Esta guía tiene como objeto el difundir un protocolo para la realización de peritajes informáticos, especialmente los orientados a recuperar documentos e imágenes

Un artículo de Angel Bahamontes Gomez Presidente de ANTPJI

Para la elaboración de un dictamen, es necesario la obtención de evidencias electrónicas de los equipos informáticos, tanto los que existen como los que han sido borrados o eliminados y que pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia.

No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han solicitado nuestra pericia que pueden tener una relevancia jurídica informando de su contenido y no otros.

Debemos de:

  • Mantener segura la “cadena de custodia” asegurando la nulidad del proceso
  • En nuestra intervención, deberemos de seleccionar los elementos relevantes, descartando los demás equipos tecnológicos, previo examen inicial
  • Detallar los pasos en nuestra intervención al igual que el uso de programas y herramientas que hemos utilizado en nuestra pericia.
  • Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas
  • No alterar los elementos informáticos originales, trabajando con copias clónicas.
  • Realizar el informe pericial, repasándolo varias veces, antes de la entrega al cliente, analizando todos los posibles errores en su confección. Cuanto más claro e irrefutable sea el dictamen, la ratificación en juicio será menor, aunque muchas veces sea preciso nuestra presencia en el juicio.

PRIMERA INTERVENCION PERICIAL

Cuando realicéis la primera intervención, deberéis de estar atentos a lo que hay a vuestro alrededor, quien maneja los equipos informáticos, empleados, personal externo, proveedores… identificar al informático o responsable del departamento informático, quien es el encargado de la seguridad informática, cuantas personas acceden a la empresa desde la red como el web máster, proveedores de servicios, comerciales, directivos…

Especial atención a los aparatos y equipos tecnológicos como :

  • Equipos informáticos, tanto equipos de sobremesa como portátiles
  • Servidores
  • Samrtphone
  • Tablet
  • Agendas electrónicas
  • E-Book
  • PDA
  • Pen drives
  • Discos Duros
  • Reproductores
  • MP3
  • Dispositivos USB
  • Grabadores de Tarjetas Magneticas
  • Discos Opticos CDs y DVS, eliminando los grabados por los fabricantes
  • Programas de instalación
  • Teléfonos móviles
  • Impresoras
  • Fotocopiadoras…

PROCEDIMIENTO

Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la reseña y ficha del señalando en el momento que fueron encontrado en el lugar de la intervención y con las características técnicas de cada elemento, tanto si están en funcionamiento como apagados

  • Equipo
  • Marca
  • Modelo
  • Numero de Serie

Es importante que nadie en el momento de nuestra intervención, manipulen los equipos con el objeto de que alguien introduzca algún archivo que invalide el peritaje y si se ha de proceder al apagado de algún equipo, retiraremos la corriente eléctrica, para no perder ficheros temporales significativos. De esta manera no dará lugar a conjeturas acerca del proceso de la cadena de custodia en el peritaje inicial.

Nuestra actuación en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague consistirá en la copia de los discos duros, memorias y similares mediante las docking station de grabación y utilizando las herramientas y programas forense que utilizamos normalmente.

Si en nuestra intervención, normalmente judicial hay que intervenir los equipos, deberemos de realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la siguiente manera:

  • Ordenadores de sobremesa: Comprobamos si las lectoras tienen algún disco óptico, si hay algún pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos al apagado el ordenador, desenchufando directamente de la corriente para no perder archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los discos duros
  • Ordenadores Portátiles: comprobamos si hay algún disco óptico en la lectora, si i hay alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batería y procedemos a la extracción del disco duro, sabiendo que algunos equipos portátiles tienen dos discos duros.
  • Discos Ópticos: anotaremos el número de serie que está en el orificio central
  • Todos los discos tanto rígidos como ópticos han de ser firmados y guardados en bolsas antiestáticas Todos los demás equipos tecnológicos de la intervención deberán inventariarse, firmarse y guardarse en bolsas antiestáticas por separado, con sus cargadores correspondientes.

HERRAMIENTAS

Es muy importante además de ser profesional, parecerlo. Cuando nos presentamos para la realización de una pericia informática tanto judicial como extrajudicialmente, debemos de presentarnos con pulcritud, utilizando un lenguaje no técnico y anotando cada paso del protocolo realizado con lo que llevaremos un maletín de trabajo con un mínimo de materiales como:

  • Ordenador portátil, para comprobar si hay wifi y amenazadas de robo de red
  • Cámara digital de fotos con grabadora
  • Agenda y bolígrafos
  • Discos Ópticos CDs, DVDs, vírgenes y rotulador de discos
  • Grabadora de DVDs externa
  • Destornilladores variados y de precisión
  • Discos HDD, de 2.5 y 3.5 limpios
  • Donking station…
  • Guantes de látex
  • Bolsas antiestáticas
  • Grabadora de audio

TRABAJO EN NUESTRO LABORATORIO FORENSE INFORMATICO

Aconsejo la utilización de una cámara videograbadora que nos servirá a nosotros para saber todo el proceso que hemos realizado, y nos ayudara a corregir los errores habituales.

