FISCALIA GENERAL DEL ESTADO

Manual de Manejo de
Evidencias Digitales y
Entornos Informticos
Procedimiento de Operaciones Estndar
Dr. Santiago Acurio Del Pino
08/12/2009

El presente Manual pretende ser una gua de actuacin para miembros de la Polica Judicial a si
como de los Funcionarios de la Fiscala, cuando en una escena del delito se encuentren dispositivos
Informticos o electrnicos que estn relacionados con el cometimiento de una infraccin de accin
pblica.
 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Manual de Manejo de Evidencias Digitales y Entornos

Informticos. Versin 2.0
Dr. Santiago Acurio Del Pino
Director Nacional de Tecnologa de la Informacin

Manual de Manejo de Evidencias Digitales y Entornos Informticos ............................................ 1

1.- IMPORTANCIA ......................................................................................................................... 2
2.- OBJETIVO DEL MANUAL ......................................................................................................... 2
3.- PRINCIPIOS BSICOS .............................................................................................................. 3
4.- PRINCIPIOS DEL PERITAJE...................................................................................................... 4
5.- RECONOCIMIENTO DE LA EVIDENCIA DIGITAL ..................................................................... 4
5.1.- HARDWARE O ELEMENTOS FSICOS .................................................................................... 5
5.2.- INFORMACIN .................................................................................................................... 5
5.3.- CLASES DE EQUIPOS INFORMTICOS Y ELECTRNICOS ....................................................... 6
5.4.- INCAUTACIN DE EQUIPOS INFORMTICOS O ELECTRNICOS ............................................. 7
6.- EN LA ESCENA DEL DELITO.................................................................................................... 8
6.1.- QU HACER AL ENCONTRAR UN DISPOSITIVO INFORMTICO O ELECTRNICO .....................10
7.- OTROS APARATOS ELECTRNICOS ........................................................................................11
7.1.- TELFONOS INALMBRICOS, CELULARES, SMARTFONES, CMARAS DIGITALES ................11
7.2.- APARATOS DE MENSAJERA INSTANTNEA, BEEPERS. ........................................................12
7.3.- MQUINAS DE FAX............................................................................................................13
7.4.- DISPOSITIVOS DE ALMACENAMIENTO ................................................................................13
8.- RASTREO DEL CORREO ELECTRNICO .................................................................................13
8.1.- ENCABEZADO GENERAL ....................................................................................................14
8.2.- ENCABEZADO TCNICO .....................................................................................................15
9.- GLOSARIO DE TRMINOS: .....................................................................................................16
10. - BIBLIOGRAFA.....................................................................................................................18

1.- Importancia
Increblemente los delincuentes hoy estn utilizando la tecnologa para facilitar el
cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de
que tanto la Polica Judicial, la Fiscala General del Estado y la Funcin Judicial deba
especializarse y capacitarse en estas nuevas reas en donde las TICs1 se convierten en
herramientas necesarias en auxilio de la Justicia y la persecucin de delito y el delincuente.

La obtencin de Informacin (elementos de conviccin) se constituye en una de las facetas

tiles dentro del xito de en una investigacin criminal, aspecto que demanda de los
investigadores encargados de la recoleccin preservacin, anlisis y presentacin de las
evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas
evidencias, a fin de ser utilizadas posteriormente ante el Tribunal Penal.

2.- Objetivo del Manual

La prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma
o desvirta una hiptesis o afirmacin precedente, se llega a la posesin de la verdad material.
De esta manera se confirmar la existencia de la infraccin y la responsabilidad de quienes
aparecen en un inicio como presuntos responsables, todo esto servir para que el Tribunal de
Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento.

1
Tecnologas de la Informacin y la Comunicacin

Direccin Nacional de Tecnologas de la Informacin Pgina 2

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

El objetivo de la Informtica forense es el de recobrar los registros y mensajes de datos

existentes dentro de un equipo informtico, de tal manera que toda esa informacin digital,
pueda ser usada como prueba ante un tribunal.

El presente Manual pretende ser una gua de actuacin para miembros de la Polica Judicial a
si como de los Funcionarios de la Fiscala, cuando en una escena del delito se encuentren
dispositivos Informticos o electrnicos que estn relacionados con el cometimiento de una
infraccin de accin pblica.

3.- Principios Bsicos

1. El funcionario de la Fiscala o de la Polica Judicial nunca debe acudir
solo al lugar de los hechos, este tipo de actividad debe ser realizada como
mnimo por dos funcionarios. Un segundo funcionario, por un lado,
aporta seguridad personal y, por otro, ayuda a captar ms detalles del
lugar de los hechos. Los funcionarios deberan planear y coordinar sus
acciones. Si surgen problemas inesperados, es ms fcil resolverlos
porque dos cabezas piensan ms que una.
2. Ninguna accin debe tomarse por parte de la Polica Judicial, la Fiscala o
por sus agentes y funcionarios que cambie o altere la informacin
almacenada dentro de un sistema informtico o medios magnticos, a fin
de que esta sea presentada fehacientemente ante un tribunal.
3. En circunstancias excepcionales una persona competente puede tener
acceso a la informacin original almacenada en el sistema informtico
objeto de la investigacin, siempre que despus se explique
detalladamente y de manera razonada cual fue la forma en la que se
produjo dicho acceso, su justificacin y las implicaciones de dichos actos.
4. Se debe llevar una bitcora de todos los procesos adelantados en relacin
a la evidencia digital. Cuando se hace una revisin de un caso por parte de
una tercera parte ajena al mismo, todos los archivos y registros de dicho
caso y el proceso aplicado a la evidencia que fue recolectada y
preservada, deben permitir a esa parte recrear el resultado obtenido en el
primer anlisis.
5. El Fiscal del Caso y/o el oficial a cargo de la investigacin son
responsables de garantizar el cumplimiento de la ley y del apego a estos
principios, los cuales se aplican a la posesin y el acceso a la informacin
almacenada en el sistema informtico. De igual forma debe asegurar que
cualquier persona que acceda a o copie dicha informacin cumpla con la
ley y estos principios.

Direccin Nacional de Tecnologas de la Informacin Pgina 3

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

4.- Principios del Peritaje

1. OBJETIVIDAD: El perito debe ser objetivo, debe observar los cdigos de tica
profesional.
2. AUTENTICIDAD Y CONSERVACIN: Durante la investigacin, se debe
conservar la autenticidad e integridad de los medios probatorios
3. LEGALIDAD: El perito debe ser preciso en sus observaciones, opiniones y
resultados, conocer la legislacin respecto de sus actividad pericial y cumplir con los
requisitos establecidos por ella
4. IDONEIDAD: Los medios probatorios deben ser autnticos, ser relevantes y
suficientes para el caso.
5. INALTERABILIDAD: En todos los casos, existir una cadena de custodia
debidamente asegurada que demuestre que los medios no han sido modificados
durante la pericia.
6. DOCUMENTACIN: Deber establecerse por escrito los pasos dados en el
procedimiento pericial

Estos principios deben cumplirse en todas las pericias y por todos los peritos involucrados

5.- Reconocimiento de la
Evidencia Digital
Es importante clarificar los conceptos y describir la
terminologa adecuada que nos seale el rol que tiene
un sistema informtico dentro del iter criminis o
camino del delito. Esto a fin de encaminar
correctamente el tipo de investigacin, la obtencin de
indicios y posteriormente los elementos probatorios
necesarios para sostener nuestro caso. Es as que por
ejemplo, el procedimiento de una investigacin por
homicidio que tenga relacin con evidencia digital
ser totalmente distinto al que, se utilice en un fraude
informtico, por tanto el rol que cumpla el sistema informtico determinara DONDE DEBE
SER UBICADA Y COMO DEBE SER USADA LA EVIDENCIA.

Ahora bien para este propsito se han creado categoras a fin de hacer una necesaria distincin
entre el elemento material de un sistema informtico o hardware (evidencia electrnica) y la
informacin contenida en este (evidencia digital). Esta distincin es til al momento de
disear los procedimientos adecuados para tratar cada tipo de evidencia y crear un paralelo
entre una escena fsica del crimen y una digital. En este contexto el hardware se refiere a
todos los componentes fsicos de un sistema informtico, mientras que la informacin, se
refiere a todos los datos, programas almacenados y mensajes de datos trasmitidos usando el
sistema informtico.

Direccin Nacional de Tecnologas de la Informacin Pgina 4

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

5.1.- Hardware o Elementos Fsicos

SISTEMA INFORMTICO
HARDWARE (Elementos Fsicos) Evidencia Electrnica
El hardware es mercanca ilegal o El hardware es una mercanca ilegal
fruto del delito. cuando su posesin no est autorizada por
la ley. Ejemplo: en el caso de los
decodificadores de la seal de televisin
por cable, su posesin es una violacin a
los derechos de propiedad intelectual y
tambin un delito.
El hardware es fruto del delito cuando este
es obtenido mediante robo, hurto, fraude u
otra clase de infraccin.
El hardware es un instrumento Es un instrumento cuando el hardware
cumple un papel importante en el
cometimiento del delito, podemos decir
que es usada como un arma o herramienta,
tal como una pistola o un cuchillo. Un
ejemplo seran los snifers y otros aparatos
especialmente diseados para capturar el
trfico en la red o interceptar
comunicaciones.
El hardware es evidencia En este caso el hardware no debe ni ser una
mercanca ilegal, fruto del delito o un
instrumento. Es un elemento fsico que se
constituye como prueba de la comisin de
un delito. Por ejemplo el scanner que se
uso para digitalizar una imagen de
pornografa infantil, cuyas caractersticas
nicas son usadas como elementos de
conviccin

5.2.- Informacin
SISTEMA INFORMTICO
INFORMACIN Evidencia Digital
La informacin es mercanca ilegal o La informacin es considerada como
el fruto del delito. mercanca ilegal cuando su posesin no est
permitida por la ley, por ejemplo en el caso de
la pornografa infantil. De otro lado ser fruto
del delito cuando sea el resultado de la
comisin de una infraccin, como por ejemplo
las copias pirateadas de programas de
ordenador, secretos industriales robados.
La informacin es un instrumento La informacin es un instrumento o
herramienta cuando es usada como medio para
cometer una infraccin penal. Son por ejemplo
los programas de ordenador que se utilizan

Direccin Nacional de Tecnologas de la Informacin Pgina 5

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

SISTEMA INFORMTICO
INFORMACIN Evidencia Digital
para romper las seguridades de un sistema
informtico, sirven para romper contraseas o
para brindar acceso no autorizado. En
definitiva juegan un importante papel en el
cometimiento del delito.
La informacin es evidencia Esta es la categora ms grande y nutrida de las
anteriores, muchas de nuestras acciones diarias
dejan un rastro digital. Uno puede conseguir
mucha informacin como evidencia, por
ejemplo la informacin de los ISPs, de los
bancos, y de las proveedoras de servicios las
cuales pueden revelar actividades particulares
de los sospechosos

5.3.- Clases de Equipos Informticos y Electrnicos

Algunas personas tienden a confundir los trminos evidencia digital y
evidencia electrnica, dichos trminos pueden ser usados indistintamente
como sinnimos, sin embargo es necesario distinguir entre aparatos
electrnicos como los celulares y PDAs y la informacin digital que estos
contengan. Esto es indispensable ya que el foco de nuestra investigacin
siempre ser la evidencia digital aunque en algunos casos tambin sern
los aparatos electrnicos.

A fin de que los investigadores forenses tengan una idea de dnde buscar
evidencia digital, stos deben identificar las fuentes ms comunes de
evidencia. Situacin que brindar al investigador el mtodo ms
adecuando para su posterior recoleccin y preservacin.

