Informartica

El tratamiento de la Evidencia Digital
Leopoldo Sebastián M. GOMEZ1, Poder Judicial del Neuquén, Argentina gomezs@jusneuquen.gov.ar
Resumen. La información digital es muy volátil y susceptible de ser alterada. En el ámbito de la Justicia es vital que la investigación sobre medios informáticos se realice metodológicamente, de manera tal de poder asegurar que todos los pasos pueden ser repetidosante un tribunal en caso de ser necesario. En el presente trabajo se exponen los pasos que se llevan a cabo en aquellas causas judiciales que requieren un análisis de datos como parte del proceso de investigación. Se prescriben consideraciones de procedimiento y puntos críticos que deben ser considerados para asegurar que la evidencia digital pueda ser ofrecida como prueba en un proceso judicial.Palabras Clave: Evidencia Digital, Análisis de Datos, Pericias Informáticas

1. Introducción La Informática Forense puede definirse como “el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente aceptable” [1]. En la actualidad existen varias metodologías de trabajo para la realización de análisis de datos. En gran parte de los casos que sehan investigado en el ámbito judicial de la provincia del Neuquén, se utilizan los pasos que se identifican con la definición enunciada precedentemente (Figura 1) por la practicidad y eficiencia que ofrece dicho enfoque metodológico:
Identificar Preservar Analizar Presentar

Figura 1. El proceso de investigación

A través de dicha secuencia, cuyo orden de precedencia debe ser rigurosamenterespetado, el proceso de investigación logra trazabilidad, consistencia, precisión y objetividad en la búsqueda de potencial evidencia digital. 2. La identificación de la evidencia digital Respecto al primer paso –Identificar- del proceso de investigación expuesto, un punto crítico a considerar es el recurso humano que realiza los secuestros de material informático.
Licenciado en Ciencias de laComputación (UNS), Magister en Ingeniería del Software (ITBA), Master en Ingeniería del Software (UPM), ex Perito Informático Oficial, Jefe del Departamento de Planificación y Desarrollo del Poder Judicial del Neuquén.
1

En la mayoría de los casos, los allanamientos son realizados por personal policial que no cuenta con los conocimientos necesarios para la identificación de potencial evidenciadigital. Actualmente existen guías de procedimiento que intentan cubrir los puntos más relevantes, como la Guía del United States Secret Service2, o la del Australasian Centre for Policing Research3 entre otras. La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta información digital. A modo de ejemplo, baste recordar algunoscasos históricos: a) Durante un allanamiento se secuestraron terminales, pero se omitió de traer el servidor; b) No se detalló en el acta de allanamiento una contraseña identificada, esencial para la operación de un sistema, con las consecuencias previsibles para la posterior investigación; c) Se apagaron las computadoras, eliminando la posibilidad de realizar un análisis sobre ciertos elementosvolátiles (registros, procesos, memoria, estado de la red); d) No se registró la hora del reloj interno de la computadora, y luego se agotó la pila, imposibilitando la realización de un análisis temporal de datos. Por otra parte, el desconocimiento puede llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como un secuestro masivo de equipamiento informático o dematerial irrelevante para la investigación. Otro aspecto crítico se refiere al correcta rotulación y detalle de los elementos informáticos. Sucede con frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos secuestrados. Las especificaciones técnicas volcadas en las actas de allanamiento son muy generales y no contienen datos de configuración –contraseñas obtenidas durante...