Evidencia

digital

Cibercrimen

1
 Evidencia digital
En la presente unidad, podrás conocer el concepto de evidencia digital y los
diferentes escenarios que se pueden presentar a la hora de su recolección.
Por otro lado, también abordaremos la cadena de custodia, que resguarda
la legitimidad de la prueba desde el inicio hasta el fin del proceso. En otro
costado, se tratarán algunos de los nuevos desafíos en la investigación
desde la órbita de la normativa procesal.

Concepto
Si bien encontramos distintas acepciones del fenómeno de la evidencia
digital, es importante destacar que, con base en una interpretación
general, es:

Toda información de valor para una investigación que se guarda, obtiene o

transfiere a través de dispositivos o medios electrónicos.

Estos se adquieren una vez que se ha cumplido con la orden de

allanamiento emanada del juez en un determinado lugar y a la vez se
asegura su cadena de custodia para que luego sea analizada en el
laboratorio. No nos olvidemos de que la evidencia digital es la tradicional
evidencia que todos conocemos como física. Por otro lado, encontramos
que también se la suele llamar prueba electrónica, ya que cumple la misma
función referida antes.

Es importante destacar que la evidencia cumple un rol muy importante

dentro de la investigación digital en los ciberdelitos. En sus comienzos solo
se tenía en cuenta el análisis sobre discos duros, pero luego, a través de los
avances en investigaciones, se comenzó a orientar al análisis de la
evidencia volátil (caso de la RAM o caché). En efecto, vemos cómo la
evidencia digital va surgiendo en diferentes lugares y contextos que no
podemos dejar de lado a la hora de realizar una investigación.

Debemos considerar ciertas cuestiones de la evidencia como importantes:

 Es implícita: aunque no la podamos ver, está, como un ADN (ácido

desoxirribonucleico).
 Trasciende fronteras: ya que es ágil y dinámica, y cambia en todo
momento.
 Fácilmente, es destruible o modificable.

2
 Tiene un tiempo de vida útil.

Diferentes escenarios
Dentro de los posibles escenarios que encontramos dentro de la evidencia
digital, podemos decir que hay dos grandes: el físico (ver Figura 1) y el
digital (ver Figura 2). Si bien son diferentes, ya que nos proporcionan
información distinta, se complementan entre sí, ya que muchas veces son
parte clave en una investigación y dependen uno de otro.

Figura 1: Escenario físico

Fuente: captura de pantalla de FAROSpain, 2015, https://goo.gl/h9vFse

Figura 2: Escenario digital

Fuente: Evidencetalks, 2011, https://goo.gl/5VtsPJ

En el caso del escenario físico, es toda aquella evidencia que se encuentra

en crímenes tradicionales, es decir, que hace hincapié en el lugar del

3
hecho, testigos, objetos tangibles, documentos, formas de escritura,
dibujos, firmas, tipos de armas involucradas con el hecho, su numeración,
registro de portación o tenencia, huellas, rastros, restos de sangre u otras
sustancias, ADN y ropas utilizadas.

Ahora bien, si avanzamos junto con la tecnología, ello ha llevado a que la

perspectiva sea otra, tomando en cuenta la escena en ambientes digitales,
que va más allá del plano físico al cual complementa. En este escenario,
encontramos computadoras, programas destinados a ingresar a sistemas
de terceros, dispositivos como pendrives, tablet, impresoras, smartphones,
servidores, juegos de entrenenimiento (consolas), Internet de las cosas,
etcétera.

Como se puede analizar, estamos frente a un sinnúmero de elementos que

se suman a lo tradicional, con lo cual el investigador debe encontrarse con
mayor atención que antes con base en los elementos que se vayan a
secuestrar para su posterior análisis.

Con base en la diferenciación en hechos relacionados a ciberdelitos,

actualmente encontramos dispositivos de almacenamiento que a veces son
inimaginables. Siguiendo con esta idea, pero desde el plano físico,
observamos que en un delito común también podemos encontrar, a su vez
evidencia digital, ya que toda persona utiliza hoy en día un smartphone,
dispositivos para conectarse y almacenar su información.

En otro costado, es significativo que hagamos una diferenciación del tipo

de evidencia de acuerdo con el caso concreto, ya que no es lo mismo en un
caso de homicidio que uno de acceso indebido. Así, tenemos en cuenta tres
tipologías:

1) Las computadoras como blanco de un crimen: aquí encontramos casos

de pornografía infantil, espionaje corporativo, ciberterrorismo, phishing,
acceso indebido o fraudes en Internet, entre otros.
2) Las computadoras como instrumento de un crimen: aquí podemos ver
casos de explotación de niños, falsificación, fraude de tarjetas de
crédito, ciberterrorismo, ingeniería social, propiedad intelectual y
homicidios.
3) Las computadoras como depósito de pruebas: fraude y malversación de
fondos, imágenes de pornografía infantil, grooming, narcotráfico, e-mail
o chats.

Cadena de custodia

4
El presente contenido es trascendental dentro de la evidencia digital, ya
que será el que permita que durante todo el proceso –desde la
identificación, la recolección y el análisis hasta el transporte– la evidencia
se mantenga inalterable, para lo cual quedará un registro documentado de
cada una de las etapas. De esta forma, podrá ser presentado ante el
tribunal competente y se podrá demostrar que, de una u otra manera,
dicha evidencia no fue manipulada desde el momento de su recolección.
Para ello, se deben cumplir ciertas guías o protocolos que permitan al
investigador poder hacerse del material que luego será usado como
elemento de la acusación ante el tribunal.

Como primera medida, debemos remarcar la importancia de ciertos pasos

dentro de la cadena de custodia:

 Identificación del material que vamos a secuestrar: eso nos va a

permitir tener presente un listado de los elementos que hemos
detectado como evidencia frente a un ciberdelito, que luego se verá
reflejado en el análisis de cada uno y en la presentación final. Por otra
parte, este proceso se acompaña del uso de fotografías que han sido
extraídas al momento del hecho y que dan solidez sobre el momento en
que se secuestró cada material.
 Recolección: es el momento en que comienza el verdadero sentido de la
cadena de custodia, ya que se deben seguir ciertas guías que nos
ayudan a conocer con precisión la manera en que debemos recolectar
cada material relevante para la investigación. Por ejemplo, se debe
tener en cuenta si nos encontramos frente a sistemas vivos
(encendidos) o muertos (apagados); o si trabajaremos con
computadoras de escritorio, laptops, smartphones, impresoras u otros,
ya que cada dispositivo tiene su forma. De cada caso concreto
dependerá de si se hace una copia bit a bit, imagen, backup, copia u otra
metodología de adquisición forense. Existen casos en los cuales se
ordena, debido a que amerita la investigación, utilizar el método de
triage. Cabe mencionar que en todos estos procedimientos se utilizan
herramientas forenses que evitan que la prueba sea inalterable. Es
importante mencionar que, en cada caso de recolección, debemos
documentar cada paso realizado con el objeto de que posteriormente
pueda ser verificable si es necesario.
 Empaquetado: en este proceso se comienza por individualizar cada
elemento secuestrado con un envoltorio que dependerá del elemento
que haya que guardar y del tipo de preservación, a fin de que luego
pueda ser identificable quién fue el o los responsables encargados de tal
proceso, si es necesario, en el depósito o laboratorio. Aquí es primordial
cumplir con ciertos cuidados; por ejemplo: cubrir con cinta las entradas
de fuentes de alimentación. Debemos tener en cuenta los datos que

5
 debe llevar cada elemento (número, fecha, ítem, descripción, lugar,
nombre del agente y testigo).
 Transporte: en esta etapa, debemos considerar el transporte en
vehículos acondicionados para tal fin, ya que el material debe estar en
un lugar seguro, seco y en zonas frías. El hecho de una zona fría es clave,
ya que el calor elevado puede alterar o dañar el material. Una cuestión
no menor es consignar el lugar donde el material va a permanecer
custodiado, ya que es importante para la conservación de la cadena.
 Análisis en laboratorio: al momento de realizar el análisis del material
en el laboratorio, debemos tomar ciertos recaudos, como estar
facultados para poder hacerlo o respetar los procesos de custodia que
presenta cada material, desde el inicio hasta el final del proceso. Esto es
debido a que en numerosos casos se han presentado planteos de
nulidad debido a que se ha considerado que se ha manipulado la
prueba, y en la mayoría de los casos es porque no se han respetado los
procesos de custodia documentando cada acto (ver Figura 3).

Figura 3: Laboratorio forense

Fuente FBI, 2009, https://goo.gl/B3DcLp

 Presentación: en el último paso, se deja plasmado todo el trabajo

realizado desde su comienzo, cumpliendo con cada uno de los pasos y
respetando la cadena de custodia. De esta manera, no genera ningún
tipo de duda –más allá de los planteos que se puedan presentar– de que
la prueba haya sido manipulada en algún momento del proceso y que
lleve a generar una injusta resolución del tribunal, por la inobservancia
ocasionada durante el trámite de esta.

6
Nuevos desafíos en la investigación
En la experiencia del trabajo en investigación en ciberdelitos, se plantean
numerosas situaciones que llevan a generar muchos interrogantes, algunos
de los cuales, hasta el día de hoy, no han podido ser esclarecidos. Uno de
ellos es el caso de los paraísos de evidencia digital (Salt, 2012). Autores
como Marcos Salt (2012) plantean que son lugares que dificultan la
prosecución del delito debido a que se sirven de las facilidades que le
brinda la tecnología y de la pobre regulación existente en esos países en
materia de ciberdelitos, lo cual lleva a la inaccesibilidad de la información,
sin ningún tipo de excepción.

Otra de las situaciones que se observan es la de los allanamientos a

distancia o registro remoto sobre equipos informáticos, en donde se
plantean interrogantes en cuanto a la recolección de la evidencia, ya que
no se tiene competencia en materia de jurisdicción si ingresamos a
información alojada en servidores extranjeros. Es por ello que hoy en día, a
nivel mundial, se requiere de mayor cooperación entre los Estados, a fin de
lograr que no se pierda la prueba, debido a su volatilidad; eso sin siquiera
considerar si esta se encuentra en la nube y cómo obtenemos los datos
alojados en la cuenta del ciberdelincuente. Este caso puntual hasta el día
de hoy se encuentra sin dar respuesta, debido a que un tribunal de los
Estados Unidos exigió a un imputado a que desencripte su disco rígido,
debido a que existiría importante prueba relacionada a pornografía infantil.
El tema aquí tiene que ver con las garantías constitucionales que protegen
a las personas que se podrían estar violando, independientemente de que
el juez interprete lo contrario (Kravets, 2017). Por otra parte, se plantea el
uso de dispositivos de geolocalización y seguimiento –hoy en día no
contemplado en los ordenamientos–, que en algunos casos de ciberdelitos,
como con el grooming, pueden permitir ubicar al agresor sexual en caso de
que este se encuentre con alguna víctima menor de edad.

Desafíos procesales
Como hemos venido estudiando a lo largo de este primer módulo, cuando
hemos hablado de los ciberdelitos y de que la norma va por detrás de las
nuevas conductas delictivas podemos ver cómo se plasma al hablar de los
nuevos desafíos en materia procesal, vinculada netamente a la evidencia
digital. Hoy los ordenamientos en general hacen mención de la libertad
probatoria, siempre y cuando no afecte la moral, las buenas costumbres ni
vulnere ningún derecho constitucional. El tema se suscita en la práctica,
cuando el funcionario o magistrado debe actuar con base en la libertad
probatoria, pero esta no le da el amparo que sí existe, por ejemplo, en
otros ordenamientos procesales, tales como en España con la Ley de

7
Enjuiciamiento Criminal1, que contempla figuras que permiten al
investigador y juzgador poder valerse en el proceso sin tener que afectar
ningún derecho constitucional. Otro de los ordenamientos que traen
novedades al respecto, dentro de la República Argentina, es el Código
Procesal Penal de Neuquén2, en donde se ha incorporado cierto articulado
referido al procedimiento para secuestro, comunicaciones e información
digital.

Como podemos ver, son diferentes ordenamientos que se manejan sobre

la vieja interpretación de la libertad probatoria, pero que, dada la
experiencia de casos y jurisprudencia, es importante dejar plasmado cada
uno con su respectiva normativa, con la finalidad de que el funcionario o
magistrado vea las alternativas que pueden avalar ciertas cuestiones que
hacen al proceso y a garantizar estar a derecho en cuanto a las medidas
que sean tomadas para el esclarecimiento del caso concreto.

1 (Legislación Nacional Española, 2015) Real Decreto de 14 de septiembre de 1882 por el que se
aprueba la Ley de Enjuiciamiento Criminal. España. Url: https://goo.gl/15o3sZ
2 Ley N.º 2784. (2011). Código Procesal Penal de la Provincia de Neuquén. Legislatura de la Provincia

de Neuquén. Recuperado de https://goo.gl/itFwM4

8
Bibliografía de referencias
Evidencetalks. (2011). SPEKTOR for Law Enforcement [captura de pantalla
de video de YouTube]. Recuperado de
https://www.youtube.com/watch?v=_rPz8VY9lA4&t=6s

FAROSpain. (2015). Escáner 3D portátil FARO Freestyle3D, documentación

3D de escena del crimen [captura de pantalla de video de YouTube].
Recuperado de https://www.youtube.com/watch?v=U6jYwWqC3kY

FBI. (2009). Some of the electronic media awaiting examination at the

Silicon Valley (California) RCFL. Recuperado de
https://archives.fbi.gov/archives/news/stories/2009/august/rcfls_081809

Kravets, D. (2017). Man in jail 2 years for refusing to decrypt drives. Will he
ever get out? Recuperado de https://arstechnica.com/tech-
policy/2017/08/man-in-jail-2-years-for-refusing-to-decrypt-drives-will-he-
ever-get-out/?amp=1%20).

Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de

Enjuiciamiento Criminal. (1882). Ley de Enjuiciamiento Criminal [con
modificaciones hasta el año 2015]. Ministerio de Gracia y Justicia español.
Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

Ley N.º 2784. (2011). Código Procesal Penal de la Provincia de Neuquén.

Legislatura de la Provincia de Neuquén. Recuperado de
http://www.abognqn.org/publicaciones/codigo-procesal-penal-de-la-
provincia-del-neuquen.html

Salt, M. (2012). Nuevos Desafíos de la Evidencia digital. El Acceso

transfonterizo de datos en los países de América Latina. Recuperado de
http://docplayer.es/691269-Nuevos-desafios-de-la-evidencia-digital-el-
acceso-trasfronterizo-de-datos-en-los-marcos-salt-2.html