curso perito telemático forense
TRANSCRIPT
Curso de Perito Telemático Forense
www.antpji.com Página 2
Contenido Presentación .................................................................................................................................. 4
NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES ................................................................... 4
El Perito Judicial Telemático .......................................................................................................... 8
Derechos y deberes del Perito Telemático ............................................................................. 10
Áreas de actuación de los Peritos Telemáticos ....................................................................... 13
Capacitación Profesional del Perito Judicial en los Tribunales de España .............................. 14
Acreditación de la capacitación profesional ........................................................................ 19
Derecho Informático ................................................................................................................... 20
Contexto legal del perito ......................................................................................................... 20
¿Qué es un Perito? .................................................................................................................. 21
¿Cuándo se nombrará a un perito? ......................................................................................... 21
El procedimiento de solicitud de un perito ............................................................................. 22
La designación del perito ........................................................................................................ 24
La recusación y la tacha........................................................................................................... 25
El nombramiento del perito judicial ........................................................................................ 26
El informe pericial ................................................................................................................... 26
La asistencia a juicio oral ......................................................................................................... 27
Reconocimiento in situ ............................................................................................................ 27
La valoración del informe ........................................................................................................ 28
Responsabilidades y derecho del perito ................................................................................. 28
Como extraer y recuperar evidencias digitales y telemáticas .................................................... 30
Código Deontológico ................................................................................................................... 33
Utilidades Forenses ..................................................................................................................... 34
Informe Pericial Telemático ........................................................................................................ 40
Guía del Peritaje Informático ...................................................................................................... 43
Introducción ............................................................................................................................ 43
Primera Intervención Pericial .................................................................................................. 44
Procedimiento ......................................................................................................................... 44
Trabajo en nuestro laboratorio Forense Informático ............................................................. 46
Informe Pericial ....................................................................................................................... 47
Dictamen con Conclusiones .................................................................................................... 47
Ratificación .............................................................................................................................. 48
Curso de Perito Telemático Forense
www.antpji.com Página 3
Como realizar una auditoría telemática ...................................................................................... 49
Como se realiza un peritaje telemático para un cliente ............................................................. 54
Presupuesto del servicio: ........................................................................................................ 54
Aceptación del presupuesto: .................................................................................................. 54
AUDITORIA INFORMATICA ...................................................................................................... 54
PERITAJE TELEMÁTICO ............................................................................................................ 54
Declaración ante Tribunales: ................................................................................................... 55
Guía de buenas prácticas para el peritaje telemático en recuperación de imágenes y
documentos ................................................................................................................................ 56
Marketing para Peritos Telemáticos ........................................................................................... 65
Plan de Negocio para Peritos Informáticos ................................................................................. 68
1. Resumen Ejecutivo .............................................................................................................. 68
2. Descripción de tu nueva Empresa ....................................................................................... 69
3. Productos y Servicios ........................................................................................................... 69
4. Plan de Marketing ............................................................................................................... 69
5. Plan de desarrollo ................................................................................................................ 70
6. Plan Operacional ................................................................................................................. 70
7. Administración y Organización ............................................................................................ 70
8. Plan Financiero .................................................................................................................... 70
9. Financiación ......................................................................................................................... 70
1. Negocios con Futuro ............................................................................................................... 71
Curso de Perito Telemático Forense
www.antpji.com Página 4
Presentación
Muchas entidades públicas y privadas e incluso la Administración de Justicia, se van dando
cuenta de que la tecnología es una parte cada vez más importante de nuestra vida laboral,
social y personal. Pero también este empuje tecnológico es aprovechado por profesionales de
la estafa y el engaño cibernético con lo que es imprescindible la figura de detectives
tecnológicos, expertos informáticos y telemáticos que asesoren de manera técnica y
profesional y que garanticen los derechos, la privacidad de datos y que brinde una protección
ante individuos que se amparan ante el anonimato de Internet como es el Perito Telemático. El
Perito Telemático es un nuevo perfil profesional, que surge de las nuevas tecnologías y que
está especializado en Tics, con una demanda al alza debido al aumento de conflictos, tanto
privados como aquellos que deben resolverse mediante juicio, en los que intervienen sistemas
informáticos. Este curso ofrece los conocimientos técnicos y legales necesarios para ejercer
como Perito Telemático Forense y generar informes periciales con validez legal, en procesos
judiciales y extrajudiciales, así como el protocolo pericial y la obtención de evidencias
electrónicas. ANTPJI, ha reunido a expertos relacionados con la pericia de la Telemático
Forense, ofreciendo un curso intensivo, para Especialistas Telemáticos que deseen ejercer
como Peritos Telemáticos, Responsables de Seguridad para conocer el proceso de la
Investigación Forense, Auditores de Seguridad que necesitan aumentar sus conocimientos en
la Pericia Investigadora, Consultores Informáticos que quieren conocer el proceso de un
Dictamen Forense y a cualquier profesional que desea conocer como buscar evidencias con
validez judicial o extrajudicial, cuando se ha producido hechos como: un fraude, uso mal
intencionado de los ordenadores por empleados o terceros, robo de identidad, correo
electrónico, datos personales, números de tarjeta de crédito, bajas fingidas, amenazas o
sencillamente se han utilizado datos sensibles o personales para la realización de actividades
no autorizadas y en muchos casos delictivos.
NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES
Una nueva profesión ha nacido al amparo de las nuevas tecnologías con una gran demanda: es
la figura del Perito judicial Telemático.
El perito Judicial Telemático o Perito Auditor Forense es un profesional dotado de
conocimientos especializados en materia de las nuevas tecnológicas, a través de su
capacitación y experiencia, que suministra información u opinión fundada a profesionales,
empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su
dictamen.
El es el encargado de analizar los diferentes elementos telemáticos, y buscar aquellos datos
que puedan constituir la evidencia digital que servirá, de manera contundente, para el
esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta
manera los aspectos y conocimientos que el juez o los tribunales no están obligados de
conocer.
Curso de Perito Telemático Forense
www.antpji.com Página 5
Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego
aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a
partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados,
Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos
según lo dispuesto en la leyes.
En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez
respecto a temas relacionados con la informática.
Para ejercer como Perito Judicial Telemático en España es indispensable una titulación oficial
o por una Asociación Profesional de Peritos Informáticos o Telemáticos, reconocida por el
Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia.
Su titulación le acredita como encargado experto con amplios conocimientos sobre
informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de
cualquier índole, que pueda ser imputable como delito.
Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles,
de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001
de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de
2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder
Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales
remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado
en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss.
Cuando un Perito Telemático es nombrado por un Juez, Magistrado o Administración,
automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de
acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y
reglamentos especiales (art. 470 a 480, LOPJ).
En el ámbito jurídico, el Perito Judicial Telemático es un profesional nombrado por la
autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad
e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con
hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables
conocimientos especializados.
El Peritaje Telemático es aportado en función de los conocimientos del Perito Telemático, la
localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de
su especialización en la realización de todas las pruebas digitales, combinando la auditoria
forense y su pericia.
El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que
circula libremente es utilizado por delincuentes que utilizan la tecnología para facilitar el
acometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de
que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos
profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde
Curso de Perito Telemático Forense
www.antpji.com Página 6
las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la
persecución de delito y el delincuente.
La obtención de Información digital (evidencias electrónicas) se constituye en una de las
facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los
Peritos Telemáticos encargados de la recolección preservación, análisis y presentación de las
evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas
evidencias, a fin de ser utilizadas posteriormente ante el Tribunal.
Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin
duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia
e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen
como valor probatorio de un procedimiento judicial.
No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que
desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la
posesión de la verdad material.
De esta manera se confirmará la existencia de la infracción y la responsabilidad de quienes
aparecen en un inicio como presuntos responsables, todo esto servirá para que el Tribunal de
Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento.
El objetivo del Perito Telemático es la de recuperar los registros y mensajes de datos existentes
dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser
usada como prueba ante un tribunal.
La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización
de las evidencias digitales, que sirven para el esclarecimiento de los caso.
El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función,
entre ellas están una integridad intachable para determinar neutralmente los hechos sin
ninguna preferencia o afición por ninguna de las partes.
Debe poseer un perfil técnico, con amplios conocimientos legales con una formación
Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan
desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentación
judicial.
Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística;
siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia
electrónica (información de valor probatorio almacenada o transmitida en forma digital) es
una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y
procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la
exactitud y la confiabilidad de este tipo de evidencia.
Se exige además de la formación pragmática y académica la adquisición de habilidad técnica y
científica usando un lenguaje científico, no cientificista, que permita al profano en esta ciencia
comprender el mismo.
Curso de Perito Telemático Forense
www.antpji.com Página 7
Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma
importancia no arrojar ninguna duda sobre los medios probatorios tecnológicos
correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la
tecnología actúa como medio o fin para configurar una conducta ilícita.
El dictamen del Perito Telemático, es una declaración de ciencia que debe sustentarse en
reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha de
valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y
desarrollan una línea de investigación forense en informática.
Las tareas a desarrollar por el perito telemático no son distintas de la de otros peritos
judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar
la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en
donde vuelque las conclusiones de la investigación realizada.
Deberes del Perito Telemático: Aceptar el cargo que le es asignado, colaborar con el resto de
los peritos o consultores técnicos y declarar ante el juez en el caso de que este lo requiera.
Fundamentar sus conclusiones técnicas, expresando claramente los elementos analizados y las
técnicas utilizadas para llegar a las mismas. Respetar el código de ética que le impone su
profesión.
Áreas de actuación de los Peritos Telemáticos: Propiedad industrial: Espionaje / Revelación de
secretos. Acceso o copia de ficheros de la empresa, planos, fórmulas, costes, Uso de
información: Competencia desleal de un empleado. Vulneración de la intimidad. Lectura de
correo electrónico. Despido por causas tecnológicas. Valoraciones de bienes informáticos.
Interceptación de telecomunicaciones. Protección de datos personales y datos reservados de
personas jurídicas. Apoderamiento y difusión de datos reservados. Manipulación de datos o
programas. Valoraciones de bienes informáticos. Hardware, redes y componentes (todos los
sistemas). Instalaciones y desarrollos llave en mano. Vulneración de la buena fe contractual.
Publicidad engañosa, competencia desleal. Delitos económicos, monetarios y societarios.
Delitos contra el mercado o contra los consumidores. Delitos contra la propiedad intelectual.
Uso de de software sin licencia. Piratería. Copia y distribución no autorizada de programas de
ordenador. Daños mediante la destrucción o alteración de datos. Sabotaje. Estafa, fraudes,
conspiración para alterar el precio de las cosas. Pornografía infantil: acceso o posesión,
divulgación, edición. Uso indebido de equipos informáticos: daños o uso abusivo.
Sin duda, El Perito Judicial Telemático será el profesional más demandado por una sociedad
cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual.
ANTPJI, se creó hace seis meses con el objetivo de que los técnicos en la ciencia de la
Informática valorizaran sus conocimientos, prestando un servicio a la Administración de
Justicia y a la sociedad en general, hoy en día el grupo aglutina a más de 80 profesionales con
presencia en cinco ciudades españolas y está en cuatro países.
Este tipo de iniciativas empresariales que fomentan el autoempleo, la capacitación profesional
y el auxilio tecnológico a la sociedad es un ejemplo de cómo quedan aun nichos de mercado
sin explotar. Más información en www.antpji.com
Curso de Perito Telemático Forense
www.antpji.com Página 8
El Perito Judicial Telemático El perito Judicial Telemático o Perito Auditor
Forense es un profesional dotado de
conocimientos especializados en materia de las
nuevas tecnológicas, a través de su capacitación y
experiencia, que suministra información u opinión
fundada a profesionales, empresas y a los
tribunales de justicia sobre los puntos litigiosos
que son materia de su dictamen.
El Perito Judicial Telemático es el encargado de
analizar los diferentes elementos informáticos, y
buscar aquellos datos que puedan constituir la
evidencia digital que servirá, de manera
contundente, para el esclarecimiento del litigio al
que ha sido asignado en un proceso legal,
solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no
están obligados de conocer.
Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados
por el juez), ambos ejercen la misma influencia en el juicio.
Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a
partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados,
Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos
según lo dispuesto en la leyes.
En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez
respecto a temas relacionados con la informática.
Para ejercer como Perito Judicial informático en España es indispensable una titulación oficial
o por una Asociación Profesional de Peritos Informáticos, reconocida por el Ministerio del
Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia.
Su titulación le acredita como encargado experto con amplios conocimientos sobre
informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de
cualquier índole, que pueda ser imputable como delito.
Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles,
de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001
de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de
2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder
Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales
remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado
en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss.
Curso de Perito Telemático Forense
www.antpji.com Página 9
Cuando un Perito Informático es nombrado por un Juez, Magistrado o Administración,
automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de
acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y
reglamentos especiales (art. 470 a 480, LOPJ).
En el ámbito jurídico, el Perito Judicial Informático es un profesional nombrado por la
autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad
e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con
hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables
conocimientos especializados.
El Peritaje Informático es aportado en función de los conocimientos del Perito Informático, la
localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de
su especialización en la realización de todas las pruebas digitales, combinando la auditoria
forense y su pericia.
El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que
circula libremente es usado por delincuentes que utilizan la tecnología para facilitar el
cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de
que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos
profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde
las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecución de
delito y el delincuente.
La obtención de Información digital (evidencias electrónicas) se constituye en una de las
facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los
Peritos Informáticos encargados de la recolección preservación, análisis y presentación de las
evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas
evidencias, a fin de ser utilizadas posteriormente ante el Tribunal.
Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin
duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia
e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen
como valor probatorio de un procedimiento judicial.
No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que
desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la
posesión de la verdad material.
De esta manera se confirmará la existencia de la
infracción y la responsabilidad de quienes aparecen
en un inicio como presuntos responsables, todo esto
servirá para que el Tribunal de Justicia alcance el
conocimiento necesario y resuelva el asunto
sometido a su conocimiento.
El objetivo del Perito Telemático es la de recuperar
los registros y mensajes de datos existentes dentro
Curso de Perito Telemático Forense
www.antpji.com Página 10
de un equipo informático, de tal manera que toda esa información digital, pueda ser
usada como prueba ante un tribunal.
La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización
de las evidencias digitales, que sirven para el esclarecimiento de los caso.
El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función,
entre ellas están una integridad intachable para determinar neutralmente los hechos sin
ninguna preferencia o afición por ninguna de las partes. Debe poseer un perfil técnico, con
amplios conocimientos legales con una formación Universitaria en derecho procesal civil,
penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea
descalificada o impugnada durante su presentación judicial.
Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística;
siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia
electrónica (información de valor probatorio almacenada o transmitida en forma digital) es
una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y
procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la
exactitud y la confiabilidad de este tipo de evidencia. Se exige además de la formación
pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje
científico, no cientificista, que permita al profano en esta ciencia comprender el mismo.
Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma importancia
no arrojar ninguna duda sobre los medios probatorios tecnológicos correspondientes para
recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio
o fin para configurar una conducta ilícita.
El dictamen del Perito Judicial Telemático, es una declaración de ciencia que debe sustentarse
en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha
de valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y
desarrollan una línea de investigación forense en informática. Las tareas a desarrollar por el
perito informático no son distintas de la de otros peritos judiciales. Por lo tanto deberá
recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos
que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones
de la investigación realizada.
Derechos y deberes del Perito Telemático
Derechos
El perito tiene el derecho básico de cobrar honorarios por la elaboración del dictamen,
conforme al arancel correspondiente, en su caso. El tema se resuelve de manera satisfactoria
en la nueva regulación del proceso civil ya que, frente a la situación anterior, se prevé, de un
lado, quién deberá abonar los honorarios del perito designado por el juez y, de otro, la
Curso de Perito Telemático Forense
www.antpji.com Página 11
necesidad de que se realice provisión de fondos al perito nombrado. De esta forma se
resuelve el problema práctico de la “adecuada y tempestiva remuneración de los peritos”
(Exposición de Motivos de la Ley de Enjuiciamiento Civil, apdo XI).
De esta forma, el dictamen que emita el perito de designación judicial será a costa de quien lo
haya pedido, sin perjuicio de lo que se pueda acordar posteriormente en materia de costas
(art. 339.2.1º LEC). Cuando ambas partes lo hubieran pedido inicialmente, el juez podrá
designar, si se muestran conformes, un único perito que emita el informe solicitado.
En tal caso, el abono de los honorarios del peritos corresponderá a ambos litigantes por partes
iguales, sin perjuicio de lo que pudiera acordarse en materia de costas (art. 339.2.3º LEC). Por
tanto, de acuerdo con el art. 241 LEC, las costas y gastos del proceso se irán pagando a medida
que se vayan produciendo; todo ello sin perjuicio del derecho que le asiste de repercutir esos
gastos en la parte contraria, una vez firme la resolución judicial que ponga fin al proceso a
través del procedimiento de apremio, previa su tasación.
En lo que se refiere a la provisión de fondo, ésta podrá ser solicitada, a cuenta de la liquidación
final, por los peritos de designación judicial en el plazo de los tres días siguientes a su
nombramiento. El tribunal decidirá sobre la provisión solicitada y ordenará a la parte o partes
que hubieren propuesto la prueba pericial y no tuviesen derecho a la asistencia jurídica
gratuita, que procedan a abonar la cantidad fijada en la cuenta de Depósitos y Consignaciones
del tribunal en el plazo de cinco días. Transcurrido dicho plazo si no se hubiere procedido al
depósito, el perito quedará eximido de emitir el dictamen (art. 342.3 LEC).
Deberes
El deber primordial de los peritos es el de elaborar y emitir el dictamen correctamente, es
decir, aplicando científicamente los conocimientos profesionales y que se requieren para el
caso concreto, deber que no se expresaba en la ley anterior (simplemente se aludía a que
emitiesen el dictamen “bien, fielmente” y dentro del plazo establecido por el juez) pero que se
recoge en la nueva ley procesal en la que se alude a la obligación de prestar juramento o
promesa de decir verdad y de actuar con la mayor objetividad posible, tomando en
consideración tanto lo que pueda favorecer como lo que pueda perjudicar a cualquiera de la
partes (art. 335.2 LEC) y que se deriva también del régimen de responsabilidad que
examinaremos con detenimiento a continuación. Para ello tienen la obligación previa de
comparecer en juicio y así, acto seguido, jurar o prometer decir verdad, indicando que va a
actuar o que ha actuado con la mayor objetividad posible, manifestando que conoce las
sanciones penales previstas para el caso de incumpliendo de este deber.
De esta forma, una vez designado el perito por el juez y hecho el correspondiente
llamamiento, tiene obligación de comparecer para aceptar el cargo, salvo que concurra justa
causa que deberá ser alegada en ese momento (art. 342.2 LEC). Solamente cuando el motivo
de la causa sea aceptado por el juez, quedará el perito relevado de su obligación de aceptar el
nombramiento.
Por último, no siempre será necesario proceder a la ratificación posterior del dictamen pericial
presentado puesto que la presencia del perito en el juicio queda al criterio del órgano judicial,
Curso de Perito Telemático Forense
www.antpji.com Página 12
pudiendo hacer peticiones en ese sentido las partes (arts. 337.2 y 346 LEC), si bien, el
órgano judicial puede acordar en todo caso mediante providencia que considera necesaria la
presencia del perito en el juicio o la vista para comprender y valorar mejor el dictamen
realizado (art. 346 LEC).
En estos casos, cuando se considere necesaria la intervención del perito, éste estará obligado a
comparecer en el día señalado para la celebración del acto del juicio en el procedimiento
ordinario o la vista del juicio verbal, salvo que le resulte imposible por causa mayor u otro
motivo de análoga entidad, en cuyo caso deberá manifestarlo así al juez (art. 183.1 LEC). Si el
juez acepta la excusa, decidirá, previa audiencia de las partes, si deja sin efecto el
señalamiento del juicio o de la vista y efectúa otro nuevo, o si cita al perito para la práctica de
la actividad probatoria fuera del juicio o vista (arts. 183.4 y 430 LEC).
Por el contrario, si el juez no considera debidamente acreditada o suficiente la excusa del
perito, mantendrá el señalamiento del juicio o vista y se lo hará saber a través de la
correspondiente notificación, al tiempo que le requiere para comparecer, bajo apercibimiento
de proceder contra él por desobediencia al a autoridad judicial (arts. 183.4 y 292 LEC).
A esto se añade además que si el juez, en el momento de resolver sobre la suficiencia de la
excusa del perito aprecia que éste actuó con dilación injustificada o sin fundamento, podrá
imponerle una multa de hasta cien mil pesetas (art. 183.5 LEC).
Los funcionarios públicos que hayan accedido a un cuerpo o escala del grupo A en su
condición Perito Judicial, estarán exceptuados de obtener el título de Perito Judicial de los
Tribunales de Justicia a los efectos descritos en el artículo 1 de este proyecto de Ley. 2. La
actuación del personal contratado y al servicio de las Administraciones Públicas o entidades
públicas ante juzgados y Tribunales en el desempeño de las funciones propias del cargo
del Perito Judicial, se regirá por lo dispuesto en este proyecto de ley (servicios de asistencia
técnica contratada mediante Ley de Contrataciones Públicas al amparo del REAL DECRETO
LEGISLATIVO 2/2000, de 16 de junio). Disposición adicional cuarta. Adaptación de las normas
colegiales a lo previsto en esta ley. Los colegios profesionales de Peritos Judiciales que puedan
crearse adaptarán su normativa a lo previsto por esta ley. Disposición adicional quinta.
Accesibilidad. Al objeto de favorecer el acceso de las personas con discapacidad a las
profesiones de Perito Judicial, en el diseño y realización de los cursos y evaluaciones a que se
refiere el artículo 2.2 del presente proyecto de Ley, se tendrán en cuenta criterios de
accesibilidad. Disposición adicional sexta. Consejos autonómicos. Las referencias al Consejo
General de Peritos Judiciales, o a sus respectivos Estatutos, contenidas en el articulado de la
Ley, se entenderán hechas, en su caso, a los respectivos Consejos autonómicos o a su
normativa reguladora, de conformidad con lo que disponga la legislación aplicable. Disposición
adicional séptima.
Especialista en Pericia Judicial. A los efectos de la presente Ley, la referencia a la
especialización de 2º grado se entenderá hecha a la Licenciatura de las diferentes
especialidades, cuando así corresponda. Disposición transitoria única. Profesionales colegiados
o asociados a la entrada en vigor de la exigencia de título profesional.
Curso de Perito Telemático Forense
www.antpji.com Página 13
1. Los títulos profesionales regulados en esta norma no serán exigibles a quienes ya estén
en posesión de algún título universitario de 2º grado en la especialidad de Pericia Judicial y
estuvieran incorporados algún Colegio o Asociación profesional en el momento de la entrada
en vigor de la presente ley.
2. Los títulos profesionales regulados en esta Ley tampoco serán exigibles a quienes, sin
estar incorporados a un Colegio o Asociación profesional a su entrada en vigor, hubieran
estado incorporados antes de su entrada en vigor como ejercientes durante un plazo
continuado o discontinuo no inferior en su cómputo total a un año, siempre que concurran en
los demás requisitos de acceso y procedan a colegiarse antes de volver a ejercer como tales, y
no hubieran causado baja por sanción disciplinaria. Disposición final primera. Título
competencial. Las disposiciones contenidas en esta ley, dictadas al amparo del artículo
149.1. Ia, 6a y 30a de la Constitución Española y la Ley Orgánica 5/1980, de 19 de junio,
por la que se regula el Estatuto de Centros Escolares, en el número dos, apartado b) de la
disposición adicional establecen entre las competencias del Estado la de regular las
condiciones para la obtención, expedición y homologación de los títulos académicos y
profesionales no universitarios, con validez en todo el territorio español. Disposición final
segunda. Habilitación reglamentaria. Se faculta al Gobierno, al Ministro de Justicia, al Ministro
de Educación y Ciencia y a los titulares de los Departamentos ministeriales competentes
para dictar cuantas disposiciones reglamentarias fueran necesarias para el desarrollo y
ejecución de la presente ley. Disposición final tercera. Entrada en vigor de esta ley. Esta Ley
entraría en vigor transcurrido 1 año desde su publicación en el Boletín Oficial del Estado.
Áreas de actuación de los Peritos Telemáticos
Propiedad industrial: Espionaje / Revelación de secretos.
Acceso o copia de ficheros de la empresa, planos, fórmulas, costes,
Uso de información: Competencia desleal de un empleado.
Vulneración de la intimidad. Lectura de correo electrónico.
Despido por causas tecnológicas.
Valoraciones de bienes informáticos y Telemáticos.
Interceptación de telecomunicaciones.
Protección de datos personales y datos reservados de personas jurídicas.
Apoderamiento y difusión de datos reservados.
Manipulación de datos o programas.
Valoraciones de bienes informáticos.
Hardware, redes y componentes (todos los sistemas).
Instalaciones y desarrollos llave en mano.
Vulneración de la buena fe contractual.
Publicidad engañosa, competencia desleal.
Curso de Perito Telemático Forense
www.antpji.com Página 14
Delitos económicos, monetarios y societarios.
Delitos contra el mercado o contra los consumidores.
Delitos contra la propiedad intelectual.
Uso de de software sin licencia. Piratería.
Copia y distribución no autorizada de programas de ordenador.
Daños mediante la destrucción o alteración de datos. Sabotaje.
Estafa, fraudes, conspiración para alterar el precio de las cosas
Pornografía infantil: acceso o posesión, divulgación, edición
Uso indebido de equipos informáticos: daños o uso abusivo.
Sin duda, El Perito Judicial Telemático, será el profesional más demandado por una sociedad
cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual.
Capacitación Profesional del Perito Judicial en los Tribunales de
España
La regulación del régimen de acceso a la profesión del Perito Judicial en España es
una exigencia derivada del artículo 9.3, 24 y 103 de la Constitución Española: estos
profesionales son Auxiliares (operadores técnico-jurídicos) fundamentales de la justicia, y la
calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que
nuestra Constitución garantiza a la ciudadanía (Según el art.24 CE).
La experiencia del Derecho comparado muestra que la actuación ante los Tribunales de
Justicia y las demás actividades de Auxilio y asistencia jurídica requieren una acreditación
previa de una capacitación profesional específica que va más allá de la obtención de una
simple diplomatura o titulación universitaria.
Ello justifica la regulación de una especialización profesional complementaria al título
universitario en una materia determinada, exigible para desarrollar la actividad de "Perito
Judicial" como un operador más, asiente o auxiliar de la justicia ad hoc utilizando la
denominación de "Perito Judicial"; exigible para actuar ante los Tribunales de Justicia en
calidad de tal. En una Europa que camina hacia una mayor integración, se hace
imprescindible la homologación de esta profesión jurídica, en orden a garantizar la
fluidez en la circulación y el establecimiento de profesionales, uno de los pilares del
mercado único que constituye base esencial de la Unión Europea.
Son profesiones aquellas que se caracterizan por la aplicación de conocimientos y técnicas
propias de una ciencia o rama del saber para el ejercicio de las cuales es necesario
estar en posesión de conocimientos técnicos específicos y, en su caso, cumplir otras
condiciones habilitadoras establecidas por la ley. PROFESIÓN: (Real Academia Española)
Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribución.
Curso de Perito Telemático Forense
www.antpji.com Página 15
Teniendo en cuenta que la necesaria capacitación profesional de estos operadores
jurídicos (Peritos Judiciales) en el ejercicio de sus funciones deben garantizar la tutela judicial
efectiva, esto ha sido una reivindicación constante de los representantes profesionales en
algunos de los Congresos celebrados por los Peritos Judiciales .El reconocimiento a efectos
profesionales de la formación práctica adicional al título profesional en una especialidad
permite coordinar e integrar el proceso con el sistema de estudios universitarios, con el
que, sin embargo, y con pleno respeto a la autonomía universitaria y a su regulación sectorial,
no se interfiere. Ahora bien, tal y como prevé ya la regulación universitaria, no puede
prescindirse en este caso del establecimiento de criterios a los que deberán sujetarse
los estudios universitarios a los efectos de posibilitar el acceso a la obtención de los títulos
profesionales que se regulan según la actual ley de titulaciones universitarias (Ley
Orgánica 6/2001, de 21 de Diciembre, de Universidades; art. 1.2 apartados a,b,c y 34.3). A
tal fin es necesaria una acreditación de los contenidos formativos conjuntamente por el
Ministerio de Justicia y el Ministerio de Educación y Ciencia (Real Decreto 1564/1982, de 18 de
junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición y
homologación de los títulos académicos y profesionales no universitarios), con la decisiva
exigencia de prácticas externas, profesorado especialmente cualificado para la impartición de
esta formación específica de contenido práctico, etc. Por otra parte, el modelo no puede
obviar la realidad de la existencia de numerosas y prestigiosas Escuelas de Práctica Jurídica
para Peritos, cuya integración en el sistema descrito se produce por su necesario
concierto con las Universidades. (Actualmente Universidad de Alcalá de Henares y la
Universidad Autónoma de Barcelona, están impartiendo titulaciones específicas).En todo
caso, para garantizar de forma objetiva la capacitación profesional del "Especialista en Pericia
Judicial" así formado, se incluye al final del período formativo Práctico una evaluación de
naturaleza general, creando a tal fin una Comisión plural con importante representación de los
sectores universitarios y profesionales afectados.
Entrando ya en el análisis del articulado, cabe destacar que se regula el título acreditativo de
aptitud profesional, "Perito Judicial de los Tribunales de Justicia"(Al igual que el de
Procurador de los Tribunales de Justicia). La Ley no interfiere, más allá de constituir estos
títulos, en los presupuestos de ejercicio profesional con los de cualquier otra titulación
oficial. Como establece el capítulo II, la formación que nos ocupa podrá ser impartida por
las Universidades, si bien no puede olvidarse que estamos ante un título profesional, de
manera que, como ya se ha indicado, a efectos de admitir los correspondientes programas de
estudios como suficientes para la capacitación profesional, y sin que ello interfiera en su
validez académica, éstos cursos serán acreditados conjuntamente por el Ministerio de Justicia
y el Ministerio de Educación y Ciencia. Ello otorga una gran flexibilidad al modelo y respeta al
máximo la autonomía universitaria, pues permite que las Universidades decidan qué
configuración tendrán estos estudios en cada, sin interferir en la posibilidad de que,
además las Universidades organicen otros estudios jurídicos de postgrado con la validez
académica que les otorgue la normativa sectorial vigente.
Asimismo se reconoce la validez de la formación práctica impartida en las Escuelas de
Formación y Práctica Jurídica de Peritos Judiciales y demás centros que puedan ser
homologados por las Corporaciones profesionales, dentro de los convenios antes referidos,
como reconocimiento a la labor de preparación de los profesionales. En cuanto a la evaluación
Curso de Perito Telemático Forense
www.antpji.com Página 16
final se refiere, si bien la misma, para garantizar la objetividad, será única en todo el
territorio nacional, razones de operatividad aconsejan su descentralización, con la creación de
una comisión evaluadora para el territorio de cada Comunidad Autónoma donde tengan su
sede los Centros que impartan esta formación práctica. En cuanto a las Disposiciones que
complementan el texto, debe destacarse el establecimiento de un periodo de "vacatio
legis" para la entrada en vigor de esta norma, durante el que no se exigirán el
título profesional de Perito Judicial de los tribunales para colegiarse y ejercer la respectiva
profesión, valorándose la experiencia adquirida en el ejercicio de su actividad mediante
certificado por Secretario Judicial de los procedimientos en que ha intervenido en los últimos
5 años como mínimo. Asimismo, se ha resuelto la cuestión de aquellos que ejercen la Pericia
Forense desde otra función para cuyo desempeño han superado pruebas selectivas
acreditativas de capacitación jurídica, respecto de los cuales carecería de sentido someterlos
a un proceso formativo y a una evaluación reiterativa si deciden pasar a desempeñar la
profesión del Perito Judicial. La competencia estatal está amparada en el artículo 14, 149.1.
1.a, 6.a y 30.a de la Constitución, por lo que las previsiones de esta Ley serán de aplicación en
todo el territorio nacional.
Los Peritos Judiciales son Auxiliares fundamentales en la impartición de justicia, y la calidad del
servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra
Constitución garantiza a la ciudadanía. Complementando lo ya dispuesto al efecto en la Ley
Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en la Ley 1/1996, de 10 de enero, de
Asistencia Jurídica Gratuita, que consagran la función del perito judicial, a los que reserva
su actuación, de modo que a los mismos corresponde garantizar la asistencia al ciudadano
mediante la prueba pericial en el proceso, de forma obligatoria cuando así lo exija la norma
procesal y, en todo caso, como derecho a la defensa expresamente reconocido por la
Constitución. La intervención del Perito Judicial, conforme al concepto amplio de tutela
judicial efectiva. 2. La experiencia del Derecho comparado muestra que la actuación ante
los tribunales de justicia y las demás actividades de asistencia técnica jurídica requieren la
acreditación previa de una capacitación profesional que va más allá de la obtención de una
titulación universitaria.
Ello justifica la regulación de un título profesional complementario al título universitario de
una ciencia determinada: el título profesional de Perito Judicial, exigible para prestar asistencia
jurídica utilizando la denominación de Perito Judicial de los tribunales de justicia; exigible para
actuar ante los tribunales en calidad de tal. 3. La obtención del título profesional de Perito
Judicial de los tribunales de justicia en la forma determinada por este estudio de proposición
de proyecto de Ley es necesaria para el desempeño de la asistencia Técnica en aquellos
procesos judiciales y extrajudiciales en los que la normativa vigente imponga o faculte la
intervención del Perito Judicial y/o extrajudicial y, en todo caso, para prestar asistencia o
asesoramiento en derecho utilizando la denominación de Perito Judicial; todo ello sin perjuicio
del cumplimiento de cualesquiera otros requisitos exigidos por la normativa vigente para el
ejercicio de la Pericia Forense. 4. La obtención del título profesional de Perito Judicial de los
tribunales de justicia en la forma determinada por esta Ley es necesaria para desempeñar la
representación legal de las partes en los procesos judiciales en calidad de Perito Judicial,
realizando los actos de cooperación con la Administración de Justicia que la ley les autorice, así
como para utilizar la denominación de Perito judicial, sin perjuicio del cumplimiento de
Curso de Perito Telemático Forense
www.antpji.com Página 17
cualesquiera otros requisitos exigidos por la normativa vigente para la actuación ante los
tribunales de justicia. 5. La obtención de los títulos profesionales de Perito Judicial de los
tribunales de justicia será requisito imprescindible para la colegiación en los correspondientes
Colegios profesional que puedan crearse para tal fin.
Artículo 2. Acreditación de aptitud profesional.
1. Tendrán derecho a obtener el título profesional de Perito Judicial de los tribunales de
justicia, las personas que se encuentren en posesión de algún título universitario de segundo
grado como "Especialista Universitario en Pericia Judicial" , o del Título de Grado que lo
sustituya de acuerdo con las previsiones contenidas en los artículos 34.3, 38 y 88 de la Ley
Orgánica 6/2001, de 21 de diciembre de Universidades y su Normativa de desarrollo y que
acrediten su capacitación profesional mediante la superación de la correspondiente
formación especializada y la evaluación regulada por esta Ley.
La formación especializada necesaria para poder acceder a las evaluaciones conducentes a
la obtención de estos títulos es una formación reglada y de carácter oficial que se adquirirá a
través de la realización de cursos de formación acreditados conjuntamente por el Ministerio
de Justicia y el Ministerio de Educación y Ciencia a través del procedimiento que
reglamentariamente se establezca. 3. Los títulos profesionales regulados en esta ley serán
expedidos por el Ministerio de Justicia y/o de Educación y Ciencia ((Real Decreto 1564/1982,
de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición
y homologación de los títulos académicos y profesionales no universitarios). Real Decreto
942/2003, de 18 de julio, por el que se determinan las condiciones básicas que deben reunir
las pruebas para la obtención de los títulos de Técnico y Técnico Superior de Formación
Profesional Específica. La Ley Orgánica 5/2002, de 19 de junio, de las Cualificaciones y de la
Formación Profesional, establece en su artículo 8 que los títulos de formación profesional
tienen carácter oficial y validez en todo el territorio nacional y que acreditan las
correspondientes cualificaciones profesionales a quienes los hayan obtenido. Asimismo
establece, que la evaluación y la acreditación de las competencias profesionales adquiridas a
través de la experiencia laboral o de vías no formales de formación, tendrá como referente
el Catálogo Nacional de Cualificaciones Profesionales y que el reconocimiento de las
competencias profesionales así evaluadas, cuando no completen las cualificaciones recogidas
en algún título de formación profesional, se realizará a través de una acreditación parcial
acumulable con la finalidad, en su caso, de completar la formación conducente a la obtención
del correspondiente título.
Los cursos de formación para Peritos Judiciales podrán ser organizados e impartidos por
Universidades públicas o privadas, Escuelas de Práctica Jurídica y otros centros de formación
práctica profesional. 2. Todos estos centros deberán establecer al efecto los convenios a los
que se hace referencia en el presente capítulo.
Artículo 4. Formación Universitaria.
1. Los cursos de formación para "Peritos Judiciales" podrán ser organizados e impartidos
por Universidades públicas o privadas, de acuerdo con la normativa reguladora de la
enseñanza universitaria de postgrado (art. 34.3 Ley Orgánica de Universidades) y, en su caso,
Curso de Perito Telemático Forense
www.antpji.com Página 18
dentro del régimen de precios públicos, y deberán ser acreditados, a propuesta de
éstas (81.3.c. de la Ley Orgánica 6/2001, de 21 de diciembre). Esta acreditación se otorgará sin
perjuicio de las autorizaciones y aprobaciones exigidas por la normativa educativa a los efectos
de la validez y titulación académica de los referidos cursos.
2. Constituirán requisitos indispensables para la acreditación de los referidos cursos que éstos
comprendan la realización de un periodo de prácticas externas en los términos del artículo 6,
y que incluyan la realización de la evaluación regulada en el capítulo III.
3. Reglamentariamente se establecerá el procedimiento y los requisitos que deberán cumplir
tales cursos para su acreditación periódica en lo referente a su contenido y duración, así
como a la titulación y cualificación del profesorado, de modo que quede garantizada la
presencia de la mitad, al menos, de profesionales colegiados. La duración de los cursos
será de un mínimo de 27 créditos (Título de Especialista), más los créditos necesarios para
la realización de las prácticas externas referidas en el artículo 6.
Artículo 5. Escuelas concertadas de práctica jurídica y otras enseñanzas.
1.Las Escuelas de Práctica Jurídica que puedan crearse por los Colegios o Asociaciones
de reconocido prestigio de Peritos Judiciales que hayan sido homologados por el Consejo
General de Peritos Judiciales conforme a su normativa reguladora podrán organizar e
impartir cursos que permitan acceder a la evaluación regulada en el artículo 7, siempre que
los citados cursos sean acreditados por los Ministerios de Justicia y/o de Educación y Ciencia
en la forma que reglamentariamente se determine.
2. También podrán impartir cursos que permitan acceder a la evaluación regulada en el
artículo 7 otros centros de formación práctica profesional para Titulados en Especialistas
en Pericia Judicial por distintas Universidades, siempre que los citados cursos sean acreditados
conjuntamente por los Ministerios de Justicia y/o de Educación y Ciencia en la forma que
reglamentariamente se determine.
3. Para que se pueda proceder a la acreditación y reconocimiento de sus cursos a los efectos
de la determinación de su programa, contenido, profesorado y demás circunstancias, las
Escuelas de práctica jurídica y otros centros referidos en este artículo deberán haber
celebrado un convenio con una Universidad, pública o privada, por el que se garantice el
cumplimiento de las exigencias generales previstas en el artículo 4 para los cursos de
formación. Asimismo, deberán prever la realización de un periodo de prácticas externas en
Pericia Jurídica, según estén orientados a la formación profesional de los Peritos Judiciales,
en los términos del artículo siguiente, y la realización de la evaluación regulada en el capítulo
III.
Artículo 6. Prácticas externas.
1. Las prácticas externas en actividades propias del ejercicio profesional del Perito Judicial,
con los requisitos que reglamentariamente se determinen, deberán constituir un tercio, como
máximo, del contenido formativo de los cursos a que se refieren los artículos precedentes,
quedando como parte integrante de los mismos. En ningún caso implicarán relación laboral o
de servicios.
Curso de Perito Telemático Forense
www.antpji.com Página 19
2. Las prácticas se realizarán bajo la tutela de un Perito Judicial, según se dirijan a la
formación para el ejercicio de la Pericia judicial. Los tutores serán Peritos Judiciales con un
ejercicio profesional superior a cinco años. Los respectivos Estatutos Generales del Perito
Judicial reglamentarán los demás requisitos para el desempeño de la tutoría, así como los
derechos y obligaciones del tutor, cuya infracción dará lugar a responsabilidad disciplinaria.
3. En los supuestos regulados en los artículos 4 y 5.2, deberá haberse celebrado un convenio
entre la Universidad o Centro formativo y al menos un Colegio Profesional o Asociación de
reconocido prestigio de Peritos Judiciales, que establezca la fijación del programa de prácticas
y la designación de los correspondientes tutores, el número máximo de alumnos que podrá
asignarse a cada tutor, los lugares o instituciones donde se efectuarán las prácticas, así como
los mecanismos de control del ejercicio de éstas, dentro de los requisitos fijados
reglamentariamente.
Acreditación de la capacitación profesional Artículo 7. Evaluación.
1. La evaluación de la aptitud profesional, que culmina el proceso de capacitación profesional,
tiene por objeto acreditar, de modo objetivo, formación práctica suficiente para el ejercicio de
la profesión de Perito Judicial, así como el conocimiento de las respectivas normas
deontológicas y profesionales. Las comisiones para la evaluación de la aptitud profesional
serán convocadas por el Ministerio de Justicia y/o el Ministerio de Educación y Ciencia, oídas
las Comunidades Autónomas, el Consejo de Coordinación Universitaria y el Consejo General
de Peritos Judiciales. Reglamentariamente se establecerá la composición de la comisión
evaluadora para el acceso a Perito Judicial de los tribunales de Justicia, que serán únicas para
los cursos realizados en el territorio de una misma Comunidad Autónoma, asegurando la
participación en ellas de representantes del Ministerio de Justicia y/o del Ministerio de
Educación y Ciencia, y de miembros designados a propuesta de la respectiva Comunidad
Autónoma.
Tanto la evaluación para el acceso profesional del Perito Judicial tendrá contenido único para
todo el territorio español en cada convocatoria.
4. Reglamentariamente se determinará el procedimiento por el cual el Ministerio de Justicia
fijará el contenido concreto de cada evaluación, con participación de las Universidades
organizadoras de los cursos, del Consejo General de los Perito Judiciales Españoles.
5. Las convocatorias tendrán una periodicidad mínima anual y no podrán establecer un
número limitado de plazas.
6. Reglamentariamente se regulará el procedimiento de convocatoria, lugares y forma de
celebración de la evaluación, publicación y comunicación de los resultados y demás
requisitos necesarios para su realización. Asimismo, se regularán los programas y sistema
de evaluación, de los Peritos Judiciales, de acuerdo con la capacitación necesaria para el
desempeño de la profesión. Disposición adicional primera. Libertad de establecimiento. El
ejercicio permanente en España de la profesión del Perito Judicial con título profesional
obtenido en otro Estado miembro de la Unión Europea o del Acuerdo sobre el Espacio
Curso de Perito Telemático Forense
www.antpji.com Página 20
Económico Europeo se regulará por su legislación específica. Disposición adicional
segunda. Informe en Derecho.
Lo previsto en esta Ley no constituye obstáculo para que los peritos Licenciados o Graduados
en alguna ciencia o práctica sin título profesional de Perito Judicial de los tribunales de
Justicia puedan informar jurídicamente en aquellos supuestos en que no esté legalmente
reservado al Perito Judicial de los tribunales de Justicia.
2. Dichos peritos Licenciados, Graduados o Diplomados podrán inscribirse como tales
Licenciados, Graduados o Diplomados como especialistas en Pericia Judicial en los Colegios de
Peritos Judiciales en los términos que deberán establecerse en el Estatuto General del Perito
Judicial.
Derecho Informático Aspectos legales y jurídicos del Perito Judicial
Contexto legal del perito Como en cualquier estudio legal que a la ley española se refiera, en primer lugar debemos
acudir, a la carta magna, nuestra constitución del año 1978, en esta constitución nos
encontramos, en lo referente al proceso judicial, el artículo 24, que hace referencia a la tutela
judicial efectiva y dice así:
Artículo 24.
1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces y tribunales en
el ejercicio de sus derechos e intereses legítimos, sin que, en ningún caso, pueda producirse
indefensión.
2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y
a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un
proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de
prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables
y a la presunción de inocencia.
En lo que afecta al tema que estamos tratando hoy debemos fijarnos en la siguiente expresión:
a utilizar los medios de prueba pertinentes para su defensa.
Es aquí donde nuestro ordenamiento jurídico otorga calidad de derecho fundamental a la
tutela judicial efectiva, y como parte integrante de la misma al derecho a presentar los medios
de prueba pertinentes para la defensa de sus intereses.
Como medio de prueba relevante en este día nos encontramos con la prueba pericial, como
uno de los medios probatorios, junto con muchos otros, para la estrategia procesal de defensa
o acusación.
Una vez visto el marco constitucional debemos establecer ahora cuales son las leyes que
regulan de forma más especifica la figura del perito judicial.
Curso de Perito Telemático Forense
www.antpji.com Página 21
Así tenemos que hacer parada obligatoria en la Ley 1/2000, de 7 de enero, de
Enjuiciamiento Civil, que regula la figura del perito judicial y la pericia, entre sus artículos 340 y
352.
Del mismo modo debemos recalar en la Ley de enjuiciamiento Criminal, que regula el informe
pericial entre sus artículos 456 a 485.
La diferencia entre las leyes de enjuiciamiento civil y criminal es el ámbito de cada una de ellas.
Mientras que la ley de enjuiciamiento criminal se dedica a lo que conocemos como derecho
penal, es decir su ámbito de acción es el Código Penal, las faltas y delitos que un individuo
puede cometer y que, en última instancia, pueden llevarle a prisión, la Ley de Enjuiciamiento
civil, se dedica por el contrario al ámbito civil, o lo que es lo mismo, a aquellos conflictos entre
particulares, ya sean personas físicas o jurídicas, que no constituyen ninguna falta o delito pero
que si pueden conllevar responsabilidades de otro tipo, en especial dinerarias.
¿Qué es un Perito? El perito judicial o perito forense es un profesional dotado de conocimientos especializados y
reconocidos, a través de sus estudios superiores, que suministra información u opinión
fundada a los juzgados o tribunales de justicia sobre los puntos litigiosos que son materia de su
dictamen.
En concreto la Ley de Enjuiciamiento Civil, en su artículo 340, exige en referencia a los peritos,
las siguientes condiciones:
Los peritos deberán poseer el título oficial que corresponda a la materia objeto del
dictamen y a la naturaleza de éste. Si se tratare de materias que no estén
comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre
personas entendidas en aquellas materias.
Podrá asimismo solicitarse dictamen de Academias e instituciones culturales y
científicas que se ocupen del estudio de las materias correspondientes al objeto de la
pericia. También podrán emitir dictamen sobre cuestiones específicas las personas
jurídicas legalmente habilitadas para ello.
Mientras que la Ley de Enjuiciamiento Criminal, mucho más escueta, nos dice que podrán ser
peritos tanto aquellos que tienen un título oficial como los que no, si bien los primeros tendrán
preferencia sobre los segundos.
¿Cuándo se nombrará a un perito? Se nombrará a un perito, en un procedimiento civil, cuando sean necesarios conocimientos
científicos, artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el
asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de
peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en la
ley, que se emita dictamen por perito designado por el tribunal.
Mientras que en un procedimiento penal el Juez acordará el informe pericial cuando, para
conocer o apreciar algún hecho o circunstancia importante en el sumario, fuesen necesarios o
convenientes conocimientos científicos o artísticos.
Curso de Perito Telemático Forense
www.antpji.com Página 22
Como podemos ver el perito suministra al juez el peritaje u opinión fundada de una
persona especializada en determinadas ramas del conocimiento que el juez no está obligado a
dominar, a efecto de suministrarle argumentos o razones para la formación de su
convencimiento.
El procedimiento de solicitud de un perito El procedimiento de peritaje puede iniciarse de dos formas:
1. De oficio: En cuyo caso el juez o tribunal es quien considera necesaria la intervención
de uno o varios peritos. Bien sea a iniciativa propia o porque una de las partes le
solicite que lo haga.
2. A instancia de parte: Cuando una de las partes interesadas en el proceso es quien
aporta el informe pericial.
En el procedimiento civil el informe pericial a instancia de parte puede presentarse en el
mismo momento de la demanda. De esta forma los dictámenes de que los litigantes
dispongan, elaborados por peritos por ellos designados, y que estimen necesarios o
convenientes para la defensa de sus derechos, habrán de aportarlos con la demanda o con la
contestación, si ésta hubiere de realizarse en forma escrita.
Los dictámenes se formularán por escrito, acompañados, en su caso, de los demás
documentos, instrumentos o materiales adecuados para exponer el parecer del perito sobre lo
que haya sido objeto de la pericia. Si no fuese posible o conveniente aportar estos materiales e
instrumentos, el escrito de dictamen contendrá sobre ellos las indicaciones suficientes.
Podrán, asimismo, acompañarse al dictamen los documentos que se estimen adecuados para
su más acertada valoración.
Se entenderá que al demandante le es posible aportar con la demanda dictámenes escritos
elaborados por perito por él designado, si no justifica cumplidamente que la defensa de su
derecho no ha permitido demorar la interposición de aquélla hasta la obtención del dictamen.
En los juicios con contestación a la demanda por escrito, el demandado que no pueda aportar
dictámenes escritos con aquella contestación a la demanda deberá justificar la imposibilidad
de pedirlos y obtenerlos dentro del plazo para contestar.
Si no les fuese posible a las partes aportar dictámenes elaborados por peritos por ellas
designados, junto con la demanda o contestación, expresarán los dictámenes de que
pretendan valerse, que hayan de aportar, para su traslado a la parte contraria, en cuanto
dispongan de ellos, y en todo caso con carácter previo al juicio ordinario o vista en verbal.
Una vez aportados los dictámenes, las partes habrán de manifestar si desean que los peritos
autores de los dictámenes comparezcan en el juicio o, en su caso, en la vista del juicio verbal,
expresando si deberán exponer o explicar el dictamen o responder a preguntas, objeciones o
propuestas de rectificación o intervenir de cualquier otra forma útil para entender y valorar el
dictamen en relación con lo que sea objeto del pleito.
Curso de Perito Telemático Forense
www.antpji.com Página 23
Del mismo modo la necesidad de la intervención pericial puede observarse durante la
realización del juicio oral o después de la contestación a la demanda, dándose trámite en este
caso para la entrega del informe y la oportuna participación del perito en la fase oral.
Para el caso de peritos designados por el juez debemos distinguir varios casos.
En primer lugar y si cualquiera de las partes fuese titular del derecho de asistencia jurídica
gratuita, no tendrán que aportar con la demanda o la contestación el dictamen pericial, sino
simplemente anunciarlo, a los efectos de que se proceda a la designación judicial de perito,
conforme a lo que se establece en la Ley de Asistencia Jurídica Gratuita.
Por otro lado tanto el demandante o como demandado, podrán solicitar en sus respectivos
escritos iníciales que se proceda a la designación judicial de perito, si entienden conveniente o
necesario para sus intereses la emisión de informe pericial. En tal caso, el Tribunal procederá a
la designación, siempre que considere pertinente y útil el dictamen pericial solicitado. Dicho
dictamen será a costa de quien lo haya pedido, sin perjuicio de lo que pudiere acordarse en
materia de costas.
Cuando ambas partes la hubiesen pedido inicialmente, el Tribunal podrá designar, si aquéllas
se muestran conformes, un único perito que emita el informe solicitado. En tal caso, el abono
de los honorarios del perito corresponderá realizarlo a ambos litigantes por partes iguales, sin
perjuicio de lo que pudiere acordarse en materia de costas.
En el juicio ordinario, si, a consecuencia de las alegaciones o pretensiones complementarias
permitidas en la audiencia, las partes solicitasen, la designación por el tribunal de un perito
que dictamine, lo acordará éste así, siempre que considere pertinente y útil el dictamen, y
ambas partes se muestren conformes en el objeto de la pericia y en aceptar el dictamen del
perito que el tribunal nombre.
Lo mismo podrá hacer el tribunal cuando se trate de juicio verbal y las partes solicitasen
designación de perito.
Por su parte, y respecto al proceso penal, la Ley de Enjuiciamiento Criminal es más escueta en
cuanto a la regulación del procedimiento pericial.
En este caso los peritos podrán ser nombrados igualmente:
De Oficio por el propio tribunal, en este caso el nombramiento se realizará por el
titular del juzgado y se hará saber a los peritos por medio de oficio, o incluso, si la
urgencia del caso lo exige, podrá hacerse el llamamiento verbalmente de orden del
Juez.
En este caso nadie podrá negarse a acudir al llamamiento del Juez para desempeñar
un servicio pericial, si no estuviere legítimamente impedido. Tenemos que aclarar aquí
que aquellos que presten informe como peritos en virtud de orden judicial tendrán
derecho a reclamar los honorarios e indemnizaciones que les correspondan.
Curso de Perito Telemático Forense
www.antpji.com Página 24
Así mismo, y al igual que en el procedimiento civil, la pericia podrá solicitarse a
instancia de parte. Tanto por el querellante como por el procesado, que tendrán
derecho a nombrar a su costa un perito que intervenga en el acto pericial.
Si los querellantes o los procesados fuesen varios, se pondrán respectivamente de acuerdo
entre sí para hacer el nombramiento.
Estos peritos deberán ser titulados, a no ser que no los hubiere de esta clase en el partido o
demarcación, en cuyo caso podrán ser nombrados sin título.
Las partes manifestarán al Juez el nombre del perito y ofrecerán al hacer esta manifestación
los comprobantes de tener la cualidad de tal perito la persona designada.
La designación del perito En el caso del proceso civil, y para el caso de la designación del perito por parte del órgano
jurisdiccional, en el mes de enero de cada año se solicitará de los distintos Colegios
profesionales o, en su defecto, de entidades análogas, así como de las Academias e
instituciones culturales y científicas el envío de una lista de colegiados o asociados dispuestos a
actuar como peritos. La primera designación de cada lista se efectuará por sorteo realizado en
presencia del Secretario Judicial, y a partir de ella se efectuarán las siguientes designaciones
por orden correlativo.
Igualmente y para cuando haya de designarse perito a persona sin título oficial, práctica o
entendida en la materia, previa citación de las partes, se realizará la designación por este
procedimiento, usándose para ello una lista de personas que cada año se solicitará de
sindicatos, asociaciones y entidades apropiadas. Si, por razón de la singularidad de la materia
de dictamen, únicamente se dispusiera del nombre de una persona entendida o práctica, se
recabará de las partes su consentimiento y sólo si todas lo otorgan se designará perito a esa
persona.
Seguidamente el secretario judicial comunicará esta decisión al perito titular, requiriéndole
para que manifieste si acepta el cargo. En caso afirmativo, se efectuará el nombramiento y el
perito hará, en la forma en que se disponga, la manifestación bajo juramento o promesa.
Si el perito designado adujere justa causa que le impidiera la aceptación, y el Secretario judicial
la considerara suficiente, este será sustituido por el siguiente de la lista, y así sucesivamente,
hasta que se pudiere efectuar el nombramiento.
Es importante conocer que el perito designado podrá solicitar, en los tres días siguientes a su
nombramiento, la provisión de fondos que considere necesaria, la cual correrá a cuenta de su
liquidación final. El Secretario judicial decidirá sobre la provisión solicitada y ordenará a la
parte o partes que hubiesen propuesto la prueba pericial y no tuviesen derecho a la asistencia
jurídica gratuita, que procedan a abonar la cantidad fijada en la Cuenta de Depósitos y
Consignaciones del Tribunal.
En caso de que no se deposite en tiempo y forma esa cantidad, el perito quedará eximido de
emitir el dictamen, sin que pueda procederse a una nueva designación.
Curso de Perito Telemático Forense
www.antpji.com Página 25
En contraposición, y si el dictamen pericial se aporta en la demanda o contestación a la
demanda directamente por el demandante o el demandado, el perito será el que ellos
seleccionen, si bien deberán probar en juicio la validez de su designación, en caso de que la
otra parte o el juzgado así se lo soliciten.
En cuanto al procedimiento penal una vez seleccionado el perito, como veíamos
anteriormente, por orden directa del juzgado, el Secretario judicial lo notificará
inmediatamente al Ministerio Fiscal, al actor particular y al procesado.
En caso de que el informe pericial se aporte por una de las partes se seguirán las mismas
normas que en el proceso civil.
La recusación y la tacha Es importante detenernos en este punto en la recusación y la tacha, cuando alguno de los
implicados tiene algo que oponer a la designación de un perito en concreto.
En primer lugar cabe decir que solo podrán ser objeto de recusación los peritos designados
judicialmente.
En cambio, los peritos no recusables podrán ser objeto de tacha cuando concurra en ellos
alguna de las siguientes circunstancias:
1. Ser cónyuge o pariente por consanguinidad o afinidad, dentro del cuarto grado civil de
una de las partes o de sus abogados o procuradores.
2. Tener interés directo o indirecto en el asunto o en otro semejante.
3. Estar o haber estado en situación de dependencia o de comunidad o contraposición de
intereses con alguna de las partes o con sus abogados o procuradores.
4. Amistad íntima o enemistad con cualquiera de las partes o sus procuradores o
abogados.
5. Cualquier otra circunstancia, debidamente acreditada, que les haga desmerecer en el
concepto profesional.
Al formular tachas de peritos, se podrá proponer la prueba conducente a justificarlas.
Igualmente cualquier parte interesada podrá dirigirse al tribunal a fin de negar o contradecir la
tacha, aportando los documentos que consideren pertinentes. Si la tacha menoscabara la
consideración profesional o personal del perito, éste podrá solicitar del tribunal que declare
que la tacha carece de fundamento.
En este punto el tribunal podrá emitir declaración de falta de fundamento de la tacha, o por el
contrario apreciarla conforme a derecho con lo que el informe pericial carecerá de valor y no
se tendrá en cuenta.
En el caso de la recusación, peritos nombrados a instancia de parte, no podrán prestar informe
pericial acerca del delito, cualquiera que sea la persona ofendida, los que no estarían obligados
a declarar como testigos.
En concreto son causa de recusación de los peritos:
Curso de Perito Telemático Forense
www.antpji.com Página 26
1. El parentesco de consanguinidad o de afinidad dentro del cuarto grado con el
querellante o con el reo.
2. El interés directo o indirecto en la causa o en otra semejante.
3. La amistad íntima o enemistad manifiesta.
Tenemos que destacar que el perito que, hallándose comprendido en alguno de los casos de
dicho artículo, preste el informe sin poner antes esa circunstancia en conocimiento del Juez
incurrirá en la multa e incluso en responsabilidad criminal.
El procedimiento consistirá en que el actor o el procesado que intente recusar al perito o
peritos nombrados por el Juez deberán hacerlo por escrito antes de empezar la diligencia
pericial, expresando la causa de la recusación y las pruebas que ofrezca.
El juez examinará los documentos que produzca el recusante y oirá a los testigos que presente
en el acto, resolviendo lo que estime justo respecto de la recusación.
Si hubiera lugar a ella, suspenderá el acto pericial por el tiempo estrictamente necesario para
nombrar el perito que haya de sustituir al recusado hacérselo saber y constituirse el nombrado
en el lugar correspondiente.
Si por el contrario no la admite, se procederá a continuar con la pericia.
El nombramiento del perito judicial En el proceso penal y antes de darse principio al acto pericial, todos los peritos, tanto los
nombrados por el Juez como los que lo hubieren sido por las partes, prestarán juramento, de
proceder bien y fielmente en sus operaciones y de no proponerse otro fin más que el de
descubrir y declarar la verdad.
Así mismo la Ley de Enjuiciamiento civil nos dice que al emitir el dictamen, todo perito deberá
manifestar, bajo juramento o promesa decir verdad, que ha actuado y, en su caso, actuará con
la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo
que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones
penales en las que podría incurrir si incumpliere su deber como perito.
El informe pericial El Juez manifestará clara y determinadamente a los peritos el objeto de su informe, cuando
este se emita por petición suya.
En cualquier caso el informe pericial comprenderá, como mínimo:
1. Descripción de la persona o cosa que sea objeto del informe, y del estado o modo en
que se halle.
2. Relación detallada de todas las operaciones practicadas por los peritos y de su
resultado.
Curso de Perito Telemático Forense
www.antpji.com Página 27
3. Las conclusiones que en vista de tales datos formulen los peritos, conforme a los
principios y reglas de su ciencia o arte.
La asistencia a juicio oral Tanto el juzgado como las partes podrán solicitar la asistencia a juicio del perito.
En caso de solicitud en este sentido el tribunal sólo denegará las solicitudes de intervención
que, por su finalidad y contenido, hayan de estimarse impertinentes o inútiles, o cuando
existiera un deber de confidencialidad derivado de la intervención del perito en un
procedimiento de mediación anterior entre las partes.
En especial, las partes y sus defensores podrán pedir:
La exposición completa del dictamen, cuando esa exposición requiera la realización de
otras operaciones, complementarias del escrito aportado, mediante el empleo de los
documentos, materiales y cualesquiera otros elementos.
La explicación del dictamen o de alguno o algunos de sus puntos, cuyo significado no
se considerase suficientemente expresivo a los efectos de la prueba.
Las respuestas a preguntas y objeciones, sobre método, premisas, conclusiones y otros
aspectos del dictamen.
Las respuestas a solicitudes de ampliación del dictamen, por si pudiera llevarse a cabo
en el mismo acto y a efectos de conocer la opinión del perito sobre la posibilidad y
utilidad de la ampliación, así como del plazo necesario para llevarla a cabo.
La crítica del dictamen de que se trate por el perito de la parte contraria.
La formulación de las tachas que pudieren afectar al perito.
Del mismo modo el tribunal podrá por su propia iniciativa o por reclamación de las partes
presentes o de sus defensores, hacer a los peritos, cuando produzcan sus conclusiones, las
preguntas que estime pertinentes y pedirles las aclaraciones necesarias.
Hemos de tener en cuenta que las contestaciones de los peritos se considerarán como parte
de su informe.
Reconocimiento in situ La pericia también puede consistir en el desplazamiento del perito o los peritos a un lugar para
examinar una cosa o situación concreta.
Cuando la emisión del dictamen requiera, en el proceso civil, de este reconocimiento de
lugares, objetos o personas, las partes y sus defensores podrán presenciarlo, si con ello no se
impide o estorba la labor del perito y se puede garantizar el acierto e imparcialidad del
dictamen.
Si alguna de las partes solicita estar presente, el tribunal decidirá lo que proceda y, en caso de
admitir esa presencia, ordenará al perito que dé aviso directamente a las partes del día, hora y
lugar en que aquellas operaciones se llevarán a cabo.
Curso de Perito Telemático Forense
www.antpji.com Página 28
En el caso del proceso penal, al acto pericial podrán concurrir, el querellante, con su
representación, y el procesado con la suya, aun cuando este preso, en cuyo caso se adoptarán
las precauciones oportunas.
El acto pericial será presidido por el Juez instructor o, en virtud: de su delegación, por el Juez
municipal o funcionario de Policía judicial.
Del mismo modo las partes que asistieren a las operaciones o reconocimientos podrán
someter a los peritos las observaciones que estimen convenientes, haciéndose constar todas
en la diligencia.
De este reconocimiento in situ se redactará igualmente un informe pericial que se presentará
ante el órgano jurisdiccional competente.
La valoración del informe Finalmente y en cuanto a la valoración del informe pericial, la Ley de Enjuiciamiento Civil nos
dice que “El tribunal valorará los dictámenes periciales según las reglas de la sana crítica.”
Es decir, la valoración del informe quedará en manos del juez o tribunal, si bien siempre su
valor probatorio será mucho más alto que el de una prueba testifical, al tratarse en este caso
de expertos acreditados e independientes.
Lo cual nos lleva en la práctica a que el informe del perito, y su asistencia a la fase oral, sea una
de las pruebas determinantes para inclinar la balanza en uno u otro sentido.
Responsabilidades y derecho del perito Antes de despedirnos debemos realizar parada obligada en las responsabilidades que el perito
acarrea como tal.
A este respecto debemos fijarnos en varios aspectos diferenciados para establecer las
oportunas responsabilidades del perito:
1. La primera de ellas es su nombramiento: Como hemos visto en puntos anteriores
el perito judicial designado por un juzgado, en el proceso penal, no podrá negarse
a realizar la pericia, salvo que exista justa causa para ello. Lo que viene siendo, que
exista una imposibilidad manifiesta y real de realizar la misma. En caso de
inexistencia de esta y persistencia en la negativa el perito deberá asumir la
imposición de una multa, que variaría entre los 200 a los 5.000 euros, y si
persistiere en su resistencia será conducido en el primer caso a la presencia del
Juez instructor por los agentes de la autoridad, y perseguido por el delito de
obstrucción a la justicia tipificado en el artículo 463.1 del Código Penal o el de
desobediencia grave a la autoridad.
En el caso del procedimiento civil se nos dice que si el perito designado alega justa
causa que le impidiere la aceptación, y el Secretario judicial la considera suficiente,
será sustituido por el siguiente de la lista, y así sucesivamente, hasta que se pueda
efectuar el nombramiento.
Curso de Perito Telemático Forense
www.antpji.com Página 29
2. La segunda de estas responsabilidad radica en la existencia de una causa de
recusación o tacha: Si el perito, aun conociendo esta incompatibilidad continua
adelante con su labor como perito judicial, sin avisar al juez de la misma podrá
imponérsele una multa de 200 a 5.000 euros, a no ser que el hecho de lugar a
responsabilidad criminal.
3. La tercera de las responsabilidades del perito es la de actuar lealmente y no faltar
a su juramento, consistente como hemos visto en:
a. “proceder bien y fielmente en sus operaciones y no proponerse otro fin más
que el de descubrir y declarar la verdad.” (LECrim)
b. “Actuar con la mayor objetividad posible, tomando en consideración tanto lo
que pueda favorecer como lo que sea susceptible de causar perjuicio a
cualquiera de las partes, y que conocer las sanciones penales en las que podría
incurrir si incumple su deber como perito”.(LEC)
El incumplimiento de estas obligaciones es el caso más grave de responsabilidad en que puede
incurrir un perito, ya que puede ser constitutivo de actitudes tipificadas como delito en
nuestro Código Penal. Paso a leeros los artículos en concreto que regulan la cuestión:
Artículo 458.
1. El testigo que faltare a la verdad en su testimonio en causa judicial, será castigado con las
penas de prisión de seis meses a dos años y multa de tres a seis meses.
2. Si el falso testimonio se diera en contra del reo en causa criminal por delito, las penas serán
de prisión de uno a tres años y multa de seis a doce meses. Si a consecuencia del testimonio
hubiera recaído sentencia condenatoria, se impondrán las penas superiores en grado.
3. Las mismas penas se impondrán si el falso testimonio tuviera lugar ante Tribunales
Internacionales que, en virtud de Tratados debidamente ratificados conforme a la Constitución
Española, ejerzan competencias derivadas de ella, o se realizara en España al declarar en virtud
de comisión rogatoria remitida por un Tribunal extranjero.
Artículo 459.
Las penas de los artículos precedentes se impondrán en su mitad superior a los peritos o
intérpretes que faltaren a la verdad maliciosamente en su dictamen o traducción, los cuales
serán, además, castigados con la pena de inhabilitación especial para profesión u oficio,
empleo o cargo público, por tiempo de seis a doce años.
Artículo 460.
Cuando el testigo, perito o intérprete, sin faltar sustancialmente a la verdad, la alterare con
reticencias, inexactitudes o silenciando hechos o datos relevantes que le fueran conocidos,
será castigado con la pena de multa de seis a doce meses y, en su caso, de suspensión de
empleo o cargo público, profesión u oficio, de seis meses a tres años.
Curso de Perito Telemático Forense
www.antpji.com Página 30
Artículo 462.
Quedará exento de pena el que, habiendo prestado un falso testimonio en causa criminal, se
retracte en tiempo y forma, manifestando la verdad para que surta efecto antes de que se
dicte sentencia en el proceso de que se trate. Si a consecuencia del falso testimonio, se
hubiese producido la privación de libertad, se impondrán las penas correspondientes inferiores
en grado.
Como vemos el asunto de la responsabilidad, civil y criminal, de un perito no es asunto baladí,
y por tanto el perito judicial ha de extremar siempre su compromiso con la exactitud, la
veracidad y la imparcialidad en el ejercicio de sus funciones ante los órganos jurisdiccionales.
Finalmente y como derechos de los peritos, a parte de los relacionados con el cobro de sus
oportunos honorarios, hemos de mencionar el artículo 485 de La Ley de Enjuiciamiento
Criminal, que nos dice que el Juez facilitará a los peritos los medios materiales necesarios para
practicar la diligencia que les encomiende, reclamándolos de la Administración pública, o de
autoridades de las que sea necesario.
Estableciendo de esta forma el derecho del perito a tener todas las facilidades necesarias para
llevar a cabo su tarea de la mejor forma posible.
Como extraer y recuperar evidencias digitales y telemáticas
Metadatos (del griego μετα, meta, «después de» y latín datum, «lo que se da», «dato»),
literalmente «sobre datos», son datos que describen otros datos.
Los metadatos son datos que caracterizan a un fichero que contiene ciertos tipos de datos, de
modo que a través de los metadatos podemos conocer características de un fichero como el
autor, revisiones del documento, etc.
Los metadatos pueden tener varias aplicaciones como:
En informática forense: Para demostrar en un juicio que unos archivos de imágenes
pertenecen a una determinada cámara de fotos.
En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener
los nombres de posibles usuarios, sistema operativo, nombres de red… para después
realizar un ataque de fuerza bruta.
En el análisis forense informático, la extracción de los metadatos es una disciplina que
se emplea frecuentemente en procesos judiciales. En determinados eventos
criminales, una carpeta, archivo, imagen, mensaje, correo… son evidencias digitales
y/o telemáticas que incriminen o eximan a un acusado en la comisión de un delito, y
por tanto, es importante analizar los metadatos que contenga el dispositivo para
poder obtener de ellas evidencias suficientes que sustenten una acusación o una
defensa ante un juez.
Curso de Perito Telemático Forense
www.antpji.com Página 31
Los metadatos, es la información insertada en los archivos por el software de edición o
creación de los mismos, estés metadatos contienen información acerca de la creación del
archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces
que el documento fue modificado, fecha de creación…
Los metadatos contienen toda la información del archivo, fecha, hora, autor, geoposicion,
modificación del archivo…
En fotografías digitales, la cámara captura las imágenes y va guardando en forma de
metadatos, información de cómo fue tomada la fotografía: fecha, hora, diafragma, velocidad,
uso de flash, modo de captura, entre otros datos, uno de ellos próximo a llegar:
geoposicionamiento satelital.
De esto nos podemos dar cuenta fácilmente cuando subimos las fotografías a un servicio de
almacenamiento web, como Flickr, si quieres haz la prueba y verifica los metadatos
fotográficos de muchas imágenes y podrás darte cuenta que el "dato" es la imagen y el resto
son los "metadatos", es decir, la información sobre la fotografía.
En una canción en formato MP3, el "dato" es el sonido que estamos acostumbrados a
escuchar, y los metadatos es toda aquella información extra, como título de la obra, álbum,
año, autor, carátula, género, etc. Windows Media Player (y otros reproductores) muestra los
metadatos de una canción, entre ellos la carátula del disco que estamos escuchando.
Por supuesto, las páginas web no podrían ser ajenas a este esquema y tienen datos (que es lo
que normalmente un usuario visualiza) pero también metadatos (que desafortunadamente no
es tan visible, aunque a la larga tan importante como los datos). En las páginas web los datos
se ven por un usuario normal. Los metadatos están de cierta forma ocultos en el código
fuente.
Si enfocamos la obtención de metadatos al mundo de la fotografía digital, podemos en algunos
casos obtener incluso la geolocalización de la obtención de la imagen en concreto. Para ello
utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif).
Queda clara la importancia de mantener en la fotografía únicamente información que
deseamos que sea pública, para evitar que circule información “oculta” a primera vista y que
no deseamos ofrecer.
Herramientas como Metagoofil o la foca están enfocadas a la obtención de los metadatos, lo
que puede ser el primer paso de un análisis más exhaustivo, que dé pie a posteriores etapas en
un proceso de investigación técnica.
Como no puede ser de otra manera, la recomendación es eliminar aquellos metadatos
innecesarios que impliquen información privada que en cierta manera nos hace vulnerables, ya
sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a través de imágenes.
La información básica de imagen suele ser la fecha de toma de la imagen, el fabricante de la
cámara y el modelo de cámara utilizado. Esta información se puede deducir mediante la
invocación de las propiedades de una imagen. Cualquier sistema operativo lo permite (en
Curso de Perito Telemático Forense
www.antpji.com Página 32
Windows, por ejemplo, haciendo botón derecho --> propiedades sobre una imagen).
Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos
imagen a imagen, y que además, permiten extraer mucha más información.
También veremos como cuando se toma una fotografía, existen muchos más datos que se
graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la
fecha, el fabricante y el modelo no bastan, y quizás sea necesario deducir, por ejemplo, si dos
imágenes han sido tomadas con la misma cámara o no. Un análisis de metadatos puede
proporcionarnos esta información.
Para la extracción de metadatos de archivos existen numerosos métodos. Unos son más
sencillos de interpretar y otros producen resultados más complejos.
A la hora de realizar una pericial informática, uno de los primeros pasos a dar es la recopilación
de la mayor cantidad de información “útil” del objeto de la pericia, lo que en el ámbito de la
seguridad denominamos como “information gathering”. Dentro de esta fase, podemos incluir
el análisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo
pdf, odt, jpg, etc…
En cuanto a las herramientas de extracción de metadatos, y aunque hay en Internet múltiples
recursos al respecto: RDFMetadata, Benubird PDF, Mi TeC Exe Explorer, Format Factory
Portable, EMS My SQL Manager.. y el que más utilizo el de nuestro socio la Foca Forense, cuyo
funcionamiento es muy sencillo.
Por nombrar algunas de estas herramientas de adquisición de metadatos útiles están:
hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de
archivos, y está disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD.
ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede
trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar
ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados
por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-
Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo,
Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que
permite utilizarla en Linux.
Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través
de google, y analizar los metadatos de los archivos. Para obtener información y realizar
un ataque o un test de intrusión. Esta escrita en python.
Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del
sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash".
Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces
modificado por diferentes personas.
FOCA 3.2 Free es una herramienta para la realización de procesos de fingerprinting e
information gathering en trabajos de auditoría web. La versión Free realiza búsqueda
de servidores, dominios, URLs y documentos publicados, así como el descubrimiento
de versiones de software en servidores y clientes. FOCA se hizo famosa por la
extracción de metadatos en documentos públicos, pero hoy en día es mucho más que
Curso de Perito Telemático Forense
www.antpji.com Página 33
eso. Para el análisis de metadatos en ficheros ofimáticos puedes utilizar una
versión online de la FOCA. Gracias a esta herramienta, podemos extraer en primer
lugar los datos para obtener la información contenida en los metadatos de un fichero.
De esta manera podemos obtener información como nombres de usuarios, nombres
de equipos, rutas del equipo donde se ha creado/modificado un fichero, etc.
Podemos observar los datos que podemos obtener de un fichero “.doc” que no ha sido
previamente “limpiado”, entre los cuales cabe destacar rutas de unidades de red,
nombres de usuarios, nombre del registrador de la aplicación, aplicación con la que
está creado el documento y su versión, etc.
Es muy importante y debemos de prestar mucha atención a los metadatos, sobre todo
si el documento va a ser públicamente accesible.
Código Deontológico 1. Ejerceré la profesión de Perito Informático con dignidad, lealtad y cientifismo, colaborando
siempre con la Justicia y concediéndole la importancia que merece, siendo plenamente
consciente de la responsabilidad que supone emitir un informe o dictamen.
2. Defenderé siempre la Informática como ciencia especializada en la obtención de evidencias
electrónicas al servicio de la Justicia, para ello no permitiré que se desprestigie por falta de
cientifismo y menos por falta de ética.
3. Como Perito Informático continuaré capacitación, mediante una formación continua y
actualizando mis conocimientos, manteniéndome informado de manera puntual de los últimos
adelantes de que se produzcan en el ámbito de las Nuevas Tecnologías.
4. Pediré ayuda a la Junta Directiva de la Asociación cuando existiera alguna duda en mi
dictamen, a fin de que puedan orientarme de manera profesional orientarme; sometiéndome
al arbitrio de la Junta Directiva cuando existiera un conflicto o contradicción en un dictamen.
5. Seré objetivo en mis criterios y no me dejaré llevar por la subjetividad emotiva en la
elaboración de un dictamen a pesar de la información recibida sobre el caso.
6. Conservaré siempre mi ética profesional. No aceptaré jamás ni indicaciones, bienes o
promesas para emitir un dictamen tendencioso, confuso o con interés preconcebido y
contrario a la Justicia.
7. Ajustaré mis honorarios a la dificultad del caso, horas empleadas, gastos que origine, según
los baremos que establezca la Asociación, si bien no dejaré de auxiliar a la Justicia por razón de
precio, aceptando siempre que me sea posible las designaciones para intervenir por turno de
oficio en los casos que procedan.
8. Expondré siempre la verdad en mis dictámenes, según mi leal saber y entender, con la
máxima claridad posible a fin de que pueda comprenderse bien el motivo de las conclusiones.
Caso de faltar voluntariamente a la verdad aceptaré la decisión de la Junta en cuanto a mi
expulsión de la Asociación.
Curso de Perito Telemático Forense
www.antpji.com Página 34
9. Respetaré la dignidad del ser humano, sus derechos y libertad personal, guardando
estricta neutralidad, sin desviar mi recto juicio profesional por motivos discriminatorios, ya
sean de raza, sexo, religión, clase social, ideas políticas o prejuicio de cualquier clase.
10. Me solidarizo con el espíritu de hermandad que tutela la "ASOCIACIÓN NACIONAL DE
TASADORES Y PERITOS JUDICIALES INFORMATICOS", evitando la deslealtad y competencia
ilícita hacia mis compañeros. Asimismo respetaré la clientela de mis colegas, sin apoderarme
previo conocimiento de la misma. En el caso de que me fuera solicitado un dictamen respecto
del contenido u objeto de otro realizado por un miembro de la Asociación, previamente a la
emisión del mismo daré la oportunidad al autor del dictamen previo de aclarar aquello que
crea conveniente, sin que esto suponga ninguna limitación a mis obligaciones de
independencia, objetividad y veracidad, y respetando, en todo caso, la identidad y
derechos de mi cliente.
Utilidades Forenses Esta es una selección de software para intervenciones informáticas forenses que es útil
compartir. Sirven para analizar ordenadores, correos, dispositivos móviles, buscar malware,
localizar archivos borrados, encontrar evidencias….
Programa Fabricante Descripción
Advanced Prefetch Analyser Hallan Hay Lee los ficheros prefetch de Windows.
Agent Ransack Mythicsoft Busca múltiples ficheros usando Perl Regex
Analyze MFT David Kovar Permite realizar “Parses” de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas.
Audit Viewer Mandiant Visualizador utilizado en combinación con Memoryze
Autopsy Brian Carrier Reconocida herramienta grafica para entornos Linux.
Backtrack Backtrack Suite de 'Penetration testing' y seguridad para la realización de auditorías de seguridad.
Bitpim Bitpim Analiza dispositivos móviles como LG, Sanyo, etc.
Caine University of Modena e Reggio Emilia
Live CD, con numerosas utilidades y herramientas.
ChromeAnalysis forensic-software
Herramienta que permite el análisis del histórico de internet del famoso Google Cromé
ChromeCacheView
Nirsoft Lee los ficheros de la cache de Google Cromé y visualiza en una lista lo que se encuentra almacenado.
DCode Digital Detective Convierte varios tipos de fechas y tiempos.
Defraser Varios Detecta ficheros multimedia en espacios
Curso de Perito Telemático Forense
www.antpji.com Página 35
'unallocated'. Digital Forensics Framework ArxSys Framework que permite el análisis de
volúmenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.
DumpIt MoonSols Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB
EDB Viewer Lepide Software Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.
EnCase Guidance Potente herramienta de reconocido prestigio internacional. Vale para todo en el ámbito forense.
Encrypted Disk Detector JAD software
Comprueba discos físicos en busca de ficheros o volúmenes cifrados con TrueCrypt, PGP, o Bitlocker.
Exif Reader Ryuuji Yoshimoto
Extrae datos (metadatos) Exif de fotografías digitales.
FastCopy Shirouzu Hiroaki Uno de los más rápidos en copiar y/o borrar, permite utilizar SHA-1. Utilizado para copia masiva de datos con muy buenos resultados
FAT32 Format Ridgecrop Habilita la capacidad de almacenamiento de discos formateados en FAT32
Foca Informatica64 Herramienta para fingerprinting e información
gathering en trabajos de auditoría web. Lo utilizo
para casi todo, especialmente el tema de
metadatos
Forensic Image
Viewer
Sanderson
Forensics
Visor de varios formatos con posibilidad de extraer
metadatos Exif o datos de geolocalización GPS. Lo
suelo emplear bastante.
ForensicUserInfo Woanware Extrae información relacionada con los usuarios en
Windows utilizando los ficheros SAM, SOFTWARE y
SYSTEM hives también desencripta hashes LM/NT.
FoxAnalysis forensic-
software
Herramienta que permite el análisis del histórico
de internet de firefox.
FTK Imager AccessData Herramienta para adquirir, montar y analizar de
forma básica imágenes de equipos. También es
capaz de volcar la memoria a fichero. Muy
completa
Gmail Parser Woanware Obtiene de ficheros HTML información que se ha
'cacheado' al utilizar 'artefactos' de Gmail
Curso de Perito Telemático Forense
www.antpji.com Página 36
HashMyFiles Nirsoft Calcula hashes MD5 y SHA.
Highlighter Mandiant Examina ficheros log usando texto, gráficos o
histogramas.
IECacheView Nirsoft Lee los ficheros de la cache de Internet Explorer y
lo visualiza en una lista.
IECookiesView Nirsoft Extrae detalles de las cookies de Internet Explorer.
IEHistoryView Nirsoft Extrae las visitas recientes de las URL's de Internet
Explorer.
IEPassView Nirsoft Extrae las passwords de Internet Explorer en las
versiones 4 a 8.
KaZAlyser Sanderson
Forensics
Extrae información del famoso programa P2P
KAZA.
Live View CERT Permite al analista examinar y 'arrancar' imágenes
en formato dd y VMware. También muy útil
LiveContactsView Nirsoft Visor que permite exportar los contactos y otros
detalles de Windows Live Messenger.
Mail Viewer MiTeC Maravilloso visor de Outlook Express, Windows
Mail, Windows Live Mail, Mozilla Thunderbird y
ficheros basados en ficheros EML.
Memoryze Mandiant Adquiere y analiza imágenes RAM. Lo bueno es
que permite analizar el fichero pagefile en
sistemas vivos.
MFTview Sanderson
Forensics
Muestra y decodifica contenidos extraídos en
ficheros MTF.
MobaLiveCD Mobatek Ejecuta un ISO Linux desde Windows sin tener que
reiniciar. Basado en QEMU. Para utilizar servidores
FTP sin tener que tocar Windows.
MobilEdit MobilEdit Recoge todos los datos posibles desde el teléfono
móvil, a continuación, genera un amplio informe
que se puede almacenar o imprimir. Soporta la
mayoría de los móviles.
Motorola Tools
"Flash & Backup" - actualiza el firmware y "M-
Explorer" - administrador de archivos pequeños,
fáciles de usar y gratis
Curso de Perito Telemático Forense
www.antpji.com Página 37
MozillaCacheView Nirsoft Lee los ficheros de la cache de Mozilla y visualiza
en una lista lo que se encuentra almacenado.
MozillaCookieView Nirsoft Extrae detalles de las cookies de Mozilla.
MozillaHistoryView Nirsoft Herramienta que permite el análisis del historico
de internet de Mozilla.
MyLastSearch Nirsoft Extrae búsquedas utilizadas en los buscadores mas
populares (Google, Yahoo y MSN) también en
redes sociales (Twitter, Facebook, MySpace)
Netdetector Niksun Analizador de red y detector de intrusiones
Netwitness
Investigator
Netwitness Analizador de paquetes de red. Increíblemente
bueno.
NetworkMiner Netresec Programa de captura con el fin de detectar los
sistemas operativos, las sesiones, los nombres de
host, Puertos abiertos, etc.
Notepad ++ Notepad ++ Ya jamás volveré al notepad clásico después de
utilizar este Notepad.
OperaCacheView Nirsoft Lee los ficheros de la cache de Opera y visualiza en
una lista lo que se encuentra almacenado.
OperaPassView Nirsoft Desencripta las password del fichero 'wand.dat' de
Opera.
Oxygen Oxygen Herramienta comercial analiza todos los datos
disponibles de un móvil. No puedo vivir si ella.
P2 eXplorer Paraben Realiza montajes virtuales de unidades y de
imágenes. Casi toda la suite, por no decir toda es
muy interesante y útil.
P2 Shuttle Free Paraben Suite maravillosa que permite montar
remotamente discos, captura de tráfico de red, de
RAM, utilidades de búsqueda etc.
Paraben Forensics Paraben Al igual que las anteriores, recoge todos los datos
posibles desde el teléfono móvil, a continuación,
genera un amplio informe que se puede almacenar
o imprimir.
PasswordFox Nirsoft Extrae usuario y contraseñas almacenadas en
Mozilla Firefox.
Curso de Perito Telemático Forense
www.antpji.com Página 38
Process Monitor Microsoft Examina los procesos windows y permite hacer un
seguimiento en tiempo real del registro y accesos
a disco. Excelente y genial herramienta
PST Viewer Lepide Software Abre y visualiza (tampoco exporta) ficheros PST sin
necesidad de Outlook.
PsTools Microsoft Maravillosa Suite de utilidades en modo comando.
Siempre lo llevo encima.
recuva Piriform Has querido recuperar tus ficheros en Windows?
Entonces esta es tu utilidad
Registry Decoder Digital Forensics
Solutions
Para la adquisición, análisis e informe del
contenido del registro.
RegRipper Harlan Carvey Herramienta de correlación y extracción de
evidencias forenses del registro.
Regshot Regshot Realiza snapshots del registro con objeto de
comparar y ver los cambios que se producen. Ideal
para ver que hace un malware.
rstudio Es una suite de software de recuperación de datos
que puede recuperar archivos de FAT (12-32),
NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD,
Solaris), ext2/ext3 (Linux
Shadow Explorer Shadow Explorer Visualiza y extrae ficheros de copias shadow. Lo
utilizo en busca de malware.
SIFT SANS VMware Appliance de SANS configurado con
multiples herramientas para el análisis forense.
SkypeLogView Nirsoft Analizador del famoso Skype
Snort Snort El mas versatil y magnifico detector de intrusos.
SQLite Manager Mrinal Kant,
Tarakant
Tripathy
add-on en Firefox que permite ver contenidos de
bases de datos SQLite.
Strings Microsoft No puedo vivir sin el. Busca contenido de texto en
ficheros.
Structred Storage
Viewer
MiTec Visualiza y maneja estructuras basadas en ficheros
MS OLE.
Curso de Perito Telemático Forense
www.antpji.com Página 39
Suite Getdata getdata Magnifica suite de herramientas forenses para el
montaje de discos virtuales, imágenes y
recuperación y análisis de datos.
Triana Tools Informatica64 Herramienta indispensable para el análisis forense
de IPHONE del magnifico Juanito. Si la quieres te la
proporcionan si vas a los cursos
Ubuntu guide How-To Geek Guia para usar con Unbuntu live con objeto de
utilizar recuperación de particiones, ficheros, etc.
UFED Cellebrite Es el sistema más completo que combina la
extracción lógica y física, la recuperación de clave
de acceso
Unhide Security By
default
Si quieres detectar procesos 'raros' este es tu
software
USB Device Forensics Woanware Detalles de las unidades USB que se han
conectado a un equipo.
USB Write Blocker DSi Habilita la posibilidad de escribir o bloquear
puertos USB.
USBDeview Nirsoft Habilita la posibilidad de escribir o bloquear
puertos USB.
UserAssist Didier Stevens Muestra una lista de programas que se han
ejecutado incluyendo última ejecución, número de
veces y fechas y horas.
VHD Tool Microsoft Convierte discos e imágenes al formato VHD que
se puede montar en Windows.
VideoTriage QCC Produce miniaturas de ficheros de video con
objeto de apreciar imágenes o movimientos
perdidos en la película.
Volatility Framework Volatile Systems Framework que se compone de una colección de
herramientas para la extracción de ficheros RAM.
Maravillosa herramienta para la detección de
Malware. La tengo configurada en SIFT de SANS.
Web Historian Mandiant Magnifica herramienta que reúne las anteriores y
permite de los navegadores mas utilizados obtener
el histórico de navegación.
Curso de Perito Telemático Forense
www.antpji.com Página 40
WindowsFile
Analyzer
MiTeC Otra maravillosa suite para analizar ficheros
thumbs.db, Prefetch, INFO2 y .lnk.
Windows Forensic
Environment
Troy Larson Guia de Brett Shavers para crear y trabajar con un
CD que arranque un Windows (Similar a Windows
PE).
Wireshark Wireshark Algo que decir de esta maravillosa herramienta?
Xplico xplico Entorno gráfico para poder entender y visualizar el
contenido de ficheros PCAP.
Informe Pericial Telemático Estructura de un Informe Pericial Informático.
PORTADA
Titulo del informe
Número de Expediente
TABLA DE CONTENIDOS
INFORMACIÓN IDENTIFICATIVA
ASUNTO
Nombre TITULO DE LA PERICIA
Descripción
Curso de Perito Telemático Forense
www.antpji.com Página 41
BREVE DESCRIPCIÓN DEL MOTIVO DE LA PERICIA
CLIENTE PETICIONARIO
Nombre
Representado por
Teléfono e-mail
Dirección
CONTACTO INICIAL
Fecha Hora / Duración
Vía
PROFESIONAL ANTPJI
Titular
Nombre .
Teléfono e-mail
Soporte
Nombre
Teléfono e-mail
Domicilio Social
INFORMACIÓN DECLARATIVA
Declaración de Abstención y Tachas
El firmante del presente informe o dictamen, en lo concerniente a los temas y alcance
tratados,
Así como las partes y terceros involucrados o afectadas por el mismo y conocidos hasta este
momento, en base a los expresados en el art. 105 de la Ley de Enjuiciamiento Civil y el art. 219
De la Ley Orgánica del Poder Judicial,
DECLARA,
a priori y en la fecha de elaboración del informe, desconocer causa o motivo alguno por la que
deba de abstenerse de la realización del presente informe.
Y en base al art. 343 de la Ley de Enjuiciamiento Civil,
Curso de Perito Telemático Forense
www.antpji.com Página 42
DECLARA,
a priori y en la fecha de elaboración del informe, conocer causa o motivo alguno por el cual el
perito pueda ser tachado por Tercero interesado o Parte en un proceso judicial derivado de las
acciones posteriores llevadas a cabo con el presente informe o dictamen judicial.
Declaración o Juramento de Promesa
El perito firmante del presente informe o dictamen, en lo concerniente a los temas y el alcance
tratados en el mismo, y en base a lo expresado en art. 335 de la Ley de Enjuiciamiento Civil,
DECLARA,
decir la verdad y haber actuado con la mayor objetividad e imparcialidad posible tomando en
consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a
tercero o parte solicitante del informe y conoce las responsabilidades civiles, penales,
disciplinarias y asociativas que comporta la aceptación de la elaboración de un informe
o dictamen judicial.
Asimismo, bajo su única responsabilidad,
DECLARA,
que lo expresado y reflejado en el presente informe o dictamen pericial está basado en
los hechos, información y circunstancias que se han podido constatar, por medio
de los conocimientos propios y la experiencia adquirida a lo largo de la trayectoria
profesional, quedando las conclusiones siempre sujetas y abiertas a la consideración
de nuevas informaciones, exámenes y aportaciones o de un mejor criterio u opinión
que pudiese ser aportado.
INFORMACIÓN DESCRIPTIVA
Antedecedentes del asunto
Asunto que se expone
INFORMACIÓN APORTADA / UTILIZADA
Se menciona toda la información aportada por el cliente, y la que hemos utilizado para la
elaboración de la pericia así como su tratamiento para realizar el informe.
DICTAMEN Y CONCLUSIONES
ANEXOS
Curso de Perito Telemático Forense
www.antpji.com Página 43
Guía del Peritaje Informático
Introducción
Esta guía tiene como objeto el difundir un protocolo común, y homogeneizar la realización de
peritajes informáticos, especialmente los orientados a recuperar documentos e imágenes.
Para la elaboración de un dictamen, es necesario la obtención de evidencias electrónicas de los
equipos informáticos, tanto los que existen como los que han sido borrados o eliminados y que
pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia.
No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han
solicitado nuestra pericia que pueden tener una relevancia jurídica informando de su
contenido y no otros.
Debemos de:
Curso de Perito Telemático Forense
www.antpji.com Página 44
Mantener segura la “cadena de custodia” asegurando la nulidad del proceso
En nuestra intervención, deberemos de seleccionar los elementos relevantes,
descartando los demás equipos tecnológicos, previo examen inicial
Detallar los pasos en nuestra intervención al igual que el uso de programas y
herramientas que hemos utilizado en nuestra pericia.
Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas
No alterar los elementos informáticos originales, trabajando con copias clónicas.
Realizar el informe pericial, repasándolo varias veces, antes de la entrega al cliente,
analizando todos los posibles errores en su confección. Cuanto más claro e irrefutable
sea el dictamen, la ratificación en juicio será menor, aunque muchas veces sea preciso
nuestra presencia en el juicio.