Nuestra mesa de trabajo a de estar aséptica y contar con las herramientas, programas y ordenadores que tendrán diferentes sistemas operativos.

Procederemos a las lecturas de los discos rígidos, ópticos, pendrives y demás elementos; con los distintos soportes operativos, ordenadores, docking station y elementos que componen nuestro laboratorio forense informático.

Realizaremos una recuperación de posibles archivos borrados, para localizar archivos potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y recuperado en el informe, explicando el método por el que se a obtenido, indicando los programas y las herramientas.

Aquellos archivos que no podamos leer por tener archivos dañados, encriptación, daño físico o similar se enviaran a la cámara de vacío de los laboratorios de recuperación de datos.

Para la localización de archivos en los discos clonados, necesitaremos discos limpios y sistemas auto arrancables para no alterar ningún dato que pudiera invalidar la prueba pericial.

Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas, etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados para evitar la manipulación futura.

Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con detenimiento carpetas y subcarpetas, y antes de la eliminación de cada uno de ellos, mirar las propiedades y su peso, ya que pueden estar ocultos o encriptados.

Además de la transcripción escrita, indicando la ruta completa del archivo, fecha de creación del fichero, usuario del equipo informático y su localización, hay que imprimir un pantallazo, con indicación única del archivo, carpeta o dato encargado en la pericia.

Es habitual el uso de remotos para la realización de actos delictivos, con lo que si en los archivos aparece la manipulación de archivos desde otra ip distinta al ordenador de la pericia, reseñar la ip manipuladora.

Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el que se habría normalmente, es recomendable el block de notas o utilizar un sistema independiente como Linux.

INFORME PERICIAL

El informe pericial es una primera valoración por el perito que se entrega generalmente al consejero jurídico del cliente, para poder examinar las evidencias electrónicas halladas y dirimir como se va a llevar el proceso en vista a las pruebas obtenidas. Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no tecnicista los datos obtenidos.

DICTAMEN CON CONCLUSIONES

Cuando recibimos la contestación del asesor legal y el visto bueno del cliente que nos realizado la provisión de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisión de un dictamen de la pericia encargada con las conclusiones finales.

En dicho dictamen, se indican que componentes informáticos, se han encontrado los ficheros relevantes y el resumen de su contenido de la evidencia digital, referenciándose en el informe como evidencia electrónica relevante.

Todos los dictámenes han de tener una excelente caligrafía con lo que el ordenador es una opción recomendable, cuidando la revisión de faltas ortográficas, no escatimando en cuanto a la presentación, numero de hojas ni discos ópticos en donde están las evidencias electrónicas vinculantes al esclarecimiento del caso.

En nuestro dictamen tiene que constar:

  • Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos personales, identificándose con el carnet profesional)
  • Número de diligencias y Juzgado
  • Objeto de la Pericia
  • Identificación del Perito
  • Si pertenece a alguna Organización o Colegio Profesional
  • Inventario de los equipos analizados con sus fichas técnicas y la procedencia de los mismos
  • Herramientas y programas utilizados
  • Informe imparcial de las evidencias obtenidas, describiendo desde la recepción de equipos hasta la obtención de las evidencias electrónicas relevantes, describiendo el protocolo utilizado en la cadena de custodia, copias y obtención de datos, detallando las características de los equipos que forman la pericia, enumerando los equipos informáticos y los ficheros y datos enumerados.
  • No olvidaros de firmar el dictamen con vuestros datos profesionales y teléfono de contacto

Se devuelven todos los materiales informáticos intervenidos y guardamos una copia del dictamen pericial que nos servirá de archivo y de refresco para una posible ratificación de nuestra pericia en un juicio.

También es conveniente realizar una copia de los discos ópticos relevantes y los discos rígidos.

RATIFICACION

Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelación suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos ordenados y enumerados.

Nuestra actuación en el juicio es básicamente la de ratificarnos en el dictamen realizado, pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrónicas halladas.

Con lo que es muy importante la presentación de un dictamen con la letra legible, con indicación de todo el protocolo y la enumeración de equipos en los que hemos realizado la pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al oír el dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que el trabajo se multiplica y mermara nuestra reputación.

Ah, hola 👋
Un placer conocerte.

Regístrate para recibir contenido genial en tu bandeja de entrada.

¡No enviamos spam! Lee nuestra política de privacidad para más información.

Por Ángel Bahamontes Gómez

Presidente Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies