CASO PRÁCTICO DEL MÓDULO DE ANÁLISIS FORENSE DIGITAL

Enunciado

El personal de limpieza de un instituto de la ciudad localiza una cámara espía de fabricación

casera en los baños femeninos. Se procede a la retirada de los efectos siguiendo los
procedimientos de intervención de efectos.
Posteriormente, tras la gran alarma social generada, llaman con carácter urgente al alumno,
que es citado como perito especialista en informática forense para el análisis de la evidencia
digital.

Se pide

Con los datos enunciados, ¿qué investigación se podría realizar; qué procedimientos y
técnicas se podrían aplicar?

DESARROLLO

Dentro del presente caso, de puede evidenciar que el tipo de delito cometido dentro

de la jurisdicción Ecuatoriana, es aquel que se encuentra debidamente tipificado en el artículo

178 del Código orgánico integral penal, el cual establece “Art. 178.- Violación a la intimidad.-

La persona que, sin contar con el consentimiento o la autorización legal, acceda, intercepte,

examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de

datos, voz, audio y vídeo, objetos postales, información contenida en soportes informáticos,

comunicaciones privadas o reservadas de otra persona por cualquier medio, será sancionada

con pena privativa de libertad de uno a tres años.”

Con todos estos antecedentes se procede en primera instancia a solicitar la debida

autorización a la autoridad competente que en este caso es el Juez, a quien se le solicita se

autorice la orden de allanamiento y la experticia de análisis forense, sobre la cámara

encontrada en los baños femeninos del instituto.

Una vez que se encuentre debidamente autorizados, y teniendo la respectiva orden de

allanamiento, se procede con la inspección ocular digital, puesto que esta tiene como objetivo

la identificación, recogida, etiquetado y preservación de las evidencias digitales que se

encuentren en una escena delictiva o lugar de los hechos.

 Con todo esto, el personal altamente capacitado y con todas las capacidades del caso,

procederá aplicar sus conocimiento y nuevas tecnologías aprendidas para poder realizar una

recolección de evidencias digitales de manera inteligente.

Antes de la salida al lugar de los hechos se deberá verificar y constatar la presencia

de los diferentes materiales a utilizarse, como lo son mascarillas, guantes (de latex o de nitrilo),

equipos de protección personal, calzado apropiado, debiendo estar debidamente

descontaminadas y desinfectadas, además de ello deberán estar en maletines

individualizados y completos con todas las herramientas requeridas.

Y una vez en el lugar de los hechos se procede a verificar, evaluar y realizar una

observación minuciosa sobre lo encontrado en aquel lugar, prestando mucha atención sobre

los posibles indicios que se puedan evidenciar.

Dentro de la inspección ocular digital, se cumplen 4 principales fases, las cuales se

detallada a continuación, cumpliendo cada una un rol muy importante en el desarrollo e

investigación del caso.

FASE 1: ALLANAMIENTO DE DOMICILIO

Una vez instalados en el lugar de los hechos, se procede a verificar y garantizar el

aseguramiento, impidiendo el paso a cualquier persona ajena y manteniendo en todo

momento el control sobre las personas que residan en ese domicilio esto con la finalidad de

evitar posibles perdida o filtración de las evidencias, así como también de los borrados o

apagados de dispositivos, con lo que se podría perder información valiosa.

Una vez iniciada la inspección ocular se establece la metodología de trabajo, es decir,

un procedimiento de inspección y recogida de los efectos digitales que se encuentren en el

escenario que se va aplicar para la presente investigación.

 En el caso que dentro de la escena del crimen se encuentren personas que puedan

identificar los usuarios con los dispositivos existentes, se procede a solicitarles las

contraseñas de acceso; dejando documentado toda actividad y operación que se realice.

De inmediato se procede con la debida fijación de cada indicio encontrado, sumado a

ello con la fotografía y realizándose además un croquis (boceto) del lugar investigado y de

todo el domicilio.

FASE 2: FOTOGRAFIADO Y RECOGIDA DE EVIDENCIAS

En esta fase de la investigación, se continua con el procedimiento de fotografiado de

cada indicio encontrado en el lugar de los hechos, estas fotografías en primera instancia

deberán ser de manera panorámica para posterior seguir con el fotografiado de conjunto, de

semi conjunto y finalmente la fotografía de detalle la cual se la realiza acompañada del testigo

métrico.

La fotografía de detalle, acompañada del testigo métrico, se la efectúa con todos y

cada uno de los indicios encontrados.

