Catlogo de Servicios para Pericias Informticas y Protocolo de Actuacin

Autor Leopoldo Sebastin Gmez

Contenidos
1. 2. Objetivos Procedimiento interno para peritajes informticos a. Descripcin general de servicios de informtica forense b. Del procedimiento general de investigacin judicial con tecnologa informtica c. De la identificacin y preservacin de evidencia digital d. Del requerimiento judicial e. De la recepcin del material secuestrado f. Del anlisis forense g. De la presentacin del dictamen h. De la remisin del material secuestrado 3. Gua de procedimiento para el secuestro de tecnologa informtica

Catlogo de Servicios para pericias informticas y Protocolo de Actuacin El presente documento tiene por objeto dar a conocer un Catlogo de Servicios de pericias informticas y Protocolo de Actuacin utilizado en el Poder Judicial de la Provincia del Neuqun, junto a la modalidad de trabajo para el envo de elementos informticos a peritaje. La adopcin de estos lineamientos permite una correcta definicin del alcance de los servicios profesionales de informtica forense, contribuye a profundizar los resguardos en la cadena de custodia de la prueba, y explicita la modalidad de trabajo interno para una mejor adecuacin de los requerimientos judiciales.

1. Objetivos

1. Evitar la contaminacin de la prueba durante el proceso judicial. 2. Formalizar el procedimiento de actuacin pericial en materia informtica. 3. Definir el alcance de los servicios de informtica forense.

2. Procedimiento interno para peritajes informticos:

a) Descripcin general de servicios de informtica forense: se ofrece a los seores Magistrados y Funcionarios de este Poder el siguiente catlogo de servicios de informtica forense: Catlogo de Servicios 1 Pericia sobre Infraccin a la ley de Propiedad Intelectual del Software. Se aplica la Ley 11.723, Ley 25.036 y la figura de apoderamiento indebido. Pericia sobre control, actualizacin y adquisicin de licencias de software. Pericia sobre robo, hurto, borrado intencional o accesos no autorizados a la informacin de una determinada empresa o institucin, procesada y/o generada por los sistemas de informticos. Pericia sobre duplicacin no autorizada de datos procesados y/o generados por los sistemas informticos. Pericia sobre mtodos y normas a seguir en cuestin de seguridad y privacidad de la

Concordante con los servicios ofrecidos por Peritos: Especialidad en Sistemas Informticos, definida por el Consejo Profesional de Ciencias Informticas de la Provincia de Buenos Aires, aprobada por acuerdo de la Suprema Corte de Justicia Provincial el 15/08/2007. http://www.cpciba.org.ar/

informacin procesada y/o generada por los sistemas informticos. Pericia sobre la realizacin de auditorias de reas de sistemas y centros de cmputos as como de los sistemas informticos utilizados. Pericia sobre recupero de datos borrados y rastreo de informacin en los distintos medios informticos (magnticos pticos). Pericia sobre mtodos y normas a seguir en cuestin de salvaguarda y control de los recursos fsicos y lgicos de un sistema informtico. Pericia sobre desarrollo, manejo e implementacin de proyectos informticos. Pericia sobre contratos en los que la informtica se encuentre involucrada (contratacin de servicios, adquisicin de equipamiento informtico y de sistemas, tercerizacin de servicios). Pericia sobre aspectos laborales vinculados con la informtica. Uso de Internet en el trabajo, uso indebido de las facilidades de la organizacin otorgadas a los empleados (servicio de correo electrnico, acceso a la navegacin por Internet, uso de computadoras, entre otros elementos). Pericia sobre robos o determinacin de identidad a travs de correos electrnicos. Pericia sobre aspectos vinculados al comercio electrnico y operaciones realizadas a travs de Internet. Pericia sobre dispositivos de telefona celular.

b) Del procedimiento general de investigacin judicial con tecnologa informtica: En el mbito penal, el procedimiento general de investigacin judicial utilizando servicios de informtica forense, consta de dos fases principales: a) Incautacin confiable de la prueba y mantenimiento de la Cadena de Custodia. b) Anlisis de la informacin disponible con arreglo al incidente investigado y redaccin del informe pericial. La primera etapa debe ser llevada a cabo por personal policial junto a los operadores judiciales encargados de conducir el procedimiento (Jueces, Fiscales y/o Secretarios), siguiendo la Gua de Procedimiento para el Secuestro de Tecnologa Informtica. La segunda etapa debe ser efectuada en el laboratorio por un Perito, siguiendo los estndares de la ciencia forense para el manejo de evidencia digital, en funcin a los puntos de pericias que sean indicados por los operadores judiciales.

c) De la identificacin y preservacin de evidencia digital: La identificacin de material informtico para peritaje por parte del personal policial debe ser efectuada conforme las pautas de la Gua de Procedimiento para el Secuestro de Tecnologa Informtica. Es de especial importancia la utilizacin de precintos de seguridad desde el momento del secuestro del material, y todos aquellos medios tendientes a garantizar la autenticidad e integridad de la evidencia digital.

d) Del requerimiento judicial: Cuando sea requerido, el Perito evacuar las consultas previas de Magistrados y Funcionarios para eliminar ambigedades y definir el alcance de los puntos de pericia en lo que respecta a los servicios de informtica forense. Se debe proveer toda la informacin necesaria para realizar la tarea pericial, de manera clara y precisa. El oficio con los puntos de pericia deber enviarse desde el organismo requirente indefectiblemente junto con el material probatorio sometido a peritaje. Slo se realizarn pericias que involucren la utilizacin del hardware y software especficamente adquirido para informtica forense. Conforme el art. 229 del Cdigo Procesal Penal y Correccional (y el art. 459 del Cdigo Procesal Civil y Comercial), quedan excluidas del servicio de pericias informticas toda tarea administrativa o tcnica (tareas de transcripcin de texto o simplemente dactilogrficas, tareas de ordenamiento de informacin o cruzamiento de datos, tareas de escucha, tareas de filmacin, copias simples de CD/DVD y otros dispositivos de almacenamiento) que no sea propia de la disciplina, en funcin de lo establecido en el Catlogo de Servicios.

e) De la recepcin del material secuestrado: El material informtico secuestrado deber ser enviado al organismo pericial informtico. Se cotejar la existencia de los precintos sobre los secuestros y la correcta identificacin de los elementos enviados a peritaje. Todo organismo judicial o policial que intervenga en el manejo de la Cadena de Custodia, deber tener presente las sanciones previstas por el art. 254 y 255 del Cdigo Penal Argentino. En caso de detectarse la alteracin o ausencia de precintos de seguridad, se dejar constancia en un acta de recepcin que deber ser suscripto por el responsable del traslado. En causas judiciales pertenecientes al mbito penal, es responsabilidad del personal policial el traslado de todo el material secuestrado hasta los organismos judiciales. Cada una de las personas que haya trasladado los elementos probatorios deber dejar registrada su intervencin con los medios que se establezcan.

f) Del anlisis forense: Luego de realizar una inspeccin al material informtico secuestrado, el Perito podr indicar si requiere de elementos especficos al organismo jurisdiccional, para que este ltimo arbitre los medios necesarios para su adquisicin a travs de la Administracin General. Si el material solicitado para el peritaje no es suministrado al Perito en un plazo de treinta das, ste remitir el material informtico a la Oficina nica de Secuestros, notificando al organismo jurisdiccional sobre la imposibilidad de hacer el peritaje por falta de medios. Para el caso del arribo a posteriori del material informtico necesario para el peritaje, el Perito informar al organismo jurisdiccional para que, de ser procedente, disponga nuevamente el requerimiento pericial o bien ser reutilizado para otros trabajos de laboratorio. Asimismo, y si fuera necesario, el Perito solicitar a la Administracin General la provisin de personal de apoyo para realizar el peritaje, en funcin de los recursos humanos disponibles o la urgencia del requerimiento jurisdiccional.

g) De la presentacin del dictamen: El dictamen ser presentado siguiendo los estndares utilizados para la presentacin de reportes informticos forenses. Se intentar minimizar el volumen de informacin en soporte papel, suministrando toda la informacin complementaria que sea necesaria para el objeto de la pericia en soporte digital. Los elementos probatorios originales que almacenen evidencia digital debern resguardarse hasta finalizar el proceso judicial, si se pretende que sean utilizados como prueba, conforme el Art. 237 del Cdigo Procesal Penal y Correccional vigente.

h) De la remisin del material secuestrado: Una vez finalizado el peritaje, se remitir el dictamen y los elementos informticos al organismo de origen. Los elementos analizados debern ser resguardados con los medios adecuados para preservar la integridad y la autenticidad de la evidencia digital.

3. Gua de procedimiento para el secuestro de tecnologa informtica Autor: Leopoldo Sebastin Gmez Abogado y Licenciado en Ciencias de la Computacin Dirigida a: Personal policial, operadores judiciales (Jueces, Fiscales, Secretarios, etc.)

Principios bsicos Se debe realizar previo al allanamiento una investigacin minuciosa con el objeto de identificar con precisin la ubicacin y caractersticas tcnicas generales de los elementos a secuestrar por medio de inteligencia policial. Forma parte de la actuacin profesional judicial realizar una investigacin profunda y una planificacin con el tiempo necesario antes del allanamiento. Las actividades operativas corresponden al personal policial y deben ser efectuadas siguiendo las indicaciones de la presente Gua. La actuacin profesional del Perito es principalmente una actividad de laboratorio y de asesoramiento cientfico al Juez.