Primera Intervención Pericial Cuando realicéis la primera intervención, deberéis de estar atentos a lo que hay a vuestro
alrededor, quien maneja los equipos informáticos, empleados, personal externo,
proveedores… identificar al informático o responsable del departamento informático, quien es
el encargado de la seguridad informática, cuantas personas acceden a la empresa desde la red
como el web máster, proveedores de servicios, comerciales, directivos…
Especial atención a los aparatos y equipos tecnológicos como:
Equipos informáticos, tanto equipos de sobremesa como portátiles
Servidores
Smartphone
Tablet
Agendas electrónicas
E-Book
PDA
Pen drives
Discos Duros
Reproductores
MP3
Dispositivos USB
Grabadores de Tarjetas Magnéticas
Discos Ópticos CDs y DVS, eliminando los grabados por los fabricantes
Programas de instalación
Teléfonos móviles
Impresoras
Fotocopiadoras...
Procedimiento Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la reseña y
ficha del señalando en el momento que fueron encontrado en el lugar de la intervención y con
Curso de Perito Telemático Forense
www.antpji.com Página 45
las características técnicas de cada elemento, tanto si están en funcionamiento como
apagados
Equipo
Marca
Modelo
Numero de Serie
Curso de Perito Telemático Forense
www.antpji.com Página 46
Es importante que nadie en el momento de nuestra intervención, manipulen los equipos con el
objeto de que alguien introduzca algún archivo que invalide el peritaje y si se ha de proceder al
apagado de algún equipo, retiraremos la corriente eléctrica, para no perder ficheros
temporales significativos. De esta manera no dará lugar a conjeturas acerca del proceso de la
cadena de custodia en el peritaje inicial.
Nuestra actuación en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague
consistirá en la copia de los discos duros, memorias y similares mediante las docking station de
grabación y utilizando las herramientas y programas forense que utilizamos normalmente.
Si en nuestra intervención, normalmente judicial hay que intervenir los equipos, deberemos de
realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la
siguiente manera:
Ordenadores de sobremesa: Comprobamos si las lectoras tienen algún disco óptico, si
hay algún pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos
al apagado el ordenador, desenchufando directamente de la corriente para no perder
archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los
discos duros.
Ordenadores Portátiles: comprobamos si hay algún disco óptico en la lectora, si i hay
alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batería
y procedemos a la extracción del disco duro, sabiendo que algunos equipos portátiles
tienen dos discos duros.
Discos Ópticos: anotaremos el número de serie que está en el orificio central
Todos los discos tanto rígidos como ópticos han de ser firmados y guardados en bolsas
antiestáticas
Todos los demás equipos tecnológicos de la intervención deberán inventariarse, firmarse y
guardarse en bolsas antiestáticas por separado, con sus cargadores correspondientes.
Trabajo en nuestro laboratorio Forense Informático Aconsejo la utilización de una cámara videograbadora que nos servirá a nosotros para saber
todo el proceso que hemos realizada, y nos ayudara a corregir los errores habituales.
Nuestra mesa de trabajo a de estar aséptica y contar con las herramientas, programas y
ordenadores que tendrán diferentes sistemas operativos.
Procederemos a las lecturas de los discos rígidos, ópticos, pendrives y demás elementos; con
los distintos soportes operativos, ordenadores, docking station y elementos que componen
nuestro laboratorio forense informático.
Realizaremos una recuperación de posibles archivos borrados, para localizar archivos
potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y
recuperado en el informe, explicando el método por el que se a obtenido, indicando los
programas y las herramientas.
Aquellos archivos que no podamos leer por tener archivos dañados, encriptación, daño físico o
similar se enviaran a la cámara de vacío de los laboratorios de recuperación de datos.
Curso de Perito Telemático Forense
www.antpji.com Página 47
Para la localización de archivos en los discos clonados, necesitaremos discos limpios y sistemas
auto arrancables para no alterar ningún dato que pudiera invalidar la prueba pericial.
Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas,
etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados
para evitar la manipulación futura.
Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con
detenimiento carpetas y subcarpetas, y antes de la eliminación de cada uno de ellos, mirar las
propiedades y su peso, ya que pueden estar ocultos o encriptados.
Además de la transcripción escrita, indicando la ruta completa del archivo, fecha de creación
del fichero, usuario del equipo informático y su localización, hay que imprimir un pantallazo,
con indicación única del archivo, carpeta o dato encargado en la pericia.
Es habitual el uso de remotos para la realización de actos delictivos, con lo que si en los
archivos aparece la manipulación de archivos desde otra ip distinta al ordenador de la pericia,
reseñar la ip manipuladora.
Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el
que se habría normalmente, es recomendable el block de notas o utilizar un sistema
independiente como Linux.
Informe Pericial El informe pericial es una primera valoración por el perito que se entrega generalmente al
consejero jurídico del cliente, para poder examinar las evidencias electrónicas halladas y dirimir
como se va a llevar el proceso en vista a las pruebas obtenidas.
Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no
tecnicista los datos obtenidos.
Dictamen con Conclusiones Cuando recibimos la contestación del asesor legal y el visto bueno del cliente que nos realizado
la provisión de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisión
de un dictamen de la pericia encargada con las conclusiones finales.
En dicho dictamen, se indican que componentes informáticos, se han encontrado los ficheros
relevantes y el resumen de su contenido de la evidencia digital, referenciándose en el informe
como evidencia electrónica relevante.
Todos los dictámenes han de tener una excelente caligrafía con lo que el ordenador es una
opción recomendable, cuidando la revisión de faltas ortográficas, no escatimando en cuanto a
la presentación, numero de hojas ni discos ópticos en donde están las evidencias electrónicas
vinculantes al esclarecimiento del caso.
En nuestro dictamen tiene que constar:
Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos
personales, identificándose con el carnet profesional)
Curso de Perito Telemático Forense
www.antpji.com Página 48
Número de diligencias y Juzgado
Objeto de la Pericia
Identificación del Perito
Si pertenece a alguna Organización o Colegio Profesional
Inventario de los equipos analizados con sus fichas técnicas y la procedencia de los
mismos
Herramientas y programas utilizados
Informe imparcial de las evidencias obtenidas, describiendo desde la recepción de
equipos hasta la obtención de las evidencias electrónicas relevantes, describiendo el
protocolo utilizado en la cadena de custodia, copias y obtención de datos, detallando
las características de los equipos que forman la pericia, enumerando los equipos
informáticos y los ficheros y datos enumerados.
No olvidaros de firmar el dictamen con vuestros datos profesionales y teléfono de
contacto
Se devuelven todos los materiales informáticos intervenidos y guardamos una copia del
dictamen pericial que nos servirá de archivo y de refresco para una posible ratificación de
nuestra pericia en un juicio.
También es conveniente realizar una copia de los discos ópticos relevantes y los discos rígidos.
Ratificación Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelación
suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos
ordenados y enumerados.
Nuestra actuación en el juicio es básicamente la de ratificarnos en el dictamen realizado,
pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrónicas
halladas.
Con lo que es muy importante la presentación de un dictamen con la letra legible, con
indicación de todo el protocolo y la enumeración de equipos en los que hemos realizado la
pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al oír el
dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que
el trabajo se multiplica y mermara nuestra reputación.
Curso de Perito Telemático Forense
www.antpji.com Página 49
Como realizar una auditoría telemática Antiguamente la comprobación de la gestión, control y actividad económica-financiera de las
empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditoría
financiera.
La implantación de sistemas informáticos, deja anulado estos sistemas, debido a que hay que
no pueden detectar las entradas y salidas generadas y si habían sido objeto o no de
manipulación.
Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria
informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de
activos; capaz de detectar ataques internos como externos.
Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin
es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en
el que describimos:
Equipos instalados, servidores, programas, sistemas operativos…
Procedimientos instalados
Análisis de Seguridad en los equipos y en la red
Análisis de la eficiencia de los Sistemas y Programas informáticos
Gestión de los sistemas instalados
Optimización del Parque Informático (Software y Hardware)
Verificación del cumplimiento de la Normativa vigente LOPD
Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de
trabajo, redes de comunicaciones, servidores.
Protocolo de Seguridad ante una amenaza tecnológica
Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el
establecimiento de las
medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que
permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.
Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la
situación exacta de sus activos de información en cuanto a protección, control y medidas de
seguridad.
Una Auditoria de Seguridad conlleva:
Amenazas y elementos de Seguridad de entrada y salida de datos.
Aspectos Gerenciales
Análisis de Riesgos
Identificación de amenazas.
Seguridad en Internet
Curso de Perito Telemático Forense
www.antpji.com Página 50
Control de Sistemas y Programas instalados
Protocolo de Riesgos, Seguridad, Seguros, Programas instalados…
Protocolo ante perdidas, fraude y ciberataques
Planes de Contingencia y Recuperación de Desastres
Seguridad Física
Seguridad de Datos y Programas
Plan de Seguridad
Políticas de Seguridad
Medidas de Seguridad (Directivas, Preventivas y Correctivas)
Cadena de Custodia
LOPD
Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan
de Auditoria
Informática que oriente sobre la planificación de un sistema seguro y un plan de emergencia
ante posibles desastres; implementando una metodología a seguir en caso de que ocurra
alguna vulnerabilidad.
Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el
control interno y evitar situaciones no deseadas.
Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan
determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contra-
ataque. Los servicios de auditoría pueden ser de distinta índole:
• Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter interno
• Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores
• Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un
complemento fundamental para la auditoría perimetral.
• Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior
de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la
par que se valoran los daños ocasionados.
• Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando
vulnerabilidades.
Curso de Perito Telemático Forense
www.antpji.com Página 51
• Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web
como de cualquier tipo de aplicación, independientemente del lenguaje empleado.
• Auditoria de Seguridad ante la amenaza de un ataque cibernético, extorsión empresarial
cibernética y creación de un gabinete y protocolo de actuación ante cualquier ataque, chantaje
o fuga de datos.
• Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de
buenas prácticas que garanticen la seguridad de los sistemas.
Existen estándares base para auditorias informáticas como:
COBIT (objetivos de Control de la Tecnológica de la Información)
ISO 17799
ISO 27001
ISO 27002
Normas NFPA75
TIA 942
ISACA
ANBASO (Certificación propia de ANTPJI para Software) ANBAET(Certificación propia de ANTPJI
para Hardware)
No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario
actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informático a la
hora de implantar un modelo de Auditoria de Seguridad Informática sería el siguiente:
Estudio General, evaluando la empresa, el personal, equipos y programas
Observación de los sistemas implantados y realización de cuestionarios y entrevistas,
sobre todo al personal que tenga acceso a documentación o datos sensibles.
Elabora gráficos estadísticos y flujogramas.
Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis
de código de programas, Datos de prueba, Datos de prueba integrados, Análisis de
bitácoras, Simulación paralela)
Enumera los equipos, redes, protocolos
Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados
Identifica y confirma todos los sistemas operáticos instalado
Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y
fallas (OJO con el factor humano)
Curso de Perito Telemático Forense
www.antpji.com Página 52
Diseña controles y medidas correctivas en las actividades y recursos dentro de la
empresa.
Conciencia sobre la normativa y legislación vigente
Realiza un completo Análisis de Riesgos.
Realiza un informe completo sobre la implantación de la Auditoria de Seguridad,
implantación de medidas preventivas y protocolo de Seguridad a instalar
Emite un certificado de Seguridad de Auditoria Informática
Visitas cada tres meses para la comprobación de la aplicación de las normas.
Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y
personas.
Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando
al personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con
un lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un
ataque externo.
Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa
exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas
organizacionales.
Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el
personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las
visitas de control que se indiquen según el número de empleados y facturación de la empresa.
El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de
la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido
o sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque.
No solo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento,
al igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de
los controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan
meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches,
actualizaciones de software, adquisición de nuevos productos tanto en software como
hardware.
Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables
de personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste
aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales
y la forma de superarlos.
Curso de Perito Telemático Forense
www.antpji.com Página 53
No olvidemos que adquirimos responsabilidades no solo con la persona con la que
contratamos, sino con un número de personas desconocidas que van a utilizar el resultado de
nuestro trabajo como base para tomar decisiones.
Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, sólido maduro, para
juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos
El informe inicial de Auditoria de Seguridad Informática ha de contener:
• Tipo de Auditoria a instalar (Ámbito, Aplicación, y Planificación de la misma)
• Riesgos actuales
• Seguridad física y lógica del Centro Tecnológico (Central, Servidores)
• Auditoria de dirección y personal autorizado a integrar en la Auditoria
• Auditoria del desarrollo del negocio (Física, Forense y Financiera)
• Base de Datos ( LOPD, normativa, irregularidades, correos personales)
• Implantación de medidas de seguridad
• Análisis de Negocio Electrónico y administración de la WEB
• Aplicación de técnicas y procedimientos de auditoría forense.
• Aplicación de nuevas tecnologías en equipos o programas en la Empresa.
• Aplicación de los sistemas instalados ante incidentes Protocolo de Seguridad ante ataques
cibernéticos
Curso de gestión de conocimiento al personal sobre:
Amenazas y problemas en el uso de las tecnológicas de información
Conceptos de Seguridad
Control de Confidencialidad
Correos
Redes sociales
Privacidad
Instalación de programas
Medidas de control ante un ataque
Normas de seguridad a instalar en la empresa
Normativa de seguridad
SCII Sistema de Control Informático Interno
Riesgos y control de los mismos
Curso de Perito Telemático Forense
www.antpji.com Página 54
Como se realiza un peritaje telemático para un cliente ANTPJI ofrece un servicio integral de Asesoramiento Técnico gratuito para poder solucionar sus
dudas o problemas en cuanto a Delitos Informáticos, Consultoría Informática, Auditoria de
Seguridad Informática o Peritaje telemático.
El protocolo de actuación empieza con la toma de contacto bien por correo electrónico
[email protected] o de manera telefónica, donde atenderemos su consulta.
A continuación ha de rellenar la solicitud de un Perito Telemático que puede realizarlo desde
nuestra web www.antpji.com
En esta primera toma de contacto el cliente en solitario o con su asesor laboral y el Perito
Telemático llevara a cabo un análisis de la situación inicial con la información facilitada por el
propio cliente donde se determinaran los objetivos de la consulta o investigación y se
establecerá el procedimiento a seguir para la extracción de las evidencias electrónicas
determinantes para la labor y se estiman los costos y tiempos de ejecución.
Presupuesto del servicio: Tras el análisis inicial, se realiza un presupuesto del servicio que incluye la tarificación de las
acciones llevadas a cabo para la Auditoria de Seguridad Informática o para la obtención de
evidencias informáticas. Se realiza una valoración inicial, detallando las partidas referentes a
horas realizadas, desplazamientos, labores técnicas del laboratorio forense, redacción y
elaboración de informes, actuación de otros profesionales… para que el cliente sepa de manera
transparente la operatividad del proceso y los costos del mismo.
Aceptación del presupuesto: El cliente recibe el presupuesto y si está conforme, lo devuelve firmado y sellado, dando
comienzo a la siguiente fase.
AUDITORIA INFORMATICA Tras la toma de contacto, se procede a la visita en donde se encuentran los equipos
informáticos para detectar las posibles deficiencias , realizándose un test de penetración, por
donde puede haber problemas en cuanto a la Seguridad Informática.
El Perito telemático realiza un análisis exhaustivo de dichos elementos, para posteriormente
elaborar un manual de seguridad, estableciendo una formación del personal implicado en los
procesos de seguridad informática o que manejen datos sensibles tanto internos como
externos.
Finalizado la Auditoria de Seguridad, el perito informático redactara el informe final y
establecerá un calendario de mantenimiento de Seguridad.
PERITAJE TELEMÁTICO Desarrollo de la investigación y elaboración del Informe:
Curso de Perito Telemático Forense
www.antpji.com Página 55
Tras la toma de contacto, se procede a efectuar la recogida de evidencias electrónicas,
asegurando la cadena de custodia con el fin de que no existan motivos de anulación por
manipulación de los equipos tecnológicos que puedan intervenir en la investigación (equipos
informáticos, teléfonos, Smartphone, discos de almacenamiento…)
Posteriormente los datos obtenidos serán trasladados al Laboratorio Forense Telemático,
donde el Perito realizara un informe inicial que entregara antes de 78 horas al al cliente y en
donde constara la transcripción del proceso, la metodología empleada en la extracción de la
evidencia digital, las herramientas y programas utilizados, así como todos los test realizados
para la elaboración y análisis final.
Finalizado el análisis, el perito informático comienza a redactar el informe pericial que
presentará ante los Tribunales de Justicia.
Declaración ante Tribunales: En caso de que sea necesario, el perito informático de ANTPJI que ha elaborado el informe,
testificará ante los Tribunales de Justicia para aportar las conclusiones de la investigación.
Los Tribunales de Justicia aceptan la metodología empleada por los técnicos de ANTPJI, ya que
los procesos de examen realizados en el laboratorio, no alteran la información almacenada en
los soportes informáticos, garantizando así la conservación de la evidencia electrónica en
perfecto estado. Además, el cuidadoso protocolo de Peritaje Informático desarrollado por
ANTPJI garantiza la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su
adquisición hasta su presentación ante los tribunales.
Curso de Perito Telemático Forense
www.antpji.com Página 56
Guía de buenas prácticas para el peritaje telemático en
recuperación de imágenes y documentos Esta guía de buenas prácticas tiene como objeto el difundir un protocolo común, y
homogeneizar la realización de peritajes informáticos, especialmente los orientados a
recuperar documentos e imágenes.
Estas buenas prácticas son el resultado de variadas experiencias en la realización de
pericias Informáticas, así como de la consulta de documentación referente al tema. Son
una plasmación de los códigos de práctica y conducta de la Asociación Nacional de Peritos
Judiciales Informáticos.
El ámbito del peritaje informático en recuperación de imágenes y documentos está
orientado a extraer de equipos informáticos intervenidos aquellos ficheros que puedan ser
relevantes, muchas veces en un contexto de ámbito penal, aunque también puede seguirse,
exactamente el mismo procedimiento, para el ámbito civil u otros. La lógica del peritaje
de este tipo está basada en presentar el contenido de ficheros que puedan tener
relevancia jurídica, informando de su significado y características.
Esos ficheros deben haberse mantenido en una "cadena de custodia", por lo que se detallarán
los pasos desde que se intervienen o reciben los equipos informáticos, hasta que se presentan
los ficheros relevantes. El peritaje ha de poder ser repetido, por lo que no se pueden alterar
los elementos informáticos originales, trabajándose siempre sobre copias clónicas. La mayoría
de estos peritajes están referidos a ordenadores de usuario con sistema operativo Windows.
Para efectuar peritajes en equipos servidores y/o en otros sistemas operativos.
Seguiremos un protocolo estandarizado con las adaptaciones que requiera el informe, cliente o
entorno; pero básicamente serán cuatro pasos:
1. Intervención. Se intervienen los elementos informáticos.(Conveniente la presencia de
un notario)
2. Examen y revisión visual, descartándose los elementos informáticos irrelevantes y se
preparan los demás, inventariándose e indicándose su ficha técnica, localización,
estado y datos relevantes.
3. Exploración de ficheros. Se localizan, imprimen y describen los ficheros informáticos
relevantes.
4. Informe pericial. Se confecciona el informe, y se cierra el peritaje.
Siguiendo estas precauciones, el peritaje se explicará por sí mismo, y el perito simplemente
se remitirá a lo ya expuesto en su peritaje. Cuanto más claro e irrefutable el peritaje,
menos presencia posterior del perito.
Curso de Perito Telemático Forense
www.antpji.com Página 57
1.- INTERVENCION
En la entrada a los locales donde estén los equipos informáticos, se deberá acudir provisto de:
Ordenador portátil
Cámara fotográfica
Vídeo, rotulador para CD
Destornilladores varios
Estación de clonado de discos
La máquina fotográfica será utilizada para obtener imágenes de las pantallas de los
ordenadores, en el caso de que estuvieran en funcionamiento. También se fotografiarán los
equipos.
No se deberá permitir que nadie toque los ordenadores encendidos bajo ningún concepto.
La forma de apagar los ordenadores es directamente quitándoles la energía eléctrica. Esto
se debe a que, en un apagado ordenado, parte de los ficheros temporales, que pudieran ser
significativos, serían automáticamente borrados. Tampoco se tiene la garantía de que, en
el proceso de apagado, no se borren o introduzcan intencionadamente ficheros, lo que
podría invalidar el peritaje. De esta manera, apagando los equipos sin ninguna
manipulación, no ha lugar a ningún tipo de conjetura sobre la cadena de custodia. Un perito
profesional informático podría, antes de apagar, extraer una imagen pericial del estado
de los procesos en ejecución mediante herramientas periciales del tipo de Forensic
and Incident Response Environment. Si se quitase algún cable antes de apagar, quizá se
disparase un auto apagado, lo que se debe evitar.
Los elementos a peritar en una intervención son fundamentalmente los soportes de
datos. Los siguientes elementos informáticos no son Relevantes a efectos de pericias
informáticas:
Pantallas de ordenador
Teclados y ratones
Impresoras
Equipos de telecomunicaciones
Cables
CD o DVD grabado en fábrica
Aquellos equipos que no almacenen datos
De todos estos elementos lo único que se debe hacer es inventariarlos, y fotografiarlos,
para poder señalar en su momento que fueron encontrados en el lugar de la
intervención. Físicamente, su peritación no aportaría ninguna luz. En el caso de las
impresoras, no hay un método eficiente para individualizar una en concreto a través de su
"huella" en el papel, por lo que no son relevantes en peritajes informáticos.
Curso de Perito Telemático Forense
www.antpji.com Página 58
Se deberán intervenir los siguientes elementos informáticos:
Ordenadores (sobremesa, portátiles y agendas PDA)
Discos ópticos -CD y DVD- (excepto los grabados en fábrica)
Discos flexibles -disquetes-
Discos duros de ordenador
Unidades de almacenamiento externas (PenDrive, Reproductores MP3, Discos,
Memorias, dispositivos USB…)
Teléfonos móviles (almacenan datos, mensajes, agendas e información relevante)
Todo tipo de soporte de almacenamiento permanente de datos en general.
Los lectores grabadores de tarjetas magnéticas (si existiesen) se intervendrán, por ser
equipos que habitualmente carecen de uso fuera de la manipulación de tarjetas.
Todos los soportes de datos deberán ser inventariados.
Los discos duros tienen número de serie. Los discos ópticos suelen tener un número
de serie en la parte transparente del orificio central. Los discos flexibles tienen
números de serie frecuentemente repetidos, y eso cuando los tienen. Una alternativa es
firmar con un rotulador de CD todos los discos ópticos y discos flexibles intervenidos.
Los ordenadores portátiles deben ser intervenidos, por la dificultad que entraña extraer
sus sistemas de almacenamiento en el mismo lugar de la intervención.
En los ordenadores de sobremesa se recomienda extraer e intervenir sus sistemas
de almacenamiento. La carcasa, CPU, placas, memoria RAM y otros componentes del
ordenador no tienen interés a efectos de pericias informáticas. Sólo los sistemas de
almacenamiento permanente de datos son relevantes.
Para extraer los sistemas de almacenamiento de datos de un ordenador de sobremesa,
normalmente solo se necesita un destornillador de estrella y seguir las siguientes
instrucciones:
1. Apagar el ordenador
2. Quitar la carcasa
3. Desconectar el cable de datos (normalmente IDE) y de alimentación del disco duro
4. Quitar los tornillos al disco duro
5. Extraer el disco duro SIN TOCAR LOS CIRCUITOS (peligro de daños)
6. Firmar el disco duro
7. Guardar el disco duro en un sobre antiestático o de papel
8. Una vez extraído el o los discos duros, se volverá a conectar el ordenador, para
abrir el lector de CD y extraer algún CD, DVD o disquete que hubiera dentro
9. Inventariar los números de serie del ordenador y de los elementos extraídos y
fotografiarlos
Curso de Perito Telemático Forense
www.antpji.com Página 59
2.- REVISION PRELIMINAR Discos flexibles y ópticos
Los discos flexibles y ópticos pueden leerse en cualquier ordenador personal. Se
tomará la precaución de mover la pestaña en los discos flexibles para que queden en posición
de “solo lectura”. Tomadas estas precauciones, los discos ópticos y flexibles
pueden explorarse en cualquier ordenador personal, abriendo los ficheros sin miedo a
alterar el soporte original.
En caso de que un disco de errores de lectura, o esté deteriorado, se le hará una
copia clónica, intentando recuperar los sectores defectuosos, y solo se utilizará la copia
clonada.
Para hacer una copia clónica de un disco flexible, es valido cualquier clonador de CDs, utilizo
una regrabadora de DVD y el Nero, hay otros programas que saltan el antycopi como el Clon
Oves o similar.
Si los sectores defectuosos lo son por daños en el medio físico, da igual que la copia clónica
tenga ese sector dañado de la misma manera o de cualquier otra. Lo importante es que la
copia clónica del disco óptico sea completa.
Discos Duros
La precaución es evitar cualquier modificación del disco duro. Al abrir un fichero, muchos
programas crean un fichero temporal en la misma carpeta. Esto altera el disco duro
original, y no es una buena práctica.
Arrancar un ordenador hace que se modifiquen y escriban múltiples ficheros, por lo que se
ha de evitar siempre.
Se recomienda clonar el disco duro intervenido y explorar la copia clonada. Con esto se
evita modificar en lo más mínimo el disco duro intervenido, lo que podría invalidarle como
prueba pericial.
Para hacer una copia clónica de un disco duro, se necesita un disco duro virgen, un
ordenador de sobremesa, y cualquier programa de copia de discos auto arrancable desde
disquete -que no intervenga para nada el sistema operativo del disco duro-, como puede ser
Drive Image o Knoppix STD. El disco duro copia ha de estar limpio de cualquier tipo de dato
previo. Se recomienda un disco duro de fábrica a estrenar. Si se quiere reutilizar algún
disco duro, previamente habrá que hacerle un formateo completo a bajo nivel,
rellenándolo de ceros binarios.
El objetivo es evitar que sectores existentes en el disco duro que va a recibir la
copia, puedan aparecer como pertenecientes al disco duro intervenido. La copia ha de ser
clónica, incluyendo todos los sectores, para evitar que ficheros en borrado lógico queden sin
copiar. La partición del disco duro intervenido y la de la copia han de tener, por tanto, el
mismo tamaño.
Curso de Perito Telemático Forense
www.antpji.com Página 60
Es admisible que la partición en la copia no sea primaria, sino secundaria o extendida,
para poder poner varios discos duros intervenidos dentro de un solo disco duro de
copia físico. El disco duro copia se etiquetará con las indicaciones de los discos duros
originales intervenidos. Los discos originales intervenidos no se tocarán más.
Soportes de datos de Lectura/Escritura
En cualquier soporte de datos que admita escritura, se utilizará la misma estrategia que en
los discos duros, esto es, se clonarán a un soporte de datos virgen del mismo tipo.
Ordenador portátil
Para obtener una copia de los datos de un portátil existen varias soluciones.
Si el portátil dispone de grabadora de CDs, se arrancará el portátil con un programa con
sistema operativo integrado
(no arrancar desde el disco duro) y se obtendrá una imagen del disco duro en un disco óptico.
El disco óptico se volcará a su vez, a través de un ordenador de sobremesa a un disco duro
virgen.
Otra opción es extraer el disco duro del portátil, y con un adaptador conectarlo a un ordenador
personal, para entonces copiarlo a un disco duro virgen.
En todo caso, nunca se debe arrancar el ordenador portátil desde su disco duro, pues lo
alteraría.
Si estáis familiarizados con Linux o unidades virtuales o incluso es válida la utilización del Hiren
Boot 8 o 9.
Ficheros borrados
Una vez realizada una exploración de los ficheros existentes, se deberá utilizar un
programa de recuperación de ficheros borrados (como el programa Revive) para localizar
potenciales ficheros relevantes que hubiesen sido borrados. El los discos ópticos, se puede
grabar a continuación de lo ya grabado, haciendo inaccesible lo anterior, también se
deberán revisar estas grabaciones previas, si existiesen.
En caso de incluir un fichero borrado y recuperado en el informe pericial, deberá explicarse
prolijamente el método por el que se ha obtenido.
3.- EXPLORACION DE FICHEROS Imágenes
Las imágenes, sobre todo las referentes a falsificaciones, tienen una característica
fundamental: para tener cierta calidad han de tener bastante tamaño. El procedimiento más
sencillo para localizar las imágenes de un medio es el programa estándar de exploración
de Windows. Se utilizará la búsqueda, seleccionando opciones de búsqueda para
que el tamaño mínimo del fichero a buscar sea superior a un tamaño determinado, por
ejemplo 100 KB.
Curso de Perito Telemático Forense
www.antpji.com Página 61
Teniendo en cuenta que la gran mayoría de los ficheros en un ordenador son de
pequeño tamaño, seleccionar todos los ficheros superiores a un límite determinado
reduce enormemente el número de ficheros.
Una vez seleccionados los ficheros superiores a un tamaño, se procede a revisar los resultados,
clasificándolos por fecha, opor carpeta o por tipo.
Normalmente la experiencia indica que los ficheros relevantes se suelen encontrar en los
directorios normales de usuario, por ejemplo en “Mis documentos”.
Para mirar antecedentes y procedencia, podéis utilizar el programa FOCCA, que os indicara
muchos registros de los que necesitáis.
Las técnicas de esteganografía, basadas en ocultar una imagen relevante dentro de otra imagen
de apariencia anodina, no suelen estar al alcance de personas sin sólidos conocimientos
informáticos, por lo que, salvo en casos muy concretos, no se realizarán análisis
esteganográficos.
Un caso particular es la localización de imágenes en Internet. Normalmente, los ficheros de
un ordenador, a efectos periciales, se pueden dividir en aquellos referidos a Internet y
aquellos no referidos a Internet.
Una buena práctica, si se dispone de tiempo y recursos, especialmente en aquellos discos
duros que contienen un gran número de imágenes, es copiar la información de Internet
a una partición y el resto a otra partición, explorando entonces cada partición por
separado. Una forma de realizar esta copia es clonar el disco duro y luego, desde el
explorador de Windows cortar y pegar el directorio de Internet (dentro de las carpetas del
sistema operativo Windows) a otra participación en el disco copia.
Hay que tener en cuenta que los ficheros de Internet, especialmente los gráficos, tienen
tamaños menores que los ficheros distribuidos en soporte físico. En temas de fotografías
de menores, es en los ficheros del directorio de Internet el sitio más probable donde
encontrar ficheros relevantes.
También en el directorio de Internet es más probable localizar ficheros de imágenes
relevantes que identifiquen actividades a las que el usuario del ordenador se ha dedicado.
Por ejemplo gestiones bancarias o de otro tipo donde va a figurar el nombre y la
identificación del usuario.
Esto es muy interesante a la hora de poder justificar que ese disco duro ha sido
utilizado por un usuario determinado.
Un programa muy útil para la localización de imágenes es el que busca y muestra todas las
imágenes de una carpeta o de un soporte determinado, selecciona aquellas que contienen
imágenes, y las presenta como miniaturas en pantalla.
Curso de Perito Telemático Forense
www.antpji.com Página 62
El programa ACDsee es paradigmático en este aspecto. Con un programa de este tipo
se pueden recuperar, por ejemplo, todas las imágenes contenidas en el directorio de
Internet y presentarlas en pantalla como miniaturas, inclusive clasificadas por tamaño.
De esta manera se puede revisar rápidamente miles de imágenes. Por cada imagen relevante
seleccionada se procederá de la siguiente manera:
1. Se obtendrá una "foto" del directorio donde estaba el fichero. Esto se puede hacer
mediante el explorador de Windows hasta localizar el fichero. Luego se "fotografía" la
pantalla pulsando simultáneamente las teclas “alt” y “impr pant” y, en un documento de
Word, pulsar el botón derecho del ratón y seleccionar “pegar”.
La "foto" quedará pegada en el documento Word.
2. Se copiará la imagen a un directorio de trabajo, que podemos denominar
“imágenes relevantes”.
3. Se imprimirá cada imagen con un pie que consista en la ruta completa del fichero.
Para ello se utilizará un buen programa de tratamiento de imágenes, como Photoshop o
PhotoPaint.
En el caso de falsificación de billetes o documentos con números de serie, se hará una
ampliación digital de los números de serie. El objetivo es revisar si los números de serie,
especialmente los últimos dígitos han sido manipulados.
Es habitual encontrar una misma imagen que da lugar a distintas falsificaciones por el
procedimiento de alterar el número
de serie. También revisar formularios sellados en blanco, por si hubiesen sido manipulados
para borrar lo escrito y dejar los campos en blanco.
Documentos
La exploración de documentos no tiene relación con la exploración de imágenes.
Los ficheros de documentos son de tamaños muy variados, y también pueden estar en
cualquier sitio.
La buena práctica indica que los ficheros con documentos suelen estar en las carpetas de
usuario, y además con las extensiones habituales (.doc .xls .txt . pdf .rtf .htm y similares).
Por tanto es muy útil el explorador de Windows, buscando en el disco duro completo por
tipo de fichero.
Es importante localizar ficheros relevantes que identifiquen al usuario del ordenador,
especialmente los ficheros donde figuren el nombre y los datos del usuario. Esto es muy
Curso de Perito Telemático Forense
www.antpji.com Página 63
interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un
usuario determinado.
Hay gran cantidad de ficheros de distribución que pueden dificultar la búsqueda
de ficheros relevantes. habitualmente, con una simple clasificación por fecha, se detecta
rápidamente cuales son los ficheros de distribución de un producto determinado, ya que
suelen tener todos la misma fecha.
Para ver el contenido de un fichero que no tiene una extensión reconocida, y no es de un
gran tamaño, una opción muy rápida es abrirlo con el programa de utilidad “bloc de notas”.
Programas
Desde el punto de vista pericial, es también importante determinar qué programas se
han utilizado en un ordenador. No es lo mismo que el ordenador disponga
exclusivamente de los programas de tratamiento de imágenes que vienen ya instalados
con el sistema operativo, a que se encuentre toda una panoplia de software de
exploración, de tratamiento y de impresión de imágenes, sobre todo si también se
encuentran imágenes relevantes.
Aun que cada uno de estos programas no tiene relevancia independiente, el conjunto de
un elenco de programas de tratamiento de imágenes con ficheros con imágenes de
falsificaciones si que puede tener relevancia. Los efectos de la relevancia no han de ser
determinados por el Perito, que deberá ceñirse a indicar si los medios técnicos,
programas y ficheros forman un conjunto apto para el tratamiento de imágenes.
Un caso especial son los programas utilizados para la falsificación de tarjetas magnéticas. Se
suelen reconocer porque están escritos en Visual Basic (extensión .vba). Abierto el
fichero con el bloc de notas, se pueden ver los comentarios del programa que indicarán
su uso. Por su propia naturaleza, no hay software de difusión masiva para el manejo
de lectores grabadores de tarjetas magnéticas, que sea accesible al público en general, por
lo que es habitual el desarrollo de programas "ad hoc".
Es muy conveniente relacionar el programa con los lectores de tarjetas magnéticas
intervenidos, ya que cada programa suele tener opciones para el manejo de unos
determinados modelos de lectores grabadores de tarjetas.
4.- INFORME PERICIAL
Los informes periciales suelen seguir la misma pauta cuando se refieren a similares
asuntos. Se adjunta un informe tipo utilizado en informes periciales referentes a falsificación
de billetes.
Curso de Perito Telemático Forense
www.antpji.com Página 64
Portada
Los apartados más relevantes son los siguientes:
Deberá orientarse a identificar clara y rápidamente el contenido del informe pericial.
Donde se ha hecho el peritaje, la referencia y a quien va destinado (normalmente
identificando Juzgado y diligencias). Los datos de la portada se resumirán y repetirán como
pie de página a lo largo del peritaje.
Peritos
Identificación del Perito o los Peritos. En los peritajes de índole penal, es muy común omitir
el nombre y apellidos del Perito y sustituirlo por un número de identificación, como puede
ser un número de colegiado.
Antecedentes
Es un inventario de los equipos intervenidos y de su procedencia.
Prueba pericial
Se describen los pasos dados desde la recepción de los equipos intervenidos hasta la
obtención de los ficheros relevantes.
Se debe indicar el código o códigos de conducta o de buenas prácticas que se han seguido.
Por ejemplo el código deontológico, de práctica y conducta de ANTPJI.
Se describe los pasos realizados para la obtención de discos copia.
Se detallan las características técnicas de los elementos informáticos intervenidos.
Se enumeran los ficheros relevantes encontrados, y los equipos informáticos donde fueron
hallados.
Ficheros relevantes
Se describe, para cada fichero relevante encontrado, el contenido que le hace
relevante. En los casos de falsificación, este apartado suele ser cumplimentado por un
experto pericial en falsificaciones.
Conclusiones
Se indica en que componentes informáticos se han encontrado ficheros relevantes, y un
resumen del contenido que les hace relevantes, inclusive enlazando con datos de
identificación de usuario que se hubieran encontrado. Este apartado es generalmente un
resumen del apartado de ficheros relevantes.
Curso de Perito Telemático Forense
www.antpji.com Página 65
Firma
Se inventarían los elementos informáticos relevantes que quedan como resultado de la
prueba pericial, y que se remiten con el informe, esto es, todos los soportes de
almacenamiento donde se han encontrado ficheros relevantes. Es muy conveniente grabar
los ficheros relevantes y el propio informe pericial en un CD, (grabarlo con sesión “cerrada”
para que no se pueda manipular), que permitirá acceder con facilidad a los ficheros relevantes.
En otra relación, se devuelven los elementos informáticos que no hayan resultado relevantes.
El Perito no debe quedarse con ningún elemento informático intervenido. Debe devolverlos
todos, señalando y distinguiendo aquellos elementos informáticos que contienen
elementos relevantes de aquellos donde no se han encontrado elementos relevantes.
Anexos I: equipos peritados
Se incluirán las fotografías de los equipos peritados, así como de las imágenes de las
carpetas donde se encontraron los ficheros relevantes.
Anexo II: ficheros relevantes
Se incluirá el contenido de cada fichero relevante con la ruta completa donde fue encontrado.
Conservación de elementos periciales
Una vez realizado el informe pericial se deben conservar los siguientes elementos en poder del
Perito:
1. Copia del informe pericial
2. Copia del CD con los ficheros relevantes y el informe pericial
3. Disco duro copia utilizado en la realización del peritaje.
Si por algún motivo el disco duro copia se alteró durante la realización del peritaje, deberá
volver a clonarse de nuevo, para su conservación.
Marketing para Peritos Telemáticos No eres ni el primero, ni serás el último. Cuando recibimos el titulo de Perito Judicial
Telemático, todos tratamos de posicionar nuestra nueva actividad, por lo general, miramos lo
Curso de Perito Telemático Forense
www.antpji.com Página 66
que están haciendo los colegas y trata de copiar lo mejor que puede. Miramos artículos, web y
blog de otros Peritos Informáticos o incluso de otras disciplinas.
Lo primero que tienes que hacer es ser consciente de que la Organización a la que perteneces,
se preocupa de que tu nueva actividad sea lo más lucrativa posible con el objetivo de que
hables bien de la misma y sirva para otros profesionales, ya que no tiene contemplado una
partida ni mensual ni anual en cuanto a publicidad.
Su reconocido respeto tan solo ha de crearse gracias al boca a boca de sus asociados, clientes y
proveedores. No olvidar que el Presidente de la Organización, dejo su agencia de publicidad,
tras pasar por varios medios de comunicación tanto en prensa escrita, radio y televisión como
director de marketing y se decanto por las Nuevas Tecnologías con el objetivo de ayudar a
informáticos buscando la manera de una capacitación profesional.
Voy a tratar de dar unas pinceladas para que tu imaginación haga el resto.
El marketing y el saber venderse es fundamental con lo que tenemos que comunicar nuestro
nuevo status laboral, y repartir tarjetas, iniciar contactos con personas que pueda serles útil
nuestra nueva capacitación como abogados, fiscales, empresas y profesionales autónomos.
No debemos de olvidar el publicitarnos en portales gratuitos como www.porticolegal.com y
crear un blog e incluso una página web en donde sabemos que el coste económico es asumible
y la creación de una página no excede de los 100 €.
Las facultades no forman a sus alumnos sobre el mercado, las pautas de comunicación interna
o externa, las relaciones con los medios, el acercamiento a clientes, gerencia sobre
departamentos de responsabilidad informática, tributos, estudios de calidad, de
responsabilidad social…
En la Organización en la que te encuentras, te ofreceremos herramientas que te permitirán
hacer desde un Plan básico de Empresa, como otras herramientas para que puedas planificar y
gestionar mejor tu nueva actividad, porque sabemos que la fortaleza de de un servicio de
Auditoría y Peritaje Informático, está en el Capital Humano que lo brinda, sumado a un
conocimiento continuo y actualizado agregado al saber de un colectivo que trabaja en lo mismo
y esa sinergia creada da como resultado una conocimiento superior a la mayoría de
profesionales.
No pretendemos que seas un Perito Informático cualquiera, sino que tus clientes vean la
diferencia entre otros Peritos Profesionales y tú.
Te ayudaremos con la imagen corporativa, con el visado de informes, pericias, dictámenes…
segmentar el mercado al que te vas a dedicar, ordenar los esfuerzos, proporcionándote todo el
material que necesites y alinear los costos, para asegurarnos el éxito en tu nueva andadura
profesional.
Te ofrecemos algunos consejos, cumpliendo la norma y la ética de la profesión para que
promuevas la atención personalizada de tus clientes, el seguimiento de sus necesidades y las
Curso de Perito Telemático Forense
www.antpji.com Página 67
ventas cruzadas. No hay que esperar la llamada del teléfono, sino salir para ofrecer nuestros
servicios, porque hay mucha gente que los necesita y no conocen nuestro teléfono.
No es una parrafada, pero cada día llama más gente a la Organización buscando Peritos y
agradeciéndonos nuestra existencia porque no sabían a dónde dirigirse.
PRIMEROS PASOS
Como hemos apuntado empezaremos a trabajar sobre un listado de acciones y herramientas:
Imagen Corporativa. Tarjetas, Hojas con membrete, Papelera personalizada. (Enviamos
modelos)
Blog (Dedicarle media hora diaria)
New Lester (Compartamos Plataformas del conocimiento con otros colegas e
intercambiemos datos)
Pagina Web (Diseñemos algo ágil y funcional)
Presencia en las redes sociales (No olvidemos el dicho que si no estamos en la Red, no
existimos, y todos sabemos que no hay coste en publicitarnos en facebook, twiter, redes
profesionales como Linkendin, Xing…)
Organización de seminarios, desayunos o congresos. (La organización, te apoyara en estas
actividades con su experiencia y merchandaising)
Publicidad en medios de comunicación técnicos o generales. (No se trata de gastar dinero en
publicidad, sino en ofrecerse como especialistas en informáticas a revistas del barrio,
profesionales, cadenas de radio e incluso de televisión, y en donde sabemos que la retribución
económica es escasa, pero se puede intercambiar con publicidad)
Participación Académica (Estamos en un escalón superior y es necesario el compartir
nuestro conocimiento con escuelas de FP, academias o similar en donde verán un profesional y
el retorno de la inversión de nuestro tiempo repercutirá en breve con ventas cruzadas….Es
cierto que podemos dar unas clases gratis, pero también es cierto que llevamos el
mantenimiento de los equipos, la auditoria de seguridad, la implantación de la LOPD… Y e
aprendido mucho de los alumnos de FP)
Actividades como ponentes o asesores en cámaras empresariales o espacios sociales como
Juntas de Distrito,Ayuntamientos, Institutos de Arbitraje…
Networking on y off line.
Responsabilidad Social Corporativa, colaborando con ONGs (Aunque no creáis, la red
hablara de vosotros y cuando hagáis alguna acción que beneficie a un grupo determinado en
riesgo de exclusión o marginado por la brecha digital, el reconocimiento será mayor)
Curso de Perito Telemático Forense
www.antpji.com Página 68
Meditar el nicho de mercado que tenemos y en donde no está presente los aparatos
tecnológicos y por ende la informática que nosotros dominamos, y es muy cierto, la gente tiene
muchas dudas sobre la seguridad en general, no hablemos de la seguridad en equipos
informáticos.
Muchas veces he oído a otros compañeros porque salía más que ellos en medios de
comunicación. La respuesta era fácil, cuando firmaba una columna o un artículo en una revista
o en un diario, ellos desconocían que semanas antes había enviado decenas de cartas y
artículos y que según la ley sagrada del marketing REPETICION es igual a REPUTACION, de cada
diez acciones de ventas que se realizan una se materializa seguro y si encima nos esforzamos
en perfeccionarla el resultado es más que satisfactorio.
Mucha gente ha seguido mis consejos y doctrinas de los artículos y otros me han criticado con
diferentes argumentos
ya que también ellos son “expertos”, olvidando que mi objetivo se había cumplido de manera
doble, porque al margen de quien llevara razón, sabían quién era yo desde ese instante que
me replicaban.
Meditarlo porque estas apariciones en los medios de comunicación adquieren un valor muy
fundamental sobre todo
para vuestros clientes actuales o futuros que les hace sentir que eligieron bien al seleccionaros,
porque es una voz autorizada para opinar en la materia de la que me representa o en la que e
confiado la seguridad de mis equipos informáticos y eso nos coloca en un lugar privilegiado
convirtiéndose en publicidad del de boca a boca.
Nunca olvidéis cuidar la imagen, ni la vuestra ni la del Gabinete, ni de vuestros colaboradores y
si un día estamos mal, escribirlo en un papel y tirarlo por el retrete todos los problemas, salir
con una sonrisa de oreja a oreja y veréis como el día nos trae logros fructíferos.
Conozco muchos informáticos, algunos muy buenos que no consiguen trabajos, no por su no
conocimiento en la materia, sino porque no cuidan su imagen o usan un lenguaje técnico que
aleja al profano olvidando que es nuestro cliente y que cuanto más nos entienda, mas trabajo
nos dará. No inventar, no utilizar vocablos informáticos para salir al paso de problemas que nos
plantean, solo hay que interactuar como personas sin olvidar que somos especialistas de una
ciencia en la que hay un universo por descubrir.
Plan de Negocio para Peritos Informáticos
1. Resumen Ejecutivo Escribe una breve reseña de tu empresa, como Perito Judicial Informático, que hace, quién
eres, qué vas a hacer, cuánto necesitas, en qué mercado y cuáles son tus proyecciones.
Curso de Perito Telemático Forense
www.antpji.com Página 69
2. Descripción de tu nueva Empresa Misión, en que te vas a especializar, promociones, pagina web, publicidad..:
Historia
Mercado y Productos
Objetivos
Situación Actual
3. Productos y Servicios Descripción
Producción:
Asesoramiento:
Nuevos productos
4. Plan de Marketing Análisis del Mercado: No hay muchos Peritos Judiciales en la actualidad. Aprovecha ese
nicho de mercado existente
Investigación del Mercado:
Proyecciones:
Tendencias
Análisis de la competencia
Factor Mi Empresa Fortaleza Debilidad Competidor A Competidor B Cliente
Producto
Precio
Cualidad
Selección
Servicio
Fiabilidad
Estabilidad
Experiencia
Reputación
Locación
Apariencia
Método de
Política de
Publicidad
Imágen
Estrategia de Marketing
Demografía
Proyección de Ventas
Curso de Perito Telemático Forense
www.antpji.com Página 70
Mes 2014 2015 2016 2017
Enero
Febrero
Marzo
Abril
Mayo
Junio
Julio
Agosto
Septiembre
Octubre
Noviembre
Diciembre
5. Plan de desarrollo Estado Actual
Planes de desarrollo
Expansión
Cronograma
Riesgos
6. Plan Operacional Locación:
Seguros:
Ambiente Legal
Producción:
7. Administración y Organización Personal:
Personal Externo:
Outsoursing
8. Plan Financiero
9. Financiación
Curso de Perito Telemático Forense
www.antpji.com Página 71
1. Negocios con Futuro Escribe los 5 negocios o actividades relacionados con el Peritaje Informático a los que les ves
más futuro en los próximos 5 años
1.
2.
3.
4.
5.
2. Lo que más me gusta hacer
Escribe las 5 actividades que más te gusta hacer en la Informática
1.
2.
3.
4.
5.
2. Lo que mejor hago
Escribe las 5 actividades que sabes hacer
1
2.
3.
4.
5.
Qué producto o Servicio ofrezco?
A qué mercado me voy a dedicar
Curso de Perito Telemático Forense
www.antpji.com Página 72
Qué productos o servicios ofrecerle a mis clientes como valor agregado?
Qué productos o servicios puedo crear como Fast Cash Product para generar dinero rápido?
Cliente Ideal
Cómo es?: Recuerda que los abogados tienen ya clientes y que necesitan de tu dictamen.
Dónde lo busco?: Empresas, Colegios Profesionales, eres Perito y Tasador también
Qué Estrategia voy a implementar para alcanzar más clientes ideales:
Cuándo la voy a implementar:
Cómo voy a medir los resultados?:
Cómo es tu Marca
Qué colores usas? Cómo es tu logotipo?
Cómo quieres que sea tu imagen?
Proposición Única de Ventas
Cuál es mi PUV?:
Proposición Única de Ventas
Cuál es mi PUV?:
En Materia de Peritaje Informático, Auditoria Forense, Ciberdelitos o similar.. a cuantos cursos
has ido? Seminarios?
Qué vas a hacer para mejorar tu situación?:
Cuándo?:
Nuestro éxito, es tu éxito por eso te damos las claves del éxito en esta aventura que te has
Propuesto y en la que cosecharas momentos gratificantes. Todos tenemos derecho al éxito,
solo por ser humanos, y el que logres tus metas solo dependerá de tus creencias. Ya
has dado el primer paso asociándote a ANTPJI. Eres uno de los que han visto que hay
una oportunidad de triunfar, hay un nicho de mercado sin cubrir actualmente y has
sabido aprovecharlo.
Anexo I: Normativa ISO 27001 Y 27002
TÍTULO
Criterios generales para la elaboración de informes y dictámenes periciales
Curso de Perito Telemático Forense
www.antpji.com Página 73
CORRESPONDENCIA
OBSERVACIONES
ANTECEDENTES
Esta norma ha sido elaborada por el comité técnico AEN/CTN 197 Informes
Periciales cuya Secretaría desempeña el COL•LEGI D’ENGINYERS TÈCNICS
INDUSTRIALS DE BARCELONA en nombre y representación del CONSEJO GENERAL DE
PERITOS E INGENIEROS TÉCNICOS INDUSTRIALES.
0 INTRODUCCIÓN
El creciente número de actuaciones periciales profesionales, lleva a la necesidad de
establecer una garantía para asegurar que aquellas son adecuadas al uso a que se destinan.
1 OBJETO Y CAMPO DE APLICACIÓN
Esta norma tiene por objeto el establecimiento de las consideraciones generales
que permitan precisar los requisitos formales de las características de informes y
dictámenes periciales, sin determinar los métodos y procesos específicos para la
elaboración de los mismos.
Las normas específicas que se desarrollarán bajo el marco de esta norma serán de
aplicación para determinadas actividades profesionales y podrán complementar los aspectos
generales contenidos en esta norma.
2 NORMAS PARA CONSULTA
Los documentos que se citan a continuación son indispensables para la aplicación de
esta norma. Únicamente es aplicable la edición de aquellos documentos que aparecen con
fecha de publicación. Por el contrario, se aplicará a la última edición (incluyendo cualquier
modificación que existiera) de aquellos documentos que se encuentran referenciados sin fecha.
Curso de Perito Telemático Forense
www.antpji.com Página 74
UNE-EN ISO 9000 Sistemas de gestión de la calidad. Fundamentos y vocabulario
(ISO 9000:2005)
UNE 50132 Documentación. Numeración de las divisiones y subdivisiones en
los documentos escritos.
3 DEFINICIONES
Para los fines de este documento, se aplican los términos y definiciones incluidos en
la Norma UNE-EN ISO 9000 junto con los siguientes. En el caso de posible conflicto entre las
definiciones contenidas en esta norma con las incluidas en las normas anteriormente
mencionadas, prevalece la definición dada en esta norma
1.1 Código o referencia de identificación:
Conjunto de caracteres alfanuméricos que identifican un informe o dictamen
pericial. Debe existir una correspondencia unívoca entre el código o la referencia de
identificación y el informe correspondiente, de forma que no pueda haber en un mismo
emisor otro informe pericial u otro dictamen que dispongan de la misma identificación.
1.2 Dato de partida:
Cualquier cantidad, magnitud, característica, relación, parámetro, criterio, hipótesis o
requisito empleado en los documentos técnicos del informe o dictamen pericial, externo
a éstos y cuyo conocimiento y aplicación es necesario y obligatorio para el desarrollo del
informe o dictamen pericial.
3.3 Dictamen pericial:
Opinión técnica y experta que se emite sobre hechos o cosas.
4 REQUISITOS GENERALES
4.1 Título
Todo informe y dictamen pericial deben tener un título que los identifique de forma
clara e inequívoca.
4.2 Documento
Todo informe o dictamen pericial debe constar de la siguiente estructura básica:
Curso de Perito Telemático Forense
www.antpji.com Página 75
Identificación,
Índice;
Cuerpo del informe; y cuando corresponda
Documentos anejos.
4.3 Paginación
En todas las páginas del informe o dictamen pericial debe figurar el código o
referencia de identificación, el número de página y el número total de páginas
5 IDENTIFICACIÓN
5.1 Generalidades
Es el elemento que contiene los datos necesarios para identificar el informe o dictamen
pericial.
5.2 Contenido
El informe o dictamen pericial debe iniciarse con la siguiente información:
El título y su código o referencia de identificación.
El nombre del Organismo u Organismos a los que se dirige el informe o
dictamen pericial y el número de expediente o procedimiento, si lo hubiera.
El nombre y apellidos del perito, su titulación, y, en su caso, colegio o entidad a
la que pertenece, Documento Nacional de Identidad (DNI), domicilio
profesional, teléfono, fax, correo electrónico y cualquier otro identificador
profesional que pudiera existir, salvo aquellos cuya revelación no sea
legalmente procedente.
El nombre, apellidos y Documento Nacional de Identidad (DNI) del
solicitante del informe o dictamen pericial, sea en nombre propio o en
representación de otra persona física o jurídica, cuyos datos también
figurarán y cualquier otro identificador que pudiera existir, cuya revelación sea
legalmente procedente.
En el caso en que el objeto del informe o dictamen pericial contemple
un emplazamiento geográfico concreto, se debe definir dicho emplazamiento
(dirección y población) y, si procede, sus coordenadas UTM (Universal
Transverse Mercator).
Curso de Perito Telemático Forense
www.antpji.com Página 76
Cuando proceda, nombre y apellidos del letrado y del procurador del
solicitante.
La fecha de emisión del informe o dictamen pericial.
6 DECLARACIÓN DE TACHAS
En este capítulo se establece, cuando proceda, que el perito puede aplicar el sistema de
tachas o hacer constar su imparcialidad.
7 JURAMENTO O PROMESA
En este capítulo se establece, cuando proceda, que al emitir su dictamen, el perito
manifiesta bajo juramento o promesa de decir verdad, que actuará con veracidad y con la
mayor objetividad posible, que ha tomado y tomará en consideración todo aquello que sea
susceptible de favorecer o causar un perjuicio a cualquiera de las partes y que conoce las
sanciones penales en que puede incurrir en el caso de incumplir su deber como perito.
8 ÍNDICE GENERAL
8.1 Generalidades
El índice general del informe o dictamen pericial tiene como misión el facilitar la
localización de todos y cada uno de los capítulos y apartados.
8.2 Contenido
El índice debe indicar el número de página en que se inicia cada uno de los capítulos y
apartados del informe o dictamen pericial.
9 CUERPO DEL INFORME O DICTAMEN PERICIAL
9.1 Generalidades
El cuerpo del informe o dictamen pericial es el documento principal de su
estructura y asume la función de presentar y justificar las conclusiones.
El cuerpo del informe o dictamen pericial debe ser claramente comprensible por
todos los interesados, especialmente en lo que se refiere a sus objetivos, las investigaciones
realizadas y las razones que han conducido a las conclusiones adoptadas.
9.2 Contenido
Curso de Perito Telemático Forense
www.antpji.com Página 77
En los puntos siguientes se indica la numeración, de acuerdo con la norma UNE
50132, título y contenido de cada uno de los capítulos y apartados en los que se compone el
cuerpo del informe o dictamen pericial:
1 OBJETO
En este capítulo del cuerpo del informe o dictamen pericial se debe indicar su finalidad.
2 ALCANCE
En este capítulo del cuerpo del informe o dictamen pericial se deben indicar las
cuestiones planteadas por el solicitante.
3 ANTECEDENTES
En este capítulo se deben indicar los hechos, cosas, sucesos o asuntos que se hayan
producido con anterioridad al inicio del informe o dictamen pericial y que estén en
conocimiento del perito.
4 CONSIDERACIONES PRELIMINARES
En este capítulo se deben enumerar todos aquellos aspectos necesarios para la
comprensión de la investigación y la metodología empleada.
Se podrá incluir, en caso necesario, los criterios y técnicas utilizadas para garantizar la
representatividad de la muestra objeto del informe o dictamen pericial.
5 DOCUMENTOS DE REFERENCIA
Este capítulo debe recoger el conjunto de disposiciones normativas, otras normas de
no obligado cumplimiento, la buena práctica profesional y la bibliografía que se han tenido en
cuenta, y que hayan sido citados en el informe o dictamen pericial.
6 TERMINOLOGÍA Y ABREVIATURAS
En este capítulo se deben relacionar todas las definiciones de palabras técnicas,
así como el desarrollo y significado de todas las abreviaturas o siglas que se hayan utilizado
en el informe o dictamen pericial.
7 ANÁLISIS
Curso de Perito Telemático Forense
www.antpji.com Página 78
En este capítulo del cuerpo del informe o dictamen pericial se deben describir
las bases y datos de partida establecidos por el solicitante y los que se deriven de:
La legislación, reglamentación y normativa aplicables;
La investigación realizada encaminada a la definición de las conclusiones
Las referencias, documentos, muestras y procedimientos de toma y
conservación de las mismas que puedan fundamentar las conclusiones del
informe o dictamen pericial;
También se deben indicar los distintos razonamientos estudiados, qué caminos se han
seguido para llegar a ellos, las ventajas e inconvenientes de cada uno y cuál es la justificación
de las conclusiones.
8 CONCLUSIONES
En este capítulo del cuerpo del informe o dictamen pericial se debe establecer
de forma inequívoca la interpretación técnica y experta resumida que se emite sobre los
extremos que constan en el capítulo Alcance.
Se podrán añadir consideraciones adicionales que a juicio del perito maticen las
conclusiones.
10 ANEXOS
10.1 Generalidades
Los anejos forman parte inseparable de la estructura del informe o dictamen pericial, y
deben estar recogidos en el índice general.
Asimismo deben estar identificados de manera correlativa y paginada de forma
inequívoca
10.2 Contenido
Como anexo, el perito puede incluir las referencias, documentos, muestras y
procedimientos de toma y conservación de las mismas que puedan fundamentar las
conclusiones del informe o dictamen pericial.
Curso de Perito Telemático Forense
www.antpji.com Página 79
Juan Luis García Rambla
Curso de Perito Telemático Forense
www.antpji.com Página 80
Un forense llevado a juicio
[ ]
1
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
”Hay ciertas pistas en la escena de un
crimen que por su naturaleza nadie puede recoger o examinar ¿cómo se recoge el
Amor, la Ira, el Odio, el Miedo…? son cosas que hay que saber buscar”
Dr. James T Reese.
2
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.es
3
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Indice
Capítulo 1 – El análisis forense .............................................. 5
Capítulo 2 – La importancia de las evidencias........................ 8
Capítulo 3 – El procedimiento de copiado de discos .............12
Capítulo 4 – La cadena de custodia ......................................24
Capítulo 5 – Las buenas prácticas en el análisis. ..................28
Capítulo 6 – El informe pericial .............................................34
Capítulo 7 – Prueba anticipada en un proceso civil ...............40
Capítulo 8 – Un juicio civil ....................................................43
Capítulo 9 – Claves de un forense en juicio ...........................47
4
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Prólogo
A diario los medios de comunicación nos informan de noticias relacionadas con filtraciones,
abusos o ataques relacionados con la tecnología y la informática. Esta realidad es cada vez
más evidente y no es más que la punta del iceberg. Junto a estos casos juzgados socialmente,
se dan otros miles de ellos que se dirimen en una sala y son conocidos sólo por unos pocos,
los afectados. Pero sin embargo, para esta gran mayoría de ciudadanos tienen una
transcendencia mucho mayor que aquellos casos con un gran impacto social y mediático.
El esclarecimiento de esta situaciones, que pueden acarrear consecuencias mayores, incluida
la privación de libertad para los afectados, son tareas de muy pocos y realmente críticas.
Evidentemente no se trata de cuestiones que puedan tomarse a la ligera y deben ir
acompañadas de investigaciones rigurosas y de los procedimientos adecuados.
Cualquier investigación forense se encuentra rodeada de un cierto “misticismo”. También es
así en esta ocasión, cuando la información manejada es fundamentalmente tecnológica. Sin
embargo, no debemos olvidar que aunque la carga técnica es importante, existen también en
este tipo de escenarios muchos detalles que se encuentran alejados de una visión puramente
informática de la situación que se está analizando. Todo ello resulta aún más acusado
cuando el caso forense tiene posibilidades de derivar finalmente en un proceso judicial.
Ante estas circunstancias es frecuente que el parapeto tecnológico detrás del cual se
protegen muchos consultores desaparezca, dejando paso a situaciones donde los
profesionales de la informática no se encuentran cómodos. En un proceso judicial, el técnico
ya no se encuentra en su elemento, no es el “juez” ni quién tiene el control de la situación. Es
simplemente una parte más dentro del proceso e incluso, aunque no sea la persona
enjuiciada, puede llegar a sentirse juzgado en su labor profesional.
Situaciones que técnicamente se dan como definitivas en un entorno profesional informático
pueden ser cuestionadas en una vista judicial. El especialista forense digital debe por lo tanto
conjugar su pericia técnica con la capacidad para enfrentarse a temas para los que no se
encuentra tan preparado profesionalmente. El éxito depende de muchos factores de los que
a menudo el perito es un mero espectador.
A lo largo de esta publicación, Juan Luis García Rambla Director Técnico del Área de
Seguridad de Sidertia Solutions S. L., realizará el análisis de un proceso forense digital
completo. Incorporando en él, desde los apartados más técnicos, que incluyen herramientas y
procedimientos, hasta aspectos legales que podrían llegar a ser determinantes en un juicio
en el que un profesional de la informática interviene en calidad de perito.