Una vez efectuada la fotografía de los indicios, de procede con la recogida de las

mismas, para ello, el personal que se encuentra interviniendo de dicha investigación,

procederá con la recogida e individualización de cada indicio, las cuales deberán ser

guardados en sobres de papel, siempre que esté debidamente rotulados, para este paso se

deberá hacer constar las principales características: marca, modelo, número, número de

serie, capacidad, etc.

Se fotografiará también todas las conexiones o dispositivos incluidos en los diferentes

puertos, y se comprobarán todas las unidades que pueda tener con el objetivo de localizar

soportes como CD/DVD, pendrive, tarjetas SIM.

Ahora tomando en consideración que al encontrarnos frente soportes electrónicos que

se encuentren apagado, el procedimiento será el mismo, sin olvidar tomar en consideración

que si se tratase de un equipo portátil o de sobremesa y está apagado no se debe encender,

procediendo a desconectarlo del medio de almacenamiento.

En lo que respeta a soportes encendidos, con la intención de conseguir la información

volátil, la misma que se puede perder en el momento del apagado, se deberán tomar

indicaciones precisas, para ellos en estas situaciones se pueden adquirir evidencias “en

caliente”: volúmenes cifrados, conjuntos de discos RAID/LVM, carpetas de red. Sin embargo,

si el soporte está encendido, hay que valorar si es mejor apagarlo correctamente o cortar la

alimentación para su remisión a laboratorio. Son procedimientos diferentes de apagado y

tienen consecuencias distintas

Hay que tomar en consideración que, en la mayoría de los casos, lo más recomendable

será evitar un apagado de equipo mediante el procedimiento normal de un usuario (inicio –

apagar equipo), ya que podría haberse configurado el sistema operativo para el borrado o

cifrado de información. Para estos casos se recomienda la desconexión de red eléctrica,

extracción de batería o apagado forzoso. En caso de duda, es mejor optar por cortar la

alimentación para salvaguardar la máxima información posible.

En cuanto a la recogida y etiquetado de los equipos de telefonía móvil es de suma

importancia tener en cuenta los números PIN y PUK de las tarjetas SIM, o cualquier otra

contraseña relacionada con los terminales. Para este efecto se deberá considerara y revisar

cualquier papel, guía, o información adicional que pueda contener información relevante, otro

momento a considerar en los dispositivos móviles es la batería. Para poder extraer la

información deben estar cargados, por lo tanto, es conveniente mantenerlos así si hay

posibilidad.

FASE 3: TRIAGE (FIRST RESPONSE)

El Triage o también conocido como primera respuesta, ayuda considerablemente al

trabajo de laboratorio.
Dentro de esta fase se realiza un sinnúmero de actuaciones tales como:

• Realizar el volcado de la memoria volátil.

• Recabar la información transitoria o frágil.

• Observar si existen contenedores cifrados.

• Procesos en ejecución para el análisis del comportamiento (malware, troyanos,

borrado seguro, envío de información, etc.).

• Documentos abiertos.

• Aplicaciones de mensajería instantánea en sus versiones de escritorio.

En relación al procedimiento para realizar un análisis en caliente, existen diferentes formas y

mecanismos, y estas dependerá del tipo de dispositivo, herramientas (open source o

comerciales), tipo delictivo y de la especialización de la persona que va a realizar el análisis.

Los tipos de herramientas considerables tenemos las siguientes:

▪ Herramientas comerciales de análisis

1. Advance Digital Forensics.

2. Encase.

3. Spektor.

▪ Herramientas open source de análisis

1. Nirsoft.

2. DAWF.

3. FTK Imager.

FASE 4: RECOGIDA Y PRESERVACIÓN DE EVIDENCIAS DIGITALES PARA ENVÍO A

LABORATORIO
 En esta última fase se cumple con la cadena de custodia de cada indicio recogido,

hasta su llevada al laboratorio, dentro de esta fase se deberá considerar que el momento de

recoger el hardware, o se deberá adquirir la evidencia completa o bien una parte de ella en el

lugar.

Cabe indicar que luego de haber efectuado todas las fases hay que considerar una serie de

consideraciones importantes tales como:

En todas las acciones realizadas deben haber sido anotadas en el acta, dejando

constancia de las evidencias que se recogen, los análisis realizados y los resultados

obtenidos.

Anotaciones de la utilización de las técnicas idóneas para una recogida sin errores.

Finalmente, para la presentación de las evidencias obtenidas en la investigación

Se lo procede a realizar a través del informe técnico pericial en el cual constan toda y cada

una de las actividades ejecutadas dentro de la escena.