CONFIDENCIAL

SECRETARA DE MARINA.

CENTRO DE ESTUDIOS SUPERIORES NAVALES.

MAESTRA EN SEGURIDAD DE LA INFORMACIN.









TESIS.

METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA
LA SECRETARA DE LA DEFENSA NACIONAL.

CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.

JUNIO 2010.


CONFIDENCIAL 1


SECRETARA DE MARINA
CENTRO DE ESTUDIOS SUPERIORES NAVALES

MEXICO, D.F.




TESIS.

METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA
LA SECRETARA DE LA DEFENSA NACIONAL.


POR:
CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.



El contenido del presente trabajo refleja los puntos de vista de autor, que no necesariamente
apoyan el Alto Mando de la Secretara de la Defensa Nacional, Armada de Mxico o la
Direccin del Centro de Estudios Superiores Navales.

_________________________
JUNIO DE 2010.
CONFIDENCIAL 2


NDICE.
NDICE. ...................................................................................................................................... 2
EXTRACTO. ............................................................................................................................... 4
INTRODUCCIN. ....................................................................................................................... 5
CAPTULO I ................................................................................................................................ 7
PROYECTO DE INVESTIGACIN ............................................................................................. 7
Antecedentes .......................................................................................................................... 7
Planteamiento del Problema ................................................................................................. 11
Variables de la Investigacin ................................................................................................. 14
Hiptesis ............................................................................................................................... 14
Objetivos de la Investigacin ................................................................................................. 14
Enfoque, alcance y diseo de la Investigacin. ..................................................................... 15
Importancia, Justificacin y Viabilidad ................................................................................... 15
CAPTULO II ............................................................................................................................. 17
MARCO TERICO. .................................................................................................................. 17
Generalidades. ...................................................................................................................... 17
Definiciones Conceptuales y Operacionales.......................................................................... 17
Modelo de Investigacin ........................................................................................................ 20
Poblacin y Muestra. ............................................................................................................. 20
Instrumentos de Medicin. .................................................................................................... 20
CAPTULO III ............................................................................................................................ 21
MARCO NORMATIVO APLICABLE. ......................................................................................... 21
Generalidades. ...................................................................................................................... 21
1. Delitos informticos. ....................................................................................................... 23
2. Cadena de custodia. ...................................................................................................... 25
3. Huellas del delito. ........................................................................................................... 26
4. Aseguramiento del inculpado y cateos. .......................................................................... 26
5. Peritos ............................................................................................................................ 27
6. Medios de prueba. ......................................................................................................... 28
Conclusiones del captulo. ..................................................................................................... 30
CAPTULO IV ........................................................................................................................... 31
EL CMPUTO FORENSE. ....................................................................................................... 31
Generalidades. ...................................................................................................................... 31
La criminalstica y el cmputo forense. .................................................................................. 31
El principio de intercambio de Locard en el cmputo forense. ............................................... 32
Los principios aplicados por la criminalstica, con el enfoque al cmputo forense. ................ 33
La evidencia electrnica. ....................................................................................................... 33
Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10. ............ 35
Armonizacin de los dos modelos de estudio considerados. ................................................. 36
CAPTULO V ............................................................................................................................ 38
METODOLOGA DE CMPUTO FORENSE PARA LA SDN. ................................................... 38
CONFIDENCIAL 3


CAPTULO VI ........................................................................................................................... 39
ANLISIS E INTERPRETACIN DE RESULTADOS. .............................................................. 39
CAPTULO VII .......................................................................................................................... 40
CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES. .................................................. 40
BIBLIOGRAFA Y LISTA DE REFERENCIAS. .......................................................................... 42
APNDICES Y ANEXOS. ......................................................................................................... 44

APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA
METODOLOGA DE CMPUTO FORENSE PARA LA SECRETARA DE LA DEFENSA
NACIONAL. ............................................................................................................................. 45
APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN ...... 51
APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA ............... 52
APNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL CMPUTO
FORENSE ............................................................................................................................... 53
APENDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE
FLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LA
SDN . ....................................................................................................................................... 54
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE
CUSTODIA EN EVIDENCIA DIGITAL. .................................................................................... 62
APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS. ..................................... 75
ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL
I.F.A.I. (2008)........................................................................................................................... 80
ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS
ELABORADA POR EL PROCURADOR DE JUSTICIA MILITAR AL 4 DE MARZO DE 2009. . 81
ANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO
DE COMISIN ........................................................................................................................ 83
ANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE
................................................................................................................................................. 84
ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE .......................... 85
ANEXO F PRINCIPIOS INTERNACIONALES EN LA EVIDENCIA DE CMPUTO ................. 86
ANEXO G EL PROCEDIMIENTO JURDICO PREVIO ........................................................... 88
ANEXO H PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL .. 89
ANEXO I PROCEDIMIENTO DE RESPUESTA EN VIVO PARA LA RECOLECCIN DE
EVIDENCIA VOLTIL. ........................................................................................................... 102
ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE. ........................ 104
ANEXO K PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL ................ 106
ANEXO L RECOMENDACIONES PARA LLEVAR A CABO LA RECOLECCION DE
EVIDENCIAS DIGITALES. .................................................................................................... 110
ANEXO M PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL ........... 112
ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOS
INFORMTICOS ................................................................................................................... 113
ANEXO O ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL .. 114
ANEXO P QU SE DEBE BUSCAR PARA REALIZAR UN CATEO COMPLETO ................ 119
ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO ..................................... 120
ANEXO R GUA DE ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOS
DELITOS INFORMTICOS ................................................................................................... 126
ANEXO S DEFINICIONES ................................................................................................... 132

CONFIDENCIAL 4


EXTRACTO.
El incremento en el uso de las tecnologas de la informacin en las actividades humanas
permite que muchas de estas se realicen con mayor rapidez y facilidad.
Quienes cometen delitos tambin han aprovechado estas bondades tecnolgicas y han
impactado a organizaciones y gobiernos. Estas entidades, preocupados por el impacto que
puedan significar estos ataques para sus activos, han empezado a tomar medidas para
mitigarlos.
La aplicacin de las tcnicas de cmputo forense permiten identificar las actividades
realizadas desde sistemas de cmputo, medios de almacenamiento y otros equipos
electrnicos, con lo cual se pueden llegar a establecer responsabilidades por actividades
delictuosas o contrarias a las leyes; as como responder a preguntas durante una investigacin.
La criminalstica es la que permite establecer y probar delitos cometidos, as como sus
autores y vctimas. Al emplear los principios de esta ciencia en la investigacin de un delito
informtico, se tendr la capacidad de conducirse de manera congruente durante la
investigacin. En particular, la criminalstica aplicada al cmputo forense como un medio de
investigacin, implica la necesidad de que sea realizado por personal capacitado en la materia y
en el marco legal vigente; adems, el resguardo de las evidencias debe estar apegado a las
polticas de los organismos procuradores de justicia y en las buenas prcticas internacionales.
El manejo de evidencia digital es un aspecto fundamental, que necesita de una
metodologa que sea la base y gua del proceder de los expertos, si esto no se establece se
corre el riesgo de no contar con los requerimientos mnimos para el cuidado de estas
evidencias, con lo cual una investigacin puede carecer de validez.
La metodologa planteada se ha desarrollado atendiendo en particular al Cdigo de
Justicia Militar, por ser el ms aplicable a la Secretaria de la Defensa Nacional, pero con una
visin interinstitucional al analizar otra normatividad que es aplicable al Instituto Armado.

CONFIDENCIAL 5


INTRODUCCIN.
Ante la amenaza que representan los delitos informticos para la seguridad de la
informacin de las instituciones del gobierno y del sector privado, se estn capacitando
personas y estableciendo los lineamientos para responder ante un evento de este tipo y fincar
responsabilidades por los mismos.
La Secretaria de la Defensa Nacional (SDN), como una organizacin que utiliza
tecnologas de la informacin para el cumplimiento de sus misiones, no est exenta de que se
materialice un ataque contra sus activos informticos.
El desarrollo de este trabajo se bas en los lineamientos emitidos por el Gobierno Federal
en materia de conservacin de evidencias y en cadena de custodia. Tambin se emple el
marco normativo dentro del cual desarrolla sus actividades la SDN, principios de criminalstica y
buenas prcticas internacionales en cmputo forense.
En la hiptesis de este trabajo se establece que: una metodologa de cmputo forense
para la SDN, que cumpla con los requisitos del marco normativo y que incluya procesos y
procedimientos basados en los lineamientos de cadena de custodia vigentes, y que contemple
en su implementacin las buenas prcticas internacionales en materia de evidencia digital,
asegurar la integridad de la evidencia digital durante el proceso legal, para la determinacin de
responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin.
El objetivo general de este trabajo es: Plantear una metodologa de cmputo forense para
la SDN, apegada al marco normativo vigente, que conduzca a la obtencin de evidencias
digitales y asegure su integridad, para determinar responsabilidades por actos ilcitos cometidos
por medio de tecnologas de la informacin.
La importancia de este proyecto de investigacin radica en que los delitos informticos
son una amenaza latente a nivel mundial, a nivel nacional y dentro de cada organizacin que
cuente con tecnologas de la informacin. Por esto, las instituciones toman medidas para
anticiparse a estas amenazas (como son la actualizacin del marco regulatorio, la capacitacin
CONFIDENCIAL 6


y adquisicin de tecnologas, por mencionar algunos), con el fin de identificar a los responsables
y procurar la seguridad en la informacin. Con base en los lineamientos normativos vigentes,
ste trabajo busca fortalecer los mtodos de investigacin de los delitos informticos para dar
cumplimiento a los objetivos institucionales.
Para esta tesis se adopt un enfoque cualitativo a travs de revisin de materiales
tericos, observacin y anlisis, sin aplicarse la cuantificacin. Su alcance describe las etapas
que conforman una metodologa propuesta. No se llev a cabo experimentacin, pues se bas
en materiales probados a nivel nacional e internacional y, debido a que esta disciplina es
reciente, los datos que se analizaron corresponden a una realidad actual.
En este trabajo se tratan los siguientes captulos: I. Proyecto de investigacin, II. Marco
terico, III. Marco normativo aplicable, IV. El cmputo forense, V. Metodologa de cmputo
forense para la SDN, VI. Anlisis e interpretacin de resultados, VII. Conclusiones, soluciones y
recomendaciones.


CONFIDENCIAL 7


CAPTULO I
PROYECTO DE INVESTIGACIN
Metodologa de cmputo forense para la obtencin de evidencias para la Secretara de la
Defensa Nacional (SDN).
Antecedentes
Alrededor de lo que involucra el uso de las Tecnologas de Informacin y la Comunicacin
(TICs), en general, y el desarrollo del cmputo forense en particular se han observado
acontecimientos importantes, de acuerdo con la bibliografa revisada, que se resumen a
continuacin:
A. Los avances y difusin de uso de estas TICs.
B. El funcionamiento de los sistemas de informacin digital.
C. Instituciones que actualmente promueven el cmputo forense en Mxico.
D. Las polticas gubernamentales en materia de Seguridad Nacional.
E. Importancia de las actividades y sensibilidad de la informacin de la SDN.
F. Incidentes de seguridad y fuga de informacin.
G. Personal que efecta el cmputo forense y es responsable de la cadena de custodia.
H. Lineamientos federales en materia de evidencias y cadena de custodia.

A. En la actualidad las TICs sustentan la mayora de las actividades del conocimiento y
del quehacer humano. Sus capacidades de proceso y almacenamiento alcanzan
valores cada vez mayores. Por medio de estas tecnologas se puede procesar y
acceder a prcticamente cualquier tipo de informacin (datos, audio, video, seales de
control).
Con el uso de las tecnologas de la informacin, una gran cantidad de actividades
humanas cambiaron de los entornos fsicos tradicionales a entornos virtuales de
trabajo soportados por sistemas de cmputo. Sobre estos nuevos entornos virtuales
CONFIDENCIAL 8


se han presentado abusos por atacantes y delincuentes quienes, valindose de los
beneficios de estas tecnologas, han cometido una amplia gama de ilcitos (Computer
Security Institute, 2008). Estos abusos se han presentado en todo tipo de
organizaciones y stas pueden concretarse en la SDN, ya que estos problemas
radican tanto en el aspecto tecnolgico como en el humano.
B. Para fines de administracin, los sistemas de cmputo estn diseados para que
durante su funcionamiento normal almacenen una gran cantidad de datos que pasan
desapercibidos para el usuario habitual. Estos datos son los registros detallados de
operaciones, mismos que se almacenan en bitcoras, tablas de ruteo, archivos
temporales del sistema y otras ubicaciones, a las que solamente se puede acceder
por medio de herramientas especializadas.
C. Con el fin de poder llevar a cabo el seguimiento y establecer responsabilidades por
ataques y abusos, organizaciones gubernamentales, comerciales y financieras a nivel
internacional, incorporan tcnicas de cmputo forense en sus estructuras
organizacionales. (U.S. Departament of Homeland Security, 2003). En la actualidad, a
nivel nacional, el cmputo forense tiene difusin en universidades y escuelas del
sector pblico y privado, entre otros, UNAM (UNAM-CERT, Congreso de Seguridad en
Cmputo), IPN (Maestra en Ingeniera en Seguridad y Tecnologas de la Informacin
(PNP-Conacyt), Especialidad en Seguridad Informtica y Tecnologas de la
Informacin), Tecnolgico de Monterrey (Diplomado en Seguridad Informtica) y
UNITEC (Maestra en Seguridad de Tecnologa de Informacin). En el pas existen
instituciones privadas que otorgan capacitacin y servicios en la materia, como son:
EC-Council, Ernst&Young, Insys, ALAPSI, IBM Mxico y MaTTica; en lo que respecta
a las Fuerzas Armadas, se cuenta con el CESNAV de la SEMAR (Maestra en
Seguridad de la Informacin) y para instituciones en materia de procuracin de justicia
con el INACIPE (Maestra en Criminalstica).
CONFIDENCIAL 9


D. Por otra parte se cuenta con legislacin y normatividad nacional de observancia para
la SDN y que est relacionada con las TICs. Es as como en el artculo 5 de la Ley
de Seguridad Nacional, se enlistan las amenazas que existen contra la Seguridad
Nacional. En la citada Ley se establecen responsabilidades a la SDN y a su titular,
como integrante del Consejo de Seguridad Nacional, en lo referente al manejo de la
informacin, intervencin de comunicaciones privadas y produccin de inteligencia.
(Cmara de Diputados del H. Congreso de la Unin., 2005).
En el Plan Nacional de Desarrollo 2006-2012, se incluye la ejecucin coordinada del
Programa de Seguridad Nacional, en el cual se establecen acciones puntuales y entre
stas se destacan:
Produccin de inteligencia y contrainteligencia activa y pasiva.
Solidez metodolgica en el pensar y el hacer.
Identificacin de fuentes y personas que ataquen a la Seguridad Nacional.
Profesionalizacin, capacitacin y ajuste al marco normativo.
Alineamiento de facultades con responsabilidades.
Trabajo conjunto y coordinado; y
Aprovechamiento de las tecnologas de punta.
E. El Ejrcito y Fuerza Area Mexicanos como Instituciones Armadas del Pas, cumplen
con misiones generales que le son encomendadas las cuales son vitales en la
seguridad del Pas (SDN, 2009.); esto se afirma con su participacin en el Consejo de
Seguridad Nacional y Consejo Nacional de Seguridad Pblica, debido a la sensibilidad
de la informacin que se maneja en el cumplimiento de sus misiones, la divulgacin de
las normas, polticas y lineamientos en materia de seguridad informtica de la SDN,
causara los siguientes daos:
Dao presente.- Al modificarse la informacin, se pueden crear escenarios
catastrficos en seguridad interior y exterior de la federacin, pudindose alterar la
CONFIDENCIAL 10


estabilidad social y crear caos en la poblacin, poniendo en grave riesgo la Seguridad
Nacional.
Dao probable
1
(riesgo de las operaciones militares).- La publicacin de datos
personales y efectivos del personal militar y derechohabientes
2
, arriesgara su
integridad fsica, revelara las capacidades del Ejrcito y Fuerza Area Mexicanos,
limitando su eficiencia contra el narcotrfico y delincuencia organizada;
Dao especfico (alteracin de las actividades cotidianas).- Se pueden alterar las
actividades cotidianas, tendientes a mantener la normalidad del funcionamiento de la
SDN (SDN, 2008).
F. De una forma proactiva, en los resultados de la Encuesta de seguridad y crmenes de
cmputo 2008 del CSI, que bien pueden aplicarse a una organizacin como la SDN,
se demuestra que el porcentaje de incidentes de seguridad, atribuida a trabajadores
internos, fue del 25%. Entre los tipos de incidentes de seguridad que presentaron un
alto ndice de recurrencia en el ao 2008 estn los virus informticos, el abuso de
parte de los trabajadores, el fraude o robo de equipos porttiles, el acceso no
autorizado, la instalacin de robots, los fraudes financieros y los ataques al DNS
(Computer Security Institute, 2008). Tambin se presentaron fugas de informacin en
organizaciones pblicas y privadas, debido a que usuarios de los sistemas instalaron y
usaron programas para compartir archivos, exponiendo los datos personales de
clientes y empleados. Esta informacin puede ser utilizada para cometer fraudes o
robo de identidad. (Federal Trade Comission., 2010).
G. Debido al grado de dificultad que representa el cmputo forense y a que los sistemas
de cmputo van aumentado en sus capacidades, el personal que lo realiza debe estar
actualizado en procedimientos, tcnicas y herramientas para poder recolectar,

1
Vase ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL I.F.A.I. (2008).
2
Los datos personales estn clasificados como confidenciales, de conformidad con los artculos 3 fraccin II, 18 Fraccin II, 20
fracc. VI, 21 y 24 de la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental.
CONFIDENCIAL 11


custodiar, revisar, analizar y presentar adecuadamente los resultados del cmputo
forense (Martnez., 2009).
Para poder llevar las pruebas de un delito ante una corte judicial, la cadena de
custodia es una parte muy importante en la conservacin de la evidencia, en sta se
lleva un registro escrito de las personas que tuvieron el resguardo y acceso a las
mismas, desde su adquisicin inicial hasta su disposicin final. Cada individuo en la
cadena de custodia es responsable de una parte de la evidencia en su manejo,
custodia, y conservacin mientras est bajo su control.
H. En el acuerdo nmero A/002/10 del Procurador General de la Repblica, publicado en
el D.O.F. del 3 de febrero de 2010, se establecen los lineamientos para que los peritos
y dems servidores pblicos preserven y procesen el lugar de los hechos o del
hallazgo y de los indicios, huellas o vestigios del hecho delictuoso, as como
instrumentos, objetos o productos del delito y de esta manera dar cumplimiento al
artculo 123 Bis del CFPP (Procuradura General de la Repblica., 2010).
Planteamiento del Problema
La fuga de la informacin es algo a lo que est expuesto cualquier sistema de
informacin. De acuerdo con el manual de las Naciones Unidas para la prevencin y control de
los delitos informticos, (nmeros 43 y 44), los empleados de una empresa son la mayor
amenaza de una organizacin con el 90% de los incidentes producidos. En el mismo manual, se
indica que el 73% del riesgo a la seguridad de cmputo se atribuye a fuentes internas y solo el
23% a actividades criminales externas (United Nations Crime and Justice Information Network.,
2010).
Los ilcitos han traspasado del aspecto natural conocido al campo de las tecnologas de la
informacin provocando, entre otros daos, la prdida y robo de informacin, denegacin del
servicio (DoS) y fraudes, los cuales han ocasionado daos fsicos, morales y econmicos a
personas, organizaciones y gobiernos. (l. Volonino, 2007).
CONFIDENCIAL 12


La SDN actualmente se encuentra conformada por un efectivo de 202,355 elementos,
mismos que para efectuar sus trabajos y el cumplimiento de sus misiones se auxilian de equipo
de cmputo, el cual est conformado aproximadamente por un total de 9,878 computadoras
personales, 119 computadoras porttiles y 128 servidores.
Con el fin de mantener una relacin informativa con la sociedad, la SDN cuenta con un
portal de internet, por medio del cual acceden aproximadamente 4,600 usuarios diariamente; sin
embargo, del 1 de diciembre de 2006 al 10 de noviembre de 2009, se presentaron ataques
cibernticos, intrusiones maliciosas e intentos de hackeo, contra este portal los cuales fueron
bloqueados por la infraestructura de seguridad y no fueron exitosos. Tambin se detectaron
brotes de virus informticos que afectaron reas administrativas, los cuales fueron controlados
inmediatamente, entre estos virus estn: mexica, tarntula, kof, music, usr, usb y clean (SDN,
2009).
En el periodo del 1 de enero del 2007 al 1 de junio del 2008, se tienen registrados
aproximadamente 1,000,000 de intentos de ataques al portal mencionado, siendo estos de los
siguientes tipos: esnifeo, escaneo de puertos, introduccin de cdigo malicioso, lectura de
archivo de contraseas, envo de pings, ejecucin de cdigo remoto y acceso de aplicaciones
restringidas. Estos intentos no fructificaron y afortunadamente no se presentaron daos. (SDN,
2008).
Por lo que respecta a delitos informticos cometidos por personal perteneciente a las
Fuerzas Armadas, de un total de 3150 delitos cometidos, la Procuradura General de Justicia
Militar, proces dos casos por acceso ilcito a sistemas y equipos de informtica. De igual
manera, se procesaron cinco contra el honor militar; uno por ejercicio indebido de servidor
pblico, tres por fraude, tres por falsificacin de documentacin, siete por malversacin y tres
CONFIDENCIAL 13


por uso de documentos falsos, mismos que para su comisin pudieran estar soportados por
tecnologas de la informacin
3
.
Actualmente, entre las funciones que tiene a cargo la Direccin General de Informtica de
la SDN, est el proporcionar apoyos en peritajes y auditoras en delitos informticos (SDN,
2009), que se llevan a cabo con base en buenas prcticas internacionales y herramientas para
la obtencin de registros y la recuperacin de la informacin para el anlisis de los datos. Estas
actividades son realizadas para comprobar delitos cometidos por medio de equipos de cmputo
al interior de la SDN o en apoyo a otras instituciones. Sin embargo, en la Seccin de Seguridad
Informtica perteneciente a la citada Direccin no se cuenta con una metodologa formal para
llevar a cabo el cmputo forense.
Tenindose como antecedentes lo anteriormente expuesto, y que en la Institucin no se
ha formalizado una metodologa para obtencin de evidencias de sistemas de cmputo; se
plantea la problemtica de que en la SDN, debe establecerse formalmente una metodologa de
cmputo forense para la obtencin de evidencias, que cumpla con el marco regulatorio y
disposiciones legales para las operaciones militares y de Seguridad Nacional, con la cual se
obtengan los registros y datos de sistemas informticos involucrados en delitos informticos o
incidentes de seguridad; que mantenga las garantas de la evidencia obtenida y que a su vez se
incluyan los perfiles del personal destinado al cmputo forense. Por lo cual se plantea la
siguiente pregunta de investigacin:
Cules son los procesos y procedimientos que deben integrarse en una metodologa de
cmputo forense para la SDN, para que sta cumpla con el marco normativo y los lineamientos
en materia de cadena de custodia vigentes, que coadyuven a resguardar la integridad de las
evidencias digitales recolectadas y su validez legal para la posterior determinacin de
responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin ante
una corte o instancia administrativa?

3
ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS ELABORADA POR EL PROCURADOR
DE JUSTICIA MILITAR AL 4 DE MARZO DE 2009.
CONFIDENCIAL 14


Variables de la Investigacin
Variable dependiente: Metodologa de cmputo forense para la SDN.
Variable independiente: delitos informticos, marco normativo y cadena de custodia,
procesos y perfil profesional del personal.
Hiptesis
Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del
marco normativo y que incluya procesos y procedimientos basados en los lineamientos de
cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas
internacionales en materia de evidencia digital, codyuvar a preservar la integridad de la
evidencia digital durante el proceso legal, para la posterior determinacin de responsabilidades
por actos ilcitos cometidos por medio de tecnologas de la informacin.
Objetivos de la Investigacin
Objetivo General:
Plantear
4
una metodologa de cmputo forense para la SDN, apegada al marco normativo
vigente, que conduzca a la obtencin de evidencias digitales, el anlisis y que asegure su
integridad, para determinar responsabilidades por actos ilcitos cometidos por medio de
tecnologas de la informacin.
Objetivos Especficos
Analizar el marco normativo aplicable para el establecimiento de una metodologa
de cmputo forense para la SDN, las disposiciones vigentes en materia de cadena
de custodia y los tipos de delitos cometidos por medio de las tecnologas de la
informacin que estn penalizados en el Pas.

4
Dentro de la categora de la TAXONOMA DE BLOOM DE HABILIDADES DE PENSAMIENTO, este verbo pertenece a la
categora de sntesis, en la cual se busca juntar o unir, partes o fragmentos de conocimiento para formar un todo y construir
relaciones para situaciones nuevas. La definicin para este verbo es:
Establecer o poner en ejecucin un sistema, una institucin, una reforma, etc.
Enfocar la solucin de un problema, llguese o no a obtenerla.
Proponer, suscitar o exponer un problema matemtico, un tema, una dificultad o una duda.
Los verbos utilizados en los objetivos especficos presentados, pertenecen a categoras de habilidades de pensamiento anteriores a
la de sntesis, estas son: anlisis, comprensin, comprensin y aplicacin, respectivamente.
CONFIDENCIAL 15


Distinguir los perfiles del personal dedicado al cmputo forense.
Proponer los procesos y procedimientos para la aplicacin de la metodologa, con
base en buenas prcticas internacionales y la normativa nacional en materia de
preservacin de evidencias.
Ilustrar en un modelo de flujo los procesos y las fases de la metodologa.
Enfoque, alcance y diseo de la Investigacin.
Para sta tesis se adopta un enfoque cualitativo a travs de la revisin de materiales
tericos, observacin, anlisis, modos de implementar y operar, sin aplicarse la cuantificacin.
El alcance ser descriptivo, teniendo como resultado del anlisis, las especificaciones
importantes de una metodologa.
El diseo de la investigacin es no experimental, no se construirn situaciones, sino que
se observarn situaciones ya existentes.
Por ltimo, la observacin es transversal, ya que los datos que se analizarn
corresponden al momento actual, describiendo las variables y su interrelacin, debido a que el
cmputo forense es una disciplina de reciente implementacin.
Importancia, Justificacin y Viabilidad
Dentro del marco en el que actualmente desarrolla sus actividades la SDN, muchas de
sus actividades estn soportadas por tecnologas de la informacin, el escenario actual no es el
mismo de hace 10 aos y con seguridad esto cambiar con los avances de la tecnologa. Los
avances tecnolgicos se dan da a da, por lo cual se establecen polticas para poder garantizar
los activos de las organizaciones, se capacita al personal; sin embargo, los delitos y los abusos
en las tecnologas de la informacin siguen cometindose, es aqu donde se comprende la
importancia de contar con una metodologa para la prosecucin de los delitos informticos.
Los ataques a la infraestructura informtica de la SDN son registrados en cantidades
sorprendentes, aunque a la fecha no han tenido xito se corre el riesgo de que al final sean
vulnerados. Ninguna organizacin en la actualidad puede garantizar que el personal con el que
CONFIDENCIAL 16


cuenta no ocasionar algn dao a los activos de su informacin, pero la actuacin contra estos
delincuentes debe ser apegada a derecho y basada en lineamientos metodolgicos, pues de no
ser as, se puede caer en el error de desviarse de la legalidad y hacer inefectiva una
investigacin. Por lo que, es conveniente contar con esta gua que nos de direccin en el cmo
actuar cuando una situacin, como las antes mencionadas, se presente.
En la medida en que la seguridad cubra los activos informticos de la SDN, sus misiones
y actividades estarn seguras. Sin olvidar que, por ser una institucin involucrada en la
Seguridad Nacional y por las misiones que tiene a su cargo la SDN, su actuacin beneficia a la
sociedad mexicana en su totalidad.
En la prctica, sta metodologa es una serie de pasos ordenados y estos proporcionan
una directriz para llevar a cabo el cmputo forense. Pero, esta puede ser perfeccionada a travs
de su aplicacin. Esta metodologa es pues, una propuesta para obtener mejores resultados, y
puede ser la base de futuras investigaciones en el campo del cmputo forense.
Tambin se busca hacer difusin a los conceptos y etapas del cmputo forense,
constituyendo una base para el proceder en esta disciplina. El proyecto de investigacin es
100% viable de materializar, ya que se cuenta con la informacin y materiales necesarios para
llevarlo a cabo.

CONFIDENCIAL 17


CAPTULO II
MARCO TERICO.
Generalidades.
Para el desarrollo del presente trabajo se tomaron como referencias fundamentales las
siguientes obras:
Mapa de Investigacin Forense Digital
5
(DFRWS).
Manual Bsico de Cateo y Aseguramiento de Evidencia Digital
6
.
Acuerdo nmero A/002/10
7
de 3 de febrero del 2010, publicado en el D.O.F., por la P.G.R.
Gua para integrar tcnicas forenses en la respuesta a incidentes
8
(NIST 800-86).
Gua para la respuesta inmediata en cmputo forense
9
.
Los documentos anteriores fueron revisados y entre otros temas, se encontraron
contenidos que nos permiten establecer lineamientos en cuanto a cadena de custodia, mejores
prcticas, recomendaciones, guas, definiciones y lineamientos en materia de seguridad.
Definiciones Conceptuales y Operacionales.
En el desarrollo del presente trabajo se utilizarn las siguientes definiciones:
Conceptuales:
Secretara de la Defensa Nacional.- Es una dependencia de la Administracin Pblica
Federal, tiene a su cargo el despacho de los asuntos que expresamente le confieren la Ley
Orgnica de la Administracin Pblica Federal y otras leyes, y los reglamentos, decretos,
acuerdos y rdenes del Presidente de la Repblica. (SDN, 2008).

5
El Digital Forensic Research Workshop se dedica a compartir conocimiento e ideas acerca de la investigacin forense digital.
Desde que se organiz el primer taller abierto forense digital en 2001, DFRWS contina integrando acadmicos y profesionales
en un ambiente informal. Como una organizacin de voluntarios sin fines de lucro, DFRWS patrocina conferencias anuales,
grupos de trabajo tcnicos y los retos para ayudar a impulsar la direccin de la investigacin y el desarrollo.
6
En este manual se plantea una forma para llevar a cabo procedimientos en un cateo. El autor es el Doctor Gabriel Andrs Campoli,
Conferencista del Instituto Nacional de Ciencias Penales (INACIPE).
7
En este acuerdo, emitido por el titular de la PGR, se establecen los lineamientos para que los servidores pblicos lleven a cabo la
preservacin y procesamiento en el lugar de los hechos e indicios, huellas o vestigios del hecho(s) delictuoso(s), as como de los
instrumentos, objetos o productos del delito.
8
El Instituto Nacional de Estndares y Tecnologa (NIST, USA) es una agencia para la regulacin del Departamento de Comercio de
USA y su misin es promover la competitividad industrial en el avance de la ciencia, estndares y tecnologa para mejorar la
seguridad econmica y la calidad de vida.
9
El Instituto de Ingeniera de Software Carnegie Mellon (USA) trabaja con el gobierno, el DoD, la industria y con organizaciones
acadmicas, con el fin de mejorar continuamente el software de cmputo y los sistemas basados en software.
CONFIDENCIAL 18


Metodologa: 1. f. Ciencia del mtodo. 2. f. Conjunto de mtodos que se siguen en una
investigacin cientfica o en una exposicin doctrinal. (Diccionario de la Real Academia
Espaola, 2010).
Cmputo forense: Serie metodolgica de procedimientos y tcnicas para obtener
evidencias de equipos de cmputo y medios de almacenamiento, los cuales son aplicados
cuando se investiga sobre crmenes cometidos por medio de tecnologas de la informacin,
para obtener las evidencias que puedan ser pruebas de acciones ilegales ante las autoridades
competentes. (EC-Council).
Evidencia o indicio: Son las huellas, vestigios y dems elementos materiales del hecho
delictuoso, que puedan encontrarse en el lugar de los hechos y/o lugar del hallazgo y que por
sus caractersticas existe la probabilidad de que tenga alguna relacin con la comisin del delito
que se investiga (Procuradura General de la Repblica., 2010).
Cadena de custodia: El procedimiento de control que se aplica al indicio material, ya sea
vestigio, huella, medio de comisin, objeto material o producto relacionado con el delito, desde
su localizacin por parte de una autoridad, polica o Agente del Ministerio Pblico, hasta que la
autoridad competente ordene su conclusin, segn se trate de la averiguacin previa o el
proceso penal. (Procuradura General de la Repblica., 2010)
Delito informtico: Toda conducta tpica, antijurdica y dolosa que utilice como medio
comisivo o como fin un sistema de procesamiento de informacin digital, o que involucre al
mismo como instrumento de almacenamiento de pruebas (Navarro Isla, 2005)
Registro de Cadena de Custodia (RCC).- Es el formato o formatos en el que se asentarn
nombres y firmas de los servidores pblicos y dems personas que de manera sucesiva
intervengan en la Cadena de Custodia, desde su inicio hasta su final, as como la descripcin
de los bienes, caractersticas de los mismos, lugar de los hechos y/o del hallazgo y dems
relativos y relevantes para la averiguacin previa (Procuradura General de la Repblica., 2010)
CONFIDENCIAL 19


Marco normativo: Legislacin y lineamientos derivados de la Constitucin Poltica de los
Estados Unidos Mexicanos, que debern observarse al plantear la implementacin, ejecucin y
la entrega de la informacin en un anlisis de cmputo forense.
Perfil profesional: Son las capacidades y reas de competencia del personal
perteneciente a la SDN para llevar a cabo las funciones y tareas en materia de cmputo
forense, asumiendo las responsabilidades que esto conlleva.
Operacionales:
Secretara de la Defensa Nacional.- Se emplear el marco normativo que rige a la
Secretara en el cumplimiento de sus actividades como mtrica para el cumplimiento legal. Se
analizarn las garantas requeridas de acuerdo con su reglamentacin vigente.
Metodologa: Para determinar la factibilidad de una metodologa o algn procedimiento de
esta se emplearan mtricas cualitativas con base a tablas de cumplimiento, procedimientos,
aspectos legales, perfil del personal, cumplimiento de buenas prcticas y recomendaciones
internacionales.
Evidencia o indicio: Se verificar en su recopilacin que se mantenga la integridad de las
mismas a travs de los lineamientos establecidos por la PGR
Delito informtico: Se analizar el marco normativo para tener el conocimiento de los tipos
de delitos del orden federal y en el mbito militar.
Registro de Cadena de Custodia (RCC): El registro de la cadena de custodia se verificar
de acuerdo a los lineamientos establecidos por la PGR y en lo referente a la evidencia digital, a
las buenas prcticas internacionales.
Marco normativo: Se verificarn los lineamientos aplicables a la SDN en materia de
cmputo forense.
Perfil profesional: Se establecern capacidades del personal dedicado al cmputo
forense, mediante la investigacin de perfiles de profesionales en la materia.

