DIRECCION DE POLICIA CIENTIFICA

DEPARTAMENTO ESTUDIOS
ESPECIALES

DIVISIN INFORMTICA
JUDICIAL

GENDARMERA NACIONAL ARGENTINA

DIRECCIN DE POLICA CIENTFICA

DELITOS
INFORMTICOS

LEONARDO RAFAEL IGLESIAS

INGENIERO ELECTRNICO
JEFE DIVISIN INFORMTICA JUDICIAL

QUE SON LOS DELITOS

INFORMTICOS?
Hecho o conducta ilcita que se comete

mediante la utilizacin de herramientas

electrnicas o informticas.

Son todos aquellos delitos, tipificados en el

cdigo penal, que hacen uso indebido de

cualquier medio o sistema informtico.

Es toda aquellaaccin, tpica, antijurdica y

culpable, que se da por vas informticas o

que tiene como objetivo destruir y daar
ordenadores, medios electrnicos y redes de
Internet.

TIPOS DE DELITOS INFORMTICOS

Fraude
Pornografa infantil
Estafa
Robo de propiedad

intelectual
Denegacin de servicios
Acceso no autorizado
Extorsin
Robo de servicios
Sabotaje informtico
Abuso de privilegios

INFORMTICA
FORENSE

DIVISIN INFORMTICA
JUDICIAL

Informtica Forense
Es una disciplina criminalstica que tiene como objeto la
investigacin, en sistemas informticos, de hechos con
relevancia jurdica o para la simple investigacin privada.
Para conseguir sus objetivos, la Informtica Forense
desarrolla tcnicas idneas para ubicar, reproducir y analizar
evidencias digitales con fines legales.

DIVISIN INFORMTICA
JUDICIAL

EVIDENCIA DIGITAL
Es cualquier registro generado por o guardado en un
medio de almacenamiento tecnolgico que es utilizado
para demostrar la comisin de un delito, y sirve como
elemento material probatorio en un juicio.
Cuando se la compara con otras formas de evidencia
documental la evidencia computacional es frgil. Esto
hace que los datos digitales adquiridos, o sea la copia
obtenida, no debe alterar las originales del disco, o sea
deben ser exactamente iguales a los originales.
De aqu toma importancia el CHECKSUM o HASH.

DIVISIN INFORMTICA
JUDICIAL

BASES Y MARCO LEGAL

Breve resea
Gua Tcnica para Levantamiento de Evidencia
Digital
Ley 26388 Delitos Informticos
Ley 25506 Firma Digital
Ley 25326 de Habeas Data
Ley 24766 Confidencialidad Procedimiento de
Anlisis y cuidados de la Prueba
Ley 22362 Registros Marcarios
Ley de Propiedad Intelectual

DIVISIN INFORMTICA
JUDICIAL

Software Utilizado

EL PROGRAMA ENCASE HA SIDO OPTIMIZADO PARA MANEJAR LA

COMPLEJIDAD CADA VEZ MAYOR DE LAS CONFIGURACIONES Y
CAPACIDADES INFORMTICAS.
EL PROGRAMA ENCASE AVALADO POR EL INSTITUTO NACIONAL PARA
ESTNDARES Y TECNOLOGA (NIST).
ESTE CONCLUY QUE ENCASE IMAGING ENGINE (MOTOR DE CREACIN
DE IMGENES DE DISCOS) OPERA CON MNIMOS DEFECTOS.

HARDWARE
UTILIZADO

DIVISION INFORMTICA
JUDICIAL

DIVISION INFORMTICA
JUDICIAL

PROCEDIMIENTO DE ANLISIS Y
CUIDADO DE LA PRUEBA
VER LAS CONDICIONES DEL ESTADO GENERAL DEL EQUIPO A
ANALIZAR.
NO CONTAMINAR LA PRUEBA.
ACTUAR METDICAMENTE.
OBTENER UNA IMGEN FORENSE DEL DISCO.
PRIORIZAR EL CUIDADO DEL HASH ENTRE LA PRUEBA Y LA
IMAGEN FORENSE.
NO DAAR ELEMENTOS DE HARDWARE DE LA PRUEBA.