La pericia informtica conlleva tiempos elevados de trabajo y no es posible realizarla sobre grandes cantidades de elementos. Debe evitarse el secuestro masivo de elementos informticos, en especial CDs, DVDs, los que debern ser enviados a peritaje nicamente si se tienen presunciones con un alto grado de verosimilitud de poseer la evidencia buscada.

Pasos durante el allanamiento

a) Se deben separar las personas que trabajen sobre los equipos informticos lo antes posible y no permitirles volver a utilizarlos. Si es una empresa, se debe identificar al personal informtico interno (administradores de sistemas, programadores, etc.) o a los usuarios de aplicaciones especficas que deban someterse a peritaje. Dejar registrado el nombre del dueo o usuarios del equipamiento informtico ya que luego pueden ser de utilidad para la pericia. Siempre que sea posible obtener contraseas de aplicaciones, dejarlas registradas en el acta de allanamiento.

b) Se deben fotografiar todos los elementos antes de moverlos o desconectarlos. Fotografiar una toma completa del lugar donde se encuentren los equipos informticos, y fotos de las pantallas de las computadoras, si estn encendidas. Si un especialista debe inspeccionar el uso de programas, puede ser conveniente realizar una filmacin.

c) Evitar tocar el material informtico sin uso de guantes descartables. Dependiendo el objeto de la investigacin, el teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para anlisis de huellas dactilares, ADN, etc. Si se conoce que no se realizarn este tipo de pericias puede procederse sin guantes. 7

d) Si los equipos estn apagados deben quedar apagados, si estn prendidos deben quedar prendidos y consultar con un especialista la modalidad de apagado (En caso de no contar con asesoramiento, proceder a apagarlos desenchufando el cable de corriente desde el extremo que conecta al gabinete informtico). Si los equipos estn apagados, desconectarlos desde su respectiva toma elctrica y no del enchufe de la pared. Si son notebooks es necesario quitarles la o las bateras y proceder a secuestrar los cables y la fuente de alimentacin.

e) Identificar si existen equipos que estn conectados a una lnea telefnica, y en su caso el nmero telefnico para registrarlo en el acta de allanamiento.

f) Impedir que nadie realice bsquedas sobre directorios o intente ver la informacin almacenada ya que se altera y destruye la evidencia digital (esto incluye intentar hacer una copia sin tener software forense especfico y sin que quede documentado en el expediente judicial el procedimiento realizado). g) Identificar correctamente toda la evidencia a secuestrar:

g.1) Siempre debe preferirse secuestrar nicamente los dispositivos informticos que almacenen grandes volmenes de informacin digital (computadoras, notebooks y discos rgidos externos). Respecto a DVD, CDs, diskettes, discos Zip, etc., atento a que pueden encontrarse cantidades importantes, debe evitarse el secuestro de este material si no se tiene una fuerte presuncin de hallar la evidencia en estos medios de almacenamiento.

g.2) Rotular el hardware que se va a secuestrar con los siguientes datos:

Para computadoras, notebooks, palmtops, celulares, etc.: N del Expediente Judicial, Fecha y Hora, Nmero de Serie, Fabricante, Modelo. Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en conjunto en un sobre antiesttico, indicando N del Expediente Judicial, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y Cantidad.

g.3) Cuando haya perifricos muy especficos conectados a los equipos informticos y se deban secuestrar, se deben identificar con etiquetas con nmeros los cables para indicar dnde se deben conectar. Fotografiar los equipos con sus respectivos cables de conexin etiquetados.

h) Usar bolsas especiales antiesttica para almacenar diskettes, discos rgidos, y otros dispositivos de almacenamiento informticos que sean electromagnticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plsticas, ya que pueden causar una descarga de electricidad esttica que puede destruir los datos.

i) Precintar cada equipo informtico en todas sus entradas elctricas y todas las partes que puedan ser abiertas o removidas. Es responsabilidad del personal policial que participa en el procedimiento el transporte sin daos ni alteraciones de todo el material informtico hasta que sea peritado.

j) Resguardar el material informtico en un lugar limpio para evitar la ruptura o falla de componentes. No debern exponerse los elementos secuestrados a altas temperaturas o campos electromagnticos. Los elementos informticos son frgiles y deben manipularse con cautela.

k) Mantener la cadena de custodia del material informtico transportado. Es responsabilidad del personal policial la alteracin de la evidencia antes de que sea objeto de una pericia informtica en sede judicial. No se podr asegurar la integridad de la evidencia digital (por lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informtico tiene rotos los precintos al momento de ser entregado, siempre que no est descripta en el expediente judicial la intervencin realizada utilizando una metodologa y herramientas forenses por profesionales calificados.