CONFIDENCIAL 20


Modelo de Investigacin
Para el desarrollo del presente trabajo se defini el siguiente modelo conceptual:
Requerimientos
legales
Cadena de
Custodia
Delitos
Informticos en
Mxico.
Huellas del delito
Aseguramiento del
inculpado y
cateos.
Peritos.
Medios de Prueba
Marco normativo
aplicable
Establecimiento
de los procesos
de la
metodologa
La evidencia
electrnica.
Principios de
criminalstica y de
Locard.
Metodologa
DFRWS
Acuerdo A/002/10
de la PGR.
El cmputo
forense.
La criminalstica y
el cmputo
forense.
Metodologa de
cmputo forense
para la SDN
Procesos.
Documentacin.
Procesos legales
en evidencias
vigentes.
Buenas prcticas
internacionales.
Aspectos legales
militares.
Procedimientos.
Figura 1. Modelo de investigacin.
Mediante el anlisis del marco normativo, las disposiciones en materia de cadena de
custodia, los principios de la criminalstica y la revisin de los delitos informticos, se
propondrn los requerimientos generales de la metodologa de cmputo forense (MCF).
Posterior a esta fase, mediante un anlisis de las buenas prcticas internacionales en evidencia
digital y pasos metodolgicos; se formular la propuesta de procesos y procedimientos, se
sintetizarn las fases de la MCF en un modelo. Finalmente se propone la MCF para la SDN.
Poblacin y Muestra.
Dentro de la poblacin se consideran las guas para llevar a cabo el cmputo forense y de
esta se seleccionarn como muestra cuatro guas
10
, para analizar sus ventajas, desventajas,
cumplimiento, factibilidad, alcances y la adecuacin de las mismas a la Institucin.
Instrumentos de Medicin.
Con el fin de obtener informacin de las variables, en este proyecto se emplearn:
cuadros comparativos para las guas de cmputo forense, leyes y disposiciones en materia de
evidencia y tablas correlacin de cumplimiento y componentes.

10
Mapa de Investigacin Forense Digital (DFRWS), NIST 800-86, Gua para la respuesta inmediata en cmputo forense y Manual
Bsico de Cateo y Aseguramiento de Evidencia Digital.
CONFIDENCIAL 21


CAPTULO III
MARCO NORMATIVO APLICABLE.
Generalidades.
En este captulo se abordar la temtica normativa con el fin de identificar el marco
aplicable para el establecimiento de una metodologa de cmputo forense en la SDN. Para el
desarrollo de este captulo, se tomaron en consideracin disposiciones contenidas en los
siguientes documentos normativos:
Constitucin Poltica de los Estados Unidos Mexicanos (CPEUM).
Cdigo Penal Federal (CPF).
Cdigo Federal de Procedimientos Penales (CFPP).
Cdigo Federal de Procedimientos Civiles (CFPC).
Cdigo de Comercio (CC).
Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental
(LFTAIPG).
Ley de Seguridad Nacional (LSN).
Ley General del Sistema Nacional de Seguridad Pblica (LGSNSP).
Ley del Mercado de Valores (LMV).
Legislacin Militar (LM).
Ley Federal de Derechos de Autor (LFDA).
Reglamento para la Coordinacin de Acciones Ejecutivas en Materia de Seguridad
Nacional (RCAEMSN).
Plan Nacional de Desarrollo 2007-2012 (PND).
Programa de Seguridad Nacional (PSN).
Programa Sectorial de Defensa Nacional 2007-2012 (PSDN).

Como resultado del anlisis del marco normativo, se puede establecer que:
CONFIDENCIAL 22


1. En toda accin que realicen las Fuerzas Armadas, es prioritario respetar las garantas
constitucionales, como son vida privada y los datos personales de los ciudadanos
(CPEUM).
2. Para poder garantizar la seguridad interior y defensa exterior de nuestro Pas, las
Fuerzas Armadas deben contar con herramientas tecnolgicas que permitan hacer
una investigacin completa en tecnologas de la informacin (LSN).
3. En nuestras leyes se incluyen los delitos informticos, modalidades y penas (CPF).
4. En el CFPP se establecen los lineamientos y responsabilidades para llevar a cabo una
investigacin, si las pruebas aportadas no se apegan a lo establecido, toda la
investigacin pueden carecer de validez, de aqu se establece que una metodologa
de cmputo forense debe estar apegada a estos lineamientos.
5. La LSN enlista las amenazas a la Seguridad Nacional y decreta responsabilidades en
el manejo de la informacin, intervencin de comunicaciones privadas y produccin de
inteligencia. Para lo cual se autoriza recabar, compilar, procesar y diseminar
informacin con fines de Seguridad Nacional y se otorga autonoma tcnica para
hacer uso de cualquier mtodo de recoleccin de informacin.
6. En la LGSNSP se otorgan atribuciones para que el titular de la SDN establezca los
instrumentos y polticas para cumplir los objetivos y fines de la Seguridad Pblica.
7. En la LFDA se dispone la proteccin de las obras pertenecientes al patrimonio
nacional, as como de autores nacionales y extranjeros. Para dar cumplimiento a esta
disposicin, en el PSDN, se contempla la proteccin la propiedad intelectual de
software, con mecanismos de seguridad
11
.
Dentro del marco normativo, en la prosecucin de los delitos informticos, es importante
definir algunos trminos y actores que participan en estos procedimientos, estos son:

11
Ver APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA METODOLOGA DE CMPUTO
FORENSE PARA LA SDN.
CONFIDENCIAL 23


1. Delitos informticos.
2. Cadena de custodia.
3. Huellas del delito.
4. Aseguramiento del inculpado y cateos.
5. Peritos.
6. Medios de prueba.
1. Delitos informticos.
Las formas de cometer crmenes han evolucionando a la par del desarrollo tecnolgico,
los mecanismos empleados por delincuentes informticos se han convertido en negocios y
buscan obtener ventajas a travs de diferentes actividades ilegales, su vctima final es la
informacin de los usuarios y la economa e imagen de compaas u organizaciones (ESET
Latinoamrica., 2010). En la comisin de delitos informticos, como su nombre lo indica, se
involucra un sistema informtico como el medio, instrumento o mtodo de comisin, o siendo
este el objetivo del delito, por lo que los delitos se pueden clasificar en estas dos categoras
12

En nuestro pas los delitos informticos estn tipificados en el CPF, titulo noveno
Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica. En estos artculos
se establecen modalidades y las penas para delitos cometidos en un sistema de cmputo. Por
lo que respecta a la LM vigente, es importante anotar que en el Cdigo de Justicia Militar se
especifican las penas en lo que respecta a la falsificacin, fraude, la revelacin de informacin
militar reservada, el parte falso, ocultar la verdad, el expedir, certificar y presentar
documentacin falsa; la sustraccin, destruccin y ocultamiento de expedientes, documentos o
parte de ellos, se mencionan estos delitos porque es factible involucrar sistemas informticos en
la comisin de los mismos. En la misma legislacin, pero en el RGDM se advierte de
consecuencias a los militares, para evitar que sean cmplices de delitos contra los intereses de
la Patria o del Ejrcito.

12
Ver ANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO DE COMISIN.
CONFIDENCIAL 24


Los principales delitos en que se involucran sistemas de informacin, tipificados en la ley
penal federal, son los siguientes
13
(Navarro Isla, 2005):
A. Delitos en vas generales de comunicacin.
B. Delitos por el Acceso Ilcito a Sistemas y Equipos de Informtica.
C. Ciberterrorismo y lavado de dinero.
D. Spam.
E. Delitos en materia de Propiedad Intelectual e Industrial.
F. Pornografa Infantil.
G. Delitos en materia de datos personales.
En el panorama normativo actual, los delitos cometidos desde sistemas de cmputo
pueden ser comprobados y llevados a juicio, pero el proceso no es sencillo; sin embargo, se
cuenta con leyes que tipifican estos delitos y, en particular, al interior de la organizacin, con la
legislacin militar para establecer responsabilidades en el caso que se presente una
investigacin de este tipo.
El delito informtico, segn el Licenciado Jorge Navarro Isla, Consultor para la
Conferencia de las Naciones Unidas en Comercio y Desarrollo (UNCTAD) y catedrtico del
CESNAV, es: Toda conducta tpica, antijurdica y dolosa que utilice como medio comisivo o
como fin un sistema de procesamiento de informacin digital, o que involucre al mismo como
instrumento de almacenamiento de pruebas (Navarro Isla, 2005).
Los delitos informticos presentan caractersticas que los distinguen de formas
tradicionales de cometer delitos (Valds Tllez., 2009):
A. Son ocupacionales, muchas veces se comenten en el trabajo.
B. Son de oportunidad, se aprovecha la ocasin, el campo de las funciones y la
organizacin de la economa y tecnologa.
C. Provocan serias prdidas econmicas o interrupciones de servicios.

13
Ver APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN
CONFIDENCIAL 25


D. Se tiene la facilidad en tiempo y espacio, pueden ser del orden de milsimas de
segundo y no siempre se requiere de la presencia fsica.
E. Debido a la falta de regulacin a nivel internacional existen pocas denuncias.
F. Son sofisticados y frecuentes en el mbito militar.
G. Se presentan dificultades tcnicas para su comprobacin.
H. Son en su mayora dolosos o intencionales, pero tambin los hay culposos o
imprudenciales.
I. Pueden ser cometidos por menores de edad.
J. Debido a la propagacin del uso de sistemas de cmputo, se espera que esta
tendencia siga aumentando.
K. A los anterior se suma la dificultad de reprimir esta clase de delitos, en ocasiones
traspasan las fronteras de forma internacional.
Considerando que internet se presta para que se materialicen algunos de los postulados
anteriores, tenemos que segn la Asociacin Mexicana de Internet (AMIPCI), existen
aproximadamente 27.8 millones de usuarios de internet en Mxico, que lo utilizan en promedio
2.54 horas diarias. Esta encuesta muestra que despus del hogar, el mayor sitio desde donde
se obtiene acceso a internet es en el lugar de trabajo (AMIPCI, 2009). Lo cual debe tomarse en
consideracin para procurar medidas y evitar que en la SDN se cree algn escenario favorable
para estos riesgos.
2. Cadena de custodia.
De acuerdo con los artculos 123 Bis del CFPP, la preservacin de los indicios o de los
objetos del delito es responsabilidad directa de los servidores pblicos que entren en contacto
con ellos, por lo cual, en la averiguacin previa deber llevarse un registro con la identificacin
de las personas que intervengan en la cadena de custodia y estn autorizadas para reconocer y
manejar los indicios, huellas o vestigios del delito, as como instrumentos, objetos o productos
CONFIDENCIAL 26


del mismo. Esta cadena de custodia iniciar donde se recolecte la evidencia fsica y finalizar
por orden de autoridad competente.
Para cumplir con lo establecido en el artculo anterior, en el acuerdo nmero A/002/10
publicado con fecha 3 de febrero del 2010 en D.O.F. se establecen los lineamientos para que
los servidores pblicos preserven y procesen el lugar de los hechos y los indicios, huellas o
vestigios del hecho delictuoso, as como los instrumentos, objetos o productos del delito
14
.
En Mxico la definicin para la cadena de custodia es: El procedimiento de control que se
aplica al indicio material, ya sea vestigio, huella, medio de comisin, objeto material o producto
relacionado con el delito, desde la localizacin por parte de una autoridad, polica o Agente del
Ministerio Pblico, hasta que la autoridad competente ordene su conclusin, segn se trate de
la averiguacin previa o el proceso penal. (Procuradura General de la Repblica., 2010)
3. Huellas del delito.
En el CFPP se establece que todos los instrumentos, objetos o productos de un delito, los
bienes en que existan huellas o pudieran tener relacin con ste, deben ser asegurados para
que no se alteren, destruyan o desaparezcan. Ello implica el seguimiento de la cadena de
custodia (Art.181). Para lo cual se deben tomar las medidas para evitar que los bienes
asegurados se destruyan, alteren o desaparezcan. Estos bienes no podrn ser enajenados o
gravados durante el tiempo que dure el aseguramiento en el procedimiento penal, salvo los
casos sealados por las disposiciones en la misma Ley (Art.182-C).
4. Aseguramiento del inculpado y cateos.
El CFPP establece que una persona puede ser detenida en el momento de cometer un
delito, si es perseguido, o inmediatamente despus de cometerlo si es sealado por la vctima.
Debiendo ser puesto inmediatamente a disposicin de la autoridad competente
15
, respetando en
todo momento sus derechos fundamentales (Artculo 193).

14
Ver APENDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA EN EVIDENCIA
DIGITAL.
15
Artculo 16 constitucional.
CONFIDENCIAL 27


Por la parte correspondiente a los cateos estos deben limitarse a la diligencia para la cual
fueron autorizados y en esto los testigos son una parte muy importante, de infringir las
disposiciones la investigacin no tiene valor (art. 61), Si durante el cateo se descubre un delito
distinto y es perseguido de oficio, se har constar en el acta que se levante (art. 66). Se
recogern los instrumentos y objetos del delito, libros, papeles o cosas que se encuentren, si se
consideran relacionados al delito o los delitos descubiertos. Se formarn inventarios de los
objetos recogidos. En el Cdigo de Justicia Militar, se especifican estos mismos procedimientos
y que son aplicados de manera similar a los miembros de la Fuerzas Armadas
16
.
5. Peritos
La palabra perito, tiene como origen el latn peritus y significa sabio, experimentado,
hbil; el diccionario la define como Persona que, poseyendo determinados conocimientos
cientficos, artsticos, tcnicos o prcticos, informa, bajo juramento, al juzgador sobre puntos
litigiosos en cuanto se relacionan con su especial saber o experiencia (Diccionario de la Real
Academia Espaola, 2010). El perito en cmputo forense es un experto en los detalles de
sistemas y las tecnologas de cmputo involucradas en una investigacin
17

En el Cdigo Federal de Procedimientos Penales se contempla la participacin de peritos
con conocimientos especiales con el fin de poder dar una opinin en un rea de conocimiento
especial (Artculo 220). Ellos deben tener ttulo oficial en la ciencia o arte. (Artculo 223), se
establecen las situaciones ticas y responsabilidades en que puede caer un perito en caso de
no cumplir con su profesin. (Artculo 227 y 228). Estos son quienes emiten su dictamen por
escrito y, en caso de que existan opiniones diferentes en una opinin, se establecen las formas
para llegar a un acuerdo entre 2 peritos. Un perito puede participar en una diligencia si se le

16
Cdigo de Justicia Militar - Cateos Arts. 482 al 490 y, Aprehensin y Detencin del 505 al 515
17
Ver ANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE

CONFIDENCIAL 28


requiere. En el mbito de la justicia militar los peritos practican sus diligencias de manera
similar, con apego a lo antes expuesto
18
.
6. Medios de prueba.
El Maestro Javier Pia y Palacios, destacado criminlogo, indicaba que [La] prueba es un
instrumento material o de razonamiento, o medio con el que se pretende mostrar o hacer
patente la verdad o falsedad de una cosa o hecho (Montiel, 2002).
En lo que se refiere a los medios de prueba, en el CFPP se admiten todo aquello que se
ofrezca como tal, siempre que pueda ser conducente, y no vaya contra el derecho, a juicio del
juez o tribunal. Cuando la autoridad judicial lo estime necesario, podr por algn otro medio de
prueba, establecer su autenticidad (Art. 206).
En lo que se refiere a la prueba, en el CFPC, se determina que el juez puede valerse de
cualquier persona, cosa o documento, que pertenezca a las partes o a un tercero, sin ms
limitaciones que las de que las pruebas estn reconocidas por la ley y tengan relacin inmediata
con los hechos controvertidos (Art. 79). Se reconocen como medios de prueba, entre otros,
documentos pblicos, los documentos privados, los dictmenes periciales, las fotografas,
escritos y notas taquigrficas, y, en general, todos aquellos elementos aportados por los
descubrimientos de la ciencia.(Art. 93). Se reconoce como prueba la informacin generada o
comunicada que conste en medios electrnicos, pticos o en cualquier otra tecnologa. Lo cual
es muy importante en el rea del cmputo forense, ya que esta es la materia en la que se
sustentan las acciones realizadas en un sistema de informacin digital. En este mismo artculo
se hace nfasis en el valor de la prueba tomndose como algo primordial la fiabilidad del
mtodo en que haya sido generada, comunicada, recibida o archivada. Tambin se especifica la
posibilidad de que esta se puede atribuir a personas y ser accesible para su ulterior consulta.
Se establece que si la Ley puede requerir que un documento sea conservado y presentado en
su forma original, bastar si se acredita que la informacin se ha mantenido ntegra e inalterada

18
Cdigo de Justicia Militar.- De los peritos arts. Del 533 al 554.
CONFIDENCIAL 29


a partir del momento en que se gener por primera vez en su forma definitiva y sta pueda ser
consultada (Art. 210 -A).
En el CC se establece la admisibilidad como medio de prueba a todos aquellos elementos
que puedan producir conviccin en el juez de hechos controvertidos o dudosos, tomando como
pruebas, entre otras, las declaraciones de peritos, documentos pblicos o privados, fotografas,
facsmiles, cintas cinematogrficas, de videos, de sonido, mensajes de datos, y similares que
sirvan para averiguar la verdad. (Artculo 1205).
En la LMV se estableci desde el 4 de enero de 1990 una modificacin en la cual se
otorga valor probatorio a los mensajes de datos electrnicos si las partes convienen el uso de
medios electrnicos, de cmputo o de telecomunicaciones para el envo, intercambio y
confirmacin de las rdenes y dems avisos. Se establece el mismo valor para claves de
identificacin y la firma autgrafa, produciendo los mismos efectos que las leyes otorguen a los
documentos suscritos por las partes e igual valor probatorio (art. 200 fcs. II y V). La informacin
soportada en medios pticos, magnticos o de procesos telemticos producen los mismos
efectos que las leyes otorgan a los documentos originales, por lo cual tienen igual valor
probatorio (Arts. 209 y 418). Los mensajes de datos son reconocidos como prueba haciendo
nfasis en que se estimar primordialmente la fiabilidad del mtodo en que haya sido generada,
archivada, comunicada o conservada (Artculo 1298 -A).
Por lo que respecta a las atribuciones y deberes de los agentes del ministerio pblico
adscritos a juzgados militares, en el Cdigo de Justicia Militar, se establece que ellos recaban y
presentan las pruebas de un delito as como la probable responsabilidad de los indiciados(Art.
83 ).
Segn lo dispuesto en el CFPP, las comunicaciones entre particulares pueden utilizarse
como pruebas en un proceso legal siempre y cuando cumplan con lineamientos establecidos
(Art. 278 Bis.):
Si son obtenidas directamente por alguno de los participantes en la misma.
CONFIDENCIAL 30


Las comunicaciones que obtenga alguno de los participantes con el apoyo de la
autoridad, siempre que conste de manera fehaciente la solicitud previa de apoyo del
particular a la autoridad.
Las que no violen el deber de confidencialidad que establezca la Ley.
Se cuente con el consentimiento expreso de la persona con quien se guarda el deber
de confidencialidad.
Las proporcionadas por empresas concesionarias y permisionarias del servicio de
telecomunicaciones o de internet, por solicitud de la autoridad.
Conclusiones del captulo.
De lo anterior se puede concluir que existen bases legales suficientes, as como
programas federales que permiten la implementacin de una metodologa de cmputo forense
para la obtencin de evidencias en la SDN, y que esta puede sustentar las pruebas en la
comprobacin de delitos informticos. Los delitos informticos son relativamente nuevos y por
sus caractersticas y naturaleza son complejos de cometer y de comprobar, por lo que se
requiere de peritos en materia que determinen e identifiquen las huellas de estos delitos y
faciliten los medios de prueba de su comisin. Debido a la fragilidad de las evidencias su
manejo debe registrarse en una cadena de custodia, de no ser as la investigacin nulifica su
efectividad. Por lo que respecta a las personas involucradas en cualquier delito, estas deben ser
tratadas con restricto apego a la Ley, respetando sus garantas individuales.
CONFIDENCIAL 31


CAPTULO IV
EL CMPUTO FORENSE.
Generalidades.
El cmputo forense es una ciencia auxiliar, relativamente reciente en la justicia moderna
que actualmente representa un reto tanto a especialistas en el cmputo forense por su
complejidad, como para los criminalistas y administradores de la justicia, debido a que estas
evidencias digitales deben apegarse a los procedimientos bsicos de la criminalstica y al marco
legal establecido
19
. Por lo cual, los criminalistas deben aplicar nuevas habilidades que incluyan
a la evidencia obtenida en el cmputo forense para poder esclarecer un caso y reconstruir la
manera en que se sucedieron los hechos (Martnez, 2009).
La criminalstica y el cmputo forense.
La criminalstica es una ciencia multidisciplinaria, que rene conocimientos generales,
sistemticamente ordenados, verificables y falibles. Tiene como objeto el estudio tcnico de
evidencias materiales de hechos presuntamente delictuosos para resolver las interrogantes que
surjan en un caso, conocer su forma de realizacin, instrumentos u objetos utilizados en l y
lograr la identificacin del autor(es) y dems involucrados. (Montiel, 2002)
En esencia el cmputo forense es diferente de la mayora de las disciplinas forenses
tradicionales. Los exmenes de cmputo se pueden realizar prcticamente en cualquier
ubicacin fsica y no slo en el entorno controlado de un laboratorio. En lugar de producir
conclusiones interpretativas, como en muchas disciplinas forenses, la informtica forense
produce informacin directa y datos que pueden ser importantes en un caso legal. Como
disciplina forense, no hay algo que tenga este potencial desde el descubrimiento del DNA como
lo es la ciencia en cmputo forense en ciertos tipos de investigacin y acciones judiciales (Albert
J. Marcella Jr., 2008).

19
Ver ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE.
CONFIDENCIAL 32


El cmputo forense combina elementos legales y de la ciencia computacional para
recolectar y analizar los datos de sistemas de cmputo, redes, comunicaciones inalmbricas, y
dispositivos de almacenamiento de manera que sean admisibles como evidencias en un tribunal
de justicia. En el proceso de cmputo forense se usa el mtodo cientfico para recolectar,
analizar y presentar la evidencia ante los administradores de justicia. La palabra forense
significa traer ante la corte. Por ser una disciplina relativamente nueva, y no est reconocida
como una disciplina cientfica formal, falta estandarizacin y consistencia para el proceder de
los administradores de justicia y organizaciones.
Tabla 1
Preguntas resueltas por la criminalstica y por el cmputo forense.
Preguntas resueltas por la criminalstica. Preguntas resueltas por el cmputo forense.
1. Qu sucedi? 1. Qu fue lo que sucedi?
2. Cmo sucedi el hecho? 2. Cmo sucedi?
3. Dnde sucedi el hecho? 3. Donde ocurri?
4. Cundo sucedi el hecho? 4. Cundo ocurri?
5. Con que sucedi el hecho? 5. Aqu el campo se reduce a las TI
involucradas.
6. Por qu sucedi el hecho? 6. Por qu ocurri?
7. Quin realiz el hecho? 7. Quin pudo haberlo hecho?
Nota: En ambas ciencias se busca dar contestacin a las mismas interrogantes, en el cmputo
forense estas cuestiones resuelven hechos cometidos en sistemas de cmputo y TI
20
.
El principio de intercambio de Locard
21
en el cmputo forense.
Tomando como base este principio fundamental del anlisis forense moderno se
interpreta que, desde el punto de vista de la evidencia digital, cuando un equipo sospechoso
ataca a otro equipo vctima, se produce transferencia de evidencia digital. El equipo sospechoso
toma datos digitales del equipo vctima y a su vez deja datos digitales en l. La escena del
crimen es el rea desde la cual se ha llevado este intercambio y dependiendo del grado del

20
APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA.
21
A finales de 1800, el Doctor Edmond Locard desarroll la teora que es la base del anlisis forense moderno. En este se enuncia
que: Cuando una persona entra en contacto con otra persona, objeto o lugar, se produce transferencia de evidencia fsica. Esto
significa que la persona quita del objeto y deja algo en el objeto de contacto. Las posibilidades de este intercambio son ilimitadas.
CONFIDENCIAL 33


ataque son las evidencias fsicas utilizadas y las evidencias digitales intercambiadas (Mozayani,
2006).

Figura 2. Interpretacin grafica del Principio de Locard en un delito informtico (Mozayani,
2006).
Los principios aplicados por la criminalstica, con el enfoque al cmputo forense.
En la bsqueda de las respuestas a las interrogantes para resolver un caso, la
criminalstica general utiliza una metodologa acorde al caso, apoyada en siete principios
cientficamente estructurados y comprobados (Montiel, 2002). Aplicando estos principios en el
cmputo forense, se puede verificar y decidir sobre los fenmenos que involucran a las
personas y sistemas de cmputo en lo que se refiere a delitos informticos
22
.
La evidencia electrnica.
Como se puede observar, para nuestras leyes prcticamente cualquier informacin es
admisible en un proceso judicial, si esta es conducente y no va contra derecho, a juicio del juez
o del tribunal, pero si la autoridad lo determina podr someterlo a pruebas de autenticidad.
La evidencia electrnica o digital es el conjunto de datos e informacin de valor para una
investigacin que esta almacenada o es transmitida por un medio electrnico. Esta evidencia se
obtiene cuando los datos o los equipos fsicos son recolectados y almacenados para propsitos
de evaluacin (National Institute of Justice, 2001).

22
Estos principios son: de uso, de produccin, de intercambio, de correspondencia de caractersticas, de reconstruccin de
fenmenos, de probabilidad y de certeza. Ver APNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL
CMPUTO FORENSE.
CONFIDENCIAL 34


La evidencia electrnica no es visible en su estado natural, ya que se encuentra contenida
en los medios electrnicos. Se encuentra presente en la misma forma que las huellas digitales o
las estructuras de DNA, es decir, no es fcil de identificarla, se requiere de equipos y software
especializados para poder hacerla visible. La evidencia obtenida de equipos de cmputo debe
tratarse como otros tipos de evidencia, manejarse con cuidado para preservar su integridad,
tanto fsica como en los datos; es frgil, puede ser alterada, daada o destruida por el manejo
inadecuado o una examinacin impropia. Una falla puede hacerla intil o llevar a emitir una
conclusin inexacta. Debido a su naturaleza se presentan desafos especiales para su
admisibilidad en una corte (Albert J. Marcella Jr., 2008).
Entre los elementos que hacen de la evidencia digital un desafo ante una corte, estn
(Martnez., 2009):
A. Es voltil
B. Es annima.
C. Es duplicable.
D. Es alterable.
E. Es eliminable.
Debido a las implicaciones legales, es necesario que la evidencia guarde los siguientes
aspectos (Network Working Group, 2002):
A. Admisible: Conforme a las normas legales.
B. Autntica: Debe ser posible relacionar la evidencia material al incidente que se trate.
C. Completa: Debe cubrir la historia complete no solo puntos de vista particulares.
D. Confiable: No debe existir dudas en la forma de recoleccin y tratamiento de la evidencia
que pongan en duda su autenticidad y veracidad.
E. Creble: Debe ser fcilmente comprensible y creble por un tribunal.
Existen esfuerzos por parte de organizaciones internacionales con el objeto de
estandarizar y establecer guas para la recuperacin, preservacin y evaluacin de la evidencia
CONFIDENCIAL 35


digital
23
, mismos que han servido como recomendaciones y bases para trabajos en materia por
otros pases
24
Estos implican la consistencia los sistemas jurdicos, la estandarizacin de los
trminos del lenguaje, la durabilidad de los procesos, el poder traspasar las fronteras en la
prosecucin de los delitos y darle el valor a la evidencia digital en todos los niveles
organizacionales (estos fueron propuestos por la Organizacin Internacional en Evidencia de
Cmputo -IOCE, por sus siglas en ingles-).
Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10.
En el ao 2001, el Digital Forensic Research Workshop (DFRWS), realiz un trabajo
multidisciplinario, donde se estableci un modelo para investigacin de cmputo forense, el cual
consiste de siete etapas, cada una contiene los trabajos relacionados con el cumplimiento de la
etapa (Digital Forensic Research Workshop, 2001).
En la parte nacional, el 3 de febrero del 2010 (D.O.F.), se public el acuerdo nmero
A/002/10 donde se establecen los lineamientos para la preservacin y proceso en el lugar de
los hechos, indicios, huellas o vestigios del hecho delictuoso, as como instrumentos, objetos o
productos del delito. Este acuerdo tiene como objetivo general establecer e implementar los
procesos, procedimientos legales y tcnico-cientficos, realizados por los integrantes de las
Instituciones Policiales y los peritos en auxilio del Agente del Ministerio Pblico de la Federacin
y que son necesarios para garantizar la preservacin del lugar de los hechos, del hallazgo y de
los indicios o evidencias, en la integracin de la averiguacin previa. Aunque este ordenamiento
se enfoca a la evidencia fsica, a travs de la identificacin de procesos y procedimientos
adecuados para el manejo de la evidencia electrnica se busca, en este trabajo, preservar la
evidencia electrnica apegados a la normativa mencionada.



23
Ver ANEXO F PRINCIPIOS INTERNACIONALES EN EVIDENCIA DE CMPUTO.
24
El G-8, el IOCE y los delegados de la Conferencia Internacional Forense y de Crmenes de Alta Tecnologa han reconocido la
necesidad de confiar en el intercambio de pruebas digitales en materia de aplicacin transnacional, por lo que estos principios son
la base para el establecimiento de las prcticas universales, que garanticen la continuidad y fiabilidad de las evidencias que se
intercambiarn entre entidades legales.
CONFIDENCIAL 36






Figura 3. Fases del modelo de cmputo forense del DFRWS y de los lineamientos del acuerdo
A/002/10.
Armonizacin de los dos modelos de estudio considerados.
Debido a la correspondencia de sus procesos, se consider tomar como referencia el
modelo de Digital Forensic Research Workshop y los lineamientos del acuerdo nmero
A/002/10 con el fin de poder establecer el modelo metodolgico para llevar un trabajo
coordinado y eficiente en materia de cmputo forense, garantizando la certeza jurdica, la
seguridad y la legalidad en una metodologa para la SDN
25






25
Ver ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE.
Identificacin Preservacin
Recoleccin Exmen
Anlisis Presentacin
Decisin
CONFIDENCIAL 37




Conocimiento de la comisin de
un delito informtico.
Preservacin del lugar de los
hechos y/o del hallazgo.
Identificacin, ubicacin y fijacin
de los indicios o evidencias.
Recoleccin, embalaje y traslado
de los indicios o evidencias
Integracin de la averiguacin
previa en la cadena de custodia.
Integracin de la averiguacin
previa en la cadena de custodia.
Responsabilidades en la cadena
de custodia.
Prdida de indicios o evidencias
Solicitud de dictmenes periciales
de los indicios o evidencias
Realizacin de pruebas periciales
Almacenamiento de indicios o
evidencias.
Terminacin de la Cadena de
Custodia
IDENTIFICACION.
Deteccin de un crimen.
Identificacin de una firma (IDS).
Deteccin de un perfil.
Deteccin de anomalas.
Denuncia.
Sistema de monitoreo.
Anlisis de una auditora.
PRESERVACION.
Manejo del caso.
Cadena de custodia.
Tiempo de sincronizacin.
Imgenes.
RECOLECCIN.
Preservacin.
Mtodos aprobados.
Software aprobado.
Hardware aprobado.
Autoridad legal.
Prdida de compresin.
Muestreo.
Reduccin de datos.
Tcnicas de recuperacin.
EXMEN.
Preservacin.
Seguimiento.
Tcnicas de validacin.
Filtrado.
Patrones de bsqueda.
Bsqueda de datos ocultos.
Extraccin de datos ocultos.
Decisin.
PGR Acuerdo A/002/10 DFRWS
ANLISIS.
Preservacin.
Seguimiento.
Estadstica.
Protocolos.
Reduccin y bsqueda
de datos.
Lnea del tiempo.
Enlaces.
Percepcin espacial.
PRESENTACIN
Documentacin.
Testimonio de expertos.
Aclaraciones.
Establecimiento del impacto.
Contramedidas recomendadas.
Interpretacin estadstica.