Las fuentes de evidencia digital pueden ser clasificadas en tres grande grupos:

1. SISTEMAS DE COMPUTACIN ABIERTOS, son aquellos que estn

compuestos de las llamadas computadores personales y todos sus
perifricos como teclados, ratones y monitores, las computadoras
porttiles, y los servidores. Actualmente estos computadores tiene la
capacidad de guardar gran cantidad de informacin dentro de sus discos
duros, lo que los convierte en una gran fuente de evidencia digital.
2. SISTEMAS DE COMUNICACIN, estos estn compuestos por las
redes de telecomunicaciones, la comunicacin inalmbrica y el Internet.
Son tambin una gran fuente de informacin y de evidencia digital.
3. SISTEMAS CONVERGENTES DE COMPUTACIN, son los que
estn formados por los telfonos celulares llamados inteligentes o
SMARTPHONES, los asistentes personales digitales PDAs, las tarjetas
inteligentes y cualquier otro aparato electrnico que posea convergencia
digital y que puede contener evidencia digital.

Direccin Nacional de Tecnologas de la Informacin Pgina 6

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Dada la ubicuidad de la evidencia digital es raro el delito que no est asociado a un mensaje
de datos guardado y trasmitido por medios informticos. Un investigador entrenado puede
usar el contenido de ese mensaje de datos para descubrir la conducta de un infractor, puede
tambin hacer un perfil de su actuacin, de sus actividades individuales y relacionarlas con
sus vctimas.

Ejemplos de aparatos electrnicos e informticos

Computador de escritorio
Computador Porttil
Estacin de Trabajo
Hardware de Red
Servidor aparato que almacena o transfiere datos electrnico por el Internet
Telfono celular
Telfono inalmbrico
Aparato para identificar llamadas
Localizador - beeper
GPS aparato que utiliza tecnologa satlite capaz de ubicar geogrficamente al
persona o vehculo que lo opera
Cmaras, videos
Sistemas de seguridad
Memoria flash Pequeo dispositivo que puede conservar hasta 4 gigabytes de
datos o 4,000,000,000 bytes de informacin
Palm asistente personal electrnico que almacena datos y posiblemente tiene
conectividad inalmbrica con el Internet
Juegos electrnicos en su unidad de datos se puede guardar, incluso, una memoria
de otro aparato
Sistemas en vehculos computadoras obvias y computadoras del sistema operativo
del vehculo que registra cambios en el ambiente y el mismo vehculo
Impresora
Copiadora
Grabadora
Videograbadora, DVD
Duplicadora de discos
Discos, disquetes, cintas magnticas
Aparatos ilcitos tales como los aparatos que capturan el nmero celular de
telfonos cercanos para despus copiarlo en otros telfonos, o los llamados sniffers,
decodificadores, etc.

5.4.- Incautacin de Equipos Informticos o Electrnicos

Si el investigador presume que existe algn tipo evidencia digital en algn aparato electrnico
o en algn otro soporte material relacionado con el cometimiento de una infraccin. Este debe
pedir la correspondiente autorizacin judicial para incautar dichos elementos, de igual forma
debe tener la autorizacin judicial para acceder al contenido guardado, almacenado y
generado por dichos aparatos.

Antes de realizar un allanamiento e incautacin de Equipos Informticos o Electrnicos se

debe tomar en cuenta lo siguiente:

Direccin Nacional de Tecnologas de la Informacin Pgina 7

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

1. A qu horas debe realizarse?

Para minimizar destruccin de equipos, datos
El sospechoso tal vez estar en lnea
Seguridad de investigadores
2. Entrar sin previo aviso
Utilizar seguridad
Evitar destruccin y alteracin de los equipos, o la evidencia contenida en esta.
3. Materiales previamente preparados (Cadena de custodia)
Embalajes de papel
Etiquetas
Discos y disquetes vacos
Herramienta
Cmara fotogrfica
4. Realizar simultneamente los allanamientos e incautacin en diferentes sitios
Datos pueden estar en ms de un lugar, sistemas de red, conexiones remotas.
5. Examen de equipos
6. Aparatos no especificados en la orden de allanamiento
7. Creacin de Respaldos en el lugar, creacin de imgenes de datos.
Autorizacin para duplicar, reproducir datos encontrados (por ejemplo, un
aparato contestador)
8. Fijar/grabar la escena
Cmaras, videos, etiquetas
9. Cdigos/claves de acceso/contraseas
10. Buscar documentos que contienen informacin de acceso, conexiones en redes, etc.
11. Cualquier otro tipo de consideracin especial (consideraciones de la persona
involucrada: mdicos, abogados, informacin privilegiada, etc.)

La falta de una orden de allanamiento e incautacin que ampare las actuaciones (sobre los
equipos y sobre la informacin) de la Polica Judicial y la Fiscala puede terminar con la
exclusin de los elementos probatorios por violacin de las Garantas Constitucionales. Art.
66 de la Constitucin

6.- En la Escena del Delito

Los Investigadores que llegan primero a una escena del crimen tienen ciertas
responsabilidades, las cuales resumimos en el siguiente cuadro:

OBSERVE Y ESTABLEZCA LOS PARMETROS DE LA ESCENA DEL DELITO: El primero

en llegar a la escena, debe establecer si el delito est todava en progreso, luego tiene
que tomar nota de las caractersticas fsicas del rea circundante. Para los
investigadores forenses esta etapa debe ser extendida a todo sistema de informacin y
de red que se encuentre dentro de la escena. En estos casos dicho sistema o red pueden
ser blancos de un inminente o actual ataque como por ejemplo uno de denegacin de
servicio (DoS).
INICIE LAS MEDIDAS DE SEGURIDAD: El objetivo principal en toda investigacin es la
seguridad de los investigadores y de la escena. Si uno observa y establece en una
condicin insegura dentro de una escena del delito, debe tomar las medidas necesarias
para mitigar dicha situacin. Se deben tomar las acciones necesarias a fin de evitar
riesgos elctricos, qumicos o biolgicos, de igual forma cualquier actividad criminal.