DIVISION INFORMTICA
JUDICIAL

MTODO
FORENSE
1. Acceso informtico forense
2. Identificacin de la
evidencia
3. Autenticacin de la
evidencia
4. Preservacin de la
evidencia

1 Acceso Informtico
Forense

CONSISTE EN:
Se extrae el disco a analizar del Equipo
Informtico cuestionado
Dispositivos especiales de conexionado para
ingresar al HD.
Se usa la herramienta ENCASE para analizar el
HD

2 Identificacin de la Evidencia

En que consiste:
Se identifica un conjunto de pruebas para ser tomadas como
evidencia.
Recuperar los atributos del archivo
Relevar la mayor cantidad de evidencia digital (sin alterarla)

3 Autenticacin de la Evidencia

En que consiste:
Clculo de firmas digitales.
Se obtiene un HASH (MD5 y SHA1).
Garantiza: integridad de evidencias digitales recolectadas y
permite identificar UNIVOCAMENTE a tales archivos.

Criptografa
Usos
Autenticacin:

implica
hablar
de
corroboracin de la identidad. En particular
del origen de un archivo.

Confidencialidad: mantener en secreto una

informacin determinada.
Integridad: la informacin no haya sido

alterada por personas no autorizadas u otro

medio desconocido.

Hash
Tambin denominado valor Hash o sntesis del
mensaje, es un tipo de transformacin de datos.
Un Hash es la conversin de determinados
datos de cualquier tamao, en un nmero de
longitud fija no reversible, mediante la
aplicacin a los datos de una funcin
matemtica
unidireccional
denominada
algoritmo Hash.
Existen funciones comunes de Hash en un
sentido. Las ms comunes son MD5 y SHA-1.

4. Preservacin de la
evidencia

DIVISION INFORMTICA
JUDICIAL

DIVISION INFORMTICA
JUDICIAL

Resguardo de la evidencia

QU SE PUEDE
OBTENER DEL
ANLISIS FORENSE?

PODEMOS OBTENER:

AGENDA DE CONTACTOS
LOGS O HISTORIALES
CALENDARIO / TAREAS
SMS ENVIADOS Y RECIBIDOS
ARCHIVOS MULTIMEDIA (IMGENES, VIDEO, ETC)
E-MAIL O CORREOS
ARCHIVOS BORRADOS
ARCHIVOS DE SISTEMA
LLAMADAS ENTRANTES / SALIENTES
DOCUMENTOS WORD / EXCEL / PDF Y OTROS
BASES DE DATOS
TRANSACCIONES BANCARIAS
CHAT
ETC

PUNTOS PERICIALES

Puntos
Periciales

Anlisis de contenidos del Sistema Operativo.

Recuperacin de archivos borrados (total o parcial).
Bsqueda de palabras claves o por extension.
Deteccin de maniobras de encubrimiento.
Determinacin de fecha y hora de archivos borrados.
Exportacin de archivos desde su origen a un soporte
Toma del contenido de informacin en celulares.
Recuperacin de datos borrados (mensajes y contactos)
Anlisis de tarjeta SIM.
Si los celulares presentan algn tipo de adulteracin.
Todo otro dato de inters para la causa.
Y muchos otros ms.

DIVISION INFORMTICA
JUDICIAL

SECUESTRO DE EVIDENCIA EN
LA ESCENA DEL CRIMEN
DIGITAL

DIVISION INFORMTICA
JUDICIAL

LA ESCENA DEL CRIMEN DIGITAL

DIVISION INFORMTICA
JUDICIAL

PRESERVACIN Y
DOCUMENTACIN DE LA ESCENA
CRIMEN DIGITAL
EQUIPODEL
A LLEVAR

GUANTES
ZAPATILLAS SEGURAS PARA CONEXION
FUENTE (110V/220V)
MAQUINAS DE FOTOGRAFIAS
DVD
CD
SWITCH

ADAPTADOR DE SWITCH
CABLES UTP
BOLSAS ANTI-ESTTICA
GOMA ESPUMA

DIVISION INFORMTICA
JUDICIAL

PRESERVACIN Y DOCUMENTACIN DE
LA ESCENA DEL CRIMEN DIGITAL
EQUIPO A LLEVAR:
PC O NOTEBOOK con suficientes puertos
USB y FW 800
Bloqueador de Escritura (Write Blocker)
Cables de
conexin/Adaptadores/Interfaces/ Cajas
para removibles/LAN Crossover
Software Forense (F-SW)
Discos de almacenamiento de destino
SANITIZADOS (WIPEADOS)