Figura 4. Armonizacin del modelo de cmputo forense de DFRWS y de los lineamientos
federales en materia de evidencias.


CONFIDENCIAL 38


CAPTULO V
METODOLOGA DE CMPUTO FORENSE PARA LA SDN
26
.
Por medio de la armonizacin del modelo de cmputo forense de DFRWS, de los
lineamientos federales en materia de evidencias, lo establecido en los Cdigo de Justicia Militar
y las buenas prcticas internacionales en materia de cmputo forense, se proponen los
siguientes procesos, mismos que se complementan con procedimientos para materializar una
metodologa de cmputo forense para la SDN
27
, estos se apoyan en formatos de
documentacin que se incluyen para llevar registros de cadena de custodia, cuestionarios para
investigar delitos o incidentes en cmputo, metodologa general de la criminalstica con el fin de
mantener la evidencia fsica de hallazgos y objetos, recomendaciones de expertos y buenas
prcticas internacionales:
PROCESO 1. CONOCIMIENTO DE LA COMISIN DE UN DELITO INFORMTICO.
PROCESO 2. PRESERVACION DEL LUGAR DE LOS HECHOS Y/O DEL HALLAZGO.
PROCESO 3. PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS DEL DELITO
INFORMTICO.
PROCESO 4. INTEGRACIN EN LA AVERIGUACION PREVIA DE LA CADENA DE
CUSTODIA.
PROCESO 5. RESPONSABILIDADES EN LA CADENA DE CUSTODIA.
PROCESO 6. PRDIDA DE INDICIOS O EVIDENCIA DIGITAL.
PROCESO 7. DE LOS SERVICIOS PERICIALES.
PROCESO 8. REALIZACIN DE LAS PRUEBAS PERICIALES.
PROCESO 9. ALMACENAMIENTO DE LOS INDICIOS O EVIDENCIA DIGITAL.
PROCESO 10. TERMINACIN DE LA CADENA DE CUSTODIA.


26
Ver APNDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE FLUJO GENERAL DE LA
METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LA SDN.
27
Id.
CONFIDENCIAL 39


CAPTULO VI
ANLISIS E INTERPRETACIN DE RESULTADOS.
Como se puede observar en las tablas de correlacin de procesos de la MCF para la
SDN
28
, los procesos que integran la metodologa propuesta corresponden con los lineamientos
ordenados a nivel federal en el acuerdo nmero A/002/10, en la misma tabla tambin se
observa que existe una correlacin con los procesos de la metodologa general de anlisis de
cmputo forense de la Digital Forensic Research Workshop (DFRWS), as como con los
contenidos del Cdigo de Justicia Militar, que es la base legal de la prosecucin de delitos
cometidos en las Fuerzas Armadas (Ejrcito, Fuerza Area y Armada nacionales). En las
citadas tablas tambin se observan materiales de apoyo y procedimientos que fueron
desarrollados exprofeso para este trabajo desde el punto de vista de la evidencia digital. Debido
a esta correspondencia de procesos y considerando que cumple con los puntos establecidos a
nivel federal para el manejo de las evidencias, se afirma la hiptesis de este trabajo de
investigacin, la cual se cita:
Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del
marco normativo y que incluya procesos y procedimientos basados en los lineamientos de
cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas
internacionales en materia de evidencia digital, coadyuvar a mantener la integridad de la
evidencia digital durante el proceso legal, para la determinacin de responsabilidades por actos
ilcitos cometidos por medio de tecnologas de la informacin.


28
APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS.
CONFIDENCIAL 40


CAPTULO VII
CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES.
Si bien existen programas y lineamientos en materia de evidencias fsicas, todava falta
estandarizar los procedimientos en materia de evidencia electrnica.
A medida que se siga expandiendo el uso de las TICs en las actividades humanas, va a
ser ms necesario contar con el personal, las herramientas y los procedimientos para
establecer responsabilidades en materia de delitos informticos.
Aunque todava manifiestan los expertos, que es difcil llevar el rea digital como
evidencia en un juicio, en este trabajo de investigacin se toman el marco normativo existente
en evidencia fsica, los avances en legislacin informtica, las buenas prcticas internacionales
en evidencia digital y los principios criminalsticos para establecer que legalmente es posible
garantizar las evidencias digitales que resulten de un delito informtico.
En el ambiente nacional actual, la fuga de informacin digital es algo comn y costoso a
organizaciones pblicas y privadas, por lo que es necesario tomar medidas para que estos
ataques sean controlados e identificados los agresores. Pero es aun ms necesario el dar
seguimiento y castigar a aquellos que cometen delitos.
El trabajo desarrollado es una solucin general para identificar delitos y autores de estos
por medio de TICs, solo resta fomentar la cultura y afirmar los conceptos de delitos
informticos entre aquellos que estn encargados de aplicar las leyes.
El anlisis del marco legal demuestra que con las leyes vigentes se puede dar
seguimiento y castigar delitos informticos. Por lo anterior, se recomienda que este trabajo sea
validado por los expertos en materia legislativa militar y sirva como una base para las futuras
investigaciones en la materia.
Existen los lineamientos federales en materia de conservacin de la evidencia, lo cual
puede ser un sustento en lo que se refiere al manejo de la evidencia digital, como se expuso en
este trabajo, por lo que se recomienda que las autoridades judiciales y administrativas de la
CONFIDENCIAL 41


SDN difundan la aplicacin de los lineamientos mencionados tanto en evidencia fsica como en
evidencia digital con el fin de no verse involucrados en algn aspecto de tipo legal.
Finalmente, se recomienda promover la cultura del cmputo forense en las unidades,
dependencias e instalaciones de la SDN para que se tenga el conocimiento que cualquier
actividad llevada a cabo desde sistemas de informacin, puede ser detectada y monitoreada.
CONFIDENCIAL 42


BIBLIOGRAFA Y LISTA DE REFERENCIAS.
1. ACPO. (2009). Good Practice Guide for Computer-Based Electronic Evidence.
2. Albert J. Marcella Jr., D. M. (2008). Cyberforensics. NW: Auerbach Publications.
3. AMIPCI. (Mayo de 2009). Hbitos de los Usuarios de Internet en Mxico. Mxico.
4. Cmara de Diputados del H. Congreso de la Unin. (2005). Ley de Seguridad Nacional.
Mxico.
5. Campoli., G. A. (2006). Manual bsico de cateo y aseguramiento de evidencia digital.
Mxico: INACIPE.
6. Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers,
and the Internet. Elsevier Academic Press.
7. Chris Prosise, K. M. (2003). Incident Response & Computer Forensics. McGraw-
Hill/Osborne.
8. Computer Security Institute. (2008). 2008 CSI Computer Crime & Security Survey.
EE.UU.AA.
9. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo. (Junio de 2009).
Estudio sobre las perspectivas de la armonizacin de la ciberlegislacin en Amrica
Latina.
10. DFRWS. (2001). A Road Map for Digital Forensic Research. New York, Uttica,
EE.UU.AA.
11. Diccionario de la Real Academia Espaola. (14 de enero de 2010). Real Academia
Espaola. Recuperado el 14 de enero de 2010, de Real Academia Espaola:
http://buscon.rae.es/draeI/
12. Diccionario de la Lengua Espaola. (s.f.). DICCIONARIO DE LA LENGUA ESPAOLA -
Vigsima segunda edicin. Recuperado el 27 de 02 de 2010, de http://www.rae.es/.
13. Digital Forensic Research Workshop. (6 de 11 de 2001). A Road Map for Digital Forensic
Research. New York, Utica.
14. Douglas Barbin, C. C. (20 de febrero de 2010). ISACA. Recuperado el 20 de febrero de
2010, de www.isaca.org:
http://www.isaca.org/Content/ContentGroups/Member_Content/Journal1/20023/Compute
r_Forensics_Emerges_as_an_Integral_Component_of_an_Enterprise_Information_Assu
rance_Program.htm
15. EC-Council. Computer Hacking Forensic Investigator V.3 Volume 1. EC-Council.
16. ESET Latinoamrica. (5 de abril de 2010). Costos del negocio delictivo encabezado por
el crimeware. Buenos Aires,, Argentina.
17. Federal Trade Comission. (Enero de 2010). Peer-to-Peer File Sharing: A guide for
Business. Washington, DC, NW, EE.UU.AA.
18. George Mohay. (2003). Computer and Intrusion Forensics. Norwood, MA, EE.UU.AA.:
Artech House, Inc.
19. Imtiaz, F. (21 de febrero de 2010). Forensic Focus . Recuperado el 21 de febrero de
2010, de Computer forensic news, information and community. :
http://www.forensicfocus.com/index.php?name=Content&pid=96&page=4
20. l. Volonino, R. A. (2007). Security. Computer forensics. Principles and Practices.
Pearson Prentice Hall.
21. Martnez, J. J. (2009). Computacin Forense. Mexico, D.F.: Alfaomega.
22. Martinez., J. J. (2009). Computacion Forense, Descubriendo los rastros informaticos.
Mexico: Alfaomega.
23. Montiel, S. J. (2002). Manual de criminalistica. Mxico: Limusa.
24. Mozayani, A. (2006). The Forensic Laboratory Handbook. Totowa, New Jersey: Humana
Press.
25. National Institute of Justice. (Julio de 2001). Electronic Crime Scene Investigation, A
Guide for First Responders. Washington, DC, EEUUAA.
CONFIDENCIAL 43


26. National Institute of Standards and Technology. (August de 2006). Guide to Integrating
Forensic Techniques into Incident Response, Special Publication 800-86. Gaithersburg,
MD 20899-8930, EE.UU.AA.
27. National Institute of Standards and Technology. (September de 2006). Forensic
Techniques: Helping Organizations Improve Their Responses to Information Security
Incident. Gaithersburg, MD, EE.UU.AA.
28. Navarro Isla, J. (2005). Tecnologas de la informacion y de las comunicaciones:
aspectos legales. Mxico: Porra.
29. Network Working Group. (February de 2002). RFC 3227 Guidelines for Evidence
Collection and Archiving.
30. Procuradura General de la Repblica. (3 de febrero de 2010). SEGOB. Recuperado el
10 de 04 de 2010, de http://dof.gob.mx/:
http://dof.gob.mx/nota_detalle.php?codigo=5130194&fecha=03/02/2010
31. SANS Institute. (2006). Forensics Plan Guide & Forensics Cookbook. SANS Institute.
32. SDN. (2006). Cdigo de Justicia Militar. EMDN.
33. SDN. (2009.). Ley Orgnica del Ejrcito y Fuerza Area Mexicana. EMDN.
34. SDN. (2009). Manual de Organizacin General de la Secretara de la Defensa Nacional.
Mexico: EMDN.
35. SDN. (2008). Reglamento Interior de la Secretara de la Defensa Nacional. Mxico.:
EMDN.
36. SDN. (29 de Mayo de 2008). Requerimiento de la Ley Federal de Transparencia.
Recuperado el 20 de Abril de 2010, de Sedena:
http://www.sedena.gob.mx/leytrans/petic/2008/mayo/mayo.pdf
37. SDN. (2009). Requerimiento IFAI.
38. Solomon, M. G. (2005). Computer Forensics Jumstart. Alameda, CA.: Sibex Inc.
39. U.S. Departament of Homeland Security. (Febrero de 2003). The national strategy to
secure cyberspace. EE.UU.AA.: Homeland Security.
40. United Nations Crime and Justice Information Network. (20 de marzo de 2010). Obtenido
de http://www.uncjin.org/Documents/irpc4344.pdf.
41. United States Department of Homeland Security. (September de 2008.). Information
Technology (IT) Security Essential Body of Knowledge (EBK). Washington, D.C.,
EE.UU.AA.
42. US Computer Emergency Response Team. (2008). Computer Forensics. US-CERT.
43. Vacca, J. R. (2002). Computer Forensics: Computer Crime Scene Investigation.
Hingham, Massachusetts: Charles River Media .
44. Valds Tllez., J. (2009). Derecho Informtico. Mc GrawHill.


CONFIDENCIAL 44


APNDICES Y ANEXOS.
------------------------------------------------------------------------------------------------------------
A. APNDICE ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA
METODOLOGA DE CMPUTO FORENSE PARA LA SDN.
B. APNDICE DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN
C. APNDICE EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA.
D. APNDICE LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL
CMPUTO FORENSE.
E. APNDICE METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE
FLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA
LA SDN
F. APNDICE FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA
DE CUSTODIA EN EVIDENCIA DIGITAL
G. APENDICE ANLISIS E INTERPRETACIN DE RESULTADOS.
------------------------------------------------------------------------------------------------------------
A. ANEXO SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL
I.F.A.I. (2008)
B. ANEXO ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS
ELABORADA POR EL PROCURADOR DE JUSTICIA MILITAR AL 4 DE MARZO DE
2009.
C. ANEXO CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO
DE COMISIN
D. ANEXO HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS
FORENSE
E. ANEXO ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE
F. ANEXO PRINCIPIOS INTERNACIONALES EN LA EVIDENCIA DE CMPUTO.
G. ANEXO EL PROCEDIMIENTO JURDICO PREVIO.
H. ANEXO PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL.
I. ANEXO PROCEDIMIENTO DE RESPUESTA EN VIVO PARA LA RECOLECCIN DE
EVIDENCIA VOLTIL.
J. ANEXO MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE.
K. ANEXO PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL.
L. ANEXO RECOMENDACIONES PARA LLEVAR A CABO LA RECOLECCION DE
EVIDENCIAS DIGITALES.
M. ANEXO PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL.
N. ANEXO EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOS
INFORMTICOS.
O. ANEXO ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL.
P. ANEXO QU SE DEBE BUSCAR PARA REALIZAR UN CATEO COMPLETO.
Q. ANEXO METODOLOGA DE LA CRIMINALSTICA DE CAMPO.
R. ANEXO GUA DE ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOS
DELITOS INFORMTICOS.
S. ANEXO S DEFINICIONES.
CONFIDENCIAL 45


APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA
METODOLOGA DE CMPUTO FORENSE PARA LA SECRETARA DE LA DEFENSA
NACIONAL.

Constitucin Poltica de los Estados Unidos Mexicanos.
Establecida como la Norma fundamental dentro de nuestro marco legal, es en ella donde
se establecen las garantas para los ciudadanos mexicanos y donde se basan las disposiciones
federales que nos gobiernan.
Dentro de esta Norma Fundamental se encuentran principios que son de importancia en
el mbito del cmputo forense, como son:
1. Las garantas constitucionales no pueden restringirse ni suspenderse, solo en las
excepciones que en la misma ley se establecen (art.1).
2. Se debe proteger la informacin acerca de la vida privada y los datos personales (art.6).
3. A ninguna ley se dar efecto retroactivo en perjuicio de persona alguna (art.14).
4. Nadie podr ser privado de la libertad o de sus propiedades, posesiones o derechos,
sino mediante juicio.
5. No se puede establecer una pena por simple analoga.
6. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, solo
por orden de la autoridad (art.16).
7. Toda persona tiene derecho a la proteccin de sus datos personales, al acceso,
rectificacin y cancelacin de los mismos, as como a manifestar su oposicin. La ley
establecer los supuestos de excepcin a los principios que rijan el tratamiento de datos,
por razones de seguridad nacional, disposiciones de orden pblico, seguridad y salud
pblicas o para proteger los derechos de terceros.
8. Cualquier persona puede detener a un supuesto delincuente en el momento en que est
cometiendo un delito o inmediatamente despus de haberlo cometido, ponindolo sin
demora a disposicin de la autoridad ms cercana y sta con la misma prontitud, a la del
Ministerio Pblico. Existir un registro inmediato de la detencin.
9. Slo en casos urgentes, el Ministerio Pblico podr, bajo su responsabilidad, ordenar la
detencin.
10. Se establece la inviolabilidad de comunicaciones privadas.
11. Entre las facultades y obligaciones del Presidente, est la de preservar la seguridad
nacional y disponer de la totalidad de las Fuerzas Armadas para la seguridad interior y
defensa exterior de la Federacin (Art.89 VI.).

Cdigo Penal Federal.
En el CPF se tipifican los delitos del orden federal. Entre los delitos se incluyen los
relacionados con la revelacin de secretos o comunicaciones reservadas (Artculo 210), y si
estas fueron realizadas por funcionarios pblicos (Artculo 211); tambin se establecen penas a
quien revele, divulgue o utilice indebidamente o en perjuicio de otro, informacin o imgenes
obtenidas en una intervencin de comunicacin privada (Artculo 211 Bis)
Existen penas establecidas en el precitado CPF en lo referente a ataques a vas de
comunicacin y violacin de correspondencia, esto involucra las comunicaciones, almbricas,
inalmbricas o de fibra ptica, por medio de las cuales se transfieran seales de audio, de video
o de datos (art.167).
En los artculos 211 bis, del 1 al 7 Acceso ilcito a sistemas y equipos de informtica, se
establecen las modalidades cmo se llevan a cabo este tipo de delitos, en estas se incluyen la
modificacin, destruccin, perdida, copia, conocimiento, obtencin de informacin de sistemas y
equipos de informtica, incluyendo las del sistema financiero del Pas.
En delitos del Ejercicio indebido de servicio pblico, se incluyen el uso ilcito de
informacin bajo su custodia o a la cual tenga acceso, o conocimiento en virtud del empleo,
cargo o comisin (art.214).
CONFIDENCIAL 46


Cdigo Federal de Procedimientos Penales.
En este Cdigo se establecen procedimientos que son de gran importancia para el
manejo de evidencias y las responsabilidades que esto conlleva. Las siguientes anotaciones se
consideran importantes en lo que se refiere a la conservacin de la evidencia digital en una
metodologa de cmputo forense:
Al efectuar un cateo, este debe limitarse a cumplir la diligencia, estando el Ministerio
Pblico, de no ser as la diligencia no tendr valor probatorio (art.61).
Para realizarlo basta que se encuentren en el lugar los objetos materia del delito, que
puedan servir para la comprobacin del delito o responsabilidad (62).
Se recogern todos los instrumentos y objetos del delito, que conduzcan al xito de la
investigacin o relacionados con otros delitos graves que no eran objeto del cateo (art.
66/o).
Se har el inventario de los objetos que se recojan y, en su caso, otro con los
relacionados con delito(s) graves que se descubran, para lo cual este procedimiento se
debe apegar a las reglas en los artculos 123 Bis a 123 Quintus, que se relacionan con
la cadena de custodia.

Cdigo Federal de Procedimientos Civiles.
En lo que se refiere a la prueba en este cdigo, se determina que el juez puede valerse de
cualquier persona, cosa o documento, que pertenezca a las partes o a un tercero, sin ms
limitaciones que las de que las pruebas estn reconocidas por la ley y tengan relacin inmediata
con los hechos controvertidos (art.79).
La ley reconoce como medios de prueba, entre otros, documentos pblicos, los
documentos privados, los dictmenes periciales, las fotografas, escritos y notas taquigrficas,
y, en general, todos aquellos elementos aportados por los descubrimientos de la ciencia (Art.
93).
En este Cdigo Federal se reconoce como prueba la informacin generada o comunicada
que conste en medios electrnicos, pticos o en cualquier otra tecnologa. En este mismo
artculo se hace nfasis en el valor de la prueba, tomndose como algo primordial la fiabilidad
del mtodo en que haya sido generada, comunicada, recibida o archivada. Tambin se
especifica la posibilidad de que esta se puede atribuir a personas y ser accesible para su
ulterior consulta.
Se establece que si la Ley puede requerir que un documento sea conservado y
presentado en su forma original, bastara si se acredita que la informacin se ha mantenido
ntegra e inalterada a partir del momento en que se gener por primera vez en su forma
definitiva y sta pueda ser consultada (Art. 210-A).

Cdigo de Comercio.
Se establece la admisibilidad como medio de prueba a todos aquellos elementos que
puedan producir conviccin en el juez de hechos controvertidos o dudosos, tomando como
pruebas, entre otras, las declaraciones de peritos, documentos pblicos o privados, fotografas,
facsmiles, cintas cinematogrficas, de videos, de sonido, mensajes de datos, y similares que
sirvan para averiguar la verdad (Art. 1205).
Los mensajes de datos son reconocidos como prueba haciendo nfasis en que se
estimar primordialmente la fiabilidad del mtodo en que haya sido generada, archivada,
comunicada o conservada (Art. 1298-A).

Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental.
En esta ley se establece que la informacin reservada es aquella que pueda comprometer
la seguridad nacional, la seguridad pblica o la defensa nacional; poner en peligro la vida,
seguridad o la salud de cualquier persona (Art. 13). Se establece el tiempo por el cual la
informacin reservada debe permanecer en esa categora por 12 aos (Art. 15). Tambin se
CONFIDENCIAL 47


instruye para que el titular de cada dependencia adopte medidas para asegurar la custodia y
conservacin de los expedientes clasificados (Art. 17). En esta Ley se considera informacin
confidencial, los datos personales que requieran el consentimiento de los individuos para su
difusin, distribucin o comercializacin (Art. 18).
El usar, sustraer, destruir, ocultar, inutilizar, divulgar o alterar, total o parcialmente y de
manera indebida informacin que se encuentre bajo su custodia, a la cual tengan acceso o
conocimiento con motivo de su empleo, cargo o comisin es causa de responsabilidad
administrativa en que incurren los servidores pblicos por el incumplimiento de esta Ley (Art.
63).
Las responsabilidades administrativas en que se incurran son independientes de las del
orden civil o penal que procedan (Art. 64).

Ley de Seguridad Nacional.
En la LSN se decretan los alcances de las disposiciones de orden pblico y de
observancia en todo el territorio nacional (Art.1). Entendindose como Seguridad Nacional a
las acciones destinadas de manera inmediata y directa a mantener la integridad, estabilidad y
permanencia del Estado Mexicano (Art. 3). Se enlistan las amenazas que se consideran contra
la Seguridad Nacional, entre los que se encuentran: actos relacionados con el espionaje,
sabotaje y terrorismo; aquellos que impidan a las autoridades actuar contra la delincuencia
organizada; los que tiendan a obstaculizar o bloquear operaciones militares o navales contra la
delincuencia organizada; los que afecten a las actividades de inteligencia o contrainteligencia; y
los tendentes a destruir o inhabilitar la infraestructura de carcter estratgico o indispensable
para la provisin de bienes o servicios pblicos (Art. 5).
Asimismo, se establece que la SDN y a su titular, como integrantes del Consejo de
Seguridad Nacional, tienen responsabilidades en lo referente al manejo de la informacin,
intervencin de comunicaciones privadas y produccin de inteligencia.
En la misma Ley se define por inteligencia como el conocimiento obtenido a partir de
la recoleccin, procesamiento, diseminacin y explotacin de informacin, para la toma de
decisiones en materia de Seguridad Nacional (Art. 29).
Se autoriza a las instancias autorizadas a recabar, compilar, procesar y diseminar
informacin con fines de Seguridad Nacional (Art. 30). En lo que se refiere a produccin de
inteligencia, se les otorga autonoma tcnica para hacer uso de cualquier mtodo de recoleccin
de informacin, sin que se afecten las garantas individuales ni derechos humanos (Art. 31).
(Cmara de Diputados del H. Congreso de la Unin., 2005).

Ley General del Sistema Nacional de Seguridad Pblica.
Se contempla el contenido de esta Ley, ya que el titular de la SDN participa de manera
directa como parte del Consejo Nacional de Seguridad Publica. Entre las atribuciones que
tienen sus integrantes se citan:
Establecer los instrumentos y polticas pblicas integrales, sistemticas, continuas y
evaluables, tendientes a cumplir los objetivos y fines de la Seguridad Pblica;
Promover la homologacin y desarrollo de los modelos ministerial, policial y pericial en
las Instituciones de Seguridad Pblica y evaluar sus avances, de conformidad con las
leyes respectivas.

Ley del Mercado de Valores.
En esta ley se estableci desde el 4 de enero de 1990 una modificacin en la cual se
otorga valor probatorio a los mensajes de datos electrnicos si las partes convienen el uso de
medios electrnicos, de cmputo o de telecomunicaciones para el envo, intercambio y
confirmacin de las rdenes y dems avisos. Se establece el mismo valor para claves de
identificacin y la firma autgrafa, produciendo los mismos efectos que las leyes otorguen a los
documentos suscritos por las partes e igual valor probatorio (Art. 200 fcs. II y V).
CONFIDENCIAL 48


La informacin soportada en medios pticos, magnticos o de procesos telemticos
producen los mismos efectos que las leyes otorgan a los documentos originales, por lo cual
tienen igual valor probatorio (Arts. 209 y 418).

Ley Federal del Derecho de Autor (LFDA).
En la LFDA se protegen obras tanto del acervo nacional como obras literarias y artsticas
de autores, artistas, intrpretes, editores, productores y organismos de radiodifusin y los otros
derechos de propiedad intelectual (Art. 1). En sus diferentes modalidades y formas (Art. 4).
En esta Ley se reconocen derechos (moral y patrimonial) a los autores (Art. 11), las obras que
reconoce esta ley son:
I. Literaria;
II. Musical, con o sin letra;
III. Dramtica;
IV. Danza;
V. Pictrica o de dibujo;
VI. Escultrica y de carcter plstico;
VII. Caricatura e historieta;
VIII. Arquitectnica;
IX. Cinematogrfica y dems obras audiovisuales;
X. Programas de radio y televisin;
XI. Programas de cmputo;
XII. Fotogrfica;
XIII. Obras de arte aplicado que incluyen el diseo grfico o textil, y
XIV. De compilacin, integrada por las colecciones de obras, tales como las
enciclopedias, las antologas, y de obras u otros elementos como las bases de
datos, siempre que dichas colecciones, por su seleccin o la disposicin de su
contenido o materias, constituyan una creacin intelectual. (Art. 13).
Dentro de esta Ley se contempla la proteccin de los programas de computacin (Art.
101), dndoles la misma importancia que a las obras literarias a los programas operativos
como a los programas aplicativos, en cdigo fuente o cdigo objeto. (Art. 102). Tambin se
brinda la proteccin a las bases de datos (Art. 107).
En esta Ley se contempla la proteccin a la informacin privada como se ordena en el
artculo 6o. Constitucional (Art. 109).
En el artculo 231 De las Infracciones en Materia de Comercio, se establece entre otras
infracciones, el uso, reproduccin o explotacin de programas de cmputo sin el consentimiento
del titular.

Legislacin Militar vigente.

Cdigo de Justicia Militar.
El delito de falsificacin se encuentra relacionado con el tema de esta investigacin. Es en
este cdigo donde se establecen las penas para quienes firmen, rubriquen, fabriquen o alteren
los documentos militares, tambin para aquellos que tomen en documentos una personalidad
que no les corresponda (Art. 228). Tambin se tipifica la falsificacin de sellos, timbres o
marcas militares que se usen en la correspondencia, libros, actas o documentos oficiales
destinados a marcar el armamento, equipo, vestuario u otros objetos pertenecientes al ejrcito
(Art. 231), y las penas para el delito de fraude (Art. 239).
En lo que se refiere a delitos contra el deber y decoro militares, en la infraccin de
deberes comunes a todos los que estn obligados a servir en el Ejrcito, la revelacin de
informacin militar reservada se encuentra penalizada de acuerdo al modo y al impacto en que
esta ocurra (Art. 338). Dentro de este apartado tambin se encuentra penalizada el parte falso,
CONFIDENCIAL 49


el ocultar la verdad, el expedir, certificar y presentar documentacin falsa; sustraccin,
destruccin y ocultamiento de expedientes, documentos o parte de ellos (Art. 343).

Reglamento General de Deberes Militares.
Complementando al Cdigo de Justicia Militar se responsabiliza al militar que tenga
conocimiento de que se intenta algo contra los intereses de la Patria o del Ejrcito de dar parte
a la superioridad, con el fin de no ser cmplice de un delito (Articulo 46).

Reglamento para la coordinacin de acciones ejecutivas en materia de Seguridad
Nacional.
A pesar de que su publicacin es anterior a la Ley y el Programa de Seguridad Nacional
(29 de noviembre de 2006) este es donde se establecen polticas, normas, criterios, sistemas,
procesos y procedimientos conforme a los cuales se promovern las acciones de coordinacin
en materia de Seguridad Nacional.
En este reglamento se establecen responsabilidades para que los miembros del consejo
de Seguridad Nacional formulen proyectos de programas, guas y metodologas, en el mbito
de sus atribuciones; as como practicar, en el mbito de su competencia, las investigaciones
que se le encomienden sobre las amenazas. Tambin se recalca el cuidado y proteccin de
datos personales e informacin de la vida privada de las personas en los trminos establecidos
por las disposiciones aplicables.

Plan Nacional de Desarrollo 2007-2012.
Dentro de los objetivos del Plan Nacional de Desarrollo 2007-2012 el Gobierno de Mxico
contempla como Eje 1, el Estado de Derecho y Seguridad. En los que se refiere a Informacin e
inteligencia existe el reto de preservar la seguridad del pas, estableciendo mecanismos y
procesos que permitan establecer patrones del comportamiento delictivo.
En el Plan tambin se contemplan estrategias para desarrollar e implementar sistemas de
informacin y comunicaciones de alta tecnologa para el combate a la delincuencia. Las
herramientas tecnolgicas que se desarrollarn en materia de informacin son la base para que
la Institucin avance en su labor de generar inteligencia. En mencionado Plan, se busca
fortalecer los centros y sistemas de inteligencia para la profesionalizacin de la investigacin en
el combate a la delincuencia y el crimen organizado, as como en la mejora de la averiguacin
previa del proceso penal.
En el mbito de Seguridad Nacional se incluye disminuir los rezagos tecnolgicos de las
Fuerzas Armadas para el cumplimiento de sus misiones y el resguardo de la informacin que se
maneja en las mismas (Estrategia 13.1).

Programa de Seguridad Nacional.
Este Programa, como instrumento de planeacin, alinea documentos rectores en la
ejecucin de la poltica en materia de Seguridad Nacional. Define estrategias para avanzar en
los objetivos y establece lneas de accin para la Seguridad Nacional.
Se considera de mucha importancia a las instituciones que tienen a su cargo la
preservacin de la Seguridad nacional, y a los mexicanos que forman parte de esas instancia,
establecindose la necesidad de adoptar nuevas herramientas tecnolgicas para ponerlas al
servicio de la proteccin de la nacin.
Se establece la necesidad de que el Sistema de Seguridad Nacional, del que forma parte
la SDN, opere con solidez metodolgica en el pensar y el hacer; tambin la utilizacin de
tecnologas de punta para identificar y establecer con alta precisin la naturaleza de un ataque
a la Seguridad Nacional, la organizacin del mismo y las personas que lo llevaron a cabo.
En sus lneas de accin se establecen: mantener a las instancias de Seguridad Nacional a
la vanguardia con herramientas cientficas y tecnolgicas para cumplir con sus tareas, la
adquisicin de las herramientas mismas, el desarrollo de conocimientos y tecnologa propia, el
CONFIDENCIAL 50


desarrollo de instrumentos y tecnologa que garanticen la proteccin y confidencialidad de la
informacin de Seguridad Nacional, as como su transmisin segura; y fortalecer las
capacidades de investigacin, recoleccin de evidencia, identificacin de responsables, e
integracin de averiguaciones previas, respecto de acontecimientos que pudieran implicar la
realizacin de un acto terrorista en territorio nacional.

Programa Sectorial de Defensa Nacional 2007-2012
Alineado con el Plan Nacional de Desarrollo 2007-2012, por medio de su Programa
Sectorial la SDN busca actualizar y consolidar sus sistemas operativo, administrativo, de
adiestramiento, educativo, logstico y de inteligencia.
Con el fin de apoyar las polticas en materia de seguridad interior, se contemplan realizar
acciones que prevengan conductas delictivas, apoyando polticas gubernamentales en materia
de seguridad.
La Secretara contribuye con las actividades de Seguridad Pblica, apoyando a las
autoridades civiles en sus actividades para garantizar un entorno social seguro y la paz pblica
(Estrategia 4.2.).
Se incluyen actividades para cumplir con sus misiones como la renovacin de bienes
informticos, la explotacin de sistemas de informacin y mecanismos de proteccin de
software (Estrategia 2.4.).
Para responder a los factores antagnicos que afectan la Defensa Nacional propone con
una poltica realista en defensa nacional. (Estrategia 3.1.).





CONFIDENCIAL 51


APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN
Tabla B1.
Delitos informticos en Mxico y leyes en que se encuentran contemplados.
Delitos Marco Legal
Delitos en vas generales de
comunicacin.
Ley de Vas Generales de Comunicacin.
Cdigo Penal Federal.
Ley General de Bienes Nacionales
Delitos por el Acceso Ilcito a
Sistemas y Equipos de
Informtica.
Cdigo Penal Federal.
Ley de Instituciones de Crdito.
Cdigo Federal de Procedimientos Penales.
Cdigo Penal del Distrito Federal.
Cdigo Penal del Estado de Mxico.
Ciberterrorismo y lavado de
dinero.
Cdigo Penal Federal.
Cdigo de Procedimientos Penales.
Legislacin Financiera (Ley de instituciones de Crdito,
Ley de Ahorro y Crdito Popular, Ley de los Sistemas de
Ahorro para el Retiro, Ley Federal de las Instituciones de
Fianzas, Ley General de Instituciones y Sociedades
Mutualistas de Seguros, Ley del Mercado de Valores, Ley
de las Sociedades de Inversin y Ley General de
Organizaciones y Actividades Auxiliares de Crdito.)
Spam Ley Federal de Proteccin al Consumidor.
Delitos en materia de Propiedad
Intelectual e Industrial.
Ley Federal del Derecho de Autor.
Ley de la Propiedad Industrial.
Cdigo Penal Federal.
Pornografa Infantil. Cdigo Penal Federal (Art.201 Bis).
Delitos en materia de datos
personales.
Cdigo Penal Federal.
Ley Federal de Transparencia y Acceso a la Informacin
Pblica Gubernamental.
Cdigo Federal de Instituciones y Procedimientos
Electorales.