5
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
En este documento técnico Juan Luis aporta no sólo su conocimiento en la materia sino
fundamentalmente su experiencia, procedente de la directa intervención en casos forenses
bien como perito informático bien como coordinador de equipos de analistas forenses. Nos
aporta su visión particular de la cuestión, pero sin lugar a dudas la información suministrada
permitirá al perito llegar al proceso judicial con un mayor porcentaje de posibilidades de
éxito.
La publicación será de especial utilidad para aquellos que inician sus pasos en el delicado
mundo del análisis forense, pero también ofrece una visión interesante para aquellos
analistas experimentados que nunca han participado en un proceso judicial.
Juan Antonio Calles García
6
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 1 – El análisis forense
Como especialidad dentro del ámbito de la seguridad informática el análisis forense digital
puede aportar al profesional resultados plenamente gratificantes, pero también situaciones
realmente desagradables. Escenarios de actuación en principio sencillos, pueden
complicarse hasta límites insospechados. A todo esto se suma una circunstancia difícil de
digerir, especialmente para un informático, la subjetividad. Por muy técnicos que sean los
resultados obtenidos, por metódicos que lleguen a ser los procedimientos y claras las
conclusiones técnicas, todo el proceso no deja de estar cargado de cierta subjetividad. Es
más, en un determinado momento la decisión final será adoptada por alguien que presenta
lógicas limitaciones técnicas para apreciar lo dispuesto en un informe pericial informático.
Desde su inicio un análisis forense digital debe responder a la pregunta ¿es posible que las
conclusiones lleguen a un proceso judicial? Inicialmente, esta cuestión puede parecer poco
relevante para un análisis técnico. Sin embargo, esta impresión cambia radicalmente al
entrar en calidad de perito en la sala donde se desarrolla el proceso.
Probablemente, en el desarrollo del mismo, el tipo de preguntas a las que se enfrente el
informático no serán tan claras y directas como las que en sus labores técnicas contesta
habitualmente. Y por qué no decirlo, en muchas ocasiones éstas serán directamente
malintencionadas e incluso retorcidas. Una mala respuesta puede llegar a desbaratar
judicialmente una buena labor de análisis digital.
En estos momentos es cuando se aprecia lo determinante que es haber realizado
correctamente el análisis desde sus inicios. De este modo la duda, la inseguridad y falta de
claridad en la respuesta serán infrecuentes. La frustración de que estaba “casi” todo bien y
de que por lo menos “lo intentamos” será inusual si la labor técnica de análisis ha sido la
adecuada.
Enfrentarse a un caso forense implica tener que anticipar inicialmente la posibilidad de llegar
a juicio. A menudo, y en función del escenario, es posible que ese hecho no se observe en un
principio, pero tal y como se desencadenen los acontecimientos pueda llegar a darse.
Expongamos a continuación un hipotético caso y que sin embargo recoge situaciones que
no son inusuales en la realidad y que ilustran la posibilidad de que un análisis técnico
7
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
desemboque en un proceso judicial. El equipo de trabajo de un directivo comienza a hacer
“cosas raras”. En consecuencia se decide realizar un análisis del mismo y averiguar que está
ocurriendo. Se detecta la presencia de un malware. En ese momento son múltiples las
cuestiones a abordar: ¿por qué el antivirus no lo ha detectado?, ¿pueden otros ordenadores
estar afectados?, ¿cómo eliminarlo? Sin embargo, en el transcurso del análisis digital no sólo
se detecta al elemento malicioso, sino que está provocando una fuga de información. Se
localiza quién ha sido el actor (denominación judicial, para ir entrando en materia) culpable
de la acción maliciosa y a qué tipo de información ha tenido acceso. Se trata de otro
empleado de la compañía que ha sustraído información crítica respecto de la política
corporativa de recursos humanos. La empresa afectada ¿no querría llevarle a juicio o
despedirlo de forma procedente? Probablemente sí.
Frecuentemente en los casos forenses se sabe cuáles son los inicios de la investigación
digital, pero no cuál puede ser su final. Por ello es interesante conocer si el promotor de la
investigación tiene de partida la intención de llevar el caso a los juzgados. En múltiples
ocasiones los interesados desestimarán esta posibilidad. Sin embargo, es posible que no
sean conscientes de las circunstancias reales y al disponer progresivamente de mayor
información sus intenciones iniciales se pueden modificar.
Es recomendable por lo tanto desde un primer momento indicar que ante la posibilidad
ineludible de que el análisis pueda finalizar en una fase judicial, la recogida de evidencias
debe realizarse teniendo esta circunstancia en consecuencia o al menos en caso de no
hacerlo comunicárselo a los interesados.
En todo momento se debe hablar de posibilidades. El desarrollo de una investigación digital
correcta en sus procedimientos y conclusiones, no asegura el éxito de la misma. En un juicio
la decisión final se dirime en un momento y localización puntual. En ocasiones sólo la
habilidad y experiencia de unos y otros hacen que la balanza se incline hacia uno u otro lado.
No hay que olvidar que el desarrollo de la recogida de evidencias y de todo el análisis
atendiendo de forma rigurosa a los procedimientos adecuados demanda una mayor
dedicación y en el mundo profesional el tiempo es dinero. En cada escenario es necesario
valorar si la inversión económica, el porcentaje de posibilidades de éxito y el propio desgaste
del proceso hacen recomendable el inicio del mismo. En ocasiones lo idóneo será desestimar
la realización del peritaje. Tras valorar los anteriores factores no es inusual en casos
laborales que una organización puede llegar a la conclusión de que le es más conveniente
afrontar un despido improcedente que iniciar una investigación.
Es necesario tener presente aquellos análisis que pueden derivar en un juicio, deben ser
atendidos con mayor pulcritud y rigor procedimental para que las conclusiones obtenidas a
8
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
partir de las evidencias, sean válidas, creíbles y lo más importante “rotundas” e irrefutables
sea cuáles fueren los argumentos utilizados. Aquellas actuaciones cuyo objetivo no es
atender a un proceso judicial, sino obtener una determinada información, permiten una
mayor flexibilidad, reduciendo con ello los tiempos dedicados a la recogida y tratamiento de
evidencias.
La tendencia habitual es hacer uso de procedimientos, que siendo más o menos reglados
pueden resultar algo imprecisos o inapropiados para tener valor judicial. Póngase un
ejemplo. Para tareas de adquisición de evidencias un especialista puede operar haciendo
uso de las normas marcadas en la RFC 3227 “Guía para la recogida y almacenamiento de
evidencias”. Pero actualmente en España, aplicar esta norma de forma escrupulosa puede
ser una temeridad, fundamentalmente porque rompe el principio de que “antes de tocar
cualquier evidencia, prevalece la rigurosa recogida de la misma”. El escenario nunca debe
alterarse. Esta circunstancia puede llegar incluso a eliminar la validez de la evidencia.
En otros países, más avanzados judicialmente en materia de procedimientos forenses
informáticos y que incluso disponen de leyes y regulaciones para ello, esta RFC pueda tener
su validez. Sin embargo, en otros muchos, como es el caso de España, es mucho más
importante poder acreditar la no alteración de evidencias que cualquier otra cuestión. Dicho
de forma más coloquial, para el perito es crítico poder afirmar en cualquier caso “cuando yo
llegué, esto ya estaba así”. En caso contrario, las pruebas pueden ser recusadas por posible
alteración de las mismas en el análisis. Aunque la imparcialidad del perito es obligatoria por
ley, finalmente sus servicios son contratados habitualmente por una de las partes y se diluye
por lo tanto esa esencia de independencia asociada a su labor.
Si es claro que independientemente de cómo se desarrolle el caso, éste no acabará en un
juicio, el nivel de exigencias y pulcritud se relaja dejando paso a la efectividad en el análisis
Todas estas claves se irán valorando a lo largo de esta publicación. Ser consciente en todo
momento de la importancia del proceso que se tiene entre manos, anticiparse a las
cuestiones a abordar antes de hacerlo y conocer las herramientas necesarias para ello. Pero
especialmente, cómo abordar la “dichosa experiencia” que un juicio supone para cualquiera,
pero especialmente para un informático, que además tiene una labor crítica en las
actuaciones judiciales.
9
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 2 – La importancia de las evidencias
Uno de los aspectos fundamentales a la hora de afrontar un análisis forense digital,
constituye la necesidad de contar con evidencias válidas. A priori, todas aquellas
correctamente recogidas potencialmente lo son, pero una mala práctica puede llegar a
invalidarlas. Hay que tener presente a lo largo de todo el proceso que el perito debe poder
defender y contar con el principio de independencia.
Sin lugar a dudas la información proporcionada por el afectado es vital. Sin embargo, su
visión de los acontecimientos puede condicionar en exceso al perito, provocando incluso que
su impulso e interés por llegar a la realidad de los hechos le haga actuar a éste sobre el
equipo e infraestructuras afectadas sin respetar el procedimiento adecuado para ello. Es un
riesgo fundamental en el inicio de un análisis digital luchar contra ese impulso.
Cuando se sospecha que sobre un determinado equipo se ha realizado una acción perniciosa
y que por lo tanto debe ser objeto de análisis, la prudencia es fundamental. Inicialmente
debe asumirse que es posible que contenga evidencias interesantes y que por ello es
necesario tratarlo como un sistema con información importante y sensible para el caso. No
hacerlo así y “caer en la tentación” de actuar sobre él precipitadamente, permite en caso de
juicio poder alegar que las evidencias pueden haber sido manipuladas con el objetivo de
favorecer o incriminar a alguien. Este es también habitualmente un argumento
frecuentemente utilizado en análisis contra periciales.
Y si no debe tocarse el equipo ¿qué ha de hacerse? A día de hoy no hay nada reglado en este
sentido, pero existen una serie de buenas prácticas y normas no escritas cuya aplicación es
recomendable. Si el equipo está encendido es una buena opción obtener una fotografía de la
pantalla y apagarlo. Puesto que pudiera haber información importante relativa a ficheros
temporales o incluso en sistemas Windows, el propio fichero de paginación de memoria,
podría optarse por apagar el equipo por la vía rápida, cortando el suministro de energía. En
este procedimiento, la pérdida más importante la constituye la información de conectividad
de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo
de escenario al que hay que enfrentarse para adoptar la decisión adecuada. Si esa
información resulta vital, sería imprescindible contar con testigos que pudieran refrendar las
acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna acción
10
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
enfocada a manipular datos, sólo a extraerlos. No obstante, siempre habrá que tener
prevista una respuesta en la vista judicial para una defensa de las acciones realizadas.
La presencia de testigos es una cuestión a considerar en procesos comprometidos.
Formulados a través de reglamentaciones de uso de medios corporativos o protocolos de
seguridad internos, muchas organizaciones cuentan entre sus procedimientos con
mecanismos que hacen uso de testigos para la intervención de equipos, en muchas
ocasiones herederos de acciones tales como el registro de una taquilla. Para estos casos,
suele requerirse que todo el proceso de recogida de las evidencias sea llevado a cabo con la
presencia de una persona del comité sindical y el propio afectado, o en su defecto dos
personas de la organización, totalmente independientes a las circunstancias del caso. Estos
procedimientos ofrecen la seguridad, sobre todo de cara a procesos judiciales, de que,
habiéndose realizado una serie de acciones específicas, testigos concretos pueden refrendar
los hechos. Estas acciones se tratan de forma muy análoga al hecho de la apertura de una
taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores.
Aunque con una orientación diferente, sirva como ejemplo una sentencia de noviembre del
2000 de la Sala de lo Social en Málaga del Tribunal Superior de Justicia de Andalucía, en la
que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le
intervino y copió todos sus correos y ficheros personales, aún en presencia del comité de
empresa. La sentencia se inclina en este apartado por el criterio empresarial, a pesar de que
la sentencia en cuestión da la razón al trabajador, pero sólo por el hecho de que no se
justificó el registro tal y como obliga el artículo 18 del Estatuto de los Trabajadores. La
resolución afirma implícitamente, que el mencionado artículo 18 autoriza el registro en la
terminal de ordenador que utiliza el trabajador. A todos los efectos, un equipo se asimila a la
taquilla, basándose en que el ordenador es un instrumento de trabajo propiedad de la
empresa. Por lo tanto, no deberá ser utilizado con otros fines diferentes que la realización de
la propia actividad laboral.
Sin embargo nunca deberá obviarse el hecho de que en un juicio la palabra y la
interpretación última es siempre tarea del juez atendiendo para ello a su criterio,
interpretando las leyes y aplicándolas según su entender. Por lo tanto cualquiera de los
procesos efectuados y las acciones llevadas a cabo son validadas y refrendadas
exclusivamente por su señoría.
Pero finalmente teniendo en consideración lo expuesto hasta el momento, llegará la hora
de adquirir las evidencias como fase crítica del proceso. En este momento vuelve a aparecer
la cuestión fundamental, ¿cuál es el procedimiento adecuado? De nuevo la respuesta es
compleja, no existe un procedimiento único, así como tampoco existen unas herramientas
11
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
“validadas” y que sirvan específicamente a efectos judiciales. Como ya se ha indicado, en
muchos países de la Unión Europea, entre ellos España, no existe una legislación para el
análisis forense digital. Por ello no puede expresarse de forma taxativa qué proceso es el
adecuado ni cuáles son las herramientas necesarias y cómo deben utilizarse.
Básicamente hay que dar respuestas a una serie de preguntas fundamentales:
1. ¿Cuál es el escenario ante el que hay que enfrentarse?
2. ¿Qué quiere analizarse: un fichero, un directorio, un disco o todo un sistema?
3. ¿De cuánto tiempo se dispone para hacer la adquisición de las evidencias?
4. ¿Dónde se almacenarán las evidencias?
5. ¿Cuántas copias deben realizarse?
Sin lugar a dudas, una operación crítica para el analista forense es la copia. Normalmente los
escenarios a los que se enfrentará demandarán procesos complejos y voluminosos de
copiado de información, haciendo incluso uso para ello de distintos medios. La propia
configuración del equipo analizado, desconocer la ubicación específica de los ficheros o su
ubicación en múltiples medios de almacenamiento, son algunas de las circunstancias
posibles que pueden complicar la realización de la copia. Muy probablemente el tiempo
invertido será alto y el coste en recursos también.
El proceso de copiado de un disco o de determinados ficheros debe de garantizar las
siguientes condiciones:
- Las copias realizadas deben ser idénticas al origen y por lo tanto entre ellas también.
- Bajo ningún concepto el origen de datos debe ser alterado. Tampoco el destino. En
este caso la copia queda inutilizada para el proceso de análisis y deberá repetirse. Si
no se hiciese así todo el proceso de análisis podría quedar invalidado.
- El copiado debe ser completo, incluyendo el supuesto espacio libre. Muchas veces es
posible que aparezca allí información interesante, especialmente si se ha hecho uso
de herramientas antiforenses.
- Debe aplicarse una función hash sobre la información adquirida con objeto de
obtener su huella digital.
Este último aspecto es fundamental. A través de él se garantiza que las conclusiones a las
que se llega tras el análisis de las copias realizadas de las evidencias, parten de un disco o
ficheros idénticos al original y por lo tanto no ha habido una manipulación de los mismos
tras las copias binarias realizadas.
12
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Inicialmente es necesario determinar cuántas copias deben realizarse. Es recomendable un
mínimo de dos adicionales al original. Una de ellas destinada al analista forense, la otra a la
empresa implicada o al afectado por el caso, para dar continuidad al trabajo, y finalmente el
original que deberá salvaguardarse como elemento crítico. Para esto último son varias las
posibilidades. En caso de denuncia se podrá presentar junto a ésta, quedar depositada en un
notario o bien almacenada por la organización o persona afectada con las garantías de
seguridad debidas. Es fundamental tener en cuenta su importancia de cara al posterior
juicio.
El hash garantizará que el disco no ha sido manipulado y este aspecto es fundamental.
Permite reproducir las pruebas originales ante la posible realización de análisis
contrapericiales. Para la obtención del hash existen multitud de algoritmos, se recomienda el
uso de al menos SHA-1 (Secure Hash Algorithm) para ello.
Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la función
dd para el copiado. Esta se realiza bien por la clonación del disco físico o las unidades lógicas,
o bien generando un único fichero de imagen que pueda ser tratado directamente por las
herramientas forenses.
Para ello existen elementos hardware que permiten realizar estos procesos de forma
cómoda, precisa y con altas garantías. Aunque no es la solución más económica, si es la que
ofrece mayor profesionalidad y seguridad a un analista forense.
No obstante hay que tener en cuenta la diversidad de tipos de discos existentes en el
mercado. Su evolución llega a suponer que un determinado hardware adquirido podría no
ser válido para un proceso de copia, al no disponer de los accesorios adecuados para
recuperar un modelo de disco específico. No obstante existen conversores que facilitan la
labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo del tiempo.
A modo de ejemplo se presentan a continuación algunos enlaces orientativos sobre
dispositivos existentes en el mercado que permiten las operaciones de adquisición de
evidencias.
- Logicube (http://www.logicube.com/)
- ICS (http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm)
- Data Device International (http://www.datadev.com/hard-drive-forensics-dod-
approved-data-security-erase.html)
13
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 3 – El procedimiento de copiado de discos
Ya se ha tratado en el capítulo anterior la importancia de llevar a efecto un procedimiento
adecuado para la adquisición de evidencias. Se citaba el equipamiento hardware como la
opción más profesional e idónea para realizar los procesos de copiado necesarios. Sin
embargo, existen como alternativa, soluciones basadas en software que pueden encargarse
de esta fase fundamental en todo análisis forense. La mayor parte de ellas hacen uso de la
función dd, existente en entornos Unix y Linux, para la copia de un número determinado de
bytes o de bloques. En esta publicación se citan y muestran las opciones proporcionadas por
las suites forenses Helix y Caine.
La suite Helix de e-fense (http://www.e-fense.com/), ha evolucionado en el tiempo, nació
con una inspiración diferente, sobre todo en lo que se refiere al aspecto económico. Era una
solución de libre distribución y ofrecía funcionalidades para realizar análisis Live Forensics
sobre sistemas Microsoft y Post Mortem, a través de un arranque sobre distribución Linux.
Totalmente gratuito, tanto en el análisis Live Forensics como Post Mortem, proporcionaba
mecanismos para la realización de copias de evidencias digitales que podrían ser utilizadas
en los casos forenses.
Para los no iniciados en el análisis forense, se realiza a continuación una breve descripción
de las tipologías mencionadas en el párrafo anterior. El análisis Live Forensics presenta como
premisa la obtención de evidencias y análisis de un equipo mientras el sistema operativo se
encuentra iniciado. Resulta especialmente interesante en escenarios como los de
identificación de aplicaciones con código malicioso o de ataques que se producen en red.
Hay que tener especial cuidado con este tipo de análisis, puesto que existe una alta
posibilidad de alterar las evidencias. Por lo tanto, será especialmente crítico el haber
realizado una copia binaria adecuada antes de iniciar el peritaje.
Por otra parte el análisis Post Mortem se realiza sin arrancar el sistema operativo del equipo
a analizar. Es la tipología más frecuentemente utilizada puesto que el riesgo de modificación
de evidencias es muy bajo. Es especialmente útil en búsqueda de datos, análisis de registros
o reconstrucción de ficheros eliminados por citar algunos ejemplos significativos. Múltiples
herramientas forenses basan su funcionalidad en este tipo de investigación.
A día de hoy las distribuciones de este producto presentan un coste, sin embargo todavía es
posible localizar en Internet versiones de la suite que como la 1.9 o la 2008 R1 pueden ser
14
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
utilizadas para la adquisición de evidencias. Basadas en la distribución de Linux Knoppix,
pueden utilizar su funcionalidad de Live-CD para la adquisición de discos.
Las distintas versiones presentan diferencias, no sólo en su presentación sino también en las
aplicaciones proporcionadas para la ejecución de procedimientos forenses. La versión 1.9 a
diferencia de la posterior 2008 R1, aportaba una funcionalidad adicional a través de la
aplicación Air.
A continuación se muestran dos imágenes con el la interfaz de cada una de las versiones.
Imagen. 1.- Helix versión 1.9.
Como es posible apreciar las diferencias aparecen tanto en el aspecto visual, como en las
herramientas aportadas por cada una de las versiones.
15
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Imagen. 2.- Helix versión 2008 R1.
16
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Ambas versiones incluyen una las aplicaciones más utilizadas para la realización de
operaciones de copia, Adepto. Esta aplicación permite dos modos diferentes de emplear la
funcionalidad dd para la adquisición de evidencias:
- Adquisición en un único fichero dd, volcando en el mismo todo el contenido del disco
seleccionado.
- Realización de una clonación del disco, generando una copia idéntica del disco
seleccionado.
La siguiente imagen muestra la operación de la adquisición de disco haciendo uso de la
aplicación Adepto. Dentro de las opciones significativas que se pueden observar, se
encuentra la posibilidad de indicar ruta de destino donde volcar la información. Para ello,
podrá hacerse uso de una ruta local, una conexión de red tipo Netbios o incluso una salida
de datos a través de Netcat sobre la dirección IP y puerto especificado.
Imagen. 3.- Adquisición de disco.
Como se ha comentado en capítulos anteriores, es un elemento fundamental en el proceso
la opción de poder obtener el hash de las evidencias originales. Esta funcionalidad permitirá
verificar, en cualquier momento tras la realización de copias, que origen y destino son
17
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
idénticos, dando así plena validez a la prueba y a los procesos de análisis que hagan uso de
ella, así como a las conclusiones a las que pueda llegarse.
Es recomendable modificar el algoritmo predeterminado de cálculo del hash, MD5. La
utilización en su lugar de al menos SHA1 mejora sensiblemente el nivel de seguridad de la
operación. Algunas de las motivaciones de esta modificación se recogen en el siguiente
artículo del blog “Legalidad Informática”:
http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html Queda por lo tanto de este modo garantizado que el analista forense no ha realizado
manipulación alguna de las pruebas desde el momento en que se realiza la adquisición de las
mismas. Claro está que éste no puede extender esta garantía de no alteración con
anterioridad a su intervención. No es inusual que los afectados o bien personal informático
en su representación, sí que hayan modificado las evidencias originales, de forma más o
menos malintencionada dependiendo del caso. Sólo el posterior análisis dará respuesta a
esta incertidumbre propia de toda investigación.
Partiendo de la ya mencionada aplicación dd, otras metodologías de posible uso como
DCFLDD y AFF presentan características avanzadas en las prácticas de adquisición de
evidencias forenses. El primero de estos métodos fue desarrollado por el departamento de
los EEUU, Defense Computer Forensics Lab. El segundo denominado Advanced Forensics
Format, fue diseñado como un mecanismo más avanzado que el formato dd estándar,
siendo más flexible y permitiendo el almacenamiento extensivo de metadatos, además de
requerir menor espacio de disco que otros formatos propietarios existentes en el mercado,
como el propio de EnCase. Teniendo en consideración el tipo de implementación, es
recomendable decantarse por la metodología DCFLDD.
El segundo de los métodos de adquisición es el proporcionado por Adepto, una de las
herramientas fundamentales de la suite Helix, y basado en la posibilidad de clonación
completa de un disco, manteniendo tanto la información como su estructura física, de tal
forma que la copia será un calco del disco origen. En esta circunstancia también se realizará
una función hash del mismo, que será mostrada a través del sistema Log que proporciona la
propia herramienta.
Como es posible observar en la siguiente imagen, también a través del menú de
Restauración/Clonado de Adepto, se ofrece la alternativa de restaurar un fichero tipo dd
bien sobre un disco o bien sobre otro fichero imagen. De tal forma que se verifique
nuevamente la idoneidad del procedimiento mediante función hash del origen y del destino.
18
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Imagen. 4.- Clonación de un disco
En ambas circunstancias es importante tener en consideración una serie de detalles:
- El tamaño de disco es relativamente importante. Los discos origen y destino no
deben presentar las mismas características, ni ser idénticos en tamaño, pero al
menos el disco destino deberá ser superior en tamaño al de origen.
- Los discos implicados en el proceso de copia no deben ser idénticos en formato. Un
disco tipo IDE puede volcarse sobre otro SATA o éste último sobre un disco USB. Para
ello es posible utilizar componentes hardware que permiten la conversión y conexión
de diferentes tipos de unidades de disco a USB. Aunque es un método bastante más
lento e inseguro que el uso de una clonadora convencional, resulta bastante más
económico, permitiendo además tratar todos los discos como externos y controlar de
este modo la identificación de unidades.
- Puede parecer obvio y realmente lo es, pero la experiencia indica que es útil recordar
que en todo proceso de clonación es imprescindible identificar con claridad disco
origen y destino. No sería la primera ocasión en que tras la realización de la copia el
analista comprueba que origen y destino presentan exclusivamente los ceros que
existirían en la supuesta unidad que iba a ser utilizada originalmente como destino.
19
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
- Es indispensable que el disco destino no disponga de ningún dato previo. Con ello se
evitaría que en el espacio no copiado se encontraran por ejemplo datos de otros
casos, con el consiguiente problema de mezcla de evidencias. Sería peculiar ver como
el analista intenta desentramar relaciones existentes entre diferentes casos motivado
todo ello por el cruce de las evidencias, además de que éstas pueden quedar
comprometidas como pruebas del caso. Se tratará posteriormente qué metodología
es posible aplicar para que un disco quede limpio de trazas previas.
La utilización de un método u otro de copiado, dependerá fundamentalmente del tipo de
escenario al que se enfrente el analista, el tipo de pruebas que sea necesario efectuar y las
herramientas con las que se cuente para el análisis. Por ejemplo, en un análisis de malware
donde hay un componente muy importante de análisis activo sería necesario realizar un
clonado de disco. Sin embargo si se va a realizar un rastreo en busca de una determinada
cadena de caracteres o un documento concreto, el método adecuado podría ser la
generación de un fichero único de imagen.
El tiempo de adquisición de una evidencia dependerá de múltiples factores: el espacio a
copiar o clonar, la velocidad de los discos, el soporte, el tipo de hash a realizar o si se va a
incorporar una verificación de copias son, junto a otros factores, elementos que influyen
directamente sobre el tiempo de copiado. Para el que nunca haya realizado una adquisición
de este tipo es necesario tener en consideración que se trata de un proceso bastante lento.
Como mínimo, para un disco duro convencional y sin que se produzcan errores, estaremos
hablando de unas cuantas horas.
Una aportación importante proporcionada por la herramienta Adepto es que finalizado el
proceso, ésta nos suministrará un fichero de suma importancia en el procedimiento forense,
el fichero de cadena de custodia. Este será objeto de tratamiento posterior, pero resulta
fundamental como parte de la información que deberá acompañar a cualquier evidencia
digital que sea presentada en un proceso judicial.
Otra suite interesante para la adquisición de evidencias y análisis forenses es CAINE
(http://www.caine-live.net/). Computer Aided Investigative Environment es un conjunto de
herramientas de libre distribución, agrupadas en una suite GNU/Linux Live basada en la
distribución UBUNTU. Es de origen italiano y se encuentra dirigida como Product Manager
por Nanni Bassetti.
CAINE ofrece un conjunto de herramientas, que al igual que en el caso de Helix, opera en
modalidad tipo Live-CD. Aporta algunas aplicaciones para interactuar con discos y poder
realizar también la adquisición de los mismos.
20
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Imagen 5. Utilidades forenses de CAINE V 2.5.1
Para la adquisición de evidencias, la aplicación más destacada con la que cuenta la suite
CAINE es AIR (Automated Imaged and Restore). Con ella es posible adquirir discos y realizar
algunas operaciones interesantes y habituales en los procedimientos forenses, como es la
limpieza de los discos sobre los que realizar el volcado de información.
Tal y como muestra la Imagen 6, a pesar de las diferencias de interfaz y las particularidades
de cada herramienta, en esencia AIR aporta funcionalidades muy similares a las
suministradas por la aplicación Adepto, comentada previamente.
21
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Imagen. 6.- Aplicación AIR.
22
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Los procesos que se llevan a cabo en todas las herramientas de este tipo son similares,
debiendo establecerse los orígenes y destinos, bien de ficheros o bien de dispositivos
completos. En todas ellas, se puede proceder a la adquisición de un fichero tipo dd o a la
realización de un clonado de disco. En la realización de estos procesos debe tenerse también
en cuenta la comprobación del hash como operación fundamental.
Al contrario que en el caso de Adepto, la aplicación AIR no genera el fichero de cadena de
custodia y por lo tanto esta operación deberá efectuarse manualmente, tal y como se
mostrará en el siguiente capítulo de esta publicación.
AIR dispone de una interesante función para asegurar la limpieza de discos, Disk Wiping. A
través de este proceso se vuelcan sobre un disco seleccionado como destino, datos de tipo 0
que serán identificados como origen de los datos, eliminando de este modo cualquier
información anterior.
Imagen 7.- Funcionalidad para realizar Disk Wiping.
Tal y como se comentó en páginas previas, esta operación de limpieza constituye un
procedimiento indispensable para garantizar la higiene en el tratamiento y posterior análisis
de las evidencias de cada caso. De esta forma, existe la certeza de que un disco contendrá
información exclusiva de un caso, no quedando rastro de información alojada anteriormente
23
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
en el dispositivo. Como hemos visto, esta circunstancia es especialmente importante ante la
existencia en un disco de espacio supuestamente no utilizado.
No es inusual que muchos analistas se planteen exclusivamente el análisis del espacio
particionado. Sin embargo el no particionado puede contener información perfectamente
válida. No debe olvidarse que la eliminación de las particiones de un disco a través de los
procedimientos utilizados habitualmente, no elimina la información que pueda residir en el
espacio no particionado. Cuando un disco es clonado físicamente, se duplica también el
espacio no particionado. De este modo, ante la necesidad de recuperación de ficheros
eliminados, que puede darse en determinados procesos forenses, ésta puede efectuarse
tanto en el espacio particionado como en aquel que no lo está. Es importante que el disco
sobre el que se va a volcar información tenga condiciones lógicas similares al de origen. De
este modo, aunque no es obligatorio, sí muy recomendable que si la tecnología del
dispositivo origen es USB, IDE o cualquier otra, ésta se corresponda con la del disco destino.
Este aspecto resulta crítico en análisis tipo Live Forensics, para evitar la aparición de
problemas a la hora de arrancar el sistema operativo y reconocer y trabajar con el disco.
Como es posible apreciar en la Imagen 8, se ha seleccionado como origen el conjunto de bits
ZERO y como destino la unidad SDA. Tras aceptar el mensaje de advertencia que aparecerá
en pantalla, se iniciará la operación.
Imagen. 8.- Inicio del proceso de eliminación de datos
24
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
La revisión de éste proceso podrá realizarse aprovechando el módulo de estado que
proporciona la herramienta AIR. En la siguiente imagen, éste muestra información sobre el
volcado de bits 0 sobre el disco SDA. Como ya se indicaba para la adquisición de evidencias,
estos procesos de copiado son lentos y requieren de un tiempo considerable para ser
completados. Esta circunstancia debe tenerse en consideración en la asignación de tiempos
que el analista realice para este tipo de operaciones. No olvidemos que en la mayoría de las
ocasiones éstas se desarrollan en las instalaciones de los clientes o afectados. En estos
escenarios es recomendable contar de partida con discos “limpios”. Los procesos de copiado
resultarán por si mismos tediosos, requiriéndose en muchas ocasiones por procedimiento la
presencia de varias personas, con lo que es más que aconsejable evitar demoras adicionales
provocadas por la necesidad de realizar la limpieza de discos “in situ” con antelación a la
adquisición de evidencias propiamente dicha.