Direccin Nacional de Tecnologas de la Informacin Pgina 8

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Esto es importante ya que en una ocasin en una investigacin de pornografa infantil

en Estados Unidos un investigador fue muerto y otro herido durante la revisin de una
escena del crimen.
FACILITE LOS PRIMEROS AUXILIOS: Siempre se deben tomar las medidas adecuadas
para precautelar la vida de las posibles vctimas del delito, el objetivo es brindar el
cuidado mdico adecuado por el personal de emergencias y el preservar las
evidencias.
ASEGURE FSICAMENTE LA ESCENA: Esta etapa es crucial durante una investigacin,
se debe retirar de la escena del delito a todas las personas extraas a la misma, el
objetivo principal es el prevenir el acceso no autorizado de personal a la escena,
evitando as la contaminacin de la evidencia o su posible alteracin.
ASEGURE FSICAMENTE LAS EVIDENCIAS: Este paso es muy importante a fin de
mantener la cadena de custodia2 de las evidencias, se debe guardar y etiquetar cada
una de ellas. En este caso se aplican los principios y la metodologa correspondiente a
la recoleccin de evidencias de una forma prctica. Esta recoleccin debe ser realizada
por personal entrenado en manejar, guardar y etiquetar evidencias.
ENTREGAR LA ESCENA DEL DELITO: Despus de que se han cumplido todas las
etapas anteriores, la escena puede ser entregada a las autoridades que se harn cargo
de la misma. Esta situacin ser diferente en cada caso, ya que por ejemplo en un caso
penal ser a la Polica Judicial o al Ministerio Pblico; en un caso corporativo a los
Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las
evidencias del caso se hayan recogido y almacenado de forma correcta, y que los
sistemas y redes comprometidos pueden volver a su normal operacin.
ELABORAR LA DOCUMENTACIN DE LA EXPLOTACIN DE LA ESCENA: Es
Indispensable para los investigadores documentar cada una de las etapas de este
proceso, a fin de tener una completa bitcora de los hechos sucedidos durante la
explotacin de la escena del delito, las evidencias encontradas y su posible relacin
con los sospechosos. Un investigador puede encontrar buenas referencias sobre los
hechos ocurridos en las notas recopiladas en la explotacin de la escena del Delito.

6.1.- Reconstruccin de la Escena del Delito

La reconstruccin del delito permite al investigador forense comprender todos los hechos
relacionados con el cometimiento de una infraccin, usando para ello las evidencias
disponibles. Los indicios que son utilizados en la reproduccin del Delito permiten al
investigador realizar tres formas de reconstruccin a saber:

Reconstruccin Relacional, se hace en base a indicios que muestran la

correspondencia que tiene un objeto en la escena del delito y su relacin
2
La cadena de custodia es un sistema de aseguramiento que, basado en el principio de la
mismidad, tiene como fin garantizar la autenticidad de la evidencia que se utilizar como prueba
dentro del proceso. La informacin mnima que se maneja en la cadena de custodia, para un caso
especfico, es la siguiente: a) Una hoja de ruta, en donde se anotan los datos principales sobre
descripcin de la evidencia, fechas, horas, custodios, identificaciones, cargos y firmas de quien recibe
y quien entrega; b) Recibos personales que guarda cada custodio y donde estn datos similares a los
de la hoja de ruta; c) Rtulos que van pegados a los envases de las evidencias, por ejemplo a las
bolsas plsticas, sobres de papel, sobres de Manila, frascos, cajas de cartn, etc.; d) Etiquetas que
tienen la misma informacin que los rtulos, pero van atadas con una cuerdita a bolsas de papel kraft,
o a frascos o a cajas de cartn o a sacos de fibra; e) Libros de registro de entradas y salidas, o
cualquier otro sistema informtico que se deben llevar en los laboratorios de anlisis y en los
despachos de los fiscales e investigadores.

Direccin Nacional de Tecnologas de la Informacin Pgina 9

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

con los otros objetos presentes. Se busca su interaccin en conjunto o

entre cada uno de ellos;
Reconstruccin Funcional, se hace sealando la funcin de cada objeto
dentro de la escena y la forma en que estos trabajan y como son usados;
Reconstruccin Temporal, se hace con indicios que nos ubican en la lnea
temporal del cometimiento de la infraccin y en relacin con las
evidencias encontradas.

6.2.- Qu hacer al encontrar un dispositivo informtico o electrnico

No tome los objetos sin guantes de hule, podra alterar, encubrir o hacer
desaparecer las huellas dactilares o adenticas existentes en el equipo o en el
rea donde se encuentra residiendo el sistema informtico.
Asegure el lugar.
Asegure los equipos. De cualquier tipo de intervencin fsica o electrnica
hecha por extraos.
Si no est encendido, no lo encienda (para evitar el inicio de cualquier tipo de
programa de autoproteccin
Verifique si es posible el Sistema Operativo a fin de iniciar la secuencia de
apagado a fin de evitar prdida de informacin.
Si usted cree razonablemente que el equipo informtico o electrnico est
destruyendo la evidencia, debe desconectarlo inmediatamente.
Si est encendido, no lo apague inmediatamente (para evitar la prdida de
informacin voltil)
- SI ES POSIBLE, LLAME UN TCNICO.