CONFIDENCIAL 52


APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA (Montiel,
2002).
En la prctica actual es una necesidad contar con especialistas con amplios
conocimientos en la rama del cmputo forense, quienes apegados a una metodologa formal
nos esclarezcan los fenmenos relacionados con un incidente o delito que utilice como medio o
fin las tecnologas de la informacin. En esta grfica se muestra una propuesta del autor en la
cual considera el nivel en el cual se colocara el cmputo forense.

Figura C1. El cmputo forense como parte de la criminalstica general.

Criminalstica
General
Criminalstica
de Campo
1. Proteccin del lugar
2. Observacin del lugar
3. Fijacin del lugar
4. Coleccin de indicios
5. Suministro de indicios
al laboratorio
Balstica
Forense
Documentoscopa
Fotografa
Forense
Explosivos e
Incendios
Hechos de
Trnsito
Terrestre
Sistemas de
Identificacin
Cmputo
Forense.
Tcnicas
Forenses de
Laboratorio
Qumica
Fsica y
biologa.
CONFIDENCIAL 53


APNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL
CMPUTO FORENSE (Montiel, 2002).
Tabla D1.
Los principios generales de la criminalstica, a propuesta del autor, desde la ptica del cmputo
forense.

Principios de la
criminalstica.
Principios de la criminalstica en el enfoque de delitos
informticos.
Principio de uso:

En los hechos siempre se utilizan agentes mecnicos, qumicos,
fsicos y biolgicos. Aqu se incluyen agentes de tipo electrnicos
y sistemas de cmputo, para cometer un crimen o delito
informtico.
Principio de produccin:

Siempre se producen indicios o evidencias de gran variedad
morfolgica y estructural y estos representan los elementos
reconstructores e identificadores. El registro de las actividades
llevadas a cabo en un sistema de cmputo y los archivos que se
generan permiten conocer qu tipo de actividad se realizaba en
ella.
Principio de intercambio:

Al consumarse un hecho y de acuerdo con el mecanismo de
comisin, existe un intercambio de indicios entre el autor, la
vctima y el lugar de los hechos, o en su caso el autor y el lugar
de los hechos. Entre las actividades registradas por un sistema
de cmputo quedan los registros del equipo que ataca al otro, las
actividades realizadas, programas que usa o instala, archivos
creados, fechas y horas.
Principio de
correspondencia de
caractersticas:

Este principio enuncia que la accin dinmica de los agentes
mecnicos vulnerantes sobre determinados cuerpos deja
impresas sus caractersticas, reproduciendo la figura de su cara
que impacta. Para identificar el agente de produccin en un
sistema de cmputo se cuenta con las direcciones electrnicas
de los equipos de cmputo atacantes, tambin metadatos como
son nombres completos de archivos, tamaos de archivos,
tiempos de modificacin (MAC times) y hashes (MD5).
Principio de reconstruccin
de hechos o fenmenos:
El estudio de las evidencias obtenidas de un sistema de cmputo
asociadas al hecho, darn las bases y los elementos para
conocer el desarrollo y poder reconstruir el mecanismo del
hecho.
Principio de probabilidad:

La reconstruccin de los fenmenos y hecho nos acercan a la
verdad con un bajo o mediano o alto grado de probabilidad o
simplemente ninguna probabilidad. Pero no se puede decir que
algo sucedi exactamente de una forma
Principio de certeza

Segn la calidad de los indicios obtenidos y las caractersticas de
los sistemas de cmputo, se otorga certeza o decidir con
probabilidad de su existencia y procedencia.


CONFIDENCIAL 54


APENDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE
FLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LA
SDN .


PROCESO 1. CONOCIMIENTO DE LA COMISIN DE UN DELITO
29
.

1.1. El personal de la polica judicial militar (del cuerpo permanente o de los militares que en
virtud de su cargo o comisin, desempeen accidentalmente las funciones de polica
judicial) en las unidades, dependencias e instalaciones del Ejercito y Fuerza Area
Mexicanos, sern quienes por su funcin tomaran conocimiento de la comisin del posible
lugar de los hechos y/o del hallazgo un delito basado en Tecnologas de la Informacin,
levantando el parte y Acta correspondientes:
1. Acta levantada por parte recibido.
2. Acta levantada por denuncia recibida, o
3. Acta levantada por orden recibida.
1.2. Posterior a esto, lo harn saber inmediatamente al Agente del Ministerio Pblico Militar
(AMPM), Procurador General de Justicia Militar y al Jefe de la Corporacin por el envo de
la copia de la mencionada acta.
1.3. El Ministerio Pblico, previa la prctica de las diligencias que tiendan a investigar los
hechos que se denuncian, formular su pedimento de incoacin por conducto del
comandante de la guarnicin, a fin de que ste enve los documentos a la autoridad judicial.
1.4 Recibida la orden de incoacin del juez competente, proceder a ejecutar la accin legal
solicitada
30
.

PROCESO 2. PRESERVACION DEL LUGAR DE LOS HECHOS Y/O DEL HALLAZGO
31
.

2.1 Custodia del lugar de los hechos y/o del hallazgo.
Cualquier servidor pblico o de polica judicial militar deber asegurar o custodiar el lugar
de los hechos y/o del hallazgo con el fin de garantizar la seguridad de todas las personas
en el lugar y proteger la integridad de todas las pruebas, tanto tradicionales como
electrnicas, empleando tcnicas de acordonamiento para impedir que personas ajenas al
personal ministerial, pericial y/o unidades de polica facultadas accedan al lugar.
2.2 Ubicacin e identificacin del lugar de los hechos y/o del hallazgo.
Una vez tomadas las medidas para la custodia del lugar, los agentes de polica judicial,
procedern a:
a) Precisar la ubicacin del lugar, con domicilio y croquis del mismo.
Despus de todas las pruebas fsicas se ha identificado el investigador debe crear un
boceto de la escena del incidente en el registro de casos y el documento de la
orientacin general de la zona y ubicacin aproximada de todas las evidencias. (SANS
Institute, 2006)
b) Realizar una fijacin fotogrfica y/o de video descriptiva.
Un registro fotogrfico debe ser hecho para preservar la escena del incidente, porque
el lugar del siniestro se ver alterado durante el proceso de recopilacin de datos.
(SANS Institute, 2006)
Si al momento de ingresar al lugar alguien se encuentra operando el sistema, tomar
nota (en forma legal) de la situacin, y de ser posible fotografiarlo cuando an est
sentado en posicin de operador.

29
Artculos 37, 76, 78, 82 al 84, 99, 100, 442, 443, 444, 445, 446, 451, 452 y 882 del Cdigo de Justicia Militar.
30
Ver ANEXO G EL PROCEDIMIENTO JURDICO PREVIO.
31
Artculos 453, 455, 457, 458, 459, 482 al 490 y 560 del Cdigo de Justicia Militar.
CONFIDENCIAL 55


De igual manera, ordenar a la persona que se encuentra en el equipo que suspenda de
manera inmediata lo que est haciendo y tratar de tener control de las actividades que
realiza hasta que se encuentre separado del equipo y los perifricos.
Una vez que se encuentra garantizado el cierre del rea, debe procederse a tomar
fotografas del estado y posicin de los equipos, como as mismo de sus puertos
(conectores de cables, lectoras de CD, lectoras de diskette, y cualquier otro punto de
contacto del equipo con el exterior,),y de igual manera de la pantalla en el estado en
que se encuentre, incluyndose los cables, conectores externos e, incluso todos los
perifricos que se hallan en el rea o los que pudieran estar conectados de forma
remota si ello es posible (por ejemplo impresoras comunes en una sala de impresin),
con las debidas identificaciones, ya sea de marca, o cualquier otra que pueda dar
certeza sobre el equipo, de ser posible es ideal poder tomar fotografas de los nmeros
de serie de todos ellos.
Fotografiar la existencia de cmaras de video o de fotografa instaladas en el sitio de
los hechos para poder tener plena certeza de la posibilidad de la obtencin de pruebas
adicionales de la relacin usuario-equipo.
Al manipular los equipos recurdese hacerlo siempre con guantes de hule para evitar
la contaminacin de los mismos. (Campoli., 2006)
Tome fotografas o vdeo de la escena y todos los componentes incluidos en el sitio. Si
no se dispone de cmara, hacer un plano esquema del sistema y la etiqueta de los
puertos y los cables para que el sistema(s) puedan ser reconstruidos en una fecha
posterior (ACPO, 2009)
c) Describir de lo general a lo particular y detalladamente por escrito, mediante el uso de
diagramas o planos del lugar de los hechos y/o del hallazgo.
observar y documentar la escena fsica, las caractersticas del inmueble, los servicios
que tiene (conexiones de luz, de red de cmputo y/o telefnica), la iluminacin, la
distribucin del mobiliario en el lugar, incluir cestos de basura, papel de
reaprovechamiento, libros y apuntes)
d) Realizar una observacin general del lugar, entendiendo a esta como un proceso dentro
de la investigacin.
El lugar debe registrarse con 360 grados de cobertura, cuando sea posible. (National
Institute of Justice, 2001)
e) Identificando las posibles pruebas, tanto convencionales (fsico) y electrnicos, y
determinar si existe evidencia de perecedera. (National Institute of Justice, 2001)
2.3 Localizacin de posibles testigos
32
.
a) Los agentes de polica bajo las instrucciones del AMPM, procedern a la localizacin
de testigos presenciales de los hechos delictivos, si existieran y recabarn la
informacin bsica de los mismos con la finalidad de identificarlos, contar con datos
suficientes para su localizacin en caso de ser necesario su testimonio, as como con
datos que puedan auxiliar en la identificacin y ubicacin de indicios o evidencias.
b) Considere la posibilidad de preguntar al usuario sobre la configuracin del sistema,
incluidas las contraseas, si las circunstancias lo exigen. Registrarlos con precisin.
(ACPO, 2009)
c) En el acto de la inspeccin del lugar en que se cometi el delito, se debe examinar a
todas las personas, cuyo testimonio pueda traer algn esclarecimiento sobre el mismo
delito o los responsables, prohibindole a los presentes que se alejen del lugar, antes
de que est cerrada el acta de inspeccin; y si alguna persona desobedeciere la orden,
se le impondr una correccin disciplinaria contra la que no cabr recurso. (SDN, 2006)
2.4 Registro en el RCC.

32
Para poder cumplir con este paso se emplear el ANEXO R GUA DE ENTREVISTA PARA LOS SOSPECHOSOS
INVOLUCRADOS EN LOS DELITOS INFORMTICOS.
CONFIDENCIAL 56


Toda actuacin correspondiente a las etapas sealadas en los puntos 2.1 a 2.3 debern
asentarse en el RCC, por los servidores pblicos que intervinieron
33
.
Antes de proceder con el paso siguiente otorgue la intervencin debida a los peritos en
dactiloscopia para que se pueda determinar la existencia de huellas dactilares sobre el equipo o
bien, en su caso sobre los perifricos o soportes de cualquier ndole que existan en el lugar de
los hechos; una vez terminado el proceso de levantamiento de huellas dactilares, puede
comenzar la tarea de los peritos en informtica. (Campoli., 2006)

PROCESO 3. PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS DEL DELITO
INFORMTICO
34
.

3.1 Ubicacin, identificacin y fijacin de los indicios o evidencias en el lugar de los hechos y/o
del hallazgo.
35

Las unidades de polica militar facultadas y/o peritos debern:
a. Observar en forma metdica, completa, minuciosa y sistemtica el lugar de los hechos
y/o del hallazgo con la finalidad de buscar o identificar la existencia de indicios o
evidencias de la probable comisin de un hecho delictuoso.
b. Observar los detalles de la escena fsica relacionados con el delito informtico, tales
como la posicin del ratn y la ubicacin de los componentes respecto a los dems
(por ejemplo, un ratn en el lado izquierdo de la computadora del usuario puede indicar
la mano izquierda).
c. Documentar el estado y situacin del sistema informtico, incluyendo el estado de
energa de la computadora (encendido, apagado o en modo de reposo). La mayora de
las computadoras tienen luces de estado que indican si la computadora est
encendida. Del mismo modo, si el ruido del ventilador se oye, el sistema est
probablemente encendido. Por otra parte, si el sistema informtico est caliente,
tambin puede indicar que est encendido o fue apagado recientemente.
d. Identificar y documentar lo relacionado con los componentes electrnicos que no se
recogern. (National Institute of Justice, 2001)
e. Efectuar la bsqueda de todo material sensible y significativo (indicio o evidencia)
relacionado con la investigacin, a travs de los protocolos establecidos, as como de
los mtodos y tcnicas de bsqueda recomendados por la investigacin
criminalstica.
36

La localizacin, bsqueda o rastreo debe hacerse en las mejores condiciones, se debe
hacer preferentemente con luz natural o con una buena iluminacin; as como con
instrumentos pticos adecuados
37
.
f. Posterior a la observacin y ubicacin de los indicios se proceder a fijarlos mediante
tcnicas como la fotografa, videograbacin, planimetra, grabacin de audio y por
escrito
38
.
g. Una vez localizado cada indicio o evidencia, se deber iniciar el proceso para su
registro, asignndole el nmero que le corresponder durante todo el procedimiento

33
Para esto se empleara el APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE
CUSTODIA EN EVIDENCIA DIGITAL).
34
Artculos 429, 432, 455 al 458, 460 al 464 del Cdigo de Justicia Militar.
35
Ver ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOS INFORMTICOS.
36
Ver el ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO.
37
Ver ANEXO O ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL y ANEXO P QU SE DEBE
BUSCAR PARA REALIZAR UN CATEO COMPLETO?
38
Ver el ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO.
CONFIDENCIAL 57


penal, anotndolo en los formatos de procesamiento de evidencias y en la etiqueta de
evidencia electrnica que llevara el objeto recolectado
39
.
h. Proteger los indicios o evidencias que se encuentran a la intemperie.

3.2 Recoleccin, embalaje y traslado de los indicios o evidencias electrnicas y/o digitales.
Los pasos de procedimiento deben respetarse para que de esta manera pueda otorgarse
plena garanta de un correcto aseguramiento de la evidencia y de la imparcialidad de la misma,
tanto como su integridad posterior.
Al momento de comenzar el cateo, y si fueron debidamente aplicadas las medidas
anteriores, debe tomarse nota y fotografa del estado de los equipos y sus componentes
(centrales y perifricos) como est detallado en los pasos de aseguramiento del lugar de los
hechos.
Las unidades de polica militar y/o los peritos en cmputo forense una vez que ubicaron,
fijaron e identificaron los indicios o evidencias del delito informtico, debern:
a. Realizar un inventario de los mismos, con su descripcin y estado en que fueron
encontrados.
b. Realizar el levantamiento utilizando los protocolos establecidos y las tcnicas adecuadas
en la investigacin criminalstica
40

c. Embalar las evidencias inventariadas en el empaque o contenedor adecuado,
debidamente cerrado y etiquetado, y en su caso sellado.
La etiqueta deber contener los datos siguientes:
Fecha y hora.
Nmero de indicio o evidencia.
Nmero de registro (folio o llamado).
Domicilio exacto del lugar del hecho y/o hallazgo, ubicacin exacta del lugar en donde
el indicio fue recolectado, descripcin del material.
Observaciones
Nombre completo sin abreviaturas del agente policial militar, perito o auxiliar
responsable de la recoleccin y el embalaje.
41

d. Detallar en el RCC la forma en que se realiz la recoleccin, embalaje y etiquetado de las
evidencias electrnicas; as como, las medidas implementadas para garantizar la
integridad de las mismas, y las personas que intervinieron en dichas acciones, recabando
la firma de cada una de ellas
42
.
e. El traslado o transporte de los indicios o evidencias debe ser el adecuado, tomando en
cuenta las condiciones climatolgicas, la temperatura del transporte, la presin, el
movimiento, as como la duracin del mismo, ya que pueden producir la destruccin del
indicio o evidencia electrnica.





39
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA EN EVIDENCIA
DIGITAL
40
ANEXO H PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL, ANEXO I PROCEDIMIENTO DE
RESPUESTA EN VIVO PARA LA RECOLECCIN DE EVIDENCIA VOLTIL Y ANEXO L RECOMENDACIONES PARA
LLEVAR A CABO LA RECOLECCION DE EVIDENCIAS DIGITALES)
41
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA EN EVIDENCIA
DIGITAL y ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOS INFORMTICOS.
42
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA EN EVIDENCIA
DIGITAL.
CONFIDENCIAL 58


PROCESO 4. INTEGRACION EN LA AVERIGUACION PREVIA DE LA CADENA DE
CUSTODIA
43
.

4.1 De la entrega de los indicios o evidencias al AMPM y su recepcin.
Concluida la recoleccin, embalaje y etiquetado, se proceder a la entrega de los indicios
o evidencias electrnicas al AMPM, para continuar con la cadena de custodia, realizndose un
informe que contenga:
La descripcin de la intervencin policial militar y/o pericial;
La fecha de entrega;
La hora de entrega;
Grado, cargo, nombre y matrcula de la persona que entrega;
El tipo de indicios o evidencias;
Indicar si no fueron fotografiadas los indicios o evidencias;
El tipo de embalaje empleado;
Las observaciones al estado en que se reciben los indicios o evidencias;
La fecha de recepcin;
La hora de recepcin;
Grado, cargo, nombre y matrcula de la persona que recibe, y
Firma de cada una de ellas.
Para lo anterior se deber llenar el RCC correspondiente
44
.
Al momento de recibir los bienes, el AMPM resolver sobre su aseguramiento y sobre la
continuidad o no del procedimiento bajo su ms estricta responsabilidad conforme a las
disposiciones aplicables.
4.2 Registro de la integracin de la cadena de custodia en la averiguacin previa.
El AMPM har constar dentro de la averiguacin previa, el RCC que contenga la cadena
de custodia e identificacin de las personas que intervinieron en ella.

PROCESO 5. RESPONSABILIDADES EN LA CADENA DE CUSTODIA
45
.

El AMPM deber:
5.1 Cerciorarse de que se hayan seguido los procedimientos tcnicos adecuados para
preservar los indicios o evidencias.
El rompimiento del etiquetado o de los sellos para la verificacin de la cadena de custodia
deber quedar documentado en el RCC.
5.2 Siendo el caso de que no se haya efectuado la fijacin, recoleccin o levantamiento,
embalaje y traslado adecuadamente lo asentar en la averiguacin previa.
5.3 Dar vista a las autoridades competentes en su caso para efectos de las
responsabilidades a que haya lugar.

PROCESO 6. PRDIDA DE INDICIOS O EVIDENCIA DIGITAL
46
.

Cuando los indicios o evidencias se alteren, el AMPM determinar conforme a los
peritajes requeridos si estos han perdido su valor probatorio, verificando si han sido modificados
de tal forma que haya perdido su eficacia para acreditar el hecho o circunstancia de que se
trate, en este caso estos debern concatenarse con otros medios probatorios para tal fin.

43
Artculos 36, 38, 40, 84, 454, 455, 456, 463 y 482 del Cdigo de Justicia Militar.
44
APENDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA DE EVIDENCIA
DIGITAL.
45
Artculos 429, 432, 480 y del 791 al 794 del Cdigo de Justicia Militar.
46
Artculos 480, 791 al 794 y 874 del Cdigo de Justicia Militar.
CONFIDENCIAL 59


PROCESO 7. DE LOS SERVICIOS PERICIALES
47
.

Los Servicios Periciales debern:
7.1 Recibir del AMPM la peticin por escrito de dictaminacin de los indicios o evidencias.
7.2 Recibir las evidencias en base a los protocolos establecidos.
7.3 Cerciorarse del correcto manejo de los indicios o evidencias.
7.4 Informar por escrito al AMPM cuando estas no hayan sido debidamente resguardadas, sin
perjuicio de la prctica de los peritajes que se les hubiere instruido.

PROCESO 8. REALIZACION DE LAS PRUEBAS PERICIALES
48
.

Los Servicios Periciales debern:
8.1. Realizar las pruebas tcnico y cientficas requeridas de cada una de las evidencias
electrnicas
49
.
8.2. Remitir los dictmenes u opiniones periciales correspondientes por especialidad para ser
integrados a la averiguacin previa
50
.
8.3. Enviar las evidencias restantes al AMPM, quien deber almacenarlas para ser utilizadas en
posteriores diligencias o en su caso destruirlos.
8.4. Cuando en trminos del CFPP, deban ser entregados en depsito o por cualquier otro ttulo
a su propietario , a Instituciones pblicas o privadas, y anexar los documentos que
garanticen la cadena de custodia, los cuales sern devueltos para su resguardo de
conformidad con el artculo 181 del CFPP.

PROCESO 9. ALMACENAMIENTO DE LOS INDICIOS O EVIDENCIA DIGITAL
51
.

El AMPM deber:
9.1. Ordenar a los servicios periciales en los casos en que la evidencia requiera por su propia
naturaleza un tratamiento especial, que se tomen las medidas y providencias necesarias
para su custodia y conservacin
52
.
9.2. Ordenar su almacenamiento con el empleo de los procedimientos correspondientes, en
lugares adecuados y su vigilancia, cuando por disposicin de la ley deba conservar las
evidencias para su identificacin por testigos o para la prctica de otras diligencias en la
averiguacin previa o en el proceso,
9.3. Siempre que sea necesario tener a la vista algunos de los bienes asegurados, se har
constar el estado en que se encontraba su embalaje en el momento en que fue asegurado
y si este ha sufrido alguna alteracin voluntaria o accidental, al momento de ser
nuevamente requeridos, para lo cual se inscribirn en los registros los signos o seales que
lo hagan presumir.

PROCESO 10. TERMINACION DE LA CADENA DE CUSTODIA
53
.

La cadena de custodia en la etapa de averiguacin previa, termina por resolucin fundada
y motivada del AMPM, bajo su estricta responsabilidad, previa la realizacin de las pruebas
periciales correspondientes y en los siguientes supuestos:

47Artculos 429, 432, 471, 522, 533 al 549 del Cdigo de Justicia Militar.
48 Artculos 429, 432, 471, 522, 545 al 548 del Cdigo de Justicia Militar.
49 ANEXO K PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL
50 ANEXO M PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL
51
Artculo 463 del Cdigo de Justicia Militar.
52
APENDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA DE EVIDENCIA
DIGITAL
53
Artculo 463 480, 791 al 794 y 874 del Cdigo de Justicia Militar.
CONFIDENCIAL 60


10.1 Cuando acuerde transferir bienes que puedan ser objeto de prueba, para su
administracin por el SAE, en los trminos previstos por el prrafo tercero del artculo 182
del CFPP.
10.2 En los casos en que proceda en trminos de ley la destruccin de los bienes, el cierre de
la cadena de custodia deber asentarse en el RCC
54
.
10.3 Cuando proceda la devolucin de bienes. Dicha circunstancia y la firma de la entrega-
recepcin debern hacerse constar en el RCC
55
.
10.4 En los casos en que de la verificacin de la preservacin de las evidencias tanto por parte
del AMPM responsable, como de los peritos, resulte que estos han sido modificados de tal
forma que perdieron su eficacia para acreditar el hecho o circunstancia de que se trate,
asentndolo en la averiguacin previa, en el RCC y dando aviso a las autoridades
competentes para efectos de las responsabilidades a que haya lugar de conformidad a lo
previsto en el artculo 289 Bis y 123 Quater prrafo tercero del CFPP.
10.5 En los supuestos procedentes en que el AMPM al ejercer accin penal ponga los
indicios o evidencias a disposicin de la autoridad judicial competente para fines del
proceso penal y sta los haya valorado.
En estos casos ordenar el almacenamiento y custodia de los indicios o evidencias
correspondientes a presentarse en su caso en el proceso penal


54
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIA EN EVIDENCIA
DIGITAL
55
Id.
CONFIDENCIAL 61


DIAGRAMA DE FLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE
EVIDENCIAS PARA LA SDN. (Procuradura General de la Repblica., 2010)
Conocimiento
de la comisin
de un delito
informtico.
Inicio.
Fin
1.1 1.2
Policia Militar
1.3 1.4
AMPM Peritos
3.1
2.1 2.4
3.1
3.2 3.2
4.1
8.1-8.4
7.2-7.4
Cdigo de Justicia
Militar.
37, 76, 78, 82
al 84, 99, 100,
442, 443, 444,
445, 446, 451,
452 y 882
453, 455, 457,
458, 459, 482
al 490 y 560
429, 432, 455
al 458, 460 al
464
429, 432, 455
al 458, 460 al
464
36, 38, 40, 84,
454, 455, 456,
463 y 482
429, 432,
480.y del 791
al 794
480, 791 al
794 y 874
429, 432, 471,
522, 533 al
549
429, 432, 471,
522, 545 al
548
463
463 480, 791
al 794 y 874
4.2 4.1
5.1-5.3
6
7.1
9.1-9.3
10.1-10.5
Preservacin
del lugar de los
hechos y/o del
hallazgo.
Identificacin,
ubicacin y
fijacin de los
indicios o
evidencias.
Recoleccin,
embalaje y
traslado de los
indicios o
evidencias
Integracin de
la averiguacin
previa en la
cadena de
custodia.
Responsabilida
des en la
cadena de
custodia.
Prdida de
indicios o
evidencias
Solicitud
dictmenes
periciales
indicios o
evidencias
Realizacin de
pruebas
periciales
Terminacin de
la Cadena de
Custodia
Almacenamient
o de los
indicios.


Figura K1. Diagrama de flujo general de la metodologa para obtencin de evidencias para la
SDN.
CONFIDENCIAL 62


APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA
DE CUSTODIA EN EVIDENCIA DIGITAL. (Procuradura General de la Repblica., 2010),
(SANS Institute, 2006)

REGISTRO DE CADENA DE CUSTODIA.
PRESERVACIN DEL LUGAR DE LOS HECHOS Y/O DE HALLAZGOS
No. averiguacin previa:
Lugar:

Unidad, Dependencia o Instalacin:

Z.M.

No. registro (folio)


Fecha y hora de llegada:




1. LUGAR DE LOS HECHOS Y/O HALLAZGO.
Calle:
Colonia:
C.P.: Entre que calles se encuentra:
Observaciones:

Croquis:







2. PROTECCION DEL LUGAR DE LOS HECHOS Y/O HALLAZGO.
Acordonamiento: SI NO
Observaciones:



CONFIDENCIAL 63



REGISTRO DE CADENA DE CUSTODIA.
PRESERVACIN DEL LUGAR DE LOS HECHOS Y/O DE HALLAZGOS
3. OBSERVACION DEL LUGAR DE LOS HECHOS Y/O HALLAZGO.
Observaciones:
Alteracin del lugar: SI NO
Observaciones:
4. INFORMACION OBTENIDA SOBRE EL LUGAR DE LOS HECHOS:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________

5. DETENIDO (S).
SI Nmero NO

Nombres: Sexo: Edad:








CONFIDENCIAL 64



REGISTRO DE CADENA DE CUSTODIA.
PRESERVACIN DEL LUGAR DE LOS HECHOS Y/O DE HALLAZGOS
8. TESTIGO (S).
SI Nmero NO

Nombres: Sexo: Edad:






9. OBSERVACIONES GENERALES:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________

10. SERVIDORES PUBLICOS QUE INTERVINIERON EN LA PRESERVACION DEL
LUGAR DE LOS HECHOS Y/O HALLAZGOS.

Grado y Nombre: Cargo: Firma:




CONFIDENCIAL 65



REGISTRO DE CADENA DE CUSTODIA.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
No. averiguacin previa:
Lugar: Unidad, Dependencia o Instalacin: Z.M. No. registro (folio) Fecha y hora de llegada:

1. IDENTIFICACIN DE LOS INDICIOS O EVIDENCIAS.
Nmero
evidencia:
Descripcin del indicio o evidencia Marca y modelo Numero de
serie
Estado en que se
encontraba






















Observaciones:




CONFIDENCIAL 66



REGISTRO DE CADENA DE CUSTODIA.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
2. FIJACIN DE LOS INDICIOS O EVIDENCIAS.
Fotogrfica. SI NO
Videograbacin: SI NO
Planimtrica: SI NO
Por escrito: SI NO
Otros:
OBSERVACIONES GENERALES:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________


3. RECOLECCIN O LEVANTAMIENTO:
a) Descripcin de la forma en que se realiz:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________


b) Medidas tomadas para preservar la integridad del indicio o evidencia:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________







CONFIDENCIAL 67



REGISTRO DE CADENA DE CUSTODIA.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
4. EMBALAJE DE LOS INDICIOS O EVIDENCIAS:
a) Tipo de embalaje:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________

Etiquetado: SI NO
5. TRANSPORTE O TRASLADO DE LOS INDICIOS O EVIDENCIAS:
a) Tipo:
__________________________________________________________________
__________________________________________________________________

b) Condiciones en que se realiz el traslado:



6. SERVIDORES PBLICOS QUE INTERVINIERON EN EL PROCESAMIENTO DE LOS
INDICIOS O EVIDENCIAS:

Nombres: Sexo: Edad:






CONFIDENCIAL 68



ETIQUETA DE EVIDENCIA ELECTRNICA.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
Unidad, Dependencia o Instalacin:
___________________________________________________________________________________.
Nmero de Evidencia: ________________________ No. de Averig. Previa:___________________.
Fecha recoleccin: (DD-MM-AA)______________ Hora recoleccin: (HH:MM)_________________.
Quien Recolect (Grado y nombre): __________________________________________________.
___________________________________________________________________________________.
Descripcin de la evidencia: __________________________________________________________.
___________________________________________________________________________________.
Marca: ______________________Modelo: ______________________Nm. Serie:______________.
Lugar de la recoleccin: _____________________________________________________________.
___________________________________________________________________________________.
Tipo de delito_______________________________________________________________________.
Victima ____________________________________________________________________________.
Sospechoso________________________________________________________________________.
CADENA DE CUSTODIA
(Anotar grado, nombre, matricula y firma)
Recibida por: Entregada por:
_____________________________ ____________________________
( ) ( )
Hora de entrega(hh:mm) fecha de entrega(dd-mm-aa)
_____________________________ ____________________________
Recibida por: Entregada por:
_____________________________ ____________________________
( ) ( )
Hora de entrega(hh:mm) fecha de entrega(dd-mm-aa)
_____________________________ ____________________________
Recibida por: Entregada por:
_____________________________ ____________________________
( ) ( )
Hora de entrega(hh:mm) fecha de entrega(dd-mm-aa)
_____________________________ ____________________________





CONFIDENCIAL 69



REGISTRO DE EVIDENCIA DE EQUIPOS DE
CMPUTO.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
No. averiguacin previa:
NUMERO DE EVIDENCIA NUMERO ASIGNADO POR EL LABORATORIO

1. INFORMACION DE LA COMPUTADORA.
Marca: ________________________________Modelo:______________ No.Serie:_______________
Quien Recolect (Grado y nombre): __________________________________________________.
___________________________________________________________________________________.
Tipo de computadora: Escritorio: Laptop: Otro: __________________________
Condicin: Buena: Daada: __________________________
Numero de Discos Duros: ________ unidad de 3.5 unidad de 5.25 tarjeta de red
modem Lector de tarjetas puertos USB Lector de CD Grabador de CD
DVD otros:__________________________________________________________________
__________________________________________________________________________________
Informacin del CMOS.
Password de inicio si no Password= ______________________________________
Hora actual: _____________________AM PM Fecha actual (dd-mm-aa)______/______/______
Hora CMOS: _____________________AM PM Fecha CMOS (dd-mm-aa)______/______/______

Configuracin de CMOS del Disco Duro #1.
Capacidad: _______ Cilindros: __________ Cabezas: _________ Sectores: _______________

Modo: LBA Normal Auto Normal CHS Legacy

Configuracin de CMOS del Disco Duro #2.
Capacidad: _______ Cilindros: __________ Cabezas: _________ Sectores: _______________

Modo: LBA Normal Auto Normal CHS Legacy




CONFIDENCIAL 70



REGISTRO DE EVIDENCIA DE EQUIPOS DE
CMPUTO.(Cont.)
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
No. averiguacin previa:

Sub muestras encontradas en el equipo:


Sub numero: Tipo: Donde se encontr:


















































Observaciones:

























CONFIDENCIAL 71



REGISTRO DE EVIDENCIA DE
DISCOS DUROS DE CMPUTO.
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
No. averiguacin previa:
NUMERO DE EVIDENCIA NUMERO ASIGNADO POR EL LABORATORIO

Informacin de la etiqueta del disco duro #1 Informacin de la etiqueta del disco duro #2


Marca: ____________________________
Modelo:____________________________
No.Serie:_______________
Capacidad: _______ Cilindros: __________
Cabezas: _________ Sectores:__________
Controlador (Versin):__________________
IDE: 50 PinSCSI: 68 PinSCSI:
80 PinSCSI: otro:
Marca: ____________________________
Modelo:____________________________
No.Serie:_______________
Capacidad: _______ Cilindros: __________
Cabezas: _________ Sectores:__________
Controlador (Versin):__________________
IDE: 50 PinSCSI: 68 PinSCSI:
80 PinSCSI: otro:

Jumper: Maestro Esclavo
Seleccin de cable Indeterminado

Jumper: Maestro Esclavo
Seleccin de cable Indeterminado
Informacin de los parmetros del disco duro #1.
DOS FDisk PTable Part Info Linux FDisk SafeBack Encase Otro:______
Capacidad:__________ Cilindros:__________ Cabezas:__________ Sectores____________
Sectores direccionables LBA:____________ Capacidad de la Unidad Formateada:_________
Etiqueta del Volumen: ____________________________________________________________

Particiones:
Nombre: Iniciable?
(bootable?)
Inicio: Final: Tipo:




Informacin de los parmetros del disco duro #2.
DOS FDisk PTable Part Info Linux FDisk SafeBack Encase Otro:______
Capacidad:__________ Cilindros:__________ Cabezas:__________ Sectores____________
Sectores direccionables LBA:____________ Capacidad de la Unidad Formateada:_________
Etiqueta del Volumen: ____________________________________________________________

Particiones:
Nombre: Iniciable?
(bootable?)
Inicio: Final: Tipo:






CONFIDENCIAL 72




REGISTRO DE EVIDENCIA DE DISCOS
DUROS DE CMPUTO (Cont.).
PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS.
INFORMACION DEL ARCHIVO DE LA IMAGEN

Mtodo de archivo: Directo: Respaldo por red: Tar: Otro: ______________ comprimido?
Agregar la hoja de trabajo para el mtodo de respaldo utilizado**.
Medio de almacenamiento: ___________________________ nmero de unidades usadas:___________
**Se requiere la orden expresa para proceder.

Informacin de la plataforma de anlisis.

Sistemas Operativos Utilizados: DOS: Windows: Mac: *nix: otro:________________
Versin: ___________________________________________________
Software de base para el anlisis: I-Look: EnCase: Autopsy: FTK: otro:________________
Versin: ___________________________________________________


Copia/Imagen de trabajo restaurada y validada: SI NO

Lista de utilidades empleadas adems de la de base:

Utilidad: Versin: Propsito









Puntos importantes en el anlisis:
Puntos importantes: Observaciones: Iniciales:
Bsqueda por antivirus

Lista completa de archivos con
metadatos

Usuarios identificados/ sesiones/
Cuentas de ISP, etc.

Navegar por sistema de archivos.

Bsqueda de cadenas y palabras
claves.

Recuperacin de cabeceras de Web/E-
mail.

Recuperacin y examen del espacio
libre y slack.

Examen de swap.

Recuperacin de archivos borrados y
sin borrar.

Ejecucin de los programas que se
necesitaron.

Recuperacin y examen de correos y
chat

Rompimiento de contraseas.




CONFIDENCIAL 73



REGISTRO DE CADENA DE CUSTODIA.
ENTREGA DE LOS INDICIOS O EVIDENCIAS AL AMPM.
No. averiguacin previa:

Lugar: Unidad, Dependencia o Instalacin: Z.M. No. registro (folio)






Fecha: Hora: Grado, nombre y matrcula de quien entrega: Cargo:




1. TIPO DE INDICIO O EVIDENCIA:






Fueron fotografiados: SI __ NO __
Cuales Faltaron:______________________________________________________________
___________________________________________________________________________

2. TIPO DE EMBALAJE Y CONDICIONES EN QUE SE ENTREGA EL EMBALAJE:

_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________

3. DOCUMENTOS (FORMATOS, PARTES ESPECIALES, OTROS):

_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________

4. OBSERVACIONES AL ESTADO EN QUE SE RECIBEN LOS INDICIOS O EVIDENCIAS:
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________



Fecha: Hora: Grado, nombre y matrcula de quien
recibe:
Cargo:








Grado, nombre y firma de quien
entrega:





Grado, nombre y firma de quien
recibe:


CONFIDENCIAL 74




DOCUMENTACION DEL REPORTE.
ENTREGA DE LOS INDICIOS O EVIDENCIAS AL AMPM.
No. averiguacin previa:

Lugar: Unidad que llev a cabo el anlisis: Z.M. No. registro (folio)






Fecha del reporte: Grado, nombre y matrcula de quien entrega: Cargo:




1. TIPO DE REPORTE Y DE LOS DATOS INVOLUCRADOS:






2. QUIEN LLEVO A CABO EL ANLISIS Y REPORTE: NUMERO DE REPORTE:

3. UNIDAD QUE PRESTO EL APOYO: NUMERO DE REPORTE DE LA
UNIDAD QUE APOY:


4. ANOTACIONES COMPLEMENTARIAS:
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________


5. RESUMEN (MAXIMO 200 PALABRAS):
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________



NUMERO DE
PAGINAS:
CLASIFICACION DE LOS DOCUMENTOS ANEXOS: CLASIFICACION DE
ESTA PAGINA:












CONFIDENCIAL 75


APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS.

TABLAS DE CORRELACIN DE PROCESOS DE LA MCF PARA LA SDN QUE CUMPLE
CON ACUERDO NMERO. A/002/10.

Tabla M1
Correlacin del proceso 1.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Conocimiento
de la comisin
de un delito.


Identificacin.
1. Deteccin de
un crimen.
2. Identificacin
de una firma
(IDS).
3. Deteccin de
un perfil.
4. Deteccin de
anomalas.
5. Denuncia.
6. Sistema de
monitoreo.
7. Anlisis de una
auditora.
37, 76, 78, 82
al 84, 99,
100, 442,
443, 444,
445, 446,
451, 452 y
882
Conocimiento de la comisin de un delito.

Acta levantada por parte recibido.
Acta levantada por denuncia recibida, o
Acta levantada por orden recibida.

Conocimiento del AMPM, Procurador General de
Justicia Militar y al Jefe de la Corporacin.

Pedimento de incoacin.

AMPM ejecuta la accin legal.

Material de apoyo:
El procedimiento jurdico previo.



Tabla M2
Correlacin del proceso 2.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Preservacin
del lugar de
los hechos y/o
del hallazgo.
Preservacin.
1. Manejo del
caso.
2. Cadena de
custodia.
3. Tiempo de
sincronizacin
4. Imgenes.

453, 455,
457, 458,
459, 482 al
490 y 560
Preservacin del lugar de los hechos y/o del hallazgo.

Custodia del lugar de los hechos y/o del hallazgo.
Ubicacin e identificacin del lugar de los hechos y/o del
hallazgo.
Localizacin de posibles testigos.
Registro en el RCC.


Material de apoyo:
Gua de entrevista para los sospechosos involucrados en
los delitos informticos.
Formatos para la aplicacin del CFPP en materia de
cadena de custodia en evidencia digital.






CONFIDENCIAL 76



Tabla M3
Correlacin del proceso 3.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Procesamiento
de los indicios
o evidencias
del delito.
Recoleccin.
Preservacin.
Mtodos
aprobados.
Software
aprobado*.
Hardware
aprobado*.
Autoridad legal.
Prdida de
compresin*.
Muestreo*.
Reduccin de
datos*.
Tcnicas de
recuperacin.

429, 432, 455
al 458, 460 al
464
Procesamiento de los indicios o evidencias del delito
informtico.
3.1 Ubicacin, identificacin y fijacin de los indicios o
evidencias en el lugar de los hechos y/o del hallazgo.
3.2 Recoleccin, embalaje y traslado de los indicios o
evidencias electrnicas y/o digitales

Material de apoyo:
1. Equipo bsico y herramientas para la investigacin de
delitos informticos
2. Metodologa de la criminalstica de campo.
3. Artculos electrnicos que involucran la evidencia
digital.
4. Qu se debe buscar para realizar un cateo completo?
5. Formatos para la aplicacin del CFPP en materia de
cadena de custodia en evidencia digital.
6. Procedimiento para el aseguramiento de la evidencia
digital.
7. Procedimiento de respuesta en vivo para la recoleccin
de evidencia voltil.
8. Recomendaciones para llevar a cabo la recoleccin de
evidencias digitales.

Tabla M4
Correlacin del proceso 4.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Integracin en
la
averiguacin
previa de la
cadena de
custodia
Recoleccin.
Preservacin.
Mtodos
aprobados.
Software
aprobado*.
Hardware
aprobado*.
Autoridad legal.
Prdida de
compresin*.
Muestreo*.
Reduccin de
datos*.
Tcnicas de
recuperacin.

36, 38, 40,
84, 454, 455,
456, 463 y
482.
Integracin en la averiguacin previa de la cadena de
custodia.
4.1 De la entrega de los indicios o evidencias al AMPM y
su recepcin.
4.2 Registro de la integracin de la cadena de custodia en
la averiguacin previa.

Material de apoyo:
1. Formatos para la aplicacin del CFPP en materia de
cadena de custodia en evidencia digital.


*Ver nota en pgina siguiente.



CONFIDENCIAL 77


Tabla M5
Correlacin del proceso 5.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE
CUMPLE CON ACDO. NM. A/002/10, Y
MATERIAL DE APOYO AL PROCESO.
Responsabilidades
en la cadena de
custodia
Recoleccin.
Preservacin.
Mtodos
aprobados.
Software
aprobado*.
Hardware
aprobado*.
Autoridad
legal.
Prdida de
compresin*.
Muestreo*.
Reduccin de
datos*.
Tcnicas de
recuperacin.

429, 432, 480 y
del 791 al 794
Responsabilidades en la cadena de custodia.



Tabla M6
Correlacin del proceso 6.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Prdida de los
indicios o
evidencias
Recoleccin.
Preservacin.
Mtodos
aprobados.
Software
aprobado*.
Hardware
aprobado*.
Autoridad legal.
Prdida de
compresin*.
Muestreo*.
Reduccin de
datos*.
Tcnicas de
recuperacin.

480, 791 al
794 y 874.
Prdida de indicios o evidencia digital.
* Las anotaciones resaltadas con rojo de la metodologa DFRWS no son del alcance de esta
investigacin, ya que se no se detalla software o hardware aprobado, tampoco se contempla la
compresin ni el muestreo o reduccin de datos, ya que en este trabajo de investigacin se estimaron
solo imgenes completas de los medios de almacenamiento. Sin embargo, las herramientas de hardware
y software que se empleen para el cmputo forense deben ser aprobadas y revisadas, lo cual puede ser
tema para desarrollarse en el futuro, de la misma forma no se recomiendan los mtodos de compresin,
muestreo o reduccin, ya que estos afectan a los archivos ocultos y a los que se les aplicaron tcnicas
esteganogrficas.
CONFIDENCIAL 78



Tabla M7
Correlacin del proceso 7.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE
APOYO AL PROCESO.
Solicitud de
dictmenes
periciales de
los indicios o
evidencias
Preservacin.

429, 432,
471, 522, 533
al 549.
De los servicios periciales.


Tabla M8
Correlacin del proceso 8.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Realizacin de
Pruebas
Periciales.
Exmen.
Preservacin.
Seguimiento.
Tcnicas de
validacin.
Filtrado.
Patrones de
bsqueda.
Bsqueda de
datos ocultos.
Extraccin de
datos ocultos.
Anlisis.
Preservacin.
Seguimiento.
Estadstica.
Protocolos.
Reduccin y
bsqueda de
datos.
Lnea del tiempo.
Enlaces.
Percepcin
espacial.
Presentacin
Documentacin.
Testimonio de
expertos.
Aclaraciones.
Establecimiento
del impacto.
Contramedidas
recomendadas.
Interpretacin
estadstica.

429, 432,
471, 522, 545
al 548.
Realizacin de las pruebas periciales.

8.1 Realizar las pruebas tcnico y cientficas requeridas de
cada una de las evidencias electrnicas.
Remitir los dictmenes u opiniones periciales
correspondientes por especialidad para ser integrados
a la averiguacin previa.
Enviar las evidencias electrnicas restantes al AMPM,
quien deber almacenarlas para ser utilizadas en
posteriores diligencias o en su caso destruirlos.
8.2 Cuando en trminos del CFPP, deba ser entregados en
depsito o por cualquier otro ttulo a su propietario , a
Instituciones pblicas o privadas, y
8.3 Anexar los documentos que garanticen la cadena de
custodia, los cuales sern devueltos para su resguardo
de conformidad con el artculo 181 del CFPP.


Material de apoyo:
1. Procedimiento para el anlisis de la evidencia digital.
2. Procedimiento para la realizacin del reporte pericial.

CONFIDENCIAL 79



Tabla M9
Correlacin del proceso 9.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Almacenamiento
de los indicios o
evidencias.
Decisin.

463 Almacenamiento de los indicios o evidencia digital.

9.1 Ordenar a servicios periciales cuando la
evidencia requiera un tratamiento especial,
tomen medidas y providencias necesarias para
su custodia y conservacin.
9.2 Ordenar su almacenamiento con el empleo de
los procedimientos correspondientes
9.3 Siempre que sea necesarios los bienes
asegurados, se constar el estado de su
embalaje y si ha sufrido alguna alteracin, se
inscribirn los signos o seales que lo hagan
presumir.

Material de apoyo:
1. Formatos para la aplicacin del CFPP en materia de
cadena de custodia de evidencia digital.

Tabla M10
Correlacin del proceso 10.

ACDO. NM.
A/002/10
DFRWS
ARTICULOS
DEL C.J.M.
PROCESO DE LA MCF PARA LA SDN QUE CUMPLE
CON ACDO. NM. A/002/10, Y MATERIAL DE APOYO
AL PROCESO.
Terminacin
de la cadena
de custodia.
Decisin.

463, 480, 791
al 794 y 874
Terminacin de la cadena de custodia.
La cadena de custodia en la etapa de averiguacin
previa, termina por resolucin fundada y motivada del
AMPM, bajo su estricta responsabilidad, previa la
realizacin de las pruebas periciales correspondientes.

Material de apoyo:
1. Formatos para la aplicacin del CFPP en materia de
cadena de custodia en evidencia digital.






CONFIDENCIAL 80


ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL
I.F.A.I. (2008)


































NOMBRE DEL
SISTEMA.

FINALIDAD DEL SISTEMA NORMATIVIDAD APLICABLE DEL SISTEMA
Registro de datos de
pacientes
derechohabientes,
pensionistas y civiles
con motivo de atencin
mdica.
Contar con el historial mdico
quirrgico de la poblacin de
derechohabientes, pensionistas y
civiles solventes que acude a recibir
atencin mdica.
Art. 20 de la Ley Federal de Transparencia y
Acceso a la Informacin Pblica Gubernamental y
Art. 48 de su Reglamento; Lineamientos de
Proteccin de Datos Personales, as mismo Norma
Oficial Mexicana NOM-168, SSA1-1998 del
expediente clnico relativo a la confidencialidad de
la informacin contenida en el mismo.
Sistema Informtico
para el Registro
Federal de Armas de
Fuego y Control de
Explosivos.
(SIRFACE)
Registrar los folios de Manifestacin
de armas de fuego de la ciudadana y
trmites de permisos de
comercializacin de armas y
cartuchos
Artculo 10 de la Constitucin Poltica de los
Estados Unidos Mexicanos, Ley Federal de Armas
de Fuego y Control de Explosivos y Artculos 20 de
la ley Federal de Transparencia y Acceso a la
Informacin Pblica Gubernamental y Art. 48 de su
Reglamento, as como los Lineamientos de
Proteccin de Datos Personales.
Sistema de
Derechohabiente
Contar con un sistema de permita
mantener un registro de los
derechohabientes del personal militar
en activo del Ejrcito y Fuerza Area
Mexicanos.
Ley Federal de Transparencia y Acceso a la
Informacin Pblica Gubernamental y el
Procedimiento Sistemtico de Operar "Aspectos
Administrativos" Tomo Cinco "Sistema de
Inteligencia".
Sistema de Control de
Solicitudes de
Afiliacin enviadas a la
Direccin de
Seguridad Social
Militar.
Mantener un control y seguimiento
permanente de las solicitudes de
afiliacin que elevan los organismos
del Ejrcito y F.A.M., con objeto de
poder conocer e informar la situacin
y actualizacin; as como para su
depuracin cuando proceda.
Ley Federal de Transparencia y Acceso a la
Informacin Pblica Gubernamental y el
Procedimiento Sistemtico de Operar "Aspectos
Administrativos" Tomo Cinco "Sistema de
Inteligencia".
Base de datos de los
expedientes de
afiliacin del personal
Militar del Ejrcito y
Fuerza Area y su
soporte fsico.
Controlar la totalidad de expedientes
del personal militar del Ejrcito y
F.A.M., para agilizar los trmites de
afiliacin, reafiliacin; as como para
su depuracin cuando proceda.
Ley Federal de Transparencia y Acceso a la
Informacin Pblica Gubernamental y el
Procedimiento Sistemtico de Operar "Aspectos
Administrativos" Tomo Cinco "Sistema de
Inteligencia".
Personal de
profesores civiles del
"Sistema Educativo
Militar"
Contar con una base de datos de
informacin particular del personal de
Profesores Civiles para la elaboracin
de diversos trmites relacionados con
su estancia laboral en el Sistema
Educativo Militar.
Ley del Instituto de Seguridad y Servicios Sociales
de los Trabajadores del Estado, de conformidad
con el artculo 8/o.
Sistema de Datos
Personales de la
Oficina Central de
Reclutamiento
(reservas).
Integrar un registro que proporcione la
capacidad de definir con precisin y
diligencia la identidad de una persona
que forma parte de las reservas para
la defensa del pas.
Ley del Servicio Militar Nacional y su Reglamento,
Art. 20 de la ley Federal de Transparencia y Acceso
a la Informacin Pblica Gubernamental y Art. 48
de su Reglamento, as como los Lineamientos de
Proteccin de Datos Personales.
Sistema de Captura
del Servicio Militar
Nacional.
Agilizar las altas, bajas, cambios y
bsquedas de informacin del
personal que integra la base de datos
del S.M.N.
Se basa legalmente en Ley del Servicio Militar
Nacional y su Reglamento vigente.
Sistema de
Personalidad Militar
(SIPERMIL).
Control, registro y administracin de
documentacin del personal militar
que ha causado baja del Ejrcito y
Fuerza Area Mexicanos por
cualquier motivo.
Art. 48 del Reglamento de la Ley Federal de
Transparencia y Acceso a la Informacin Pblica
Gubernamental (D.O.F. 11-06-2003) Lineamientos
de Proteccin de Datos Personales (D.O.F. 30-09-
2005), Reglamento de Reclutamiento de Personal
para el Ejrcito y Fuerza Area Mexicanos.
CONFIDENCIAL 81


ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS
ELABORADA POR EL PROCURADOR DE JUSTICIA MILITAR AL 4 DE MARZO DE 2009,
CONFORME RESPUESTA PETICIN I.F.A.I..

DELITOS TOTAL

DESERCIN FRANCA. 2728
DESERCIN EN ACTOS DEL SERVICIO. 107
ABANDONO DE SERVICIO 49
LESIONES. 26
INSUBORDINACIN. 18
CONTRA LA SALUD. 17
ABUSO DE AUTORIDAD. 17
DESOBEDIENCIA. 16
VIOLENCIA CONTRA LAS PERSONAS. 12
ROBO. 10
DESERCIN POR ABANDONO DE PLAZA. 10
INFRACCIN DE DEBERES COMUNES. 8
HOMICIDIO. 8
ABANDONO DE ARRESTO. 8
MALVERSACIN. 7
INHABILITACIN VOLUNTARIA PARA EL SERVICIO POR EMBRIAGUEZ. 7
ROBO PERTENECIENTE AL EJRCITO. 6
CONTRA EL HONOR MILITAR. 5
COHECHO. 5
EXTRAVI DE LO PERTENECIENTE AL EJRCITO. 4
DAO EN PROPIEDAD AJENA. 4
ABUSO DE AUTORIDAD Y ALLANAMIENTO DE MORADA. 4
ABUSO DE AUTORIDAD CAUSANDO LESIONES AL INFERIOR. 4
USO DE DOCUMENTOS FALSOS. 3
INFRACCIN DE DEBERES MILITARES. 3
FRAUDE. 3
FALSIFICACIN DE DOCUMENTACIN. 3
ABANDONO DE SERVICIO DE ARMAS. 3
ROBO AGRAVADO. 2
POSESIN DE ARMAS. 2
PORTACIN DE ARMA DE FUEGO SIN LICENCIA. 2
INSUBORDINACIN CON VAS DE HECHO, SIN CAUSAR LESIONES. 2
INFRACCIN DE DEBERES ESP. DE AVIADOR. 2
EXTORSIN. 2
CONTRA EL HONOR MILITAR EN SU MODALIDAD DE ABANDONO DE ARRESTO. 2
ALMACENAMIENTO DE EXPLOSIVOS SIN PERMISO. 2
ACCESO ILCITO A SISTEMAS Y EQUIPOS DE INFORMTICA. 2
ABUSO DE AUTORIDAD CON VAS DE HECHO CAUSANDO LESIONES AL
INFERIOR.
2
VIOLENCIA VS. UN MIEMBRO DE LA POLICA. 1
VIOLENCIA CONTRA LAS PERSONAS CAUSANDO HOMICIDIO. 1
VIOLACIN. 1
TORTURA. 1
ROBO EQUIPARADO. 1
ROBO DE LO PERTENECIENTE AL EJRCITO MEXICANO Y ENAJENACIN DE
LO PERTENECIENTE AL EJRCITO EN SU MODALIDAD DE EMPEO.
1
POSESIN DE ARMA DE FUEGO DE USO EXCLUSIVO DEL EJRCITO ARMADA 1
CONFIDENCIAL 82


Y FUERZA AREA, POSESIN DE CARTUCHOS DE USO EXCLUSIVO DEL
EJRCITO Y ARMADA Y FUERZA AREA Y ROBO EQUIPARADO.
PORTACIN DE ARMA DE FUEGO Y AMENAZAS. 1
INSULTOS AMENAZAS A UN CENTINELA, A UN MIEMBRO DE UNA GUARDIA O
SALVAGUARDA E INSUBORDINACIN
1
INSUBORDINACIN E INUTILIZACIN VOLUNTARIA PARA EL SERVICIO POR
EMBRIAGUEZ.
1
INSUBORDINACIN CON VAS DE HECHO. 1
INSUBORDINACIN CON VAS DE HECHO CAUSANDO LESIONES AL
SUPERIOR.
1
INSUBORDINACIN CON VAS DE HECHO CAUSANDO LESIONES AL
SUPERIOR.
1
INHABILITACIN VOLUNTARIA PARA EL SERVICIO. 1
INFRACCIN DE DEBERES ESPECIALES DE AVIADORES. 1
INFRACCIN DE DEBERES DE CENTINELA, VIGILANTE SERVIOLA, TOPE Y
TIMONEL.
1
INFRACCIN DE DEBERES COMUNES A TODOS LOS QUE ESTN OBLIGADOS
A SERVIR EN EL EJRCITO, MODALIDAD INHABILITACIN VOLUNTARIA PARA
EL SERVICIO.
1
HOMICIDIO IMPRUDENCIAL LESIONES IMPRUDENCIAL Y DAO EN
PROPIEDAD AJENA (BIENES DE LA NACIN).
1
HOMICIDIO IMPRUDENCIAL 1
FALSIFICACIN Y FRAUDE. 1
EJERCICIO INDEBIDO DEL SERVIDOR PBLICO. 1
DESOBEDIENCIA Y ABANDONO DE SERVICIO DE ARMAS. 1
CONTRA LA SALUD EN SU MODALIDAD DE COLABORACIN AL FOMENTO
PARA POSIBILITAR LA POSESIN, CULTIVO Y COSECHA DE NARCTICOS,
COHECHO Y SECUESTRO.
1
CONTRA EL HONOR MILITAR, MOD. DE PERSISTIR EN SU MALA CONDUCTA. 1
ALLANAMIENTO DE MORADA. 1
ABUSO SEXUAL CON VIOLENCIA. 1
ABUSO SEXUAL 1
ABUSO DE CONFIANZA. 1
ABUSO DE AUTORIDAD CAUSANDO HOMICIDIO CALIFICADO A UN INFERIOR. 1
ABANDONO DE SERVICIO, ALLANAMIENTO DE MORADA Y VIOLACIN. 1
ABANDONO DE SERVICIO Y ROBO. 1
ABANDONO DE SERVICIO Y PORTACIN DE ARMAS DE FUEGO SIN LICENCIA. 1
ABANDONO DE SERVICIO Y ABUSO DE AUTORIDAD CAUSANDO LESIONES AL
INFERIOR.
1
ABANDONO DE SERVICIO E INFRACCIN DE DEBERES COMUNES A TODOS
LOS QUE ESTN OBLIGADOS A SERVIR EN EL EJRCITO, EN SU MODALIDAD
DE INHABILITACINVOLUNTARIA PARA EL SERVICIO POR EMBRIAGUEZ.
1
ABANDONO DE MANDO. 1

TOTAL GENERAL.


3150




CONFIDENCIAL 83



ANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO
DE COMISIN
(Valds Tllez., 2009).



Como instrumento o medio
Falsificacin de documentos va computarizada (tarjetas de credito, cheques, etc.)
Variacin de activos y pasivos de una situacin contable.
Planeacin o simulacin de delitos convencionales (robo, homicidio, fraude, etc.)
"Robo" de tiempo de computadora (recursos).
Lectura, sustraccin o copiado de informacin confidencial.
Modificacin de datos, tanto de entrada como de salida.
Aprovechamiento indebido o violacion de un cdigo para penetrar a un sistema con
instrucciones inapropiadas (Caballo de Troya).
Variacin en cuanto al destino de pequeas cantidades de dinero hacia una cuenta
bancaria apcrifa (tcnica de salami).
Uso no autorizado de programas de computo.
Inclusin de instrucciones que provocan interrupciones en la lgica interna de los
programas, con el fin de obtener beneficios.
Alteracin del funcionamiento de los sitemas.
Obtencin de la informacin residual impresa en papel o cinta magntica despues
de la ejecucin de trabajos.
Acceso a areas de informacin en forma no autorizada.
Intervencion en las lneas de comunicacin de datos o teleproceso.
Como fin u objetivo
Programacin de instrucciones que producen un bloqueo total al sistema (DoS,
DDoS).
Destruccin de programas por cualquier mtodo.
Dao a la memoria.
Atentado fsico contra la maquina o sus accesorios (discos, cintas, terminales,
etc.)
Sabotaje poltico o terrorismo en que se destruya o surja un apoderamiento de los
centros neurlgicos comptarizados.
Secuestro de soportes magnticos en los que figure informacin valiosa con fines
de chantanje, pago de rescate, etc.
CONFIDENCIAL 84


ANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS
FORENSE
(Chris Prosise, 2003)

Conocimiento completo de los sistemas operativos involucrados.
Habilidad para revisin de registros, pistas de auditora y otras evidencia encontradas, as como
reportar los hallazgos de manera clara.
Comprender las tcnicas del manejo adecuado de la evidencia.
Habilidad para llevar a cabo una evaluacin del dao.
Habilidad para determinar el alcance de un incidente.
Habilidad para determinar la naturaleza de un incidente.
Habilidad para determinar la naturaleza de un incidente e identificar los detalles tcnicos
especficos que sustentan sus conclusiones.
Habilidades para recomendar como solucionar la situacin.
Capacidad para mantener los atributos de las evidencias tecnolgicas, que puede ser
fundamentales para resolver el incidente (incluyendo pistas de auditora, los registros, los
volcados de memoria, o recoleccin de datos en tiempo real).
Habilidades en la documentacin para registrar de manera clara y concisa todos los pasos de la
investigacin.
Habilidad para apoyar a los lderes del proyecto.
Habilidad para hacer entrevistas si es necesario.
Capacitacin respecto al manejo de evidencias y cadena de custodia*.
Formacin como peritos en cmputo forense y procedimientos criminalsticos*.

* Se incluyen estos puntos por ser requisitos para llevar un caso legal.

CONFIDENCIAL 85


ANEXO EACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE (Casey, 2004),
(ehow, 2010), (SWGDE, 2010).


AO


ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE

1969-1970 Los primeros crmenes de cmputo registrados fueron estudiantes que quemaron
computadoras.
Se descubren los primeros mtodos para ganar acceso sin autorizacin a sistemas de
cmputo. (Casey, 2004)
1970 Tcnicas de cmputo forense en agencias de inteligencia y el ejrcito de los EE.UU.A.
1970 - 1980 Se funda la FLETC (Federal Law Enforcement Training Center), el National White Collar
Crime Center (NW3C) y SEARCH, The National Consortium for Justice Information and
Statistics.
1980 PC de IBM. Nuevos problemas en el mundo de la investigacin: volumen de datos,
alteracin de datos sin dejar rastro, y la capacidad de ocultar o borrar datos. Informtica
para las masas, naturalmente, incluye la fraternidad criminal. Se hizo evidente que se
necesitaba un nivel de conocimientos especializados para investigar esta nueva tecnologa
y as naci la Ciencia de la Investigacin de Cmputo Forense.
mediados de
1980 hasta
1990
Con el fin de llevar a cabo el anlisis forense en lo relacionado al pago de impuestos se
forma el Internal Revenue Service Criminal Investigation Division (IRS-CID) and Revenue
Canad.

1984 Se crea el Programa de Medios magnticos del FBI, que despus se llamara Equipo de
Respuesta y Anlisis de Cmputo (CART).
Se capacitan los primeros especialistas en el SCERS en EE.UU.AA. (Seized Computer
Evidence Recovery Specialists)
1989 Primer programa especfico para cmputo forense. IMDUMP
1990 SafeBack, estndar mundial de para imgenes de disco.
Se forma la Association of Computer Investigative Specialists (IACIS1) en Portland, Oregn,
para proporcionar capacitacin y certificacin (principios, tcnicas y herramientas) a los
especialistas en cmputo forense para la procuracin de la ley.
1991 Venta comercial del Sistema para Respaldo de Imagen a Disco (DIBSTM) hardware y
software.
Tecnologas en anlisis forense con enfoque a PDAs por parte del Dutch National Forensic
Institute
Con el fin de desarrollas estndares y capacitacin en la Comunidad Europea, la Interpol
forma en Europa el Computer Crime Working Group.
Se desarrolla en Australia la herramienta libre Fixed Disk Image (FDI) para la procuracin
de justicia
1995 Se crea la IOCE (International Organization on Computer Evidence).
1998 Los Directores de laboratorios de Crimen Federales funda el Grupo de Trabajo Cientfico
para la Evidencia Digital (SWGDE)
1998 Se funda la Forensic Information Technology Working Group (FIT-WG) bajo la supervisin
del European Network of Forensic Science Institutes
1999 Requerimientos para la evidencia digital por parte del trabajo conjunto de la SWGDE, IOCE,
UK ACPO, Y EL G-8 Subgrupo de Crmenes de alta Tecnologa.
2001 Se lleva a cabo el primer Taller de investigacin de Cmputo Forense (DFRWS).
2002 El Grupo de Trabajo Cientfico para la Evidencia Digital (SWGDE) public las guas para
capacitacin y mejores prcticas.
2003 En CART del FBI, mientras que en 1999 se analizaron 17 terabytes de datos, en 2003 el
CART examin 782 terabytes de datos en un ao. (http://www.ehow.com/)
2003 La Sociedad Americana de Directores de Laboratorios de Crimen (ASCLD) propone los
requerimientos para los especialistas en evidencia digital en los laboratorios forenses.


CONFIDENCIAL 86


ANEXO F PRINCIPIOS INTERNACIONALES EN LA EVIDENCIA DE CMPUTO (Albert J.
Marcella Jr., 2008)

Organizacin Internacional de la evidencia en cmputo (IOCE).

La Organizacin Internacional de Evidencia en Cmputo (IOCE, por sus siglas en ingls)
fue establecida en 1995 para ofrecer, a los organismos internacionales de procuracin de la ley,
un foro para el intercambio de informacin relacionada con la investigacin de delitos
informticos y otros temas relacionados con la informtica forense. En un trabajo conjunto con
Canad, Europa, Reino Unido y los Estados Unidos de Norteamrica, sta organizacin fue
encargada de la elaboracin de normas internacionales para el intercambio y la recuperacin de
pruebas electrnicas.
Durante la Conferencia Internacional de Delito de Alta Tecnologa y Cmputo Forense de
octubre de 1999, la IOCE celebr reuniones y un taller en que revis la Gua de Buenas
Prcticas para Reino Unido y el proyecto de normas del Grupo de Trabajo en Evidencia Digital
(SWGDE, por sus siglas en ingls). Como resultado se propusieron los siguientes principios,
que fueron votados de manera unnime por los delegados presentes del IOCE.

Principios Internacionales (IOCE).

Los principios internacionales elaborados por IOCE para la recuperacin estandarizada de
evidencias basadas en equipos de cmputo son gobernados por los siguientes atributos:
1. Consistencia con todos los sistemas jurdicos;
2. Permitir el uso de un lenguaje comn;
3. Durabilidad;
4. Capacidad para cruzar las fronteras internacionales;
5. Capacidad de infundir confianza en la integridad de la evidencia;
6. Aplicabilidad a todas las evidencias forenses, y
7. Aplicabilidad en cada nivel, incluido el individual, agencia, y pas.

Estos principios fueron presentados y aprobados en la Conferencia Internacional del Delito de
Alta Tecnologa y Cmputo Forense en octubre de 1999:
1. Al incautar evidencias digitales, se deben adoptar medidas para no cambiar esas
evidencias.
2. Cuando es necesario que una persona acceda a la evidencia digital original, esa
persona debe ser competente en el terreno forense.
3. Todas las actividades relacionadas con la incautacin, el acceso, almacenamiento o
transferencia de evidencia digital debe estar plenamente documentados, preservados, y
que puede consultarse.
4. Un individuo es responsable de todas las medidas tomadas con respecto a las
evidencias digitales, cuando la evidencia digital est en su posesin.
5. Cualquier agencia que se encarga de incautacin, el acceso, almacenamiento o
transferencia de pruebas digitales es responsable del cumplimiento de estos principios.

Otros temas recomendados por IOCE para un futuro debate, incluyeron:

1. La competencia en el mbito forense y la necesidad de generar un acuerdo sobre la
acreditacin internacional y la validacin de las herramientas, tcnicas, y el
entrenamiento.
CONFIDENCIAL 87


2. Las cuestiones relativas a las prcticas y procedimientos para el examen de las
evidencias digitales, y el intercambio de informacin relacionado con el crimen de alta
tecnologa y el cmputo forense, tales como eventos, herramientas y tcnicas.
CONFIDENCIAL 88


ANEXO G EL PROCEDIMIENTO JURDICO PREVIO (Campoli., 2006).

Es absolutamente indispensable que para el cateo y aseguramiento de los bienes
informticos exista orden judicial expresa, ya que, al no compartir las caractersticas de los
dems bienes, no se puede tomar una orden de cateo genrico como suficiente como para
poder inspeccionar los sistemas electrnicos, o, en su caso asegurarlos.

La apertura de un equipo informtico o bien su aseguramiento implica la posibilidad de
violentar garantas constitucionales, lo que, en definitiva debe ser siempre ordenado y
controlado por un juez competente.

Al solicitar un cateo, el Ministerio Pblico, solicite expresamente el aseguramiento de los
medios y equipos electrnicos (ya que el pedir el cateo de equipos no necesariamente
autorizara el aseguramiento de los soportes como por ejemplo CDs o Discos de 3 pulgadas
que no son parte del equipo) que pudieran contener informacin para evitar el hecho de que el
agente conozca datos para los cuales no est autorizado por el titular de los mismos o, en su
caso por alguien que lo represente, o el juez.

La evidencia contenida en los equipos o en los medios asegurados puede ser incorporada
correctamente al expediente (averiguacin previa o proceso judicial) sin objeciones sobre la
legalidad de su obtencin, ya que se encontraran plenamente respetadas las garantas
constitucionales involucradas en el proceso.

Es indispensable utilizar la expresin, medios y bienes electrnicos, ya que un PDA o un
telfono celular pueden contener mucha informacin y si lo analizamos a detalle, no son
estrictamente bienes informticos aunque si bienes o equipos electrnicos.

Si las facultades que se solicitan no incluyen expresamente la recoleccin de informacin
o el vaciado de datos (o clonacin de discos), puede ocurrir que el aseguramiento resulte
fsicamente imposible, ya que muchos de los equipos no pueden ser movidos en relacin
directa con si tamao o bien con el hecho de que de ser retirados podra perderse informacin
de los registros que se estn procesando al momento del operativo, de manera que debe
tenerse la precaucin de solicitar al juez, tambin la facultad de fotografiar (si es que esto es
necesario) o bien, en su caso de hacer extracciones de datos en el momento y la escena del
crimen para que los peritos que acompaan al Ministerio Pblico en el acto puedan tomar los
recaudos necesarios para el caso.

Estas solicitudes incluyen, segn el caso la posibilidad de apertura de claves por
procedimientos informticos si estas existen y el equipo no puede ser retirado, o bien el retiro
parcial de algunas partes del equipo para que estas puedan, luego ser objeto de las pruebas
periciales que se requieran.


CONFIDENCIAL 89


ANEXO H PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL
(Campoli., 2006).

1. Proceder a levantar individualmente todos los medios de soporte (CD, tarjetas, discos de
3, memorias USB o cualquier otro segn los listados anteriores) que se encuentren
separados del equipo.
2. Si un equipo se encuentra encendido, se debe primero aislar de intrusiones externas,
para lo cual se debe verificar la existencia de puertos de red o conexiones inalmbricas
que pudieran ser fuente de acceso para modificar los contenidos.
3. En caso de existir alguna de ellas (cable de red o conexin inalmbrica, que en muchos
equipos es interna por lo que no tendramos acceso inmediato a la misma) se debe
aislar de manera inmediata el equipo, preferentemente con la asistencia del perito en
informtica presente y precintando de manera inmediata las conexiones que se retiren.
4. Si existieren en el lugar de los hechos ms de un equipo, identificar de manera clara
cada uno de ellos por medio de nmeros con etiquetas engomadas y firmadas y en cada
pieza que se retire de cada uno de ellos colocar el nmero que se asign al equipo.
5. Identificar en las fotografas el nmero que se asigna a cada equipo.
6. Bajo ninguna circunstancia desmontar o desconectar ms de un equipo a la vez, lo cual
debe hacerse siempre bajo los procedimientos indicados en los puntos posteriores, para
evitar confundir las piezas o cables de cada uno de ellos.
7. Al momento en que un equipo est completamente desmontado, retirarlo del lugar de los
hechos antes de comenzar con el siguiente equipo.
8. Bajo ninguna circunstancia desconectar o retirar ningn elemento del equipo (ni discos
de 3 , ni CD, ni memoria USB, ni cables, ni tarjetas de memoria de cualquier tipo, slo
fotografiar su posicin y estado.
9. Verificar si los equipos se encuentran apagados o encendidos y asentar en el acta su
estado.
10. Si estn apagados no encender por ningn motivo.
11. Si estn encendidos no apagar por ningn motivo.
12. Inmediatamente tomar fotografa detallada de la imagen de la pantalla, si se tratare de
un protector de pantalla o el monitor estuviese en descanso, con la utilizacin de
guantes de hule mover lentamente el ratn hasta que aparezca la imagen del programa
en proceso al momento anterior al inicio del ahorro de energa del equipo.
13. Fotografiar inmediatamente la imagen de la pantalla que aparece luego de esa
operacin.
14. Asentar inmediatamente en las actas de cateo la hora en que fueron realizadas las tres
operaciones, es decir, la primera fotografa, el movimiento del ratn y la segunda
fotografa de la pantalla.
15. Bajo ninguna circunstancia continuar con las operaciones hasta que no se apersone en
perito en cmputo forense.
16. En ese momento se debe realizar, bajo condiciones normales la extraccin original de
datos de las unidades de disco y la memoria RAM (clonacin de discos y de memoria)
del equipo por el especialista, para evitar la prdida de la informacin voltil o la
modificacin de datos o registros de entrada al equipo.
17. Si el equipo se encontrare apagado, puede comenzar a procederse con su desconexin
para retirarlo del lugar de los hechos.
18. Para la desconexin debe procederse segn los pasos siguientes.
19. Desconectar el cable que conecta el equipo a la energa elctrica de la pared, o, en su
caso al UPS (tambin conocido como no-break) e inmediatamente colocar un precinto
de papel engomado firmado por el interviniente en el sitio del no-break, y, en su caso los
testigos del acto, sobre el lugar del conector que se retira.
CONFIDENCIAL 90


20. Desconectar el otro extremo del mismo cable que se encuentra en la computadora y
repetir la operacin de precintado con papel engomado y firmado.
21. Identificar el cable retirado, por medio de etiquetas firmadas y colocar el mismo en las
bolsas de evidencia, de ser posible por separado.
22. Desconectar el cable de energa elctrica del monitor (pantalla) bajo las mismas
mecnicas y cuidados del anterior.
23. Identificar el cable de energa elctrica del monitor con etiqueta y colocarlo en bolsa de
evidencia del mismo modo.
24. Identificar el cable que conecta el monitor con el CPU.
25. Desconectar el cable que une al CPU con el monitor y precintar el lugar del que se retira
el cable con el procedimiento del papel engomado y firmado.
26. Identificar el monitor con el mismo procedimiento del papel engomado y firmado,
asegurando asimismo que el mismo no pueda ser abierto, para lo cual se recomienda
colocar el precinto de papel engomado sobre los bordes de apertura del monitor, para
evitar que pueda retirarse cualquier pieza del exterior o interior del mismo sin que ello
pudiera ser detectado en revisiones posteriores.
27. Proceder al retiro del teclado, precintando luego el sitio donde el mismo estaba
conectado por medio del procedimiento del papel engomado y firmado.
28. Precintar asimismo por el mismo procedimiento el extremo del conector del teclado, o
bien, de resultar muy complejo por medio de una bolsa de polietileno que se pega al
cable a travs del papel engomado.
29. Colocar, de ser posible el teclado en bolsa separada a fin de poder practicar luego las
medidas forenses de ADN o huellas dactilares si ellas se requieren en momentos
posteriores del proceso.
30. Proceder luego de igual manera que con el teclado con el ratn de la computadora,
tomando las precauciones de precintado ya descritas.
31. Apagar los perifricos que se encuentren encendidos, previa anotacin en el acta
respectiva del estado en que se encontraban al inicio del procedimiento, dejando
constancia de los nmeros de serie de cada equipo para luego poder diferenciar uno del
otro al momento de las periciales o la sentencia.
32. Proceder a la desconexin de todos los perifricos, como impresoras, escneres,
lectoras de discos, grabadoras o cualquier otro que se encuentre conectado al equipo,
previa fotografa del lugar de conexin y posterior precintado en cada caso de los
lugares donde se encuentran conectados, dejando constancia de ello en el acta y en el
precinto, es decir que en el precinto de papel engomado, adems de las firmas, se debe
agregar, por ejemplo la leyenda, conexin de impresora (marca, modelo, nmero de
serie; para luego, de ser necesario poder reconstruir la conformacin original del
equipo).
33. Al momento de desconectar cada equipo, etiquetarlo, dejando constancia de a que
computadora se encontraba conectado.
34. Luego de desconectado y etiquetados sus cables de conexin, precintar cualquier punto
de entrada o salida de datos (es decir cualquier conector que pudiera tener el equipo) y
los accesos de corriente elctrica.
35. Si se trata de unidades de lectura de tarjetas, de discos de 3 , o de CD, precintar los
accesos a la misma.
36. Si se trata de cualquier unidad de almacenamiento (discos duros externos por ejemplo)
precintar de igual manera los tornillos de acceso para evitar que los discos internos
puedan ser cambiados o modificados.
37. Colocar cada perifrico en bolsas o cajas individuales e identificadas de ser posible, e
incluso si se hallan las cajas originales, colocarlos en ellas.
38. Una vez retirados todos los perifricos se procede al precintado del CPU, sellando con
los papeles engomados todos los accesos posibles, como puertos USB, lectoras de CD,
CONFIDENCIAL 91


lectoras de discos de 3 , puertos de impresora, teclados, conexiones de red, o
cualquier otro que se encuentre luego de una exhaustiva revisin del mismo.
39. Como los equipos siempre tienen unidades de almacenamiento internas (discos duros)
debe procederse tambin al precintado de los tornillos de acceso de su exterior, para
evitar que pueda ser abierto y puedan retirase, cambiarse o modificarse piezas, sobre
todo las unidades centrales (discos duros).
40. Colocar cada CPU en una caja individual, precintada e identificada, y si se halla la
original, de preferencia en ella, para ser retirados del lugar.



CONFIDENCIAL 92


Computadora o equipo digital que ser incautado.
Seguir el consejo del experto.
Se encuentra un experto
en el sitio?
Asegurar la escena y retirar a las personas del equipo y fuentes de alimentacin.
El equipo esta encendido?
Si
Si
Etiquetar y fotografiar y/o video grabar
los componentes en el lugar.
Quitar todos los cables de conexin a
la corriente elctrica o de otros
dispositivos
Empacar cuidadosamente y retirarlo
registrando todo el proceso en los
formatos.
Asegurarse que todos los
componentes tienen sus etiquetas
colocadas.
Buscar en el rea diarios, libretas,
apuntes o papeles que tengan
contraseas.
Preguntar al usuario si tiene alguna
contrasea y regstrela.
Enve el equipo para el anlisis
forense de acuerdo a lo ordenado
por el AMPM
Fotografe o tome nota de lo
que esta en la pantalla.
No avise al propietario/
usuario.
No toque el teclado.
Permita que la impresora termine de
imprimir.
Quitar todos los cables de la corriente
elctrica o de otros dispositivos
No
No encienda el
equipo
No
Maneje el equipo con cuidado.
Mantngalo alejado de campos
magnticos (bocinas, radios,
ventanas, microondas).
Utilice bolsas antiestticas para
los discos duros y tarjetas de
circuitos.
no etiquete los discos de manera
directa, use una bolsa.
Los organizadores personales
colquelos en sobres
antiestticos o de papel.
El teclado, mouse, cables y
mdems colquelos en bolsas
selladas y no ponga sobre ellos
objetos.
Que se debe incautar.
Para poder reconstruir el sistema:
Unidad principal.
Monitor.
Teclado y mouse.
Todos los cables y conectores.
Discos duros.
Dongles.
Mdems.
Evidencia en:
Discos de todo tipo.
Tarjetas de memoria.
Tarjetas PCMCIA.
Manuales y software.
Notas y apuntes (contraseas).
Impresiones y papel en la
impresora.

Figura E1. Diagrama de flujo para la incautacin de un equipo de cmputo (Albert J. Marcella
Jr., 2008).

CONFIDENCIAL 93


Cuando los equipos no pueden ser retirados:
Si los equipos no pudieren ser retirados del lugar por su excesivo tamao, el
aseguramiento debe realizarse en el mismo lugar de los hechos, pero bajo el procedimiento de
los puntos que siguen.
1) Dejar constancia de si el equipo se encuentra encendido o apagado.
2) Si est encendido, no apagar por ningn motivo.
3) Si est apagado, no encender por ningn motivo.
4) Si se encuentra encendido, se debe primero aislar de intrusiones externas, para lo cual se
debe verificar la existencia de puertos de red o conexiones inalmbricas que pudieran ser
fuente de acceso para modificar los contenidos.
5) En caso de existir alguna de ellas (cable de red o conexin inalmbrica, que en muchos
equipos es interna por lo que no tendramos acceso inmediato a la misma) se debe aislar de
manera inmediata el equipo, preferentemente con la asistencia del experto en informtica
presente y precintando de manera inmediata las conexiones que se retiren.
6) Una vez aislado proceder a la extraccin de datos (clonacin o copia fsica de los datos
contenidos en los equipos).
7) Ya que se realiza la extraccin de datos debe procederse al retiro de cualquier perifrico que
pudiera encontrarse conectado al equipo bajo la metodologa explicada en los puntos
anteriores que se utilizan para los equipos comunes que si pueden retirarse, slo que en
este caso, se retiran los perifricos debidamente identificados y precintados como se indic y
sellando los conectores que se dejan libres en esta operacin.
8) Luego de esto, y al igual que con los CPU que pueden removerse, se procede al precintado
de todos los puertos y conectores que pudieran estar libres por medio del sistema del papel
engomado.
9) De igual manera deben precintarse los tornillos del sistema a fin de que no se puedan
remover o reemplazar las piezas internas del mismo.
10) En ese momento debe asegurarse la zona para evitar cualquier acceso fsico de personas o
animales al lugar donde el equipo se encuentra a fin de poder mantener la evidencia original
intacta.
11) Si el equipo se encuentra apagado, pueden desmontarse en ese acto, por seguridad jurdica
y ahorro procedimental, los medios de almacenamiento que se encuentren en el equipo.
12) Para lo anterior, se debe contar con la presencia del perito en cmputo forense a fin de
evitar que se pudiera daar el equipo, o en su caso alguna de las piezas removidas.
13) Para ello, una vez desconectados e identificados todos los cables del equipo, se procede a
la apertura del mismo por medio de la remocin de su carcasa.
14) Al abrir la carcasa, fotografiar la posicin y estado de los medios a extraer.
15) Realizar fotografas de aproximacin de cada medio y de sus nmeros de serie, asentando
los mismos en el acta respectiva, de manera referenciada a las fotografas de aproximacin y
la general.
16) Una vez realizado lo anterior, se pueden retirar los medios de almacenamiento, que sern
los que se deben asegurar.
17) Para lo anterior, al remover los cables de conexin del medio, se debe precintar cada uno
de ellos con identificacin de la posicin que ocupaban en el equipo y haciendo lo mismo con
los puntos de conexin del equipo.
18) Terminada esa tarea, se debe proceder a precintar debidamente todos los tornillos del
medio extrado.
19) Luego se empaca el medio en caja o bolsa por separado, dejando constancia de todo lo
actuado y su orden en el acta respectiva.
20) Terminadas las operaciones se debe colocar nuevamente la carcasa y precintar la misma y
sus tornillos de extraccin para poder preservar el resto del equipo por si se presentara la
necesidad de pruebas posteriores.
CONFIDENCIAL 94


21) Ya concluida la operacin se debe proceder al aseguramiento fsico del lugar de los hechos
como ya se haba comentado para opciones anteriores.



CONFIDENCIAL 95


Computadora o equipo digital que no puede retirarse.
Seguir el consejo del experto.
Se encuentra un experto
en el sitio?
Asegurar la escena y retirar a las personas del equipo y fuentes de alimentacin.
El equipo esta encendido?
Si
Si
Etiquetar y fotografiar y/o video grabar
los componentes en el lugar.
Quitar todos los cables de conexin a
la corriente elctrica o de otros
dispositivos
Desmontar y empacar
cuidadosamente las unidades de
almacenamiento registrando todo el
proceso en los formatos.
Buscar en el rea diarios, libretas,
apuntes o papeles que tengan
contraseas.
Preguntar al usuario si tiene alguna
contrasea y regstrela.
Enve de las unidades de
almacenamiento para el anlisis
forense de acuerdo a lo ordenado
por el AMPM y asegurar fisicamente
el equipo en el lugar
Fotografe o tome nota de lo
que esta en la pantalla.
No avise al propietario/
usuario.
No toque el teclado.
Permita que la impresora termine de
imprimir.
Quitar todos los cables de la corriente
elctrica o de otros dispositivos
No
No encienda el
equipo
No
Maneje el equipo con cuidado.
Mantngalo alejado de campos
magnticos (bocinas, radios,
ventanas, microondas).
Utilice bolsas antiestticas para
los discos duros y tarjetas de
circuitos.
no etiquete los discos de manera
directa, use una bolsa.
Los organizadores personales
colquelos en sobres
antiestticos o de papel.
El teclado, mouse, cables y
mdems colquelos en bolsas
selladas y no ponga sobre ellos
objetos.
Figura E2.- Diagrama de flujo para la incautacin de un equipo de cmputo que no se puede
retirar de un lugar por su volumen.

CONFIDENCIAL 96


En caso de que los equipos a asegurar fueran porttiles (notebook o laptop).

1. Proceder a levantar individualmente todos los medios de soporte (CD, tarjetas, discos de
3 , memorias USB o cualquier otro segn los listados anteriores) que se encuentren
separados del equipo.
2. Si se encuentra encendido, se debe primero aislar de intrusiones externas, para lo cual
se debe verificar la existencia de puertos de red o conexiones inalmbricas que pudieran
ser fuente de acceso para modificar los contenidos.
3. Para esto se apoyara en el procedimiento del ANEXO Procedimiento para la
recoleccin de datos en lnea.
4. En caso de existir alguna de ellas (cable de red o conexin inalmbrica, que en muchos
equipos es interna por lo que no tendramos acceso inmediato a la misma) se debe
aislar de manera inmediata el equipo, preferentemente con la asistencia del experto en
informtica presente y precintando de manera inmediata las conexiones que se retiren.
5. Si existe en el equipo una tarjeta de red inalmbrica, retirar de manera inmediata la
misma, precintando luego el lugar de donde se retira.
6. Colocar la tarjeta retirada, debidamente identificada y fotografiada en bolsa para su
aseguramiento.
7. Si la tarjeta fuere interna, localizar la tecla de anulacin del servicio inalmbrico y
desactivar el mismo de manera inmediata, (por lo general la tecla de desactivacin tiene
una pequea torre con parntesis a sus lados en la parte superior).
8. Fotografiar el equipo, su nmero de serie y el estado de la pantalla, si la misma
estuviese apagada, pasar suavemente el dedo (con guantes) para habilitar la misma a
su estado anterior y fotografiar nuevamente la pantalla que apareciere.
9. Luego de ello precintar todos los mecanismos y conexiones de entrada y salida del
equipo.
10. Inmediatamente proceder a retirar el equipo para llevarlo al cuerpo forense (si este no se
encuentra presente, aprovechando los tiempos de batera, pero siempre que el equipo
se encuentre debidamente precintado, moviendo cada al menos dos minutos el pada
fsico del ratn para mantener abierta la sesin y adems evitar que el equipo entre en
estado de hibernacin, siempre realizando estas acciones con guantes de hule para
evitar alterar las huellas dactilares que pudieran existir en esa rea del equipo.
11. Al recibirlo en periciales, volver a conectarlo a la corriente para evitar su apagado al
consumirse la batera.
12. Si se encuentra apagado, proceder al precintado y retirar los cables elctricos,
precintado e identificando dicha actividad, de la cual se deja constancia en el acta.
13. Mantener el equipo asegurado en las mismas condiciones de seguridad que los equipos
fijos que se comentaron en el primer apartado del presente.


CONFIDENCIAL 97


Computadora o equipo porttil.
Seguir el consejo del experto.
Se encuentra un experto
en el sitio?
Asegurar la escena y retirar a las personas del equipo.
El equipo esta encendido?
Si
Si
Etiquetar y fotografiar y/o video grabar
los componentes en el lugar.
Quitar todos los cables de conexin a
la corriente elctrica o de otros
dispositivos
Empacar cuidadosamente y retirarlo
registrando todo el proceso en los
formatos.
Asegurarse que todos los
componentes tienen sus etiquetas
colocadas.
Buscar en el rea diarios, libretas,
apuntes o papeles que tengan
contraseas.
Preguntar al usuario si tiene alguna
contrasea y regstrela.
Enve el equipo para el anlisis
forense de acuerdo a lo ordenado
por el AMPM
Fotografe o tome nota de lo
que esta en la pantalla.
Aislar la conexin a la
red.
No toque el teclado.
Permita que la impresora termine de
imprimir.
Asegurar la continuidad de la fuente
de alimentacin y sesin.
No
No encienda el
equipo
No
Maneje el equipo con cuidado.
Mantngalo alejado de campos
magnticos (bocinas, radios,
ventanas, microondas).
Utilice bolsas antiestticas para
los discos duros y tarjetas de
circuitos.
no etiquete los discos de manera
directa, use una bolsa.
Los organizadores personales
colquelos en sobres
antiestticos o de papel.
El teclado, mouse, cables y
mdems colquelos en bolsas
selladas y no ponga sobre ellos
objetos.
Que se debe incautar.
Para poder reconstruir el sistema:
El equipo porttil.
Todos los cables y conectores.
Discos duros.
Dongles.
Mdems.
Evidencia en:
Discos de todo tipo.
Tarjetas de memoria.
Tarjetas PCMCIA.
Manuales y software.
Notas y apuntes (contraseas).
Impresiones y papel en la
impresora.

Figura E3.-Diagrama de flujo para la incautacin de un equipo de cmputo porttil.

CONFIDENCIAL 98



Si lo que se asegura son PDA:
1. Si se encuentra prendida no apagar por ningn motivo.
2. Si se encuentra apagada no prender por ningn motivo.
3. Fotografiar el estado del aparato y de ser posible lo que se muestra en la pantalla.
4. Fotografiar y asentar en actas la marca, el modelo y el nmero de serie si es que estos
son visibles.
5. Precintar todas las entradas y salidas.
6. Precintar todos los puntos de conexin o de admisin de tarjetas o dispositivos de
memoria
7. Precintar los tornillos para evitar que se puedan retirar o reemplazar piezas internas.
8. Buscar y asegurar el lpiz que las acompaa.
9. Buscar y asegurar el conector elctrico.
10. Colocar en una bolsa de Faraday, (especial para aislar de emisiones electromagnticas),
si no hubiere disponible, en un recipiente vaco de pintura con su respectiva tapa.
11. Llevar inmediatamente con los peritos para la extraccin de la informacin
correspondiente.

CONFIDENCIAL 99



PDA (Personal Digital Assitant) que ser incautado.
Seguir el consejo del experto.
Se encuentra un experto
en el sitio?
Asegurar la escena y retirar a las personas del equipo del PDA.
El equipo esta encendido?
Si
Si
Etiquetar y empacar cuidadosamente
el PDA.
Preguntar al usuario si tiene alguna
contrasea y regstrela.
Enve el equipo para el anlisis
forense de acuerdo a lo ordenado
por el AMPM
Incautar todo lo relacionado al PDA,
como tarjetas de expansin y fundas
(pueden tener informacin como modelo,
nmero de serie, etc.)
Fotografe o tome nota de todo lo que
est en la pantalla.
Incautar todos los cables y base.
No
No encienda el
equipo PDA
No
Maneje el equipo con cuidado.
Mantngalo alejado de campos
magnticos (bocinas, radios,
ventanas, microondas).
Los organizadores personales
colquelos en sobres
antiestticos o de papel.
No
Coloque el PDA en su base pendiente
de evaluacin
EVITE LA ENCRIPCIN DEL PDA,
MANTENINDOLO EN MODO ACTIVO
(tocando en alguna parte inactiva de la
pantalla) HASTA EL ARRIBO DE UN
EXPERTO.
Cambie las baterias
desgastadas por nuevas (AA,
AAA o CR2032)
Incaute todos los cables y la
base del PDA.
Coloque el PDA en su base pendiente
de evaluacin
PALM OS tiene 3 modos de operacin:
Modo Sleep: Potencia de flujo bajo
hacia ROM y RAM.
Modo Doze: Potencia de flujo media
hacia ROM y RAM. En este modo se
puede activar la encripcin.
Modo Running: El procesador se
encuentra activo.

Figura E4.-Diagrama de flujo para la incautacin de un Asistente Digital Personal (PDA), basado
en la Gua de buenas prcticas para evidencia electrnica de equipos de cmputo de la ACPO
(Association of Chief Police Officers, National High-Tech Crime Unit. Marzo 2005)
CONFIDENCIAL 100


Si lo que se asegura son telfonos celulares:
1. Si se encuentra prendido no apagar por ningn motivo.
2. Si se encuentra apagado no prender por ningn motivo.
3. Fotografiar el estado del equipo y la pantalla.
4. Fotografiar y asentar en actas la marca, modelo y nmero de serie del equipo si son
visibles.
5. Precintar todas las entradas y salidas.
6. Precintar todos los puntos de conexin o de admisin de tarjetas o dispositivos de
memoria
7. Precintar los tornillos para evitar que se puedan retirar o reemplazar piezas internas.
8. Buscar y asegurar el conector elctrico.
9. Colocar en una bolsa de Faraday, (especial para aislar de emisiones electromagnticas),
si no hubiere disponible, en un recipiente vaco de pintura con su respectiva tapa.
10. Llevar inmediatamente con los peritos para la extraccin de la informacin
correspondiente.


CONFIDENCIAL 101




Incautacin de telfono celular.
Asegurar la escena y retirar a las personas del telfono celular.
El equipo esta encendido?
Si
Etiquetar y empacar cuidadosamente
el telfono en una bolsa de Faraday.
Enve el equipo para el anlisis
forense de acuerdo a lo ordenado
por el AMPM
No encienda el
telfono.
No
Maneje el equipo con cuidado.
Mantngalo alejado de campos
magnticos (bocinas, radios,
ventanas, microondas).
En caso de no contar con una
bolsa de Faraday puede
guardarse en una lata.
Incaute el cargador del
equipo.
Fotografiar y anotar marca, modelo y
numero de serie.
Proteger ranuras de tarjetas
de memoria, tornillos,
conectores de entradas y
salidas.
Incaute el cargador del
equipo.
Fotografe el estado del equipo y lo
que est en la pantalla.
Fotografiar y anotar marca, modelo y
numero de serie.
Proteger ranuras de tarjetas
de memoria, tornillos,
conectores de entradas y
salidas.



Figura E5.-Diagrama de flujo para la incautacin de un telfono celular.

CONFIDENCIAL 102


ANEXO I PROCEDIMIENTO DE RESPUESTA EN VIVO PARA LA RECOLECCIN DE
EVIDENCIA VOLTIL. (Solomon, 2005).

Preparacin de los medios de almacenamiento y herramientas
Utilice los medios de almacenamiento debidamente preparados para hacer las copias
forenses para asegurarse de que no haya mezcla de datos procedentes de los distintos casos.
Desinfecte todos los medios que va a utilizar en el proceso. Si no puede permitirse nuevos
medios de comunicacin para cada caso, asegrese de que todos los medios anteriores han
sido debidamente esterilizados y que no contiene ningn virus u otros contaminantes. Para
limpiar adecuadamente una unidad, todos los datos deben ser borrados y se sobrescribe. El
proceso de saneamiento escribe a espacio de archivos activos e inactivos, los sectores
defectuosos y las pistas, el espacio entre el final de un archivo y el final de un bloque o sector,
tablas de asignacin de archivos, directorios y mapas bloque.
En algunos casos, la evidencia que sea relevante para un caso puede existir slo
temporalmente. La evidencia se puede perder cuando un equipo es apagado. Esta es la razn
para capturar los datos voltiles antes de desconectar el equipo, obtener una instantnea del
sistema en el momento en que lleg a la escena. Para capturar esta informacin, se debe llevar
a cabo una respuesta en vivo. Siguiendo los siguientes pasos:
1. Recolectar las conexiones de red a otros equipos y los usuarios en el sistema.
2. Si el intruso se encuentra dentro del sistema, determinar los procesos relacionados
con la conexin, capturar el espacio de memoria del proceso, recolectar los archivos
que el proceso est utilizando.
3. Si no se puede determinar una intrusin y el sistema fue iniciado, recolectar los
puertos abiertos y los recursos compartidos.
4. Si no se puede determinar una intrusin y el sistema no fue iniciado capturar la
memoria RAM del sistema.
5. Recolectar listado de procesos y servicios del sistema.
6. Portapapeles, estampas de tiempo archivos de sistema, archivos de inicio, archivos
abiertos.
7. Recolectar listado de puertos abiertos, recursos compartidos y aplicaciones a la
escucha.
8. Perfil del sistema, fecha y hora, tiempo de actividad.
9. Aplicar funcin Hash a los archivos.
10. Transferir los archivos capturados a un medio seguro y corroborar la funcin Hash.
11. Sacar copias de respaldo de la informacin obtenida, con el fin preservar la
evidencia.
12. Si la computadora se requiere de manera inmediata para seguir con el proceso,
desconectar la alimentacin y empacar el equipo.
13. Si la computadora no se requiere de manera inmediata para seguir con el proceso,
Hacer una copia bit a bit de los medios de almacenamiento y establecer el valor de
su funcin Hash. Sacar copias de respaldo de la informacin obtenida, con el fin
preservar la evidencia. Desconectar la alimentacin y empacar el equipo.


CONFIDENCIAL 103




Inicio.
Recolectar
conexiones de red
y de usuarios.
Intruso en el
sistema
SI
Determinar el
proceso
relacionado con la
conexin.
El sistema fue iniciado
No se puede determinar
Recolectar listado
de puertos abiertos
y recursos
compartidos
Si
Capturar el espacio
de memoria de
dicho proceso
Recolectar listado
de archivos
abiertos por dicho
proceso.
Capturar memoria
RAM
NO
Perfil del sistema,
fecha y hora,
tiempo de
actividad.
Recolectar listado de
puerto abiertos,
recursos compartidos
y aplicaciones a la
escucha
Recolectar listado
de procesos y
servicios del
sistema
Portapapeles, estampas
de tiempo archivos de
sistema, archivos de
inicio, archivos abiertos
Aplicar funcin Hash a
los archivos.
Transferir los archivos
capturados a un medio
seguro y corroborar la
funcion Hash.
Sacar copias de
respaldo de la
informacin obtenida,
con el fin preservar la
evidencia.
Se requiere la
computadora?
Hacer una copia bit a bit
de los medios de
almacenamiento y
establecer el valor de
su funcion Hash.
No.
Desconectar la
alimentacin y empacar
el equipo
Si
Sacar copias de
respaldo de la
informacin obtenida,
con el fin preservar la
evidencia.
Fin.

Figura F1.-Procedimiento de respuesta en vivo para la recoleccin de evidencia voltil.

CONFIDENCIAL 104


ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE.
Actualmente existen diferentes modelos para las investigaciones en cmputo forense. En
1955, Mark Pollitt (FBI) desarroll uno de los primero modelos para investigaciones
informticas, Esta consta de cuatro fases: adquisicin, identificacin, evaluacin y admisin de
las pruebas como evidencias (Martnez., 2009).


Figura G1.- Modelo de Mark Pollitt.

El Instituto Nacional de Justicia de EE.UU.AA. (NIJ), considera importantes cuatro pasos,
en un proceso forense: Recoleccin, evaluacin, anlisis y reporte. Sealando que estas fases
pueden ser mas, ya que la evidencia electrnica por su naturaleza enfrenta su admisibilidad en
una corte (National Institute of Justice, 2001).


Figura G2.- Modelo del NIJ.

En el mismo ao, el Digital Forensic Research Workshop (DFRWS), realiz un trabajo
multidisciplinario, donde estableci un modelo para investigacin de cmputo forense, el cual
consiste de siete etapas (Digital Forensic Research Workshop, 2001):


Figura G3.- Modelo de DFRWS.










Adquisicin Identificacin Evaluacin Admisin
Recoleccin Evaluacin Anlisis Reporte
Identificacin Preservacin Recoleccin
Exmen Anlisis Presentacin
Decisin
CONFIDENCIAL 105


En el ao 2003 el Instituto Nacional de Estndares y Tecnologa, publica la Gua para
integrar tcnicas forenses en la respuesta a incidentes (NIST 800-86), donde se proponen las
etapas bsicas del proceso forense:

Figura G4. Modelo del NIST.

En la obra del reconocido investigador Albert J. Marcella Jr., se proponen las etapas del
proceso de investigacin ciberforense (Albert J. Marcella Jr., 2008):


Figura G5.-Modelo de Albert J. Marcella.

Por las etapas que plantea el modelo del Digital Forensic Research Workshop (DFRWS)
en la investigacin de cmputo forense, se tom como la referencia para establecer la
armonizacin con los lineamientos federales en materia de evidencia digital. Sirviendo como la
gua para la implementacin de procesos y procedimientos en evidencia digital de la MCF
propuesta (Digital Forensic Research Workshop, 2001).
Documentacin
Identificacin
Recoleccin o
extraccin
Preservacin
Interpretacin
o anlisis
Comunicacin
Medios Datos Informacin Evidencia
CONFIDENCIAL 106


ANEXO K PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL (Huerta,
2010.)

El objetivo de esta etapa es la bsqueda de datos para comprobar o refutar hiptesis a
cerca del incidente, para lo cual antes de proceder, se debe considerar la intencin y el alcance
de la investigacin, y entre otros puntos importantes:
1. Los aspectos legales.
2. Los lmites de la autoridad del investigador.
3. Las expectativas del solicitante de la investigacin (AMPM).
4. La disponibilidad de recursos para la investigacin.
5. El tipo de reporte solicitado por el AMPM.
6. Los hechos del incidente y lnea de tiempo
Para lo cual se har una revisin de las entrevistas iniciales (ANEXO GUA DE
ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOS DELITOS
INFORMTICOS).

Si se recibe un equipo de cmputo incautado apagado:
1. Encender el equipo.
2. Llevar a cabo a partir del paso 3 al 13 del PROCEDIMIENTO DE RESPUESTA EN
VIVO PARA LA RECOLECCIN DE EVIDENCIA VOLTIL.
3. Contar con la evidencia digital para llevar a cabo el anlisis.
4. Recuperacin de la imagen proporcionada.
5. Corroborar la huella de la funcin hash de la imagen.
6. Anlisis de los volmenes fsicos y lgicos (pruebas de consistencia).
7. Extraccin del contenido de particiones.
8. Recuperacin de particiones eliminadas.
9. Anlisis de la estructura del sistema de archivos.
10. Identificar archivos de configuracin, de aplicaciones y anomalas de
almacenamiento.
11. Recuperacin de archivos eliminados o corrompidos.
12. Recuperacin de archivos en localidades no validas (pistas y sectores no
reconocidas, particiones, espacio no asignado, espacio slack y swap, discos ocultos)
13. Registro de fecha y hora, as como otros meta datos de todos los archivos de la
evidencia (incluyendo los archivos recuperados).
14. Creacin de lnea de tiempo.
15. Disminucin del nmero de archivos a analizar, comparando su resumen MD5 con
una base de datos de archivos conocidos
16. Reconocimiento del tipo de archivos con base a su firma
17. Bsqueda de cadenas de texto en el sistema de archivos (de acuerdo con el caso
que se lleva a cabo: nmero de tarjetas de crdito, nombres de usuarios,
contraseas, direcciones IP, malware, etc.)
18. Bsqueda de imgenes en el sistema de archivos
19. Bsqueda de archivos de internet (actividad registrada, historial, cookies, archivos
temporales, enlaces e imgenes).
20. Bsqueda de cabeceras de correos electrnicos.
21. Bsqueda de informacin escondida (protegidas por contraseas, comprimidos y/o
esteganografa).
22. Bsqueda de archivos recientes.
23. Formular un resumen preliminar de los hallazgos encontrados.

CONFIDENCIAL 107



Inicio.
Encender el equipo.
Bsqueda de
cadenas de texto en
el sistema de
archivos
Formular un resumen
preliminar de los
hallazgos encontrados.
Bsqueda de
imgenes en el
sistema de archivos
Bsqueda de archivos de
internet
Registro de fecha y
hora, meta datos de
archivos de
evidencia
Busqueda de cabeceras
de correos electrnicos.
Busqueda de informacin
escondida
Bsqueda de archivos
recientes.
Recuperacin de
archivos en localidades
no validas
Identificar archivos
de configuracin,
aplicaciones y
anomalas
almacenamiento
Recuperacin de archivos
eliminados o corrompidos
Creacin de lnea de
tiempo
Disminucin del nmero
de archivos a analizar
(MD5)
Reconocimiento del tipo
de archivos con base a
su firma
Recuperacin de
particiones
eliminadas
Contar con la
evidencia digital.
Recuperacin de la
imagen
proporcionada.
Corroborar la huella
de la funcin hash de
la imagen.
Analisis de los
volmenes fsicos y
lgicos
Extraccin del
contenido de
particiones
Llevar a cabo a partir del paso
3 al 13 del PROCEDIMIENTO
DE RESPUESTA EN VIVO
PARA LA RECOLECCIN DE
EVIDENCIA VOLTIL.
Fin.

Figura H1.- Diagrama de flujo para el procedimiento para el anlisis de la evidencia digital

CONFIDENCIAL 108


Si se recibe la imagen de un equipo de cmputo incautado:

1. Llevar a cabo a partir del paso 3 al 23 del Procedimiento para el anlisis de la
evidencia digital.

Si se recibe la imagen de un equipo PDA:
1. Obtener la interfaz (hardware y software) para el sistema especfico.
2. Obtener el perfil del sistema, fecha y hora.
3. Obtener el nmero de tarjeta, nombre y versin.
4. Obtener el fabricante.
5. Obtener el tipo de procesador.
6. Extraer los contenidos de RAM y ROM
7. Aplicar funcin Hash a los archivos.
8. Transferir los archivos capturados a un medio seguro y corroborar la funcin Hash.
9. Hacer una copia bit a bit del medio de almacenamiento y establecer el valor de su
funcin Hash. Sacar copias de respaldo de la informacin obtenida, con el fin
preservar la evidencia.
10. Sacar copias de respaldo de la informacin obtenida, con el fin preservar la
evidencia.
11. Obtener documentos e Informacin de contactos.
12. Aplicar los pasos del 9 al 14 y del 16 al 23 del Procedimiento para el anlisis de la
evidencia digital.


CONFIDENCIAL 109





Inicio.
Obtener la interfaz (hardware y
software)
Hacer una copia bit a bit del medio de
almacenamiento y establecer el valor
de su funcion Hash. Sacar copias de
respaldo de la informacin obtenida,
con el fin preservar la evidencia.
Transferir los archivos capturados a un
medio seguro y corroborar la funcion
Hash.
Extraer los contenidos de RAM y
ROM
Aplicar funcin Hash a los archivos.
Sacar copias de respaldo de
la informacin obtenida, con
el fin preservar la evidencia
Obtener el numero de tarjeta,
nombre y versin.
Identificar el fabricante.
Obtener el tipo de procesador.
Obtener el perfil del sistema, fecha y hora.
Obtener documentos e
Informacin de
contactos.
Aplicar los pasos del 9 al 14 y del
16 al 23 del Procedimiento para el
anlisis de la evidencia digital.
Fin.

Figura H2. Diagrama de flujo para el procedimiento para el anlisis de un PDA.

CONFIDENCIAL 110


ANEXO L RECOMENDACIONES PARA LLEVAR A CABO LA RECOLECCION DE
EVIDENCIAS DIGITALES.

DIRECTRICES PARA LA RECOLECCIN DE EVIDENCIA Y EL ARCHIVO. (Network
Working Group, 2002)

Debido a la volatilidad de la evidencia digital, es necesario establecer un orden para su
recopilacin. De acuerdo con "Directrices para la recoleccin de evidencia y el archivo", se
muestra el orden de volatilidad de un sistema tpico, empezando con el ms voltil:

1. Registros, memoria cache.
2. Tablas de ruteo, cache del ARP, tabla de procesos, estadsticas del kernel,
memoria.
3. Sistemas de archivos temporales.
4. Discos
5. Registros remotos y monitoreo de datos importantes para el sistema.
6. Configuracin fsica, topologa de red.
7. Medios de almacenamiento.

LAS REGLAS DE LA EVIDENCIA (Vacca, 2002)

Hay cinco reglas para la recoleccin de evidencias electrnicas. Estas son cinco
propiedades que las pruebas deben tener para que sean tiles.

1. Admisible.- Es la regla ms bsica (la evidencia prueba debe poder ser utilizada) en el
tribunal o en otras instancias. El incumplimiento de esta norma es equivalente a no
reunir las pruebas en el primer lugar y el costo es mayor.
2. Autntico.- Si usted no puede relacionar las pruebas de manera positiva con el
incidente, no se puede usar para probar algo. Usted debe ser capaz de demostrar que
la evidencia se relaciona con el incidente de manera relevante.
3. Completo.- No es suficiente para reunir evidencias que slo muestra un punto de vista
de los hechos. No slo debe reunir pruebas que puedan demostrar las acciones del
atacante, tambin se puede probar la inocencia de alguien.
4. Seguro.- La evidencia recolectada debe ser confiable. Los procedimientos de
recopilacin y de anlisis no deben poner en duda la autenticidad y veracidad de las
evidencias.
5. Creble.- La evidencia que presente debe ser claramente comprensible y creble por un
jurado.

Utilizando estas cinco reglas, puede derivar algunas cosas bsicas sobre qu hacer y qu
no hacer:

RECOMENDACIONES.

Reduzca al mnimo la manipulacin/corrupcin de los datos originales.- Una vez que
haya creado una copia maestra de los datos originales, no toque el propio original, siempre
maneje copias secundarias. Cualquier cambio realizado en los originales afectar a los
resultados de cualquier anlisis posterior realizado a las copias.

Registre los cambios y mantenga registros detallados de sus acciones.- A veces es
inevitable alteracin pruebas. En estos casos, es absolutamente esencial que la naturaleza, el
alcance y los motivos de los cambios estn documentados. Cualquier cambio, debe ser
CONFIDENCIAL 111


contabilizado no solo por la alteracin de los datos sino tambin por la alteracin fsica de los
originales (por ejemplo, la desinstalacin de los componentes de hardware).

Cumplir con las cinco reglas de evidencia.- Si no las sigue, es probable que gaste tiempo y
dinero. La razn de estas normas es esencial para garantizar la recopilacin de pruebas con
xito.

No exceda su conocimiento .- Si usted no entiende lo que est haciendo, no puede darse
cuenta de cualquier cambio que haga y no puede describir qu exactamente hizo. Solicitar la
ayuda de alguien que conozca el procedimiento.

Siga la poltica de seguridad de la institucin.- Si no cumple con la poltica de seguridad de
la organizacin, usted puede encontrarse con dificultades. Tambin que no se puedan utilizar
las pruebas que haya reunido. En caso de duda, consulte a los que saben.

Capture la imagen del sistema tan exacta como sea posible.- El capturar una imagen
exacta del sistema se relaciona a reducir al mnimo la manipulacin o la corrupcin de los datos
originales, las diferencias entre el sistema original y la copia original cuentan como cambio en
los datos. Usted debe ser capaz de registrar las diferencias

Est preparado para testificar.- Si usted no est dispuesto a declarar sobre la evidencia que
recolect, la prueba se convierte en testimonio de odas, lo cual es inadmisible. Recuerde que
puede que tenga que testificar en un momento posterior.

Asegrese de que sus acciones son repetibles.- Nadie te va a creer si no puede reproducir
sus acciones y alcanzar los mismos resultados. Su plan de accin no debe basarse en prueba y
error

Trabaje rpido.- Cuanto ms rpido sea el trabajo, es menos probable que los datos vayan a
cambiar. Las evidencias voltiles pueden desaparecer completamente si no se recogen en el
tiempo. En cada sistema se debe trabajar en forma metdica. La automatizacin de ciertas
tareas hace que la recoleccin sea an ms rpida.

Comience con la evidencia voltil y siga con la evidencia persistente.- Algunas
evidencias electrnicas son ms voltiles que otras. Siempre se debe tratar de reunir las
pruebas ms voltiles primero (vea Directrices para la recoleccin de evidencia y el archivo)

No apague el sistema hasta haber recolectado las evidencias.- Nunca apague un sistema
antes de recoger la evidencia. No slo se pierde evidencia voltil, sino tambin el atacante pudo
haber instalado caballos de Troya en los scripts de inicio y apagado, los dispositivos Plug-and-
Play pueden alterar la configuracin del sistema y los sistemas de archivos temporales ser
borrados. La reiniciacin es peor y se debe evitar a toda costa. Como regla general, hasta que
se haya terminado el trabajo en el disco comprometido y este restaurado, este nunca debe
utilizarse como un disco de arranque.

No ejecute ningn programa en el sistema afectado .- Debido a que el atacante pudo haber
dejado los programas troyanos y bibliotecas en el sistema, sin que uno se d cuenta, se puede
desencadenar algo que podra cambiar o destruir la evidencia que usted est buscando.
Cualquier programa que utilice debe estar en un medio de slo lectura (como un CD-ROM o un
disco protegido contra escritura), y deben estar vinculados de forma esttica

CONFIDENCIAL 112


ANEXO M PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL. (Casey,
2004), (Solomon, 2005)

En el reporte final, se presenta un resumen detallado de todas las actividades realizadas
en las pruebas periciales, por lo cual debe llevarse un registro cuidadoso de todas las acciones
y observaciones realizadas. En este documento deben explicarse los resultados de las pruebas
y examinaciones, as como las conclusiones a partir de la evidencia. Para ofrecer un punto de
vista transparente al lector el reporte final debe contener los detalles importantes de cada paso,
los protocolos seguidos y metodologa usada para incautar, documentar, recolectar, preservar,
recuperar, reconstruir, organizar y buscar de la evidencia clave. No se debe llegar a
conclusiones sin haber hecho una descripcin completa de la evidencia y el anlisis (Casey,
2004).
Dependiendo la extensin de la informacin que se va a presentar, en la elaboracin del
reporte final se puede incluir toda la informacin o una seleccin relevante. Se debe buscar el
incluir lo ms importante de la informacin y no provocar confusin para el lector o audiencia.
En general el reporte debe contener (Solomon, 2005):

a) El formato debidamente requisitado DOCUMENTACION DEL REPORTE (Ver.
ANEXO Formatos para la aplicacin del CFPP en materia de cadena de custodia)
b) Resumen Ejecutivo.
c) Objetivos.
d) Anlisis de la evidencia.
e) Trabajos realizados en la evidencia (Ver el apndice Procedimiento para el
anlisis de la evidencia digital)
f) Hallazgos relevantes.
g) Documentacin que apoyen la investigacin:
Archivos relacionados con la investigacin del AMPM.
Otros archivos, incluyendo archivos destruidos importantes para la
investigacin (internet, imgenes, documentos).
Bsquedas de cadenas de texto y palabras clave.
Anlisis de la informacin encontrada.
Descripcin de programas relevantes en los artculos examinados.
Las tcnicas empleadas para esconder o enmascarar informacin, tales
como encripcin, esteganografa, atributos ocultos, particiones ocultas y
anomalas en los nombres de archivo.
h) Glosario de trminos.
i) Elaborar el reporte.


CONFIDENCIAL 113


ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOS
INFORMTICOS (National Institute of Justice, 2001)

Herramientas y equipo para la Investigacin en delitos informticos.
Principio: Las herramientas especiales y el equipo pueden requerirse para recoger
evidencias electrnicas. La experiencia ha demostrado que los avances en la tecnologa
pueden determinar cambios en las herramientas y equipo necesario.
La SDN debe tener las herramientas en general para el proceso de escenas del crimen en
general (por ejemplo, cmaras, libretas, blocs de dibujo, formatos de evidencia y cadenas de
custodia, cintas para la escena del crimen, marcadores). Los siguientes son elementos
adicionales que pueden ser tiles en una escena del delito electrnico

Herramientas para documentar
1. Etiquetas para cables.
2. marcadores indelebles de diferentes tipos.
3. Etiquetas adhesivas.
4. Herramientas para desmontaje y desinstalacin

Una variedad de tamaos y tipos no magnticos
1. Desarmadores Philips y planos.
2. Puntas de tuerca hexagonal.
3. Pinzas de punta.
4. Puntas intercambiables de diferentes tipos.
5. Pinzas pequeas.
6. Desarmadores especiales de los fabricantes (por ejemplo, Compaq, Macintosh).
7. Pinzas estndar.
8. Desarmadores de punta de estrella.
9. Cortadores de alambre.

Suministros para paquete y transporte
1. Bolsas antiestticas.
2. Plstico de burbujas antiesttico.
3. Sujetadores de cables.
4. Bolsas de evidencias
5. Cintas para pruebas.
6. Materiales de embalaje (evitar materiales que puedan producir electricidad esttica,
como espuma de polietileno o cacahuates de polietileno).
7. Cinta de embalaje.
8. Cajas robustas de varios tamaos.

Otros artculos
1. Otros puntos que tambin deberan incluirse en el Kit de la herramienta:
2. Guantes.
3. Carretilla.
4. Cintas de goma diferentes tamaos.
5. Lista de nmeros telefnicos para solicitar ayuda.
6. Lupa.
7. Impresora de papel.
8. Discos con capacidad para la incautacin.
9. Linterna.
10. Disquetes y discos (CD, DVD)
CONFIDENCIAL 114


ANEXO O ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL
(National Institute of Justice, 2001)

QUE BUSCAR: USO PRIMARIO. EVIDENCIA POTENCIAL
Sistemas de cmputo.
Normalmente consiste
de una unidad de
procesamiento central
(CPU), dispositivos de
almacenamiento de
datos, un monitor,
teclado y ratn. Puede
estar o no conectado a
una red. Tipos:
Porttiles
De escritorio
De torre
modulares en rack,
minicomputadoras y,
mainframes).

Para todo tipo de
funciones de
computacin y
almacenamiento de
informacin, incluyendo
textos, clculos,
comunicaciones y
grficos.
Las pruebas se encuentran ms comnmente en los
archivos almacenados en discos duros y dispositivos de
almacenamiento y medios de comunicacin.

Algunos ejemplos son:
archivos creados por el usuario:
Libreta de direcciones.
Archivos de e-mail.
Archivos de audio/vdeo.
Archivos de Imagen/grficos.
Registros en Calendarios
Internet (favoritos)
Base de datos
Archivos de hojas de clculo
Documentos o archivos de texto.

Los archivos protegidos por el usuario
Los usuarios pueden cifrar proteger u ocultar, los datos que
son importantes para ellos.
Los archivos comprimidos.
Nombres errneos de archivos.
Archivos cifrados.
Archivos protegidos con contrasea.
Archivos ocultos.
Esteganografa.

Las pruebas tambin se pueden encontrar en archivos y
datos de reas creadas como funcin rutinaria del sistema
operativo.

Archivos creados por la computadora
Copias de seguridad.
Archivos de registro.
Archivos de configuracin.
Archivos de cola de impresin.
Cookies.
Archivos Swap.
Archivos ocultos.
Archivos del sistema.
Archivos del historial.
Archivos temporales.

Otras reas de datos
Clsteres daados.
Fecha, hora y contrasea del sistema.
Los archivos borrados.
Espacio libre.
Particiones Ocultas
Clsteres perdidos.
Metadatos.
Otras particiones
reas reservadas
Espacio slack
Informacin sobre el registro del software
reas del sistema
Espacio no asignado
CONFIDENCIAL 115


Artculos electrnicos que involucran la evidencia digital (continuacin).
Que buscar: Uso primario. Evidencia potencial
Componentes.
Unidades Centrales de Procesamiento (CPU)
A menudo llamado el "chip", es un
microprocesador situado dentro de la
computadora. El microprocesador est
ubicado dentro de la caja en una placa de
circuito impreso con otros componentes
electrnicos.
Realiza todas las
funciones aritmticas y
lgicas en el equipo.
Controla el
funcionamiento de la
computadora.
El dispositivo puede ser evidencia de
robo de componentes, la falsificacin, o
remarcado.
Memoria
Tarjetas de circuito extrables dentro de la
computadora. La informacin almacenada
aqu hay por lo general no se conservan
cuando el equipo
se apaga.
Los programas y datos
para usuarios se
almacenan mientras que
la computadora est en
funcionamiento
El dispositivo puede ser evidencia de
robo de componentes, la falsificacin, o
remarcado.
Dispositivos de control de acceso.
Tarjetas inteligentes, Dongles, escneres
biomtricos
Una tarjeta inteligente es un pequeo
dispositivo de mano que contiene un
microprocesador que es capaz de
almacenar un valor monetario, clave de
cifrado o la autenticacin de la informacin
(contrasea), certificado digital, u otra
informacin. Un dongle es un pequeo
dispositivo que se conecta a un puerto de
la computadora que contiene los tipos de
informacin similar a la informacin en
una tarjeta inteligente. Un escner
biomtrico es un dispositivo conectado a
un sistema informtico que reconoce las
caractersticas fsicas de un individuo (por
ejemplo, huellas dactilares, voz, retina).
Proporciona control de
acceso a las
computadoras o
programas, o funciona
como una clave de
cifrado.
Posibles Pruebas: Identificacin /
autenticacin de la informacin de la
tarjeta y el usuario, el nivel de acceso,
configuraciones, permisos, y el propio
aparato.
Contestadoras automticas

Dispositivo electrnico que forma parte de
un telfono o conectada entre un telfono
y la lnea telefnica convencional.
Algunos modelos utilizan una cinta
magntica o cintas, mientras que otros
utilizan un sistema electrnico (digital) de
grabacin.
Mensajes de registros de
voz de personas que
llaman cuando el
abonado no est
disponible o no responde
a una llamada telefnica.
Nota: Las bateras tienen
una vida limitada, por lo
que los datos pueden
perderse.
Pueden almacenar mensajes de voz y,
en algunos casos, la hora y fecha de
informacin acerca de cundo el
mensaje fue dejado. Tambin puede
contener otras grabaciones de voz:
Informacin de identificacin de
llamadas.
Mensajes eliminados.
ltimos nmeros que llamaron
Memorias
Los nmeros de telfono y nombres
Cintas
Cmaras digitales
Cmara, dispositivo de grabacin digital
de imgenes y de vdeo, con medios de
almacenamiento y equipos relacionados
con la conversin de imgenes y vdeo a
los soportes informticos.
Captura de imgenes y /
o vdeo en un formato
digital que se transfiere
fcilmente a soportes
informticos para la
visualizacin y / o
edicin.
Imgenes
hora y fecha
cartuchos extrables
Vdeo
Sonido.
Dispositivos porttiles (Personal Digital
Assistants [PDA organizadores])
Un asistente personal digital (PDA) es un
pequeo dispositivo que puede incluir
cmputo, telfono, fax, buscador de
personas, redes y otras caractersticas.
Suele utilizarse como un organizador
Cmputo porttil,
almacenamiento y
dispositivos de
comunicacin que
permita el
almacenamiento de
informacin
Libreta de direcciones.
Calendarios e Informacin de citas
Documentos
E-mail
Escritura a mano
Contraseas
CONFIDENCIAL 116


personal. Una computadora de mano se
acerca a la funcionalidad completa de una
computadora. Algunos no contienen
unidades de disco, pero puede contener
ranuras para tarjetas PC, de mdem, disco
duro u otro dispositivo. Por lo general,
incluyen la capacidad de sincronizar sus
datos con otros sistemas informticos.

Nota: Las bateras tienen
una vida limitada, por lo
que los datos pueden
perderse.
Directorio Telefnico
Mensajes de texto
Mensajes de voz.
Discos duros
Una caja sellada que contiene discos,
recubierta con una sustancia capaz de
almacenar datos magnticamente. Puede
encontrarse dentro de la PC, o
independiente.
Almacenamiento de
informacin, como
programas informticos,
textos, imgenes, video,
archivos multimedia, etc.
Ver evidencia potencial en sistemas de
cmputo
Tarjetas de memoria
Los dispositivos removibles de
almacenamiento electrnico, que no
pierden la informacin cuando la energa
se quita de la tarjeta. Incluso puede ser
posible recuperar informacin borrada de
tarjetas de memoria. Se usan en una
variedad de dispositivos, incluyendo
computadoras, cmaras digitales, y PDAs

Proporciona mtodos
adicionales y extrables
de almacenamiento y
transporte de
informacin.
Ver evidencia potencial en sistemas de
cmputo
Mdems
Mdems internos y externos (anlogo,
DSL, ISDN, cable), mdems inalmbricos,
en tarjetas de PC.

Un mdem se utiliza para
facilitar la comunicacin
electrnica al permitir
que acceder a otros
sistemas y / o redes a
travs de una lnea
telefnica, conexin
inalmbrica, o por otro
medio.
El modem por s mismo.
Componentes de red.
Tarjeta de red de rea local (LAN) o tarjeta de
interfaz de red (NIC)

Las tarjetas de red y cables. Las tarjetas de
red tambin pueden ser inalmbricas.
Una tarjeta LAN / NIC se
utiliza para conectar las
computadoras. Las
Tarjetas permiten el
intercambio de
informacin y de
recursos
El dispositivo en s, las direcciones de
acceso MAC (Media Access Control)
Routers, hubs, y switches.

Se utilizan en los sistemas informticos en
red. Proporcionar un medio de conexin
de sistemas o redes diferentes. Con
frecuencia se pueden reconocer por la
presencia de mltiples conexiones de los
cables
Equipo utilizado para
distribuir y facilitar la
distribucin de datos a
travs de redes

Los dispositivos mismos. Para los
routers, los archivos de configuracin.
Servidores
Un servidor es un equipo que proporciona
algn servicio a otros sistemas
conectados a l a travs de una red.
Cualquier equipo, incluido una
computadora porttil, se puede configurar
como un servidor.

Proporciona los recursos
compartidos, como el
correo electrnico,
almacenamiento de
archivos, servicios web
de pginas y servicios de
impresin para una red.
Ver evidencia potencial en sistemas de
cmputo
Cables y conectores de red

Los cables de red pueden ser de diferentes
colores, grosores y formas y tener
conectores diferentes, dependiendo de los
Conectan componentes
de una red de cmputo.

El dispositivo por si mismo
CONFIDENCIAL 117


componentes que estn conectados.
Buscapersonas (Pagers)
Dispositivos electrnicos porttiles que
pueden contener elementos de prueba
voltiles (nmeros de telfono, correo de
voz, correo electrnico).
Los telfonos celulares y asistentes
personales digitales tambin se pueden
utilizar como Pagers.
Para enviar y recibir
mensajes electrnicos,
alfanumricos y nmeros
(nmeros y texto, a
menudo incluyendo
correo electrnico).
Nota: Las bateras tienen
una vida limitada, por lo
que los datos pueden
perderse.

Direccin de la informacin.
Mensajes de texto.
E-mail.
Mensajes de voz.
Los nmeros de telfono.
Impresoras

Los sistemas de impresin, incluyen:
trmica, lser, inyeccin de tinta, impacto,
conectado al sistema mediante cable
(serie, paralelo, bus serie universal (USB),
firewire) a travs de un puerto de
infrarrojos o inalmbricas. Algunas
impresoras contienen un bfer de
memoria, lo que les permite recibir y
almacenar documentos de varias pginas
mientras est imprimiendo. Algunos
modelos tambin pueden contener disco
duro.
Impresin de texto,
imgenes, etc., desde el
sistema al papel
Documentos
Disco duro
Cartuchos de tinta
Identificacin e identificacin de red
Imgenes
Estampas de hora y fecha
Registro del uso del usuarios.
Dispositivos y medios de almacenamiento
extrables

Los medios utilizados para almacenar
informacin electrnica, magntica o
digitales (por ejemplo, disquetes, CD, DVD,
cartuchos de cinta).
Los dispositivos porttiles
pueden almacenar
programas informticos,
textos, imgenes, video,
archivos multimedia, etc.
Ver evidencia potencial en sistemas de
cmputo
Escneres

Dispositivo ptico conectado a un sistema,
que digitaliza un documento y lo enva a la
computadora como un archivo.
Convierte documentos,
imgenes, etc., a
archivos electrnicos,
que se pueden ver,
manipular, o transmitir a
un equipo.

El dispositivo puede ser una prueba.
Tener la capacidad de exploracin
puede ayudar a probar la actividad
ilegal (por ejemplo, la pornografa
infantil, fraude con cheques,
falsificacin, robo de identidad).
Adems, las imperfecciones como las
marcas en el vidrio puede permitir la
identificacin nica de un escner
utilizado para procesar los documentos
Telfonos
Un telfono es un dispositivo, por s
mismo (como los telfonos celulares), o
una estacin base remota (inalmbrico), o
conectado directamente al sistema de
lnea. Se alimenta de una batera interna,
contactos elctricos o directamente del
sistema telefnico.
Comunicacin de dos
vas de un instrumento a
otro, utilizando las lneas
terrestres, radio, los
sistemas celulares, o una
combinacin. Los
telfonos son capaces de
almacenar informacin.

Nota: Las bateras tienen
una vida limitada, por lo
que los datos pueden
perderse.

Muchos telfonos pueden almacenar
nombres, nmeros de telfono e
informacin de identificacin de
llamadas. Adems, algunos telfonos
celulares pueden almacenar
informacin de citas, recibir correo
electrnico y pginas, y puede actuar
como una grabadora de voz.
Informacin de calendarios de citas
Contrasea
informacin de identificacin de
llamadas
Directorio Telefnico
Nmero de Serie Electrnico
Mensajes de texto
E-mail
Correo de voz
Memo
Navegadores web.
CONFIDENCIAL 118



Artculos electrnicos varios
Hay muchos otros tipos de equipos electrnicos que son demasiado numerosos que pueden ser
encontrados en la escena del crimen. Sin embargo, hay muchos dispositivos no tradicionales que pueden ser
una excelente fuente de informacin de investigacin y/o pruebas. Ejemplos de ello son skimmers de tarjetas
de crdito, equipos clonacin de telfono celular, identificadores de llamadas, grabadoras de audio y TV por
Internet. Las mquinas de fax, copiadoras y mquinas multifuncionales pueden tener dispositivos de
almacenamiento internos y puede contener informacin de valor probatorio.

Copiadoras
Algunas mantienen registros de los
accesos de usuarios y de las copias
hechas. Las hay con funcin de escner
con memoria.
Documentos.
Registro de usuarios
Estampas de fecha y hora.
Lectores de tarjetas de banco (Skimmers).
Usado para leer la informacin contenida
en las cintas de tarjetas de plstico

Fecha de vencimiento.
Direccin del usuario.
Nmeros de crdito.
Nombre del usuario.
Relojes Digitales.
Hay relojes de diferentes tipos y
capacidades: con funciones de pagers,
algunos reproductores de audio,
sincronizacin por computadora e incluso
con funcin de telfono celular.
Libreta de direcciones.
Notas.
Calendarios de citas
Nmeros de telfono.
E-mail.
Maquinas de Facsmil (Fax).
Nmeros almacenados de telfonos,
historial de documentos transmitidos y
recibidos. Memoria de paginas escaneadas
o de impresin
Documentos.
Nmeros de telfonos.
Cartucho de pelcula.
Send/receive log.
Global Positioning Systems (GPS)
Proporcionan informacin de rutas de viaje
previas, puntos en los viajes, y rutas.
Algunos guardan automticamente
destinos previos e incluyen los registros
de viajes.
Hogar
Puntos de coordinacin.
Destinos previos
Nombres de escalas en las
rutas.
Registros de viajes.


CONFIDENCIAL 119


ANEXO P QU SE DEBE BUSCAR PARA REALIZAR UN CATEO COMPLETO?
(Campoli., 2006).

Para que un cateo de equipos y sistemas resulte completo y adems integral, se deben buscar
adems las evidencias necesarias, de la existencia de los vnculos entre el sujeto y el equipo,
para lo cual se recomienda buscar, adems de los bienes electrnicos en s mismos, los
siguientes comprobantes que se encuentren en el domicilio a registrar:
Comprobantes de pago y/o facturas de servicio de Internet
Comprobantes de pago y/o facturas del servicio de Luz
Comprobantes de pago y/o facturas del servicio de telfono
Anotaciones de claves de usuario o de correos que pudieran encontrarse en soportes
distintos a los electrnicos (papeles o post-it por ejemplo)
Comprobantes de pago y/o facturas del servicio de conexin satelital (telfono y/o
internet)
Comprobantes de pago y/o facturas de pago del servicio de telefona celular.
Comprobantes de pago y/o facturas del servicio de gas
Comprobantes de pago y/o facturas del servicio de agua
Comprobantes de pago de prediales
Comprobantes de pago de tenencias vehiculares.
Comprobantes de pago y/o facturas de tarjetas de crdito
Comprobantes de operaciones realizadas con tarjetas de crdito o dbito.
Comprobantes emitidos por cajeros automticos.
Listados de estados de cuentas bancarias.
Plsticos o tarjetas de crdito o dbito.
Plsticos de tarjetas de hoteles u otras con banda magntica.
Comprobantes de pago y/o facturas de servicios de localizador (pager o bipper)
Facturas de pago de cualquier comercio o institucin que puedan relacionarse con la
persona o con los nmeros de tarjetas que utiliza o, en su caso con las cuentas
bancarias, telefnicas o de internet que se investigan.
Mecanismos de almacenamiento de imagen de video o esttica (fotografa) como
pueden ser cintas de VHS, fotografas en papel, CD de respaldo de video, memorias tipo
tarjeta, o cualquier otro que pueda eventualmente aportar dicha informacin, los cuales
pueden estar en el mismo lugar de los hechos o bien en habitaciones separadas como
por ejemplo cuartos de video o vigilancia, que incluso pueden ser externos a la empresa
misma, de manera que si existen cmaras de cualquier tipo, necesariamente habr un
respaldo de lo que esos equipos obtienen, por lo que si no se encuentran en el lugar se
debe indagar detalladamente a los presentes sobre la existencia y ubicacin de dichos
medios de almacenamiento de video e imgenes.