Imagen. 9.- Estado del proceso
El proceso mostrado de Disk Wiping, no debe confundirse con el de eliminación segura de
información, del que se habla en otras ocasiones. Este último trata de garantizar la no
recuperación de la información que hubiese estado alojada en un disco. Para ello se requiere
de la realización de varias pasadas de bits de 1 y 0, asegurando de este modo que una
información no será recuperable bajo ninguna circunstancia, ni siquiera haciendo uso de
elementos hardware altamente especializados. En el caso del proceso de Disk Wiping, éste
es más ligero, siendo sólo necesario realizar una pasada de bits 1.
25
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Aunque el proceso de eliminación segura de información puede realizarse con AIR, resulta
más aconsejable hacer uso de soluciones que han sido específicamente diseñadas con este
propósito. Sirva de ejemplo el conjunto de aplicaciones DBAN (http://www.dban.org/), cuyo
uso se encuentra ampliamente extendido a nivel mundial en diversidad de grandes
empresas y organizaciones para la realización de este tipo de acciones de borrado seguro de
información.
Una aplicación para el tratamiento de discos aparentemente más simple, al menos es lo que
a su aspecto se refiere, es Guymager. Esta forma parte de la suite CAINE, mencionada ya en
repetidas ocasiones en esta publicación, y aporta también la funcionalidad de adquirir y
clonar discos mediante una interface realmente sencilla de manejar.
Imagen. 10.- Guymager
Sin embargo la aparente sencillez no debe asociarse necesariamente a la falta de potencia o
efectividad. Al seleccionar la opción “Adquirir imagen o clonar dispositivo” será posible
introducir un gran número de parámetros y seleccionar diversidad de opciones para la
realización del proceso en unas determinadas condiciones. Esto amplía considerablemente
las capacidades de la aplicación, haciéndola mucho más versátil que las anteriormente
citadas.
La siguiente figura muestra las opciones que la herramienta Guymager aporta para la
adquisición del fichero imagen. Son varias las posibilidades. No sólo mediante la función dd,
tal y como se ha mostrado hasta ahora, sino también generando un fichero de formato
26
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
nativo utilizado por software de análisis forense, EnCase. De igual modo, será posible
suministrar a la evidencia información relevante para su identificación, incluyendo datos
asociados al caso objeto de investigación o al analista responsable de la operación.
Imagen. 11.- Adquisición de discos
Se ha mostrado en este capítulo la importancia de una correcta adquisición de evidencias,
así como algunas de las metodologías para llevarla a efecto. Evidentemente, son múltiples
las posibilidades válidas. Sin embargo es crítico para el buen desarrollo de la investigación
que en todos los casos la “higiene de las pruebas” sea la máxima observada por el
procedimiento utilizado.
Es necesario dar al proceso de copiado de evidencias el tempo adecuado. A pesar de la
presión externa y circunstancial de la investigación, que los afectados pueden incluso
incrementar, el analista debe ser coherente con su labor profesional, valorando cada
aspecto con rigor y siendo consecuente con la responsabilidad que adquiere. En las
operaciones de copiado es la persona clave que dispone del conocimiento, especialización y
capacitación necesaria. Debe por lo tanto, abstraerse de cualquier presión externa, que con
objeto de acelerar los procesos, pueda influir negativamente en el rigor de la operación.
27
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 4 – La cadena de custodia
Ha quedado claro en los capítulos anteriores que el fundamento para llegar a un proceso
judicial en una buena posición como perito, es garantizar la consistencia de las evidencias
digitales adquiridas. Desde un punto de vista formal esto se consigue mediante la utilización
de un procedimiento válido que garantice la no alteración de las pruebas. En esta misma
línea, la posterior custodia rigurosa y documentada de las evidencias será otro aspecto que
afianzará la garantía de no alteración, crítica para el proceso. En este cuarto capitulo se
aportará información relacionada con este aspecto.
No existe en España una regulación específica para procedimentar y garantizar la custodia de
pruebas, aunque sí en otros países del ámbito europeo. Sin embargo, se prevé de forma
inminente la aparición de la norma que regulará y garantizará la custodia de las pruebas
policiales. El encargado de su elaboración ha sido el Instituto Universitario de Investigación
en Ciencias Policiales. Actualmente existen protocolos internos pero no unificados. Esta
norma deberá tenerse en consideración para las diferentes unidades de cuerpos de
seguridad del estado. Sin embargo aunque puede ser tomada como referencia, no afectará a
aquellos análisis y peritajes que sean realizados en el ámbito privado.
Sin embargo, aunque no exista oficialización del procedimiento, está ampliamente aceptada
la figura de la cadena de custodia como norma de facto para dar garantías al proceso de
mantenimiento de las evidencias. La cadena de custodia asegura en cualquier investigación,
sea o no informática, que las pruebas aportadas y las conclusiones a las que se llega
partiendo de las evidencias, son consistentes y válidas, no habiendo sido alteradas para
ningún fin con posterioridad al momento de su adquisición.
A lo largo de la investigación es necesaria la cesión tanto de las evidencias como de las
copias garantizadas de las mismas, fundamentalmente entre distintos peritos, pero también
entre personas u organizaciones involucradas en el proceso. Sobre ellos recaerá en cada
momento el compromiso de mantenimiento de las pruebas. Es por ello que la cadena de
custodia deber recoger en todo momento: ¿quién es el depositario?, ¿durante qué espacio
temporal lo es? y ¿cuál es la razón por la que la evidencia queda bajo su custodia?
La cadena de custodia permite identificar con claridad quién ha estado en posesión de las
evidencias antes de que éstas sean utilizadas en instancias judiciales, permitiendo que
cualquier depositario de las mismas pueda ser citado judicialmente si las evidencias
28
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
quedaran en entredicho durante el proceso. Este hecho atiende habitualmente a posibles
errores respecto de los procedimientos utilizados durante el peritaje.
Queda recogido en la Ley 1/2000 de Enjuiciamiento Civil el objeto y finalidad del dictamen de
peritos a través de su artículo 335:
“Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad.
1. Cuando sean necesarios conocimientos científicos artísticos, técnicos o prácticos para
valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos,
las partes podrán aportar al proceso el dictamen de peritos que posean los
conocimientos correspondientes o solicitar, en los casos previstos en esta Ley, que se
emita dictamen por perito designado en el Tribunal.
2. Al emitir el dictamen todo perito deberá manifestar, bajo juramento o promesa de
decir la verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible,
tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible
de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en
las que podrá incurrir si incumpliere su deber como perito.”
La custodia de las pruebas, se convierte por lo tanto en un procedimiento fundamental que
permite al perito garantizar la independencia y objetividad en la elaboración de sus
conclusiones, sin haber realizado manipulación de las evidencias para favorecer a alguna de
las partes.
Teniendo en consideración lo anterior, es necesario incorporar un fichero de cadena de
custodia para cada evidencia existente. En el caso de los procedimientos que se llevan a
cabo en Sidertia Solutions, compañía en la que desarrollo mi labor profesional, también las
copias adquiridas se acompañan de su correspondiente fichero para dar mayor consistencia
a la investigación.
De este modo, cuando un analista recibe un disco previamente copiado del original, para a
su vez realizar otra copia que le permita efectuar acciones de análisis de datos deberá
proceder también a formalizar el fichero de cadena de custodia correspondiente. Gracias a
ello, será posible también tener identificada y controlada la copia de trabajo generada, que
contiene la misma información que será tratada como evidencia en el juicio.
No es posible mencionar la existencia de un único modelo de fichero de cadena de custodia
homologado y de uso generalizado. Es posible localizar en la red diversidad de formularios
que pueden ser válidos. En otras ocasiones son las propias herramientas de adquisición de
evidencias las que proporcionan sus propios modelos. Pero incluso es factible la generación
del fichero de forma manual si este recoge la información necesaria. Haciendo uso de
29
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
cualquiera de las posibilidades mencionadas, lo importante es contar con algún archivo de
cadena de custodia asociado a la evidencia y que contenga la información de identificación
imprescindible.
A continuación se muestra el formulario generado por la herramienta Adepto, que ha sido
objeto de análisis en capítulos anteriores de este documento.
Imagen. 12.- Funcionalidad de cadena de custodia
Haciendo uso de la funcionalidad que aporta el módulo de cadena de custodia en Adepto, es
posible generar un fichero PDF conteniendo la información correspondiente al
procedimiento realizado y que permitirá acompañar a la prueba desde su adquisición.
La siguiente imagen permite apreciar el archivo generado por Adepto tras la operación de
30
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
adquisición del disco. En él se incorporan los datos que dan validez al procedimiento y que
31
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
han sido proporcionados al iniciar la herramienta. De igual modo, se adjunta de forma
automática información como la identificación del disco y las opciones empleadas para la
adquisición.
Img. 13.- Fichero de cadena de custodia de Adepto.
Una vez generado el fichero de cadena de custodia, éste debe acompañar siempre a la
propia evidencia. La transferencia de la misma de un perito a otro, conlleva el cambio de la
custodia y por lo tanto también la actualización y traspaso del fichero. Para su formalización
deben suministrarse los datos requeridos, incluyendo el motivo por el que se realiza la
transferencia de la evidencia. No es inusual que un profesional sea el encargado de realizar
la adquisición, mientras que el proceso de análisis de las pruebas es realizado por un
segundo analista.
El fichero de cadena de custodia no implica en esencia más que un formalismo, pero como
tal es parte esencial del proceso. Es posible que nunca sea requerido en el proceso judicial,
pero en algún caso puede ser crítico para afrontar las dudas y desconfianzas sobre las
pruebas que alguna de las partes puede intentar fomentar en su beneficio.
32
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 5 – Las buenas prácticas en el análisis.
Llegados a este punto, el analista cuenta con las evidencias del caso, que además han debido
ser recogidas a través de los procedimientos y buenas prácticas comentadas en capítulos
anteriores. Ha llegado pues el momento de iniciar el análisis propiamente dicho. No es
objetivo de este manual realizar un exhaustivo estudio de cómo analizar evidencias digitales.
Este aspecto daría lugar a un estudio de mayor calado técnico y cuyo contenido sería
indudablemente más extenso. Sí se pretende sin embargo ofrecer toda una serie de buenas
prácticas y consideraciones generales, que permitan, teniéndolas en consideración, la
obtención de unos correctos resultados en el proceso de análisis.
Evidentemente será necesario valorar que cada escenario presenta sus peculiaridades y no
todos pueden analizarse de la misma forma. Las diferencias son significativas de unas
situaciones a otras. Poco tiene que ver un caso donde es necesario localizar en un equipo
una conversación mantenida a través de Messenger, con otros donde existen indicios de
accesos ilícitos a cuentas de correo electrónico corporativo o donde se intenta detectar la
posible acción de aplicaciones maliciosas en un caso de espionaje industrial. Los posibles
ejemplos objeto de análisis pericial y sus diferencias podrían completar un listado
interminable.
¿Porqué no decirlo? El término “forense” conlleva un cierto aire de misterio que puede
resultar atractivo. Se asocia a la idea de investigación y descubrimiento y esto también
ocurre en el ámbito de la informática. Sin embargo, en la mayoría de las ocasiones, las tareas
de análisis no resultan nada edificantes, sino más bien todo lo contrario. Pueden incluso
llegar a ser tediosas y requieren de un gran esfuerzo personal para no caer en la desidia.
Muchos de los casos forenses que finalizan en un proceso judicial, demandan como tareas
fundamentales el análisis de interminables log (registros de actividad) o la búsqueda de
cadenas de carácteres entre el gran volumen de ficheros que pueden estar alojados en un
determinado servidor o equipo de trabajo. Labores habitualmente poco gratificantes.
Es cierto que hay otros muchos tipos de actividades forenses más atractivas que las citadas
anteriormente, sin embargo es inusual que las investigaciones basadas exclusivamente en
estás técnicas deriven en un juicio. Los casos relacionados con aplicaciones maliciosas, los
análisis de memoria, el descubrimiento de técnicas antiforenses o de ocultación
(esteganografía) son algunos ejemplos de los muchos posibles. No debe obviarse que la
33
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
información y conclusiones a las que el perito debe llegar tienen que ser rotundas y
difícilmente refutables y éstas interesantes técnicas no suelen aportar el nivel de certeza
requerido.
Frente a lo anterior, lo habitual es que sean aquellas investigaciones donde sea necesario
analizar correos, ficheros de registros o ficheros de datos los que terminen en un proceso
judicial. En definitiva hay que hablar de interpretaciones, ante lo cual serán los datos más
simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la
labor tanto de peritos como abogados.
Frente a lo anterior, lo habitual es que sean los procedimientos de análisis de correos, logs o
ficheros los que aporten datos de valor para una investigación que tenga un fin judicial. En
definitiva estamos hablando de interpretaciones, ante lo cual serán los datos más simples y
asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto
de peritos como abogados.
Planteemos un ejemplo ilustrativo de lo anterior, la necesidad de explicar a un juez que a
través de la identificación de una dirección de memoria se tiene constancia de la
manipulación de un proceso del sistema que interfiere en las pulsaciones del teclado.
Además dicha manipulación se produjo por la instalación de una aplicación que aunque en el
registro del sistema aparezca realizada por el usuario demandante, se estima que en
realidad fue llevada a efecto por el demandado, mediante una intrusión en el sistema a
través de una vulnerabilidad en la máquina virtual de Java del equipo del demandante.
Como es fácil deducir la posibilidad de transmitir esta información a un juez es una labor casi
imposible.
Regularmente, y más en la coyuntura económica actual, son muchos los casos relacionados
con despidos que buscan una causa justificada que los convierta en procedentes. De igual
modo la gran competitividad hace que sean numerosas las investigaciones por espionaje
industrial o robo de propiedad intelectual. Pues bien, este tipo de casos se resuelven
habitualmente escarbando entre los registros de los sistemas o en ficheros de datos.
En la actualidad, los casos de investigación forense suelen presentar desde sus inicios
objetivos concretos. No suelen ser habituales los análisis realizados en función de la
posibilidad de estar afectado por una aplicación maliciosa o sospechas similares poco
definidas. Cuando se adopta la decisión de iniciar un proceso, que además puede
desembocar en un juicio, es porque existe una clara sospecha o al menos indicios razonables
como punto de partida de la investigación. Los análisis realizados con ausencia de objetivos
concretos, además de ser más complejos y costosos en el tiempo, suelen dar resultados
poco tangibles y en muchas ocasiones incluso denotan falta de coherencia en la sospecha.
34
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Adicionalmente estos resultados finales no suelen satisfacer al cliente, que ha visto
“fantasmas donde no los hay”, y que no es inusual que ante ello presente dificultades para
abonar los servicios prestados.
En el momento de afrontar el análisis de evidencias, deberán tenerse en consideración una
serie de criterios y obtener del cliente unos datos fundamentales para la investigación:
- Definición de la línea temporal. Es crítico en cualquier análisis definir tiempos, tanto
para acotar temporalmente la investigación como para definir las conclusiones
siguiendo para ello patrones claramente definidos. Muchas de las conclusiones a las
que se puede llegar se apoyarán en información de fechas y horas.
- Búsqueda de elementos o palabras clave. En ocasiones los indicios no estarán
definidos con claridad, pero resulta totalmente indispensable tener una orientación
respecto de qué buscar. Un nombre, una web o una dirección de correo suelen ser
datos que el cliente puede llegar a facilitar y que suponen un buen punto de origen
para desarrollar el análisis. Sin estos datos es realmente complicado realizar una
investigación rápida y fructífera.
- ¿Quién es quién? Es vital conocer los máximos datos posibles de las personas
involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en
determinados escenarios son determinantes. A veces en la búsqueda de
conversaciones almacenadas en un equipo no aparecen nombres directamente pero
sí “alias” de las personas involucradas. Definir un cuadro relacional puede resultar
esclarecedor en este tipo de circunstancias. No sería el primer caso en el que tras una
investigación pueden salir a la luz relaciones personales, incluso sentimentales,
desconocidas hasta el momento por la persona u organización que había solicitado la
investigación.
El analista en su labor de investigación debe tener en todo momento amplitud de miras y
evitar la posible pérdida de evidencias por haber circunscrito la investigación al marco
operativo e indicios originales exclusivamente. Nunca debería descartarse la posibilidad de
incorporar nuevas evidencias a un escenario. Cuando la existencia de un caso pasa a ser
pública de forma inevitable ante acciones que no pueden efectuarse con discreción, como
son la retirada de un ordenador o la comunicación a los investigados, es habitual la
eliminación de evidencias por parte de los afectados. En este sentido y en la medida de lo
posible, es importante haber sido previsor, planteando al cliente una estrategia de
adquisición de evidencias de mayor alcance del que podría considerarse inicialmente. Es por
ello que ante la existencia de algún tipo de sospecha, aunque no totalmente fundada sobre
una persona, debería procederse a clonar el disco de su equipo desde el momento inicial. De
35
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
este modo si en el desarrollo la investigación fuese necesario, sería posible realizar un
análisis posterior del disco recogido.
No debe olvidarse que este aspecto puede resultar especialmente conflictivo. Poner en
guardia o crear supuestos sospechosos de personas que a larga pudieran no estar
involucrados en el caso, genera una desestabilidad palpable en el ambiente laboral.
Situación nada deseable en ninguna organización. Por ello, es importante desde un primer
momento valorar con el cliente las prioridades, definiendo hasta que punto la correcta
adquisición y preservación de las evidencias prevalece sobre el resto de circunstancias.
A la hora de analizar un disco, las búsquedas realizadas sobre el mismo deben ser
exhaustivas, incluyendo la localización de información que inicialmente podría parecer
inexistente. Mas allá de los escenarios donde se han implementado técnicas antiforense,
muchos casos requieren de la recuperación de ficheros eliminados. No es inusual que el
“sospechoso” haya podido tener la precaución de eliminar ficheros o datos que puedan ser
contraproducentes para él. Incluso, si dispone de las capacidades para ello, puede que la
eliminación de información haya sido irreversible.
La recuperación de ficheros eliminados es una tarea que implica mucho tiempo y a veces los
resultados no son positivos o difíciles de gestionar para fines judiciales. A pesar de ello, su
recuperación puede aportar al menos indicios importantes para la línea de investigación.
Medio fichero es mejor que nada. Herramientas forenses tales como EnCase o FTK (Forensic
ToolKit), cuentan con módulos para realizar búsquedas de ficheros eliminados y sobre ellos
poder localizar palabras o frases clave. La dificultad aquí estriba en hacer creíble la prueba
de cara al juicio.
Otro aspecto fundamental en la fase de análisis de muchos casos forenses, es la detección
de patrones de conducta más o menos definidos. Usuarios que se conectan a unas horas
concretas, correos que se envían desde unas IP específicas que aunque dinámicas
pertenecen a un mismo rango, frases o palabras muy especiales, representan ejemplos de
patrones que pueden ser fáciles de rastrear. En un caso abordado recientemente, una
cuenta que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos
personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el
método de validación empleado se usaban dos patrones de autenticación válidos, aunque
totalmente diferentes (dominio\usuario y usuario@dominio).
Analizar patrones, a priori puede resultar algo complejo, sin embargo haciendo uso de tablas
de relación adecuadas esta labor puede ser un potente instrumento. A nadie se le exige
tener la mente analítica, relacional y obsesiva del matemático y economista John Forbes
Nash que inspiró la novela y posteriormente la película “Una mente maravillosa”. Sin
36
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
embargo, sí es interesante para un forense disponer de ciertas capacidades de razonamiento
analítico. Son muchos los casos en los que gracias a ellas, salen a la luz determinados
patrones que dan pie en la elaboración de conclusiones bien fundamentadas. Por otra parte,
la experiencia muestra que convenientemente introducidas en el juicio, los patrones de
comportamiento constituyen un elemento esencial para poder conducir de forma efectiva
las alegaciones y conclusiones que se presentan ante el Juez.
Es interesante contrastar los patrones obtenidos con el cliente. En ocasiones se llegará a
apreciaciones realmente valiosas para la investigación. Pongamos un sencillo ejemplo de
esta afirmación. En un determinado escenario laboral, todos los días se producen
determinadas conexiones a recursos corporativos desde un mismo equipo. Sin embargo en
determinadas fechas de la línea temporal de investigación puede observarse que esto no
sucede así, lo cuál hace sospechar que en esos días la persona que opera desde el equipo en
cuestión no desarrolló su labor habitual. Tras contrastar con la organización la inexistencia
en esos días de alguna cuestión que justifique estas excepciones, es evidente que en las
fechas señaladas sucedió algo “distinto a lo habitual” y que puede ser sintomático de los
comportamientos anómalos que la investigación intenta localizar. Estos datos podrán ser
introducidos en el informe como parte esencial de las conclusiones derivadas. No obstante
hay que matizar que un informe pericial nunca puede encontrarse condicionado por el
cliente y mucho menos, parcial o totalmente, elaborado por él. Será tarea del analista
solicitar determinada información y por lo tanto atendiendo a su criterio como perito
introducirla en el informe en un término u otro.
Este contraste de información con el cliente puede aportar valor a la investigación en algún
otro sentido además del ya indicado. Retomemos el escenario anterior para ilustrar esta
afirmación y pongámonos en la situación de que a diferencia de lo expuesto, el cambio en el
patrón de comportamiento del profesional investigado en determinadas fechas sí responde
a causas justificadas, como pueden ser visitas médicas. El analista dispone de esta
información tras su comunicación con la organización cliente. Estos resultados por lo tanto
afianzan la veracidad de las evidencias utilizadas, puesto que los resultados obtenidos por el
investigador no eran conocidos por él de antemano y sin embargo se ha detectado
claramente un cambio en el patrón de comportamiento habitual, a pesar de estar en este
caso totalmente justificado.
Aprovéchese este breve ejemplo para recalcar que en cualquier caso el analista tendrá que
ser muy cuidadoso con el tratamiento de aquellos datos que puedan resultar invasivos de la
intimidad de las personas afectadas, pudiendo tener con ello consecuencias nada deseables
37
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
ante una posible violación de la intimidad o de los datos personales de las personas objeto
de investigación.
Evidentemente es crítico ser extremadamente escrupuloso en la realización del análisis e
inevitablemente esto implica ser organizado. Hay que tener claro desde el principio cuales
son los objetivos sin desdeñar por ello alternativas. Si eres caótico saltarás desde una pista a
otra sin una clara visión y esto se reflejará indefectiblemente sobre el informe resultante de
la labor de peritaje. Es importante anotar cualquier apreciación relativa a información
obtenida directamente o a partir del cruce de resultados. No hay que confiar nunca en las
capacidades de memoria personales, puesto que ante la avalancha de información es posible
la pérdida de detalles relevantes. Es una buena práctica llevar un cuaderno de bitácora
donde anotar cualquier apreciación, evidencia, horas, fechas, nombres o cualquier dato o
impresión que pueda considerarse de interés.
Las herramientas son elementos fundamentales para el desarrollo de tareas de análisis, pero
ni mucho menos lo más esencial. La experiencia, eficacia y buen hacer del especialista, son la
clave para obtener resultados válidos y fiables. Las herramientas no utilizadas de forma
adecuada serán de escasa o nula utilidad. La experiencia ha mostrado lo potentes que
pueden llegar a ser aplicaciones sencillas utilizadas por manos expertas. No existen varitas ni
teclas mágicas para afrontar en un caso la fase de análisis. Cada uno de ellas presenta sus
peculiaridades y es muy importante desprenderse desde un principio de prejuicios y
conclusiones preconcebidas. El asesino no siempre es el mayordomo. No debe olvidarse
tampoco, que en ocasiones la visión profesional de un tercero puede dar aire fresco a la
investigación en momentos de bloqueo de ésta.
38
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 6 – El informe pericial
El informe pericial constituye, sino el más importante, uno de los elementos esenciales en un
caso forense. En definitiva es el único lugar donde se recoge el resultado y la información de
todo el proceso. Hay que tener presente que por muy buenos que hayan sido los
procedimientos llevados a cabo, las técnicas empleadas y los resultados obtenidos, si no se
reflejan correctamente en un documento, no tendrán valor alguno. Al final, al igual que en
un proyecto de auditoría, el valor del trabajo reside en el documento y será éste el elemento
de juicio fundamental respecto de la labor del analista forense.
Un informe de estas características presenta sus peculiaridades y hay que tener presente
que aunque la carga técnica resulta importante, su objetivo final es transmitir información a
personas que en muchas ocasiones no tienen una relación directa con la informática. Son
meros usuarios tecnológicos. Por lo tanto, sin desdeñar los datos técnicos fundamento de la
investigación, el profesional que lo realiza debe tener en consideración en todo momento a
quién va dirigido, siendo para él un reto hacerlo inteligible a estas personas, sin que ello
implique una pérdida de rigor en la información presentada. Obviamente, será necesario
evitar la tentación de que el informe sea una muestra de las amplias capacidades
informáticas del perito. Evidentemente no es éste su objetivo.
Un informe pericial ininteligible pierde todo su valor de cara al juicio. Es más, el propio
abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y
comprender la información esencial contenida en él. Para un neófito en informática,
comprender aspectos tan básicos como el concepto de dirección IP, puede suponer un
problema. En la elaboración del informe pericial, el analista deberá aplicar en ocasiones una
cierta dosis de pedagogía para facilitar su comprensión.
Es necesario tener presente en la elaboración de este documento final del peritaje la
condición de independencia del perito. Aunque existirá una tendencia inevitable a reflejar
cierta parcialidad en las conclusiones, ésta no debe condicionar la elaboración del informe,
que en ningún caso debe recoger otra información que no sea la realidad de los resultados
obtenidos en la investigación.
Un informe debe presentar una línea maestra bien definida. No pueden plantearse unos
objetivos de inicio y que sin embargo en el desarrollo del informe pericial la información
recogida se dirija a otras cuestiones no asociables a su resolución. Es necesario ser
39
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
consecuente y evitar en todo término que el informe presente hilos sueltos o cuestiones no
resueltas adecuadamente. Este hecho podría arrojar dudas sobre la validez de la totalidad
del documento.
El informe forense debe atender a un tempo en su desarrollo, que se vea articulado a través
de una estructura de documento claramente definida. En este sentido, pueden ser varias los
modelos y apartados incorporados en el informe. Una posible estructura valida puede ser la
que se presenta a continuación:
- Antecedentes.
- Evidencias.
- Análisis y tratamiento.
- Resultados.
- Conclusiones y recomendaciones. Los antecedentes suponen la mejor forma para iniciar el informe. Estos deben recoger tanto
los objetivos del caso forense, como las reuniones e informaciones iniciales suministradas al
analista. Es importante definir los motivos por los que se ponen en contacto con nosotros
para iniciar el proceso, definiendo así el alcance del mismo. Estos objetivos constituyen la
línea maestra de la investigación y las conclusiones deben ser fiel reflejo de haberlos
resuelto, en un sentido o en otro. Es importante también exponer a través de los
antecedentes las líneas temporales que el análisis debe observar y en que medida se
relacionan con el caso.
Como ya se indicó en repetidas ocasiones en capítulos anteriores, el segundo de los
apartados es realmente crítico. Se trata de la presentación de las evidencia digitales
asociadas al caso. Hay que recordar que son el elemento fundamental del trabajo de
investigación y por lo tanto de la posterior elaboración del informe. Su identificación,
recogida y almacenamiento son determinantes para esta tarea documental. Los
procedimientos empleados deben reflejarse con claridad, garantizando siempre que se han
llevado a efecto las buenas prácticas necesarias, evitando cualquier manipulación o
alteración de las evidencias
Es muy recomendable que las evidencias aparezcan enumeradas en el informe, facilitando
además sobre ellas toda la información posible: cuál es su origen y cuál la motivación de su
obtención, cómo han sido tratadas, qué cantidad de copias se han realizado de las mismas,
quién las ha recogido, almacenado y analizado y cualquier otra información disponible que el
analista considere oportuno incorporar en el informe. Sería importante definir también en el
40
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
informe, cuando sea factible, los fundamentos existentes que demuestren la no
manipulación de las pruebas. Por ejemplo a través de la firma tomada de las mismas.
Ante la existencia en un determinado caso de evidencias delicadas en lo concerniente a su
modo de adquisición, es recomendable motivar en el informe el porqué de la metodología
empleada, ahondando en las precauciones que se han tomado y su importancia con
respecto al caso. Si determinadas evidencias han sido adquiridas una vez iniciada la
investigación, deberá también indicarse esta circunstancia, así como el motivo que la
provoca. Un escenario ilustrativo de esto sería aquel en que tras unas pruebas iniciales se
detectan indicios de una conversación mantenida desde un determinado equipo. En
consecuencia, se procede a realizar un análisis del mismo adquiriendo para ello su disco
duro.
Los resultados y conclusiones deberán derivarse en todo momento de las evidencias
presentadas. Aquellas afirmaciones que figuren en el informe sin un sustento en las
evidencias, serán tomadas como una elucubración y por lo tanto su valor puede ser puesto
en entredicho. La valoración del perito es válida mientras demuestre su imparcialidad, pero
con las evidencias bien definidas se afianza siempre esta posición.
El tratamiento de las evidencias digitales adquiridas es el siguiente punto que el informe
pericial debe recoger. El análisis de las mismas proporcionará datos a partir de los cuales se
puedan establecer relaciones que a su vez deriven en conclusiones. El factor fundamental
para la exposición de éstas debe ser el de causa-efecto. Es interesante atender en este
sentido al “principio de intercambios” formulado por Locard, que aunque aplicable
fundamentalmente a indicios y evidencias físicas, puede ser tenido en consideración
también para las de tipo digital. Este principio afirma que "siempre que dos objetos entran
en contacto transfieren parte del material que incorporan al otro objeto".
En el caso de que el analista detecte la existencia de patrones de comportamiento, éstos
deberán citarse como un aspecto importante a la hora de elaborar las conclusiones. El
análisis debe ser escrupuloso, metódico y cuidadoso en su ejecución. La falta de método se
reflejará en gran medida en el informe, produciendo unos resultados muy difíciles de
consolidar e hilvanar.
El informe pericial en su apartado de análisis debe ir proporcionando paulatinamente los
resultados, dosificándolos en su justa medida y preparando con ello los elementos finales del
documento. Por otra parte, será este apartado el que habitualmente se encuentre más
cargado de tecnicismos. En muchas ocasiones, esta circunstancia es interesante
contrarrestarla con la generación de un anexo, en forma de glosario de términos, que facilite
41
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
la compresión del informe, haciéndolo más asequible a posibles lectores que no dispongan
de una base de conocimientos informáticos suficiente.
También deben ser presentados como anexos aquellos resultados del análisis que siendo
importantes puedan ser repetitivos en exceso, provocando con ello una perdida de
efectividad en la presentación del informe pericial. Un ejemplo de ello pueden ser los
resultados obtenidos del análisis de múltiples logs y que es recomendable que se condensen
en una serie de tablas descriptivas en este apartado del informe. Adicionalmente, toda la
información tratada puede recogerse en un anexo que sea referenciado en el documento.
No debe olvidarse que en ocasiones el exceso de información puede desembocar en
desinformación o falta de claridad.
Siempre que sea necesaria, podrá establecerse la correlación existente entre los distintos
análisis. Sin embargo no es recomendable anticiparse con ello a las conclusiones. En caso de
considerarse importante adelantar en este apartado alguna información o relación
concluyente, ésta deberá volverse a exponer en las conclusiones, aunque pueda parecer
reiterativo. Es factible que determinadas personas, especialmente aquellas con un perfil
menos técnico, sólo revisen los resultados y conclusiones del documento.
La información de análisis recogida en el informe debe reflejar la pericia del investigador
como factor determinante. También la eficacia de los métodos y aplicaciones empleadas,
pero siempre dando paso a la labor pericial como elemento fundamental. Esto en España es
aún más acusado dado que no existen herramientas homologadas, ni claro está aquellas
cuyo empleo garantice un éxito de cara al juicio.
