brindar un escenario para que alumnos, académicos e investigadores puedan publicar sus producciones. 3. Constituir un medio de vinculación para todos, que nos actualice y nos informe. 4. Incrementar y jerarquizar la actividad académica nacional. SI QUIEREN ESCRIBIR EN NUESTRA REVISTA, ENVÍEN SUS PROYECTOS A: eude@iue.edu.ar Tengan en cuenta, antes de escribir sus notas, las normas publicadas en www.iue.edu.ar/eude/ NUESTRA PRÓXIMA TEMÁTICA SERÁ: LA METAMORFOSIS DE LA GUERRA

ru

revista

universitaria del ejército

EDITORIAL EUDE CABILDO 65, (1426), BUENOS AIRES, ARGENTINA +(54-11) 4576-5650/51/54 INT. 7874/7807/7836 www.iue.edu.ar/eude/ eude@iue.edu.ar

57


”La mente que se abre a una nueva idea, jamás volverá a su tamaño original” Albert Einstein

58


rue 17 - La informática forense  

Revista universitaria del Ejército LA PROBLEMÁTICA DE LA INFORMACIÓN FORENSE La prueba documental informática El lugar del hecho Rol del ex...

rue 17 - La informática forense  

Revista universitaria del Ejército LA PROBLEMÁTICA DE LA INFORMACIÓN FORENSE La prueba documental informática El lugar del hecho Rol del ex...

Advertisement