Cuando no hay tcnico:

No use el equipo informtico que est siendo

investigado, ni intente buscar evidencias sin el
entrenamiento adecuado.
Si est encendido, no lo apague inmediatamente.
Si tiene un Mouse, muvalo cada minuto para no
permitir que la pantalla se cierre o se bloque.
Si una Computadora Porttil (Laptop) no se apaga
cuando es removido el cable de alimentacin, localice y remueva la batera, esta
generalmente se encuentra debajo del equipo, y tiene un botn para liberar la batera
del equipo. Una vez que est es removida debe guardarse en un lugar seguro y no
dentro de la misma mquina, a fin de prevenir un encendido accidental.
Si el aparato est conectado a una red, anote los nmeros de conexin, (nmeros IP).
Fotografe la pantalla, las conexiones y cables
Usar bolsas especiales antiesttica para almacenar diskettes, discos rgidos, y otros
dispositivos de almacenamiento informticos que sean electromagnticos (si no se
cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plsticas, ya
que pueden causar una descarga de electricidad esttica que puede destruir los datos
Coloque etiquetas en los cables para facilitar reconexin posteriormente
Anote la informacin de los mens y los archivos activos (sin utilizar el teclado)
Cualquier movimiento del teclado puede borrar informacin importante.
Si hay un disco, una disquete, una cinta, un CD u otro medio de grabacin en alguna
unidad de disco o grabacin, retrelo, protjalo y gurdelo en un contenedor de papel

Direccin Nacional de Tecnologas de la Informacin Pgina 10

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Bloque toda unidad de grabacin con una cinta, un disco o un disquete vaco
aportado por el investigador (NO DEL LUGAR DE LOS HECHOS). Al utilizar algn
elemento del lugar del allanamiento o de los hechos, se contamina un elemento
materia de prueba con otro.
Selle cada entrada o puerto de informacin con cinta de evidencia
De igual manera deben selle los tornillos del sistema a fin de que no se puedan
remover o reemplazar las piezas internas del mismo.
Desconecte la fuente de poder
Quite las bateras y almacnela de forma separada el equipo
(si funciona a base de bateras o es una computadora
porttil)
Mantenga el sistema y medios de grabacin separados de
cualquier tipo de imn, o campo magntico
Al llevar aparatos, anote todo nmero de identificacin,
mantenga siempre la CADENA DE CUSTODIA
Lleve todo cable, accesorio, conexin
Lleve, si es posible, manuales, documentacin, anotaciones
Tenga en cuenta que es posible que existen otros datos importantes en sistemas
perifricos, si el aparato fue conectado a una red, por tanto desconecte el cable de
poder de todo hardware de Red (Router, modem, Swich, Hub).

Si el equipo es una estacin de trabajo o un Servidor (conectado en red) o est en un negocio,

el desconectarla puede acarrear (SIEMPRE CONSULTE A UN TCNICO EXPERTO EN
REDES):

Dao permanente al equipo

Responsabilidad Civil para la Polica Judicial y la Fiscala General del Estado
Interrupcin ilegal del giro del negocio.

7.- Otros aparatos electrnicos

7.1.- Telfonos Inalmbricos, Celulares, Smartfones, Cmaras Digitales
Se puede encontrar evidencia potencial contenida en los telfonos inalmbricos tal como:

Nmeros llamados
Nmeros guardados en la memoria y en el marcado rpido
Identificador de llamadas, llamadas entrantes
Otra informacin guardada en la memoria del telfono
Nmeros marcados
Nombres y direcciones
Nmeros personales de Identificacin (PIN)
Nmero de acceso al correo de voz
Contrasea del correo de voz
Nmeros de tarjetas de crdito
Nmeros de llamadas hechas con tarjeta
Informacin de acceso al Internet y al correo electrnico
Se puede encontrar valiosa informacin en la pantalla del aparato
Imgenes. Fotos, grabaciones de voz

Direccin Nacional de Tecnologas de la Informacin Pgina 11

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Informacin guardada en las tarjetas de expansin de memoria

REGLA DEL ENCENDIDO ON Y APAGADO OFF

1. Si el aparato est encendido "ON", no lo apague

"OFF".
Si lo apaga "OFF" puede iniciarse el bloqueo
del aparato.
Transcriba toda la informacin de la pantalla
del aparato y de ser posible tmele una
fotografa.
Vigile la batera del aparato, el transporte del mismo puede hacer que se
descargue. Tenga a mano un cargador
Selle todas las entradas y salidas.
Selle todos los puntos de conexin o de admisin de tarjetas o dispositivos de
memoria
Selle los tornillos para evitar que se puedan retirar o reemplazar piezas
internas.
Buscar y asegurar el conector elctrico.
Colocar en una bolsa de FARADAY, (especial para aislar de emisiones
electromagnticas), si no hubiere disponible, en un recipiente vaco de pintura
con su respectiva tapa.
Revise los dispositivos de almacenamiento removibles. (Algunos aparatos
contienen en su interior dispositivos de almacenamiento removibles tales como
tarjetas SD, Compact flash, Tarjetas XD, Memory Stick, etc.)

2. Si el aparato est apagado "OFF", djelo apagado "OFF".

Prenderlo puede alterar evidencia al igual que en las computadoras.
Antes del anlisis del aparato consiga un tcnico capacitado en el mismo.
Si no existe un tcnico use otro telfono.
Es necesario que el investigador busque el manual del usuario relacionado con
el aparato encontrado.

7.2.- Aparatos de mensajera instantnea, beepers.

1. Beepers Numricos (reciben solo nmeros y sirven para transmitir
nmeros y cdigos)
2. Beepers Alfanumricos (reciben nmeros y letras, pueden cargar
mensajes completos en texto)
3. Beepers de Voz (pueden transmitir la voz y tambin caracteres
alfanumricos)
4. Beepers de dos vas (contienen mensajes de entrada y salida)
5. Buenas Prcticas
Una vez que el beeper est alejado del sospechoso, este debe ser apagado. Si se
mantiene encendido los mensajes recibidos, sin tener una orden judicial para ello
puede implicar una interceptacin no autorizada de comunicaciones.
6. Cuando se debe buscar en el contenido del aparato.
Cuando es la causa de la aprehensin del sospechoso
Cuando haya presuncin del cometimiento de un delito Flagrante
Con el consentimiento del dueo o receptor de los mensajes

Direccin Nacional de Tecnologas de la Informacin Pgina 12

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

7.3.- Mquinas de Fax

1. En las mquinas de fax podemos encontrar:
Listas de marcado rpido
Fax guardados (transmitidos o recibidos)
Bitcoras de transmisin del Fax (transmitidos o
recibidos)
Lnea del Encabezado
Fijacin de la Hora y Fecha de la transmisin del Fax
2. Buenas Prcticas
Si la mquina de fax es encontrada prendida ON, el apagarla causara la
perdida de la memoria de ltimo nmero marcados as como de los facsmiles
guardados.
3. Otras consideraciones
Busque la concordancia entre el nmero de telfono asignado a la mquina de
fax y la lnea de telfono a la que est conectada.
De igual forma busque que el encabezado del mensaje y el nmero impreso
coincidan con el del usuario y la lnea telefnica.
Es necesario que el investigador busque el manual del usuario relacionado con el
aparato encontrado.

7.4.- Dispositivos de Almacenamiento

Los dispositivos de almacenamiento son usados para guardar mensajes de datos e informacin
de los aparatos electrnicos. Existen dispositivos de almacenamiento de tres clases, a saber:
dispositivo magntico (como discos duros o los disquetes), dispositivos de estado slido3 o
memoria solida (como las memorias flash y dispositivos USB) y los dispositivos pticos
(como los discos compactos y DVD).

Existen gran cantidad de Memorias USB en el mercado y otros dispositivos de

almacenamiento como tarjetas SD, Compact flash, Tarjetas XD, Memory Stick, etc.

1. BUENAS PRCTICAS
Recolecte las instrucciones de uso, los manuales y las notas de cada uno de los
dispositivos encontrados.
Documente todos los pasos al revisar y recolectar los dispositivos de almacenamiento
Aleje a los dispositivos de almacenamiento de cualquier magneto, radio trasmisores y
otros dispositivos potencialmente dainos.

8.- Rastreo del Correo Electrnico

El Correo Electrnico nos permite enviar cartas escritas con el computador a otras personas
que tengan acceso a la Red. El correo electrnico es casi instantneo, a diferencia del correo
normal. Podemos enviar correo a cualquier persona en el Mundo que disponga de conexin a
Internet y tenga una cuenta de Correo Electrnico.

3
Ms conocidos como SSD (Solid-State Drive) son dispositivos de almacenamientos de datos que
usan una memoria solida para almacenar la informacin de forma constante de forma similar que un
disco duro usando lo que se conoce como SRAM (Memoria de Acceso Randmico Esttico) o DRAM
(Memoria de Acceso Randmico Dinmico). Estas memorias simulan la interfaz de un disco
magntico convirtindose en dispositivos de almacenamiento masivo.

Direccin Nacional de Tecnologas de la Informacin Pgina 13

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

Al enviar un correo electrnico, la computadora se identifica con una serie de nmeros al

sistema del proveedor de servicios de Internet (ISP). Enseguida se le asigna una direccin IP
y es dividido en paquetes pequeos de informacin a travs del protocolo TCP/IP. Los
paquetes pasan por una computadora especial llamada servidor (server) que los fija con una
identificacin nica (Message-ID) posteriormente los sellan con la fecha y hora de recepcin
(Sello de tiempo). Ms tarde al momento del envi se examina su direccin de correo para ver
si corresponde la direccin IP de alguna de las computadoras conectadas en una red local
(dominio). Si no corresponde, enva los paquetes a otros servidores, hasta que encuentra al
que reconoce la direccin como una computadora dentro de su dominio, y los dirigen a ella,
es aqu donde los paquetes su unen otra vez en su forma original a travs del protocolo
TCP/IP. (Protocolo de Control de Transferencia y Protocolo de Internet). Siendo visible su
contenido a travs de la interface grfica del programa de correo electrnico instalado en la
mquina destinataria.

Hay que tomar en cuenta que los correos electrnicos se mantienen sobre un servidor de
correo, y no en la computadora del emisor o del destinatario, a menos que el operador los
guarde all. Al redactarlos se transmiten al servidor de correo para ser enviados. Al recibirlas,
nuestra computadora hace una peticin al Servidor de correo, para los mensajes sean
transmitidos luego a la computadora del destinatario, donde el operador la puede guardar o
leer y cerrar. Al cerrar sin guardar, la copia de la carta visualizada en la pantalla del
destinatario desaparece, pero se mantiene en el servidor, hasta que el operador solicita que sea
borrada.

En algunas ocasiones es necesario seguir el rastro de los Correos Electrnicos enviados por el
Internet. Los rastros se graban en el encabezamiento del e-mail recibido. Normalmente, el
encabezamiento que aparece es breve. La apariencia del encabezamiento est determinada
por el proveedor de servicios de Internet utilizado por nuestra computadora, o la de quien
recibe el correo electrnico. Para encontrar los rastros, se requiere un encabezamiento
completo o avanzado, posibilidad que existe como una opcin en nuestro proveedor de
servicios de Internet.

Para poder elegir la opcin de un encabezamiento tcnico, seleccione "encabezamiento

completo o avanzado" por medio de opciones o preferencias en la barra de herramientas de
la pgina Web de su proveedor de Correo Electrnico (YAHOO, GMAIL, HOTMAIL, etc.)
El encabezamiento completo contiene informacin fcil y difcil de interpretar, por ejemplo:
TO", FROM" "CC", datos fciles de entender (el destinatario, el emisor, una copia enviada
a, y el ttulo del mensaje). Otros datos son ms difciles de entender, como los nmeros IP:
148.235.52.34 O Message-id: NIBBLHGCOLIEFEEJKGEBCCAAA.
abelardolopez98@prodigy.net.mx>. Esta informacin requiere interpretacin.

8.1.- Encabezado General

Espaol Ingles Contenido
DE: FROM: Abelardo Lpez <abelardolopez98@prodigy.net.mx>
ENVIADO : SENT: Mircoles, 11 de febrero, 2004 7:16 PM
PARA : TO: < kylegrimes@msn.com>
COPIA: CC: Gabriel Grimes <grimesgk@hotmail.com>
TITULO: SUBJECT: Hace mucho tiempo

Direccin Nacional de Tecnologas de la Informacin Pgina 14

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

El encabezamiento breve se lee desde arriba hacia abajo.

From o De, Emisor de la correspondencia, contiene el nombre del autor, Abelardo

Lpez, su identificacin en el Internet, abelardolopez98, su nombre de dominio
primario es un proveedor de servicios de Internet, prodigy, que tiene un dominio de
red, .net, y un dominio territorial, .mx, que pertenece a Mxico.

Sent o Enviado, es la fecha y hora de su envi, designado por la computadora de

origen, Mircoles, 11 de Febrero, 2004, 7:16 PM.

To o Para, destinatario de la correspondencia, contiene su identificacin en el Internet,

kylegrimes, su nombre de dominio primario es un proveedor de servicios de Internet,
msn (Microsoft Network), que tiene un dominio de comercio, com.

CC, copia enviada a, contiene el nombre de otro destinatario secundario, Gabriel

Grimes, su identificacin en el Internet, grimesgk, su nombre de dominio primario es
un proveedor de servicios de correspondencia electrnica, hotmail, que tiene un
dominio de comercio, com.

Subjec o Ttulo, es el tema de la correspondencia escrita por el emisor, Hace mucho

tiempo.

Los signos de puntuacin, como los puntos, < >, y la @ son indicaciones para el protocolo de
manejo en el Internet.

8.2.- Encabezado Tcnico

MIME-Version: 1.0
Received: from [216.136.226.197] by hotmail.com (3.2) with ESMTP id
MHotMailBD737B61008E4D888E2C506160; Thu, 20 Sep 2001 11:07:30-0700
Received: from [12.26.159.122] by web20808.mail.yahoo.com via HTTP; Thu, 20 Sep 2001
11:07:29 PDT
From: Polaris99992001@yahoo.com Thu, 20 Sep 2001 11:07:58 -0700
Message-id: <20010920180729.36281.qmail@web20808.mail.yahoo.com>

El encabezamiento completo se lee desde abajo hacia arriba.

Message-id, 20010920180729.36281.qmail@web20808.mail.yahoo.com, indica una

identificacin asignada al correo electrnico por el servidor que inicialmente proces
la correspondencia original. La identificacin es nica, y sirve para verificar la
originalidad del mensaje.

From, el emisor del mensaje y la fecha y hora de su envo (segn la computadora que
lo envi). Siempre se debe verificar el uso horario a fin de tener la hora correcta.

Received from, muestra el nmero IP de la computadora del origen, 12.26.159.122,

que puede ser un compuesto del numero local y la red que procesa el mensaje, by, o
por, el servidor que inicialmente proces el mensaje, web20808.mail.yahoo.com, via,

Direccin Nacional de Tecnologas de la Informacin Pgina 15

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

o por cual protocolo, http (protocolo de transferencia de hipertexto), fecha y hora del
Internet, Thu, 20 Sep 2001 11:07:29 PDT (hora normal de la Zona del Pacfico).

Received from, el nmero IP mencionado del destinatario, 216.136.226.197, by, o por,

el servidor de HOTMAIL, hotmail.com, with ESMTP id, una nueva identificacin del
mensaje asignado por el nuevo servidor, MHotMailBD737B61008E2C506160, la
fecha y hora de su recepcin, Thu, 20 Sep 2001 11:07:30-0700.

MIME-Version: 1.0, Es la versin de encabezado

Con la informacin del encabezado tcnico podemos verificar el origen del mensaje enviado,
buscando con el nmero IP registrado el dominio de donde se origino el mensaje. Para eso se
utiliza una interfaz, WHOIS? que significa Quin es?, para determinar el servicio
utilizado, ubicar la direccin geogrfica de los servidores y los puntos de contacto, y localizar
(a veces) la instalacin donde se encuentra un computador.

Se puede poner la direccin IP en la pgina Web: http://samspade.org para averiguar los datos
antes sealados, tambin se puede acudir a la pgina de INTERNIC.

Podemos usar tambin meta buscadores como GOOGLE, ALTAVISTA, YAHOO, etc.

9.- Glosario de Trminos:

BASE DE DATOS: Conjunto completo de ficheros informticos que renen
informaciones generales o temticas, que generalmente estn a disposicin
de numerosos usuarios.
BROWSER (BUSCADOR): El software para buscar y conseguir informacin
de la red WWW. Los ms comnmente usados son Microsoft Explorer,
Firefox y Opera.
COOKIE: Es un archivo o datos dejados en su computadora por un servidor
u otro sistema al que se hayan conectado. Se suelen usar para que el
servidor registre informacin sobre aquellas pantallas que usted ha visto y
de la informacin personalizada que usted haya mandado. Muchos
usuarios consideran esto como una invasin de privacidad, ya que casi
ningn sistema dice lo que est haciendo. Hay una variedad de "anti-
cookie" software que automticamente borra esa informacin entre visitas
a su sitio.
DIALUP (MARCAR): El mtodo de conectarse con Internet va la lnea de
telfono normal mediante un modem, en vez de mediante una LAN (Red
Local) o de una lnea de telfono alquilada permanentemente. Esta es la
manera ms comn de conectarse a Internet desde casa si no ha hecho
ningn arreglo con su compagina de telfono o con un ISP. Para
conexiones alternativas consulte con su ISP primero.
DIGITAL SIGNATURE (FIRMA DIGITAL): El equivalente digital de una
firma autentica escrita a mano. Es un dato aadido a un fichero
electrnico, diciendo que el dueo de esa firma escribi o autorizo el
Archivo.
DOCUMENTO ELECTRNICO: Es la representacin en forma electrnica de
hechos jurdicamente relevantes susceptibles de ser presentados en una

Direccin Nacional de Tecnologas de la Informacin Pgina 16

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

forma humanamente comprensible4.

DOMAIN NAME (NOMBRE DE DOMINIO): Un nombre de dominio es su
propiedad en el mundo ciberntico. Esta propiedad, tal y como su
homologo tangible, tiene valor dependiendo de su direccin y de su
contenido. Usted puede cobrar a sus invitados o darles un tour gratis, o
llevar un negocio paralelo como parte de la propiedad. Igual que una
direccin de la 5 Avenida que es limitada y tambin ms valorada que la
inmensa mayora de las dems direcciones, el valor de su dominio puede
variar de unos cuantos dlares por ejemplo, algunos estn en el milln de
dlares. No le podemos decir que muebles, obras de arte, o negocio
paralelo debe tener en su propiedad en el mundo ciberntico, pero su
direccin es bien segura que realzara el valor de su contenido, o igual lo
eliminara si ese nombre no atrae clientes. Tcnicamente, es un concepto
creado para identificar y localizar computadoras en Internet. Los nombres
de dominio son un sistema de direcciones de Internet fcil de recordar, que
pueden ser traducidos por el Sistema de Nombres de Dominio a las
direcciones numricas usadas en la red. Un nombre de dominio es
jerrquico y usualmente acarrea informacin sobre el tipo de entidad que
usa ese nombre de dominio. Un nombre de dominio es simplemente una
etiqueta que representa un dominio, que a su vez es un subgrupo del total
del espacio de nombres del dominio. Nombres de dominio en el mismo
nivel jerrquico tienen que ser nicos: solo puede haber un .com al nivel
ms alto de la jerarqua, y solo un DomainMart.com en el siguiente nivel.
FTP O FILE TRANSFER PROTOCOL (PROTOCOLO DE TRANSFERENCIA DE
FICHERO) Un estndar de Internet para transferir ficheros entre
ordenadores. La mayora de las transferencias FTP requieren que usted se
meta en el sistema proveyendo la informacin mediante un nombre
autorizado de uso y una contrasea. Sin embargo, una variacin conocida
como "FTP annimo" le permite meterse como annimo: no necesita
contrasea o nombre.
HTML (HYPER TEXT MARKUP LANGUAGE): El lenguaje de computador
usado para crear paginas de red para Internet. Aunque estndares
"oficiales" de Internet existen, en la prctica son extensiones del lenguaje
que compaas como Netscape o Microsoft usan en sus buscadores
(browsers).
HTTP (HYPER TEXT TRANSPORT PROTOCOL): El conjunto de reglas que
se usa en Internet para pedir y ofrecer paginas de la red y dems
informacin. Es lo que pone al comienzo de una direccin, tal como
"http:/," para indicarle al buscador que use ese protocolo para buscar
informacin en la pagina.
INTERNET PROTOCOL (IP) NUMBERS O IP ADRESSES (PROTOCOLO DE
INTERNET, NMEROS): Un identificador numrico nico usado para
especificar anfitriones y redes. Los nmeros IP son parte de un plan global
y estandarizado para identificar computadores que estn conectados a
Internet. Se expresa como cuatro nmeros del 0 al 255, separado por
puntos: 188.41.20.11. La asignacin de estos nmeros en el Caribe, las
Amricas, y frica la hace la American Registry for Internet Numbers.

4
Definicin dada por EDIFORUM.(Foro de Intercambio Electrnico de Datos)

Direccin Nacional de Tecnologas de la Informacin Pgina 17

 Manual de Manejo de Evidencias Digitales y Entornos Informticos

INTERNET SERVICE PROVIDER (ISP) (PROVEEDOR DE SERVICIO DE

INTERNET) Una persona, organizacin o compagina que provee acceso a
Internet. Adems del acceso a Internet, muchos ISP proveen otros
servicios tales como anfitrin de Red, servicio de nombre, y otros
servicios informticos.
MENSAJE DE DATOS: Es toda aquella informacin visualizada, generada
enviada, recibida, almacenada o comunicada por medios informticos,
electrnicos, pticos, digitales o similares.
MODEM: Un aparato que cambia datos del computador a formatos que se
puedan transmitir ms fcilmente por lnea telefnica o por otro tipo de
medio.
SISTEMA TELEMTICO. Conjunto organizado de redes de
telecomunicaciones que sirven para trasmitir, enviar, y recibir informacin
tratada de forma automatizada.
SISTEMA DE INFORMACIN: Se entender como sistema de informacin, a
todo sistema utilizado para generar, enviar, recibir, procesar o archivar de
cualquier forma de mensajes de datos5.
SISTEMA INFORMTICO: Conjunto organizado de programas y bases de
datos que se utilizan para, generar, almacenar, tratar de forma
automatizada datos o informacin cualquiera que esta sea.
SOPORTE LGICO: Cualquiera de los elementos (tarjetas perforadas,
cintas o discos magnticos, discos pticos) que pueden ser empleados para
registrar informacin en un sistema informtico.
SOPORTE MATERIAL: Es cualquier elemento corporal que se utilice para
registrar toda clase de informacin.
TCP/IP: TRANSMISIN CONTROL PROTOCOL/INTERNET PROTOCOL:
Conjunto de protocolos que hacen posible la interconexin y trfico de la
Red Internet

10. - Bibliografa
o THE BEST PRACTICES FOR SEIZING ELECTRONIC EVIDENCE,
VERSIN 3.0, US. Department of Home Land Security, and the United States Secret
Service.
o INTRODUCCIN A LA INFORMTICA FORENSE. Dr. Santiago Acurio Del
Pino, Director Nacional de Tecnologas de la Informacin de la Fiscala General del
Estado.
o MANUAL DE PERITAJE INFORMATICO. Maricarmen Pascale, Fundacin de
Cultura Universitaria. Uruguay. 2007

5
Definicin entregada por La Ley Modelo de Comercio Electrnico de la UNCITRAL

Direccin Nacional de Tecnologas de la Informacin Pgina 18