CONFIDENCIAL 120


ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO (Montiel, 2002).
Al perito en criminalstica que le corresponda asistir al lugar de los hechos o hallazgos
deber verificar lo siguiente al llegar:
1. Anotar la hora de arribo.
2. Estado del tiempo y condiciones del lugar.
3. Localizacin del lugar, orientacin y dimensiones (usar un instrumento de
orientacin y medida para mayor exactitud).
4. Verificar visual y verbalmente si ha sido conservado el lugar despus de
descubierto el hecho, o si alguien toc o movi algo.
5. Establecer o recomendar aplicar las reglas de proteccin al escenario en
interiores y exteriores.
6. Recomendar al equipo de investigacin las normas establecidas para iniciar y
desarrollar eficientemente las investigaciones cientficas del caso.
El criminalista, el AMPM y Polica Judicial, cumplirn los pasos de la metodologa general
de investigacin criminalstica en el lugar de los hechos.
1. Proteccin del lugar de los hechos.
2. Observacin del lugar.
3. Fijacin del lugar.
4. Coleccin de indicios (que comprenden el levantamiento, embalaje y etiquetado).
5. Suministro de indicios al laboratorio

1. Proteccin del lugar de los hechos.
De vital importancia. Puede implicar el fracaso de toda la investigacin.
Objetivo: se procura conservar en su forma primitiva cada una de las evidencias
existentes, para que las pesquisas sean oportunas y verdicas y estar en la posibilidad de
reconstruir el hecho lo ms apegado a la realidad.
Por lo cual se debe cumplir con las siguientes reglas:
1. Llegar con rapidez al lugar, desalojar a los curiosos y establecer el cordn de
proteccin.
2. No mover ni tocar nada, ni permitirlo, hasta que este no haya sido examinado y
fijado en el lugar.
3. Seleccionar las reas por donde se va a caminar, con objeto de no alterar o borrar
los indicios.
Las autoridades responsables de la proteccin y preservacin son aquellas que tienen el
primer contacto con el lugar, siendo la Polica Judicial, mientras llega el AMPM y los peritos.

Lugares Abiertos
Los lugares abiertos se delimitarn en un dimetro aproximado de 50 metros a partir del
ltimo indicio.

Lugares Cerrados
En lugares cerrados (interior de las oficinas, dependencias o instalaciones militares) se
protegern todas las vas de acceso, (puertas y ventanas), en caso de estar cerradas
permanecern de esa forma, si se encuentran abiertas se vigilarn hasta que los expertos
intervengan.

2. Observacin del lugar.
La observacin ser de manera reiterada y deliberada, con el fin de poder capar toda la
informacin posible indiciaria y asociativa al suceso. Persiguiendo el siguiente:


CONFIDENCIAL 121


Objetivos:
Reconocer si el lugar de los hechos es el original, o si existen sitios asociados a
investigar.
Localizar las evidencias fsicas asociadas al hecho (identificadoras y
reconstructoras).
Hacer reflexiones inductivas y deductivas in situ con el objeto de formar un juicio
sobre el acontecimiento y poder emitir opiniones.
Debe razonarse sobre los siguientes puntos, que podran causar confusin y no llegar a
los resultados esperados:
1. Capacidad y habilidad del perito.
2. Los mtodos de observacin a aplicarse.
3. Las tcnicas instrumentales de apoyo.
4. El cuerpo de conocimientos a desarrollar.
5. El mtodo para registrar la informacin que se va a obtener.
Por lo que se recomiendan los siguientes mtodos.

Mtodos para lugares cerrados (como en el caso de un delito informtico).
1. Desde la entrada del inmueble se dirige la vista al interior del inmueble,
abanicando con la mirada de derecha a izquierda y viceversa cuantas veces sea
necesario, recibiendo la informacin indiciaria general de las caractersticas del
hecho.
2. De acuerdo con la informacin preliminar que se va recibiendo, habr de acercarse
al centro mismo del lugar de los hechos seleccionando por donde iniciara el
desplazamiento.
3. A partir del centro iniciara el riguroso examen del indicio principal, poniendo
atencin especial en identificar lo ms posible en relacin al indicio.
4. Despus, en forma de espiral deben observarse todas las reas cercanas y
distantes alrededor del indicio principal, efectuando el desplazamiento en espiral,
observando cada pulgada del piso o soporte y muebles hasta llegar a la periferia.
5. Finalmente, se examinaran los muros, puertas, ventanas y techo, dirigiendo la
vista de arriba hacia abajo y viceversa, sin que quede nada por revisar.
6. Conforme se vayan descubriendo los indicios asociativos se darn las indicaciones
para que sean tomadas todas las fotografas necesarias con testigo mtrico, las
cuales se irn describiendo manuscrita y planimtricamente.
7. En relacin aparte, se anotaran la ausencia de evidencias que, de acuerdo en las
caractersticas del hecho, se supona deban encontrarse y no fueron halladas, as
como los indicios sospechosos en el escenario del hecho.
8. Cuando sea necesario deber auxiliarse de instrumentos de aumento para una
mejor observacin de las evidencias

Mtodo para lugares abiertos.
1. Previamente el rea protegida por lo menos 50 metros de dimetro, tomando como
centro el sitio exacto del suceso, se observa primeramente en forma preliminar
desde un punto perifrico, abanicando con la vista de un lado a otro hasta percibir
la informacin general que se desea.
2. Una vez seleccionadas las reas por donde se realizara el desplazamiento, habr
que ubicarse en el centro mismo del lugar de los hechos y proceder a examinar el
indicio principal.
3. A continuacin, dirigiendo la vista en forma de espiral, se examinan todas las
reas cercanas y distantes alrededor del indicio principal hasta llegar a la periferia.
4. En caso de existir una duda, se repite la operacin de la periferia al centro, hasta
tener la seguridad de que nada haya quedado inadvertido. Tambin en este caso
CONFIDENCIAL 122


se puede recurrir a instrumentos de aumento o identificacin.


Ejemplo grafico del mtodo de observacin para lugares cerrados, sobre un dibujo
planimtrico de Kenyeres con abatimiento de muros.

.

Ejemplo grafico del mtodo de observacin para lugares abiertos, con un croquis simple

CONFIDENCIAL 123


3. Fijacin del lugar de los hechos.
Esta se aplica por medio de las siguientes tcnicas:
1. Descripcin escrita.
2. Fotografa forense.
3. Planimetra forense.
4. Moldeado.
Con la fijacin del escenario del suceso, se logra registrar general y particularmente el
lugar y sus evidencias, con objeto de plasmar su situacin y caractersticas materiales para
efectos de investigacin cientfica.
La fijacin del lugar de los hechos es imprescindible en todos los casos de investigacin
de hechos presuntamente delictuosos, donde se considera necesario el registro general y
particular del escenario del suceso, de tal forma que las descripciones escritas, las fotografas,
los dibujos planimtricos o croquis simples y el moldeado que se elaboren puedan fijar e ilustrar
en cualquier momento sin la necesidad de regresar al lugar del acontecimiento, y, por otra
parte, anexados al dictamen o informe pericial, ilustran a los rganos investigador y
jurisdiccional.

Objetivos:
La descripcin escrita y detallada del lugar del suceso y sus evidencias por medio de
registros manuscritos.
La fotografa seala los detalles y particularidades del escenario y de las evidencias
fsicas asociadas al hecho.
El dibujo planimtrico o croquis precisa las distancias entre indicios, puntos de referencia
y evidencias fsicas, tambin muestra una imagen superior del escenario.

Recomendaciones.
Para realizar adecuadamente la fijacin del lugar de los hechos hay que apoyarse en los
sentidos de la vista, odo y olfato, dejando al final el tacto, que se utilizar para la idnea
coleccin o levantamiento de los indicios.
No se recomienda aplicar el sentido del gusto, ya que es un procedimiento demasiado
emprico, adems de que para identificar sustancias o indicios indeterminables se cuenta con el
laboratorio de Criminalstica, con tcnicas forenses identificativas, cualitativas, cuantitativas y
comparativas.

Descripcin escrita.
La descripcin escrita es til para detallar en forma general y particular las caractersticas
del lugar de los hechos, sus evidencias y dems manifestaciones materiales.
Conforme se examina el escenario y se toma conocimiento de su situacin se va
describiendo la estructura externa y consecuentemente la interna, as como la ubicacin, tipo,
caractersticas, dimensiones y situacin de los cadveres, cosas, objetos, muebles,
instrumentos e indicios en general que se encuentren en el sitio inspeccionado.
Para lo anterior se recomiendan los siguientes pasos metdicos, ya sea para lugares
abiertos o cerrados:
Describir manuscritamente de lo general a lo particular, todas las reas exteriores,
as como las interiores.
A continuacin, de la vista de conjunto al detalle.
Describir del detalle a los pequeos detalles y sus particularidades.
Las descripciones escritas deben coincidir en: a) el tipo de indicio, b) dimensiones, c)
caractersticas, y d) situacin de todas aquellas evidencias fsicas que se registren en las
diligencias y dibujos planimtricos.


CONFIDENCIAL 124


4. Fotografa forense.
La fotografa seala detalles y particularidades del escenario y de sus evidencias y
manifestaciones materiales; en igual forma, conforme se va examinando y describiendo el lugar
se irn tomando las fotografas necesarias de todas las cosas, muebles, cadveres, inmuebles,
terrenos e indicios asociativos.
Los peritos fotgrafos deben intervenir en el sitio inspeccionando antes de que sean
tocados o movidos los indicios y cadveres, con objeto de plasmar en las grficas la situacin
primitiva del escenario y de todas las evidencias asociadas al caso sujeto a investigacin, ya
sea que se trate de muertes violentas, robos, explosiones, incendios, derrumbes, colisiones de
vehculos, y todos aquellos hechos o siniestros que deben ser investigados.
Las fotografas que se deben tomar del lugar de los hechos se dividen en cuatro tipos:
1. Vistas generales: Debern tomarse placas que proyecten vistas generales del
lugar desde cuatro ngulos diferentes, utilizando el gran angular
2. Vistas medias: Despus debern tomarse series completas de medianos
acercamientos que relacionen muebles, objetos, instrumentos y cuerpos,
cambiando de posicin.
3. Acercamientos: Consecuentemente, se tomarn placas de acercamientos que
exhiban los indicios asociados con su testigo, mtrico.
4. Grandes acercamientos: Finalmente se tomarn grficas de grandes
acercamientos que sealen las particularidades de los indicios asociativos.
En conclusin, "Un grabado vale ms que mil palabras", y en la investigacin
criminalstica se deben obtener las fotografas necesarias que puedan describir por s solas el
sitio de los hechos y sus evidencias, o, en su caso, otras evidencias sometidas a estudios
grafoscpicos, balsticos, dactiloscpicos. etc., de tal manera que cualquier persona que vea las
grficas pueda captar con precisin los indicios y sus caractersticas y establecer sus hiptesis
o reflexiones inductivas y deductivas.

5. Planimetra forense.
El dibujo forense, ya sea con el croquis simple para lugares abiertos o con la planimetra
para lugares cerrados, precisa fundamentalmente distancias entre un indicio y otro, o entre un
punto de referencia y los indicios; asimismo, muestra una vista general superior muy completa
del escenario.
Cuando se trata de esquematizar recintos cerrados se recurre a la planimetra de
KENYERES (hngaro que la ide), donde resulta necesario tomar medidas exactas para situar
las caractersticas generales y particulares del lugar de los hechos, obteniendo un croquis claro
y completo con los muros y techo abatidos (Ver Fig. Planimetra forense de Kenyere).

6. Coleccin de indicios. Las evidencias fsicas o indicios asociativos se pueden encontrar
en el lugar de los hechos, ya sea en posesin de la vctima, cercanas o distantes a ella, o,
en su caso, en posesin del autor del hecho cuando ste es detenido de inmediato en el
propio sitio, en sus ambientes o en otros sitios de investigacin.
Una vez protegido, observado y fijado el escenario del suceso, puede realizarse la
coleccin de los indicios asociados al hecho, observando tcnicas para el levantamiento y con
el uso de guantes y otros instrumentos, de acuerdo a lo que se vaya a levantar.

Objetivo: Reunir todas las evidencias materiales asociativas identificadoras y
reconstructoras con objeto de estudiarlas y procesarlas cientficamente y utilizarlas como
elementos de prueba.

Reglas a seguir:
a. Levantar toda evidencia fsica, siendo preferible pecar por exceso que por defecto.
b. Manejarla slo lo estrictamente necesario, a fin de no alterarla o contaminarla.
CONFIDENCIAL 125


b. Evitar contaminarla con los instrumentos que se utilizan para su levantamiento, los
cuales debern ser lavados meticulosamente antes y despus de su uso.
c. Levantarla por separado, evitando mezclarla.
d. Marcarla en aquellos sitios que no ameriten estudio ulterior.
e. Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.

Suministro de indicios al laboratorio. Finalmente se realiza el suministro al laboratorio de
criminalstica o del servicio mdico forense, de las evidencias que se tengan y que se hallan
coleccionado y fijados en el escenario del suceso, de la vctima, del autor del hecho y de otros
sitios cercanos o distantes de investigacin, dependiendo de las circunstancias en la comisin
del ilcito que se investiga.

En la investigacin criminalstica slo los funcionarios avocados al caso pueden
suministrar los indicios asociados al hecho al laboratorio de Criminalstica para su estudio, o en
su caso, cuando se trate de investigaciones mdico-forenses y tengan que ser entregadas al
Servicio Mdico Forense, tambin sern los funcionarios avocados al caso los autorizados para
el suministro. Generalmente quienes lo hacen son: el criminalista o perito respectivo, la Polica
Judicial, el personal del Ministerio Pblico y el mdico forense, previamente consignadas las
evidencias en las diligencias ministeriales, periciales, policiales o judiciales



Fig. Planimetra forense de Kenyeres.


CONFIDENCIAL 126


ANEXO R GUA DE ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOS
DELITOS INFORMTICOS (ACPO, 2009).


GUA DE ENTREVISTA PARA LOS SOSPECHOSOS
INVOLUCRADOS EN LOS DELITOS INFORMTICOS.
(Firmar todas las hojas en el margen derecho el entrevistador y el
entrevistado)
No. averiguacin previa:

Grado y nombre del entrevistador.


Lugar:

Unidad, Dependencia o Instalacin:

Z.M.

No. registro (folio)

Fecha y hora de llegada:



INFORMACIN BSICA SOBRE EL EQUIPO Y SU USO

1. Qu tipo de computadora tiene? (Marca, modelo, especificacin del procesador, tamao de disco
duro, la cantidad de memoria)
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
2. Cunto tiempo la ha tenido?
______________________________________________________________________
3. La compr nueva?
______________________________________________________________________
4. Cundo y dnde lo compr, cunto pag por ella?
______________________________________________________________________
5. Qu sistema operativo tiene? (Pregunte qu versin de Windows por ejemplo, 95, 98, ME, 2000, XP
(Home o Pro), Vista (Home Basic, Home Premium, Business, Ultimate), Linux (varias versiones),
MacOs (sistema 1.7, OS 8, 9, X)
______________________________________________________________________
6. Qu software tiene instalado?
______________________________________________________________________
7. Qu software se utiliza con regularidad?
______________________________________________________________________
8. Quin instal este software?
______________________________________________________________________
9. De dnde obtuvo el software? (Comprado en la tienda, prestado de un amigo, copiado en el trabajo,
comprado y descargado en lnea, descargado y crackeado)
______________________________________________________________________
10. Quin tiene acceso a la computadora? (otros usuarios y visitantes al lugar) Si hay alguien, detalles
de nombres, horarios, fechas, objeto, etc.
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
11. Estas personas tienen diferentes cuentas de usuario?
______________________________________________________________________
12. Cmo se accede a las cuentas, nombres de usuario, contraseas, quien las configura?
______________________________________________________________________
13. Si hay usuarios - Los usuarios tienen sus propios nombres de usuario o se conectan utilizando los

CONFIDENCIAL 127


datos de los dems?
______________________________________________________________________
______________________________________________________________________
14. (Si el sospechoso tiene ms de un computadora) Estn las computadoras conectadas entre s de
alguna manera? (Cable directo, en red)
______________________________________________________________________
15. Quin configur la conectividad?
______________________________________________________________________
16. Utilizas router inalmbrico?
______________________________________________________________________
17. Si es as, quien lo configur?
______________________________________________________________________
18. Cmo se configura la seguridad? (WEP, WPA)
______________________________________________________________________
19. Cul es el nombre de usuario y contrasea para la configuracin del (los) router(s)?
______________________________________________________________________
20. Configur el router en modo alguno en particular? (Bloqueo de sitio, las reglas del cortafuegos, los
puertos especiales, DMZ, acceso remoto)
______________________________________________________________________

ALMACENAMIENTO DE DATOS

21. Si guarda algunos archivos o datos de su equipo, dnde los guarda? (Disco duro del computadora
(puede ser ms de uno), carpetas - Mis documentos, Mis imgenes, Mis descargas, cmo organiza
lo que se guarda en carpetas, cuales son los nombres de las carpetas) }
______________________________________________________________________
______________________________________________________________________
22. Utiliza una unidad USB (disco USB, unidad flash, memory stick)?
______________________________________________________________________
23. En caso afirmativo, es protegido por contrasea, los detalles, se ejecutan los programas desde la
unidad USB?- detalles y por qu
______________________________________________________________________
24. Usted utiliza cualquier medio externo? (Disquetes, CD, discos zip, unidad jazz, unidad de disco duro
externa, compact flash, SmartMedia, memoria USB, Microdrive)
______________________________________________________________________
______________________________________________________________________
25. Si se almacena en CD - Qu software se utiliza para copiar archivos a CD's? (Conocido a menudo
como quemador de CD's)
______________________________________________________________________
26. Guarda los archivos de forma remota a travs de Internet o algn otro equipo remoto?
______________________________________________________________________

OTROS DISPOSITIVOS CONECTADOS A SUS EQUIPOS
27. Tiene todo el hardware conectado o utilizado por la computadora? (Impresora, escner, cmara
web, cmara digital, equipo de edicin de vdeo)
______________________________________________________________________
______________________________________________________________________
28. Quin configura cada artculo?
______________________________________________________________________
29. Qu es lo que usa en cada artculo y la frecuencia?
______________________________________________________________________
______________________________________________________________________
30. Dnde almacena normalmente los datos registrados por alguien de estos equipos? (CD, disquete,
disco duro, de forma remota)
______________________________________________________________________
______________________________________________________________________
31. Si se almacena en el disco duro, en qu directorios o carpetas se almacenan los archivos y los
nombres de archivo lo usa.
______________________________________________________________________
______________________________________________________________________

CONEXIN A INTERNET
32. Tiene acceso a Internet?
CONFIDENCIAL 128


______________________________________________________________________
33. Para qu se utiliza el Internet?
______________________________________________________________________
34. Con qu frecuencia se utiliza?
______________________________________________________________________
35. Cmo se conecta a Internet? (Acceso por lnea telefnica por mdem, cable/banda ancha, acceso
por TV, satlite, mvil, acceso en el trabajo o a travs del trabajo, marcacin directa)
______________________________________________________________________
36. Quin es el proveedor? (AOL, BT Internet, Tiscali, Virgin, etc., puede utilizar ms de uno)
______________________________________________________________________
37. Paga usted por esto? y si es as cmo? (Gratuito, transferencias, tarjetas de crdito, pago nico)
______________________________________________________________________
38. Nombres de usuario para iniciar sesin en el Internet?
______________________________________________________________________
39. Cules son sus contraseas? (Considere pedir consentimiento por escrito de analizar las cuentas
de correo electrnico en lnea al conectarse y utilizar el nombre de usuario y contrasea)
______________________________________________________________________

EMAIL
40. Tiene cuentas de correo electrnico, que direcciones? (En el formato
somesortofname@company.domain, por ejemplo, billysmith@hotmail.com, john@roman.co.uk,
i_ate_your_cat@msn.com)
______________________________________________________________________
______________________________________________________________________
41. Qu software se utiliza para leer su correo electrnico? (Internet Explorer o Firefox, de lo contrario
Outlook, Outlook Express, Windows Mail, Eudora, Pegasus, Forte Agent, AOL, etc.)
______________________________________________________________________
______________________________________________________________________
42. Hay alguien ms utilice el equipo para el correo electrnico?
______________________________________________________________________
43. (En caso afirmativo los detalles de la persona (s) y respuestas a las preguntas anteriores)
______________________________________________________________________
______________________________________________________________________

CHAT ONLINE
44. Utiliza Internet para chat o mensajera instantnea?
______________________________________________________________________
45. Qu software se utiliza? (MSN Messenger, Yahoo Messenger, ICQ, MIRC, etc.)
______________________________________________________________________
46. Que salas de chat utiliza?(Es necesario saber quin presta el servicio y el nombre de la sala de chat,
MSN podra ser el proveedor de servicios y la sala de chat puede ser "dolos adolescentes pop", o
puede usar un chat en particular como servidor de DALnet-irc.dal.net y unirse a un canal como #
fragglerock)
______________________________________________________________________
______________________________________________________________________
47. Utiliza en chat en privado, en caso afirmativo, cmo se acuerda esto? (Puede ser a travs de
contactos o lista de contactos y sern notificados cuando el contacto est conectado, o podr
reunirse en grupo pblico y luego acudir al chat privado o crear su propio grupo).
______________________________________________________________________
______________________________________________________________________
48. Cul es su pasaporte o nombre de usuario y la contrasea de su programa de mensajera
instantnea? (No es raro que la gente tenga varios pasaportes)
______________________________________________________________________
49. Si utiliza un programa de mensajera instantnea, cul es su nombre para mostrar y mensaje
personal (Con qu frecuencia lo cambia, porqu, qu cambios ha hecho)
______________________________________________________________________
______________________________________________________________________
50. Qu apodos usas en el chat?
______________________________________________________________________
51. Utiliz alguna vez el chat en webcam? (En caso afirmativo, explique los detalles)
______________________________________________________________________
______________________________________________________________________
52. Intercambi archivos con otras personas mientras estn en el chat? (Explique cmo funciona esto,
CONFIDENCIAL 129


qu sucede cuando alguien enva un archivo?, tiene la opcin de rechazar el archivo?, dnde
almacena los archivos?)
______________________________________________________________________
______________________________________________________________________

INTERNET

53. Qu software se utiliza para navegar por Internet? (Microsoft Internet Explorer y Mozilla Firefox son
los dos principales, pero hay muchos otros)
_____________________________________________________________________
54. Qu sitios visita con regularidad?
_____________________________________________________________________
55. Cmo encuentra o elige los sitios a la vista? (Motores de bsqueda, los anuncios de correo basura,
las recomendaciones de chat, revistas de informtica, peridicos, revistas porno)
_____________________________________________________________________
56. Qu motores de bsqueda se utilizan? (Existen muchos - Google, Yahoo, MSN, AOL, Ask)
_____________________________________________________________________
57. Guarda los sitios favoritos? (Enlaces a sitios que pueden ser revisados en una fecha posterior) Si es
as Cmo estn organizados? (Algunas personas no se organizan y tienen una larga lista, otros los
descomponen en subcategoras)
______________________________________________________________________
______________________________________________________________________
58. Guarda usted copias de los favoritos o tiene una copia accesible en lnea?
______________________________________________________________________
______________________________________________________________________
59. Utiliza alguna barra de herramientas de complementos o tiene asistentes de bsqueda en el
navegador? (Una gran cantidad de motores de bsqueda tienen barras de herramientas por ejemplo,
Google, MSN, Yahoo)
______________________________________________________________________
______________________________________________________________________
60. Su navegador tiene un bloqueador de ventanas emergentes, o instal un bloqueador de ventanas
emergentes?
______________________________________________________________________
______________________________________________________________________
61. Ha creado sitios Web?
______________________________________________________________________
______________________________________________________________________
62. Dnde?, cul es la url, se paga o gratuita?, cul es el contenido?, cunto tiempo lo ha estado
haciendo?, qu software se utiliz para crear el sitio?, qu software se utiliza para cargar la pgina
al servidor web? contraseas y nombres de usuario? (Para todos los sitios que requieren registro de
usuario o para cualquier sitio web que requieren nombre de usuario y contrasea para subir archivos
a un sitio web)
______________________________________________________________________
______________________________________________________________________

DESCARGA DE ARCHIVOS.

63. Guarda o descargar archivos o imgenes de los sitios web?
______________________________________________________________________
______________________________________________________________________
64. Explicar cmo se hace esto? (Paso a paso y dnde estn los archivos almacenados)
______________________________________________________________________
______________________________________________________________________
65. Ha visitado sitios web protegidos por contrasea para descargar archivos, cuales son los detalles?
______________________________________________________________________
66. Utiliza grupos de noticias?
______________________________________________________________________
67. Para qu y qu cuales? (Hay decenas de miles de personas con todo tipo de intereses, los nombres
pueden ser explcitos, como alt.binaries.underage.sex o ms sutiles como alt.fan.prettyboy, pueden
ser utilizados para la discusin de temas de inters o para compartir imgenes y otros archivos)

_________________________________________________________________________
68. Cmo accede a los grupos de noticias? (Puede ser mediante el uso de un navegador web, en caso
CONFIDENCIAL 130


afirmativo en qu sitios se utiliza (gratuito o pagado). De manera alterna mediante qu software -
Outlook Express, Forte Free Agent, NewBinPro)
______________________________________________________________________
______________________________________________________________________
69. Utiliza programas para compartir archivos?, en caso afirmativo cules? (Morpheus, Kazaa,
Bearshare, Grokster, Mirc File Server, estas personas pueden buscar y compartir todo tipo de
archivos)
______________________________________________________________________
______________________________________________________________________
70. Qu contraseas y nombres de usuario utiliza?
______________________________________________________________________
______________________________________________________________________
71. Qu archivos descarg usando el software para compartir?
______________________________________________________________________
72. Puso archivos disponibles en el equipo para que otros puedan compartir? (Qu carpetas se
comparten)
______________________________________________________________________
______________________________________________________________________
73. Usted ha utilizado ningn tipo de control remoto o software de acceso remoto para que pueda
controlar y acceder a su computadora desde otro lugar? (Uso de Windows Terminal Services,
Asistencia Remota o Escritorio remoto o el software como Laplink o PC Anywhere, VNC, o servicios
basados en web como GoToMyPC o LogMeIn)

EQUIPO DE SEGURIDAD
(Tenga en cuenta que antes era comn tener aplicaciones independientes de software para tratar por
separado los diversos aspectos de la seguridad informtica - Antivirus, Firewall, eliminador de
SpyWare, pero ahora ellos vienen a menudo en un solo paquete como centro de seguridad ".)
74. Hay un programa antivirus instalado en el equipo?
______________________________________________________________________
75. (En caso afirmativo, cundo se instal? Qu programa es?)
______________________________________________________________________
76. Est siempre activo, hace los anlisis programados, escaneo del acceso, y analiza el correo?
______________________________________________________________________
77. Mantiene actualizado la base de virus, con qu frecuencia? (Los virus nuevos se crean cada da por
lo que el software antivirus debe tener sus archivos actualizados con frecuencia para asegurarse de
que puede identificar nuevos virus, la mayora del software lo har automticamente)
______________________________________________________________________
78. Ha tenido un virus en su computadora?
______________________________________________________________________
79. Detalles, cundo, de qu se trataba y cmo se elimino.
______________________________________________________________________
80. Tiene algn Firewall instalado, ya sea hardware o software? (Destinado a la prevencin de intrusin
en el computadora desde Internet y evitar que el software malicioso en su computadora provea
acceso abierto a travs de Internet)
______________________________________________________________________
______________________________________________________________________
81. Detalles, marca y modelo del hardware, nombre del software y la versin, cuando se instal?
(Zonealarm, McAfee, Norton, XP tienen un firewall si el usuario lo habilita).
______________________________________________________________________
______________________________________________________________________
82. Tiene un eliminador de malware o spyware? (Windows Defender, Spybot, Ad-Aware)
______________________________________________________________________
83. Utiliza algn software para eliminar archivos o borrar fragmentos de archivos? (BCWipe, PGP y
otros pueden eliminar los archivos y luego escribir sobre el espacio que ocupaban de manera que los
archivos borrados no se puedan recuperar)
______________________________________________________________________
______________________________________________________________________
84. Por qu utiliza este software?
______________________________________________________________________
85. Desfragmenta el disco duro?
______________________________________________________________________
86. (En caso afirmativo) Con que propsito? (Otro mtodo para limitar la probabilidad de recuperar
archivos borrados)
CONFIDENCIAL 131


______________________________________________________________________
87. Utiliza usted algn tipo de cifrado? (En caso afirmativo) Qu software utiliza? (BestCrypt,
TrueCrypt, PGP, Private Folders, etc)
______________________________________________________________________
88. Por qu utiliza el cifrado?
______________________________________________________________________
89. Qu contraseas usa, estn almacenadas en alguna parte? (Puede ser escrita en papel o
almacenado en un soporte flexible o de otro tipo)
______________________________________________________________________
______________________________________________________________________
90. Utiliza algn software o mtodos para cubrir sus pistas al utilizar el Internet? (Existen muchos -
Evidence Eliminator, Windiw Washer, System Cleaner, Winnow Cleaner)
______________________________________________________________________
91. Si es as explicar lo que son y por qu lo hace.
______________________________________________________________________

EXCUSAS MS COMUNES.

Las imgenes fueron enviadas a m sin solicitarlas.
1. Quin se los envi?
2. Cuando se los enviaron?
3. Con qu frecuencia pasa esto?
4. Qu hace al respecto?
5. Hizo una queja a la persona que los envi, el ISP, la polica, nadie?
6. Qu hace para deshacerse de las imgenes?

Es parte de un proyecto de investigacin?
1. Cunto tiempo lleva en la realizacin del proyecto?
2. Cul es el propsito del proyecto?
3. Es financiado y en caso afirmativo por quin?
4. Quin ms lo sabe?
5. Qu ha escrito en torno a ella hasta el momento?

Estaba reuniendo informacin para informar a la polica
1. Por qu?
2. Cunto tiempo ha reunido la informacin?
3. A quin has hablado de ello?
4. Ha informado nada de esto a la polica u otro organismo?



CONFIDENCIAL 132


ANEXO S DEFINICIONES
ACORDONAMIENTO.- Es la accin de delimitar el lugar de los hechos o del hallazgo,
mediante el uso de cinta, cuerdas o barreras naturales, como el rea presumible en donde se
cometi el delito.
ALMACENAMIENTO.- Es el depsito de los indicios o evidencias en los lugares
previamente establecidos con caractersticas mnimas necesarias, para la conservacin de los
mismos durante el tiempo necesario y garantizar la Cadena de Custodia o bien durante el
tiempo que sea ordenado por la autoridad competente.
AMPM.- Es el agente del Ministerio Pblico Militar que conoce de los hechos delictivos.
CADENA DE CUSTODIA.- El procedimiento de control que se aplica al indicio o evidencia
material ya sea vestigio, huella, medio de comisin, objeto material o producto relacionado con
el delito, desde la localizacin por parte de una autoridad, polica o agente del Ministerio
Pblico, hasta que la autoridad competente ordene su conclusin, segn se trate de la
averiguacin previa o el proceso penal.
CFPP.- Cdigo Federal de Procedimientos Penales.
EMBALAJE.- Son las tcnicas de manejo adecuadas y de conservacin que se hacen
para guardar, inmovilizar y proteger un indicio o evidencia, dentro de algn recipiente protector
adecuado para la naturaleza del mismo, con el objeto de mantener su integridad para su
posterior estudio y anlisis.
INDICIO O EVIDENCIA.- Son las huellas, vestigios y dems elementos materiales del
hecho delictuoso, que puedan encontrarse en el lugar de los hechos y/o lugar del hallazgo y que
por sus caractersticas existe la probabilidad de que tenga alguna relacin con la comisin del
delito que se investiga.
LUGAR DE LOS HECHOS.- Es el espacio material o escena del crimen, donde
presuntamente se cometi el delito que se investiga y que por ello puede contar con evidencias
relacionadas con la investigacin.
CONFIDENCIAL 133


LUGAR DEL HALLAZGO: Es el espacio material, donde se encuentran elementos que
pueden ser considerados como evidencias, en la integracin de una investigacin por la
comisin de un delito.
PERITO: Especialista o experto en una ciencia arte u oficio.
POLICIA.- La Polica Judicial estar bajo la autoridad y mando del Ministerio
Pblico y se compondr:
I. DEROGADO;
II. De un cuerpo permanente;
III. De los militares que en virtud de su cargo o comisin, desempeen
accidentalmente las funciones de polica judicial.
La polica judicial permanente, se compondr del personal que designe la
Secretara de Guerra y Marina, y depender directa e inmediatamente del Procurador
General de Justicia Militar.
La Polica Judicial a que se refiere la fraccin III, se ejerce:
I. Por los Jefes y Oficiales del Servicio de Vigilancia;
II. Por los Capitanes de Cuartel y Oficiales de Da;
III. Por los Comandantes de Guardia;
IV. Por los Comandantes de Armas, Partidas o Destacamento.
Arts. 47, 48 y 49 del Cdigo de Justicia Militar.
RCC.- Registro de cadena de custodia es el formato o formatos en el que se asentarn
nombres y firmas de los servidores pblicos y dems personas que de manera sucesiva
intervengan en la cadena de custodia desde su inicio hasta su final, as como la descripcin de
los indicios o evidencias, caractersticas de las mismas, tales como dueo, lugar de los hechos
y/o del hallazgo y dems relativos y relevantes para la averiguacin previa.