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

VERIFICAR SUEXAMINADOR
PROPIA SEGURIDAD

USAR GUANTES
INVENTARIAR TODO LO ENCONTRADO
LAPTOPS
CELULARES
DISKETTES
MEMORIAS FLASH
BLACKBERRYS
DISCOS RGIDOS
DISCOS PTICOS
PEN DRIVES
PDAs
CAMARAS DIGITALES
REPRODUCTORES DE MP3

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
INVENTARIAR
TODO LO
ENCONTRADO

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
CONSULTAR CONEXIONES
PROVEEDOR DE INTERNET

FOTOGRAFIAR LOS EQUIPOS

FOTOGRAFIAR LAS CONEXIONES
DE LOS EQUIPOS

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
FOTOGRAFIAR
LOS EQUIPOS

DOCUMENTAR

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

FOTOGRAFIAREXAMINADOR
LAS CONEXIONES EXTERNAS,
ENTRE LOS EQUIPOS

DOCUMENTAR

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
FOTOGRAFIAR
CONEXIONES
INTERNAS

DOCUMENTAR

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
FOTOGRAFIAR LAS PANTALLAS

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

RECORDAREXAMINADOR
JERARQUA DE
EVIDENCIA DIGITAL:
DATOS VOLTILES

VOLTIL

Registros del Procesador

Contenido de Memoria Cach
Contenido de Memoria RAM
Conexiones de Red
Procesos activos

DATOS NO VOLTILES
Contenido del Sistema de Archivos
y Medios de Almacenamiento Fijos
Contenido Medios de
MENOS VOLTIL
Almacenamiento Removibles

DIVISION INFORMTICA
JUDICIAL

INFORMACIN VOLTIL - OBTENER

HORA Y FECHA DEL SISTEMA
PROCESOS EN EJECUCIN
CONEXIONES DE RED
PUERTOS ABIERTOS
APLICACIONES ESCUCHANDO EN
SOCKETS ABIERTOS
USUARIOS CONECTADOS (LOGGED ON)
INFORMACIN ALMACENADA EN
MEMORIA

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
RECOLECTAR INFORMACIN VOLTIL
SI ESTAN PRENDIDOS LOS EQUIPOS
(Intrprete de comandos cmd):

date /t && time /t

netstat na
ipconfig /all
systeminfo
doskey /history
psloggedon
pslist

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

RECOLECTAR INFORMACIN VOLTIL

FECHA Y HORA CON:
date /t && time /t
Si estn habilitadas las extensiones de comandos, el
comando DATE admite el parmetro /T, que indica al
comando mostrar tan slo la fecha actual sin pedir una
nueva fecha.

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

RECOLECTAR INFORMACIN VOLTIL

CONEXIONES DE RED ACTIVAS (TCP/IP) CON:
netstat -na
Muestra estadsticas del protocolo y conexiones
TCP/IP actuales.
-n muestra nmeros de puertos y direcciones en
formato numrico
-a muestra todas las conexiones y puertos de
escucha.

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR
RECOLECTAR
INFORMACIN VOLTIL
CONFIGURACIN DE RED:
ipconfig -all

-all muestra toda la informacin de la conexin

PASOS A SEGUIR POR EL

EXAMINADOR

DIVISION INFORMTICA
JUDICIAL

RECOLECTAR INFORMACIN VOLTIL

CONFIGURACIN DEL SISTEMA:
systeminfo
Permite al administrador buscar informacin
bsica de configuracin del sistema.

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

RECOLECTAR INFORMACIN VOLTIL

HISTRICO DE COMANDOS CON:
doskey /history
Edita lneas de comandos, recupera los ltimos
comandos ejecutados y crea macros.

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

RECOLECTAR INFORMACIN VOLTIL

USUARIOS

CONECTADOS AL SISTEMA CON:

PSLOGGEDON.EXE

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

RECOLECTAR INFORMACIN VOLTIL

PROCESOS EN EJECUCIN CON:

pslist.exe

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

DESCONECTAR LA CONECTIVIDAD
CABLES DE RED
VERIFICAR CONEXIONES WI-FI

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL

EXAMINADOR

APAGAR LAS COMPUTADORAS

DIVISION INFORMTICA
JUDICIAL

PASOS A SEGUIR POR EL EXAMINADOR

GUARDAR LA EVIDENCIA
UTILIZAR GOMA ESPUMA

DIVISION INFORMTICA
JUDICIAL

CADENA DE CUSTODIA
DOCUMENTACIN (EN PAPEL) DE:

Confiscacin o Secuestro
Custodia
Control
Transferencia
Anlisis
Remisin de evidencia digital

MANIPULAR LA EVIDENCIA
CUIDADOSAMENTE PARA EVITAR
ALEGATOS DE ADULTERACIN Y/O
FALSIFICACIN DE LA EVIDENCIA DIGITAL

DIVISION INFORMTICA
JUDICIAL

CADENA DE CUSTODIA
DEBE DOCUMENTARSE EL PROCESO DE CICLO DE
VIDA DE LA EVIDENCIA DIGITAL:

Mtodos
Horarios
Fechas
Identidad del Personal Involucrado
Etc.

DEBE DOCUMENTARSE:
DNDE ESTUVO LA EVIDENCIA?
QUIN TUVO ACCESO A LA MISMA?
DESDE LA OBTENCIN INICIAL HASTA QUE LLEGUE A
LOS TRIBUNALES DE JUSTICIA

DIVISION INFORMTICA
JUDICIAL

CADENA DE CUSTODIA

Fecha de contacto con la evidencia

Nombre de la persona
Registro del pasaje de una persona a otra
Registro del pasaje de una ubicacin fsica a
otra
Tareas realizadas durante la posesin
Sellado de la evidencia al finalizar la posesin
Registro de testigos
Fotografas de la evidencia en las tareas
realizadas
Log de actividades durante la posesin

DIVISION INFORMTICA
JUDICIAL

CADENA DE CUSTODIA
DOCUMENTAR:
Qu es la evidencia?
Cmo se la obtuvo?
Cundo fue obtenida?
Quin la obtuvo?
Dnde viaj?
Dnde fue guardada?

DIVISION INFORMTICA
JUDICIAL

LA ESCENA DEL CRIMEN

PASOS:

VERIFICAR SU DIGITAL
PROPIA SEGURIDAD

INVENTARIAR TODO LO ENCONTRADO

FOTOGRAFIAR LOS EQUIPOS
FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS
FOTOGRAFIAR LAS PANTALLAS
RECOLECTAR INFORMACIN VOLTIL

FECHA Y HORA

CONEXIONES DE RED ACTIVAS

INFORMACIN DEL SISTEMA

HISTRICO DE COMANDOS

USUARIOS LOGGEADOS AL SISTEMA

PROCESOS ACTIVOS
DESCONECTAR LA CONECTIVIDAD
APAGAR LAS COMPUTADORAS
GUARDAR LA EVIDENCIA
PROTEGER LA CADENA DE CUSTODIA
ACTA CONSTANCIA

DIVISION INFORMTICA
JUDICIAL

TELEFONIA CELULAR
HARDWARE UTILIZADO
PROCEDIMIENTO DE ANLISIS Y CUIDADO DE LA
PRUEBA
METODOLOGA DE ACCESO A LA INFORMACIN
PRESENTACIN DEL ELEMENTO DE PRUEBA
OBJETIVO LOGRADO

DIVISION INFORMTICA
JUDICIAL

Hardware Utilizado
UFED

DIVISION INFORMTICA
JUDICIAL

REPORTE UFED:
PDF

DIVISION
INFORMTICA
JUDICIAL

Hardware Utilizado
XRY

DIVISION
INFORMTICA
JUDICIAL

XRY

DIVISION INFORMTICA
JUDICIAL

XRY

 REPORTE XRY:
HTML

DIVISION
INFORMTICA
JUDICIAL

DIVISION
INFORMTICA
JUDICIAL

XRY

DIVISION
INFORMTICA JUDICIAL

PROCEDIMIENTO DE ANLISIS Y
CUIDADOS DE LA PRUEBA
Ver las condiciones del estado general del
equipo de telefona celular a analizar.
No contaminar la prueba.
Actuar metodicamente.
No daar elementos de hardware en la prueba.
Controlar la cadena de custodia.

DIVISION INFORMTICA
JUDICIAL

METODOLOGA DE ACCESO A LA
INFORMACIN

1. RELEVAMIENTO AUTOMTICO DE
DATOS

2. RELEVAMIENTO MANUAL DE DATOS

3. PRESENTACIN Y RESGUARDO DE
DATOS

DIVISION INFORMTICA
JUDICIAL

PRESENTACIN DEL ELEMENTO DE

PRUEBA

FIN