La exposición de resultados es una continuación de la fase documental de análisis. Aquí se
define y presenta toda la información obtenida y que pude ser relevante para el caso.
Aunque la correlación de datos es una más propia de las conclusiones, en este apartado del
informe inevitablemente se irá adelantando información en este sentido.
Sin embargo, los datos deben ser fríos y mostrar el fiel reflejo del análisis. Deben prestarse al
hilo conductor de la investigación, reflejando y realzando los más significativos frente a los
menos importantes. El perito debe tener en consideración todos ellos, sean o no favorables,
obligando fundamentalmente por su condición profesional de imparcialidad, pero también
valorando la posible ejecución de una investigación contrapericial.
En la medida de lo posible, la presentación de resultados debe ser acorde a la línea temporal
definida en los antecedentes y que junto con otros elementos muestra el hilo conductor del
caso. Información sensible, particularidades, referencias y un largo etcétera de elementos
deberán ser parte también de la presentación de los hechos.
42
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Las conclusiones son uno de los apartados finales del informe, sin embargo muy
probablemente será el punto que se lea en primera instancia. Incluso puede darse el caso de
que en aquellos documentos especialmente voluminosos se presenten como uno de los
apartados iniciales, a modo de informe ejecutivo.
La labor del analista, fundamental en la elaboración de cualquier elemento del informe, es
especialmente determinante a la hora de elaborar las conclusiones. Es en este punto donde,
independientemente de las metodologías o herramientas utilizadas, será la experiencia, el
buen hacer o la capacidad de análisis y síntesis del analista los factores críticos en el
establecimiento de las conclusiones del proceso de investigación.
La importancia del apartado de conclusiones respecto de la toma de decisiones en cada caso
es absoluta. Es a partir de este punto principalmente desde el que se adoptará la decisión
final de considerar a los implicados como inocentes o por el contrario pasar a iniciar una
acción judicial. Es el momento de reflejar relaciones, de presentar las pruebas en toda su
crudeza, de defender los patrones detectados que indican conductas maliciosas reiteradas,
condicionando con ello la gravedad final de las acciones. No debe olvidarse que para las
empresas y organizaciones no será lo mismo la detección de un hecho aislado que una
conducta maliciosa reiterativa. Por todo lo anterior, es recomendable que el analista se
abstraiga de las circunstancias externas del caso, olvidándose de las consecuencias
posteriores que las conclusiones de su labor pueden acarrear.
En definitiva, las conclusiones son la síntesis y el desenlace del caso. Un mayor número de
ellas no implica necesariamente un mejor trabajo. En ocasiones la exposición de datos
inconexos y faltos de sentido puede distraer al lector del informe de las conclusiones
principales, resultando con ello negativo de cara al juicio y facilitando, por su falta de
concreción, la posibilidad de desmontar la labor pericial realizada. Pocos argumentos y bien
planteados serán mejores que un mayor número de ellos pero desdibujados.
Adicionalmente a los anexos que cada informe forense demande en función de las líneas de
investigación desarrolladas, es muy recomendable que en el documento figure un anexo
específico que recoja la pericia, experiencia y capacitación del perito. Con ello se reforzará la
veracidad, profesionalidad y valor de la información recogida en el informe. Hay que tener
presente que quién suscriba el documento pericial se encuentra obligado, si fuese necesario,
a prestar declaración en el juicio en calidad de testigo pericial.
Un informe pericial forense podría recoger en su contenido la necesidad de disponer de
información que no era inicialmente demandada y cuya obtención posterior podría ser
positiva para el esclarecimiento del caso. Debe existir para ello, una causa que lo justifique y
que haya podido surgir en el propio desarrollo de la investigación. Un ejemplo clarificador de
43
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
esta circunstancia puede ser la aparición de IP públicas, cuya identificación sólo se encuentra
en posesión de los proveedores de Internet. No es objetivo del analista elucubrar sobre las
posibilidades que pueden aportar estos datos, sino simplemente reflejar que gracias a ellos
podría ser posible corroborar o ampliar de una u otra forma las conclusiones.
Para todos aquellos que tengan interés en disponer de un ejemplo de informe pericial de
carácter “oficial”, en el siguiente enlace es posible acceder al elaborado por la Interpol sobre
los ordenadores y equipos informáticos de las FARC decomisados en Colombia.
http://static.eluniversal.com/2008/05/15/infointerpol.pdf
44
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 7 – Prueba anticipada en un proceso civil
En determinadas circunstancias, un análisis forense puede llegar a un punto muerto o bien a
unas conclusiones irrelevantes dado que la información necesaria se encuentra en manos de
un tercero, fuera del alcance del investigador. Un escenario ilustrativo de esto podría ser el
mencionado en el capítulo anterior, relacionado con la aparición de direcciones IP públicas
en los registros de actividad de un servidor investigado. En esta situación sólo el proveedor
de servicios de Internet conoce a quién han podido ser adjudicadas estas direcciones en una
fecha y hora concretas. En ocasiones la ausencia de esta información ha provocado que se
desestimen evidencias ante la creencia de que no es posible su obtención.
La obtención de estos datos puede resultar totalmente determinante, permitiendo motivar
un hecho o incriminar a una persona concreta en el proceso de investigación. Puesto que
bajo ninguna circunstancia el analista tiene acceso a la información y elucubrar sobre
posibilidades, aunque factible, no tiene validez en el juicio, será por lo tanto necesario
solicitar la información.
En este sentido es importante tener en consideración la volatilidad de estos datos. El
proveedor de Internet desechará los registros relativos a las conexiones de sus abonados
con el paso del tiempo. Por ésta y otras razones, es una buena práctica agilizar todo lo
posible su solicitud.
Este procedimiento se denomina solicitud de prueba anticipada. Su base se encuentra en la
protección del derecho fundamental a la prueba. Dado que existe el riego de que una prueba
pudiera no practicarse porque para ello es necesario esperar a que llegue la fase de
procedimientos del juicio, es posible requerir el adelantamiento de la prueba. De este modo,
aunque el proceso judicial no haya sido iniciado podrá solicitarse que se practique el proceso
de solicitud anticipada.
La Ley 1/2000 de Enjuiciamiento Civil a través de su sección IV que comprende los artículos
del 293 al 298 recoge precisamente el ordenamiento de la prueba anticipada. Dicho proceso
puede ser invocado por cualquiera de las partes, debiendo ser motivado y solicitado al
tribunal que está llevando el caso siempre con anterioridad al inicio del juicio.
El escrito de solicitud es remitido por el abogado que llevará el caso ante el juzgado
correspondiente, mediante una súplica de oficio. Es recomendable que el escrito sea
revisado por el analista forense. Aunque está claro que el lenguaje judicial se encuentra
45
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
fuera del alcance del investigador, se hace necesario asesorar al abogado y evitar con ello
incurrir en errores técnicos que hagan imposible atender a la súplica.
Adicionalmente a otras peticiones que puedan ser cursadas mediante este procedimiento,
las de ámbito informático más habituales son las relacionadas con solicitud de datos de
actividad a los proveedores de Internet y telefonía. Necesidades de información asociada a
direcciones IP públicas o envíos de SMS, uso de dispositivos Smartphone o identificación de
correos electrónicos, son algunas de las múltiples circunstancias que hacen necesaria la
solicitud de información a un tercero.
El procedimiento de solicitud de prueba anticipada se ve favorecido si se acompaña del
máximo de información posible, facilitando con ello su ejecución. Si por ejemplo, se solicita
información de direcciones IP es recomendable que en la petición figure el proveedor o
proveedores asociados a las mismas, además de la línea temporal de conexión claramente
indicada. De esta forma la solicitud al juzgado puede ser encaminada de la forma correcta,
facilitando además la labor de éste. En este sentido, es útil recordar las posibles
discrepancias que pueden tener los ficheros de log, con las horas locales reales donde opera
el proveedor correspondiente.
Un analista en el desarrollo de su labor de investigación debe huir en todo momento de
ideas preconcebidas. Estas incluso pueden venir fomentadas ante la repetición habitual de
un determinado patrón de comportamiento en el desarrollo del análisis. Sin embargo,
cuando el patrón excepcionalmente deja de cumplirse, la duda sobre la validez de la
evidencia puede surgir en el analista pudiendo llegar por ello incluso a desestimar la prueba.
Ilustremos este planteamiento con un posible caso. El analista identifica que el autor de los
hechos se conecta a una misma hora y desde su casa regularmente. Por el contrario y de
forma puntual en determinadas fechas, las conexiones realizadas en una misma franja
horaria proceden de direcciones IP pertenecientes a distintos proveedores. Esta
excepcionalidad respecto del patrón de comportamiento habitual, genera ciertas dudas en el
analista sobre la validez de las evidencias. Esto evidentemente es un error de apreciación,
producido fundamentalmente por presuponer que el investigado realiza siempre las
conexiones desde su casa. Sin embargo se dan muchas circunstancias para que este hecho
sea factible:
- Diferentes actores implicados.
- Un único actor operando desde distintas ubicaciones, por ejemplo desde su casa y la
de un familiar o amigo.
46
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
- Un único actor utilizando diferentes tecnologías. Por ejemplo, uso de ADSL y
smartphone por el que se conecta a través de su equipo, implicando con ello a
diferentes proveedores. Escenarios como los que se acaban de describir de forma somera en lo puntos anteriores
pueden aportar información de valor para la investigación. De todos modos, tal y como se ha
indicado en párrafos anteriores, para llegar a conclusiones definitivas debe esperarse a la
resolución de la prueba anticipada.
Este tipo de pruebas suelen ser determinantes en el desenlace de un juicio y por lo tanto hay
que hacer todo lo factible para su obtención. Es indudable que ante una información que
solo puede aportar un tercero, como que en una fecha concreta una IP está asociada
directamente a uno de los actores del caso, cobra importancia extrema en el juicio. La
imparcialidad total del tercero, al no conocer ni estar involucrado en la causa, hace que la
prueba tome mucha fuerza, si el abogado la utiliza apropiadamente. Por lo tanto la súplica
deberá realizarse con la debida anticipación para que las pruebas lleguen a tiempo a la vista.
El resultado obtenido de la solicitud de prueba anticipada puede llegar a condicionar
totalmente la estrategia en el juicio
47
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 8 – Un juicio civil
Tras la labor realizada, llega el punto final y definitivo del proceso. Es necesario tener en
consideración que aun habiéndose realizado una labor profesional de valor, cualquier
investigación forense digital que desemboque en un juicio se dirimirá en éste de forma
definitiva. Anteriormente, la empresa, organización o persona afectada habrá utilizado el
informe pericial fruto de la investigación como elemento fundamental a la hora de adoptar
decisiones, pero el resultado definitivo del peritaje se obtendrá al finalizar el proceso
judicial.
Como paso previo a la vista, es necesario preparar junto a los abogados la estrategia que se
va a adoptar para la misma. El perito aportará su perspectiva e importantes apreciaciones
técnicas que pueden ser hilo conductor de las preguntas que el abogado le formulará en la
vista. La preparación de ésta será también de utilidad para intentar anticiparse a las
cuestiones que puedan plantearse por parte del abogado de la otra parte. Finalmente, su
labor de asesoramiento técnico será también considerada para preparar la testificación de la
parte contraria. Sin una preparación adecuada, incluso habiendo realizado una buena labor
pericial, el juicio se puede convertir en una auténtica lotería. Una testificación ambigua,
poco veraz, no sólo no aportará al desarrollo favorable del proceso judicial, sino que puede
llegar a ser abiertamente contraproducente.
En un juicio civil, el abogado preparará una nota judicial que presentará en la vista y donde
la información pericial tiene una importancia significativa. A modo de informe ejecutivo, en
ella se describen los conceptos y conclusiones más importantes que acompañados de los
fundamentos legales, permitirán llegar al objetivo perseguido, atender o desestimar una
demanda. El perito deberá colaborar técnicamente en su elaboración.
El día de la vista el perito deberá asistir a la misma con la correspondiente documentación
identificativa, DNI preferiblemente. Este quedará fuera, a la espera de ser llamado en calidad
de testigo pericial. De esta forma y como cualquier otro testigo, se logra que se mantenga
ajeno lo que está sucediendo en la vista, siendo por lo tanto y llegado el caso, su
intervención mucho más objetiva. En un proceso convencional cada parte presentará sus
testigos, participando en primer lugar los que presenta el demandado y en segundo los de la
parte demandante.
48
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Habitualmente y por cuestiones de estrategia de la parte que presenta el peritaje, el perito
suele ser el último de los testigos en declarar, para centrar sobre su testimonio y labor de
análisis las correspondientes conclusiones. Sin embargo, en ningún momento debe olvidarse
su carácter totalmente imparcial y su deber de independencia.
Tras entrar en la sala, habiendo entregado previamente su documento identificativo, el juez
se dirige al él, para identificarlo y comunicarle su deber de prestar la verdad y no dar falso
testimonio. Hay que tener en consideración, que en caso de faltar a la verdad, el perito
podría ser sancionado con pena de multa o incluso privación de libertad.
En la vista, se le hará entrega del informe pericial presentado como prueba, que deberá
reconocer como suyo. Lo tendrá a su disposición para las aclaraciones o referencias a él que
puedan ser necesarias, ante cualquier planteamiento que pudiera darse en las preguntas
que se le formulen. En primer lugar será interrogado por el abogado de la parte por la que se
presenta y en segunda instancia intervendrá la parte contraria. La intervención de ésta es
fundamental puesto que habitualmente su estrategia será mermar la credibilidad del perito,
su testimonio o el informe pericial presentado. Finalmente es el juez el que le planteará
aquellas cuestiones que considere oportunas. La intervención del perito, debido a la
relevancia de la información que aporta, se presenta siempre como una de los momentos
críticos de la vista judicial y suele ser tenida en gran consideración por parte del juez.
Como ya se indicaba en el capítulo inicial de esta publicación, el informático que desarrolla
labores de peritaje se encuentra en una vista judicial fuera de su espacio natural. Por regla
general, ningún perito en sus primeras comparecencias suele estar preparado para la
situación que debe afrontar. Mantenerse sereno, en la medida de lo posible, es la clave
fundamental. Los nervios no permiten visualizar con claridad la situación, exponer las
conclusiones de forma veraz, pudiendo incluso errar en las apreciaciones como
consecuencia de la tensión del momento.
Los abogados sin embargo, se enfrentan a esta situación con la mayor de las normalidades
posibles, están en su espacio profesional y lo controlan, por lo tanto debería dejárseles a
ellos el manejar las situaciones.
Considerando lo anterior, es útil tener en consideración una serie de cuestiones relacionadas
con la intervención del perito informático en la vista judicial:
- Del perito se espera que disponga de la capacidad para analizar los hechos y aportar
su experiencia profesional. Esto difiere del resto de los testigos, dado que éstos sólo
declaran en función de los hechos que conocen.
49
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
- Hay que estar preparado para las preguntas que pueda plantear la otra parte. No
entrar bajo ninguna circunstancia en enfrentamientos, puesto que harían dudar del
buen hacer y la imparcialidad pericial. Responder simplemente de forma profesional,
sencilla y veraz. Por ello es importante valorar antes del inicio del juicio aquellas
preguntas que pudiera formular la otra parte, anticipando así las respuestas y
evitando con ello cometer errores o aparecer en la vista de forma dubitativa.
- Aunque un perito es requerido por su capacitación técnica, habitualmente el público
al que se dirige no tiene este perfil y por lo tanto deberá ser comedido en la carga
técnica de sus respuestas. Cuanto más sencilla y comprensible sea su exposición,
mayor claridad aportará al juez para su toma de decisiones.
- A pesar de que muchas preguntas presentarán como objetivo respuestas simples de
afirmación o negación, en todo momento podrán hacerse tantas consideraciones
como se considere oportuno. En múltiples ocasiones, estas aclaraciones evitarán caer
en aquellas “trampas” que pudiesen conllevar respuestas tajantes de sí o no.
- Ante una pregunta dudosa, es recomendable solicitar que se replantee de nuevo si
no ha sido comprendida. Esto es siempre preferible a dar una respuesta rápida e
inadecuada al no haber entendido correctamente la pregunta.
- Hay que tener presente que es posible suministrar como respuestas un “no
recuerdo” o “no lo se”. Como perito, no es exigible disponer de conocimientos sobre
absolutamente todo, sino simplemente no faltar a la verdad.
- Hay que esperar preguntas o incluso afirmaciones que cuestionen el proceso de
análisis pericial o las conclusiones emitidas en el informe. Ante todo profesionalidad,
suministrando las aclaraciones necesarias para evitar la sensación de duda, pero
nunca entrando en conflicto.
- Un aspecto clave suele ser el de las preguntas orientadas a poner en entredicho el
tratamiento de las evidencias digitales. Si no existe otra posible defensa, la otra parte
podría intentar en su estrategia desmontar la pericia, esgrimiendo para ello
manipulación de las pruebas. Si los procedimientos han sido bien llevados, será solo
un trámite que incluso podrá reafirmar el valor y la veracidad de la labor forense.
- Ante preguntas realizadas sobre el informe pericial, especialmente si hace tiempo
que se realizó, es preferible acudir al mismo y volver a leerlo que dar una respuesta
precipitada y contraria al propio documento.
50
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Finalizado su testimonio, el perito podrá presenciar el resto del juicio, debiendo mantener
en todo momento la compostura. En la exposición final de conclusiones, los abogados
pueden proporcionar información contraria al informe pericial o intentar desvirtuar la
actuación del perito en la práctica de las pruebas. A pesar de ello, debe mantenerse la calma
en todo momento. Hay que tener en consideración la profesionalidad de los jueces,
habituados a las estrategias de los abogados. Los juicios se graban, se dispone del informe
pericial así como de toda la información aportada en el juicio como pueden ser las pruebas
anticipadas. Todo ello ayudará al juez a emitir su sentencia. Finalizado el juicio y quedando
visto para dictamen, todos los testigos, incluidos lógicamente los peritos, procederán a la
firma correspondiente que ratifica sus testimonios.
Ahora no queda más que esperar un tiempo a que el juez emita su sentencia. No cabe duda
que un juicio constituye una experiencia enriquecedora para cualquier analista forense
digital. Ayuda de forma muy especial a comprender la importancia de los procedimientos.
Mejora la forma y capacitación para entender y elaborar informes. Cuestiones que
inicialmente se consideran muy importantes en los informes, pierden relevancia en el juicio y
sin embargo, ocurre lo contrario con otros aspectos a los que originalmente no se les había
dado mucha importancia.
Cada juicio es diferente y la intervención de cada profesional, juez, abogado o el propio
perito hacen impredecible su resultado final. En ocasiones se pasará por la frustración de
una sentencia contraria cuando todo estaba a favor. Pero es parte de un proceso donde en
la mejor de las situaciones habrá un 99% de posibilidades de éxito, nunca la absoluta certeza
de ello.
51
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
Capítulo 9 – Claves de un forense en juicio
Tal y como se ha mostrado en los capítulos anteriores, un analista forense debe seguir en su
labor de investigación unos procesos muy concretos y en ocasiones complejos, siendo
necesario en todo momento un alto nivel de rigor profesional en su desarrollo. Como ya se
ha recogido en esta publicación, en España no existen fundamentos regulatorios para la
realización de los procedimientos en unos términos concretos, sin embargo debe de
atenderse en su ejecución a una serie de buenas prácticas que garanticen, cuando se llega al
proceso judicial, la confianza en unos hechos veraces, probables y reproducibles, basados en
evidencias que en ningún momento han sido manipuladas.
Este último capítulo, se dedicará a repasar todo el procedimiento que permite defender con
garantías un informe pericial en un juicio, así como otros aspectos importantes a tener en
consideración dentro del ámbito legal. En definitiva se trata de recoger aquellos elementos
fundamentales que se ha abordado en mayor detalle en capítulos anteriores:
- Paso I. Obtener información previa sobre el caso. Antes incluso de iniciar la recogida
de evidencias, el analista debe ser conocedor de las circunstancias del escenario en el
que se han desarrollado los hechos, así como disponer de la máxima información
posible sobre ellos. Para esto es necesario acudir a todos aquellos que pudieran
proporcionarla. La complejidad del escenario determinará también la cantidad de
evidencias a recuperar y tratar. Cuanto mayor sea el volumen de información inicial
obtenida, menor será el número de problemas posteriores derivados de la falta de
datos o de la inconexión de los mismos.
- Paso II. Obtención de evidencias. Es determinante la recuperación rigurosa y la firma
de las evidencias asociadas a cada caso, generando además los ficheros de cadena de
custodia correspondientes. De forma especial en nuestro país, la no alteración bajo
ningún concepto de las pruebas y la garantía por lo tanto de su valor pericial son la
máxima fundamental a observar en los procesos de recuperación de evidencias. Este
mismo concepto deberá regir el almacenamiento seguro de las pruebas recogidas
que pudieran posteriormente ser utilizadas en un juicio.
- Paso III. Identificar datos relevantes y la línea temporal de la investigación. Es
estratégico identificar los datos importantes en función de las circunstancias de cada
caso: nombres, direcciones, correos, números de teléfono, ficheros, etc. Con ello se
52
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
facilitará la posibilidad de realizar búsquedas eficaces. De igual modo, debe definirse
la línea temporal que se tendrá en consideración para el desarrollo de la
investigación pericial. Esto permitirá articular una investigación basada en un proceso
secuencial, manejable y que facilite la elaboración de un informe eficaz.
- Paso IV. Ordenar y relacionar los datos obtenidos a partir de las evidencias del caso.
Teniendo siempre en consideración la garantía de independencia del perito y la
incapacidad para ocultar cualquier dato aunque sea negativo para la parte por la que
ha sido contratado. Las conclusiones deben exponerse sin ningún tipo de injerencias
si el pericial quiere tener el valor que le corresponde en el juicio. No se debe
despreciar tampoco la posibilidad de que pueda realizarse un contrapericial que
destape datos que hayan podido ocultarse, con el consiguiente efecto negativo,
tanto para la parte como para el propio perito.
- Paso V. Generación del informe pericial. El objetivo es construir un informe
escrupuloso, técnico pero legible y con unas conclusiones sólidas que permitan
arrojar luz sobre el caso. Deberán evitarse las verdades a medias y cualquier
apreciación dudosa emitida a través de prejuicios obtenidos en los pasos previos.
Como ya se ha expuesto en el capítulo correspondiente, un elemento muy
importante del informe consiste en reflejar las garantías observadas en el proceso y
que permiten dar absoluta veracidad a las evidencias.
- Paso VI. Práctica de prueba anticipada. Toda vez que el informe esté concluido y se
tenga en consideración la posibilidad de llegar a juicio, se deberá aconsejar al
abogado, la práctica de la prueba anticipada cuando las circunstancias así lo
requieran.
- Paso VII. Asesoramiento técnico. Es necesario apoyar al abogado técnicamente en la
estrategia a llevar en el juicio para la defensa de la labor e informe pericial, así como
en la preparación de la nota que deberá presentarse para la vista. De igual modo,
deberán definirse con antelación aquellas preguntas claves que permitan presentar
las conclusiones del informe más importantes.
- Paso VIII. Intervención en la vista judicial. En el juicio, el perito desempeña un papel
clave. La otra parte en todo momento intentará desmontar los argumentos técnicos
que presente, pero también buscará desacreditar su figura, poniendo en duda su
imparcialidad. Sabe que cualquier atisbo de duda en este sentido, provocará que
pruebas e informes técnicos tengan menor relevancia sobre el veredicto final. La
compostura será un punto esencial, no debiendo entrar en confrontación con la otra
parte, aunque a veces conseguirlo resulte complicado. Y finalmente, si bien en el
53
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
informe pericial se presenta la necesidad de incorporar una argumentación técnica
sólida, en la vista judicial es necesario simplificar al máximo la exposición, de la forma
más clara y concisa posible para su entendimiento, sin dejar por ello de respetar la
realidad en todo momento.
Otro aspecto clave a tener en consideración es la legitimidad de determinadas prácticas de
acceso a la información de los investigados en un caso forense. Es frecuente la duda
respecto de la realización de determinadas prácticas de investigación, como puede ser el
acceso a las cuentas de correo que proporciona la organización a un usuario y donde residen
las evidencias necesarias para el esclarecimiento de un caso. En este tipo de escenarios, la
línea que delimita la protección de los datos personales no se encuentra claramente
definida. Existen lagunas interpretativas entre la protección en el ámbito estrictamente
personal y la que goza la propia empresa para hacer un uso razonable de los medios que
proporciona.
La existencia en las compañías de un buen documento de uso de medios tecnológicos y del
que los trabajadores se encuentran adecuadamente informados, facilita considerablemente
la situación. Sin embargo la ausencia de éste, deja la interpretación totalmente abierta a la
decisión judicial. En este sentido existen sentencias en una y otra dirección. Hay que
recordar que la justicia en España se basa en la interpretación de la ley y esta puede
orientarse en distintos sentidos.
En una regulación de uso de medios sólida, el documento correspondiente establecerá con
claridad que la compañía podrá ejercer el control del uso de los mecanismos que a efectos
profesionales se faciliten al trabajador, tal y como recoge el Estatuto de los Trabajadores.
Con ello se legitima la posibilidad de controlar el uso de Internet, el mantenimiento de
estadísticas o el acceso a las cuenta de correo electrónico, junto a otros aspectos
relacionados con la actividad ejercida con medios corporativos por parte de los
profesionales. Sin este documento, como se ha indicado, la situación es mucho más
compleja y deberá hilarse muy fino, puesto que la experiencia demuestra que circunstancias
similares pueden finalizar en dos sentencias totalmente antagónicas. Sirva de ejemplo las
que se recogen a continuación.
En el primero de ellos se estima una demanda por despido improcedente al considerar
violación de la intimidad el acceso al correo electrónico de un trabajador en el transcurso de
la investigación pericial (http://www.bufetalmeida.com/64/violacion-de-correo-electronico-
de-trabajadores-despido-improcedente.html). Se proporciona a continuación un extracto de
la sentencia que recoge este proceder.
54
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
“Del anterior relato de los hechos se dimana que, en el marco del conflicto laboral al que
tantas veces se ha hecho alusión y, además, en paralelo a la interposición por la actora de la
papeleta de conciliación para la extinción contractual, el empresario encargó a una empresa
especializada un análisis (monitorización) de los contenidos del ordenador de la actora, con
especial referencia a sus archivos personales (es este último un extremo que queda diáfano al
acto del juicio, ante la clara respuesta dada por el perito compareciente a instancias de la
empresa a pregunta de este magistrado). A estos efectos, dicha persona -por órdenes de la
empresa- entró en archivos de correo electrónico de la demandante, sacó copia y se
aportaron como prueba documental. Hay que decir que algunos de dichos correos son de
carácter íntimo y personal (especialmente los que figuran numerados como 129 y 136 del
ramo de prueba de la demandada).
Dichas consideraciones han de comportar la valoración de si estas pruebas son contrarias a
derechos constitucionales y, más en concreto, a lo establecido en el art. 18.3 de nuestra
"norma normarum". En el caso de que se diera una respuesta positiva a esta cuestión, las
pruebas practicadas resultarían inhábiles, en aplicación de lo contemplado en el art. 11.1
LOPJ.
Séptimo.- Como se puede desprender del anterior relato fáctico -en el que no se ha
nombrado en este extremo- este juzgador ha llegado a la conclusión de que dicha prueba es
contraria al derecho fundamental al secreto de las comunicaciones -consagrado en el art.
18.3 CE, ya citado-.”
En contraposición al anterior, puede citarse también el famoso caso de Deutsche Bank,
donde se recurrió una sentencia en suplicación ante el Tribunal Superior de Justicia de
Cataluña, por un uso abusivo por parte de un trabajador del correo electrónico para fines
personales, que había desembocado finalmente en despido. Se citan a continuación algunos
párrafos significativos de la sentencia.
“doctrina jurisprudencial ha venido señalando (en aplicación al art. 54.2d ET) como esta
causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe
contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe
que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el
sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones
jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de
rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico
(STS 8 mayo 1984); debiendo estarse para la valoración de la conducta que la empresa
considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y
sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar
55
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense
el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga
una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que
el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y
relevante los deberes de fidelidad implícitos en toda prestación de servicios, que deben
observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en
él depositada (STS 16 mayo 1985).”
“En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen
una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de
extinguir el contrato de trabajo con base en el citado arts. 54.2.d), al haber utilizado el
trabajador los medios informáticos con que cuenta la empresa, en gran número de
ocasiones, para fines ajenos a los laborales (contraviniendo, así –con independencia de su
concreto coste económico-temporal- un deber básico que, además de inherente `a las reglas
de buena fe y diligencia que han de presidir las relaciones de trabajo –ex art. 5ª ET-, parece
explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores”
Sin embargo, a pesar del fallo favorable a la empresa, posteriormente se realizó por parte de
la persona despedida una demanda contra cuatro directivos por el delito de descubrimiento
y revelación de secretos.
Como ha sido posible apreciar a lo largo de esta publicación, las situaciones y escenarios
propios de una investigación forense son muchos y diversos, con el agravante de poder
llegar a complicarse en ocasiones hasta límites insospechados. Recientemente en
conversación con un abogado especializado en este tipo de casos, éste me transmitía sus
impresiones que me parecen un adecuado final para esta publicación: “Cuanto más
experiencia adquiero, mayor es mi incertidumbre por la cantidad de situaciones que he
llegado a ver y que me generan la sensación de no saber nunca con certeza como va a
finalizar un caso”.
Curso de Perito Telemático Forense
Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO
52
Un forense llevado a juicio
Juan Luis García Rambla
Juan Luis García Rambla, es en la actualidad el Director del
Departamento de Seguridad TIC de Sidertia, donde se encuadra el área
de análisis forense digital de la compañía. Profesional de contrastada
experiencia y reconocimiento en el sector de la seguridad informática,
ha desarrollado su actividad a lo largo de más de 18 años en el ámbito
tanto civil como militar.
Su participación directa y la coordinación de gran número de casos forenses, así como sus intervenciones como perito informático en juicios de índole civil, le aportan un conocimiento práctico inestimable para la investigación forense. Complementa su sólido perfil técnico con un componente de conocimiento legal de alto valor. Dispone de su propio Blog: “Legalidad Informática”.
Galardonado como Microsoft MVP durante siete años consecutivos en diferentes categorías vinculadas a la seguridad, publica regularmente artículos en revistas y medios especializados. Es autor de tres libros, a los que ahora suma esta nueva publicación, cuya lectura sin lugar a dudas, aportará información de valor tanto a los profesionales de la tecnología como a aquellos vinculados al mundo legal y de la investigación.
“Un forense llevado a Juicio” es una herramienta de inestimable utilidad a la hora de
abordar un análisis forense digital que finalice en un proceso judicial. En este tipo de
escenarios se mezclan dos áreas profesionales tan dispares como la tecnología informática y
el mundo legal, donde el seguimiento de normativas y procedimientos estrictos es
determinante. Una buena labor técnica puede desaprovecharse en un juicio al no haber
atendido a buenas prácticas no escritas pero que se consideran virtualmente regladas.
Este breve manual aporta la experiencia y el conocimiento de su autor en aspectos fundamentales a la hora de enfocar y desarrollar labores periciales informáticas. La adecuada recogida de las evidencias digitales, la correcta elaboración de un convincente informe para su presentación a juicio son algunos de estos aspectos. Junto a ellos, la publicación muestra los errores más comunes que deben ser evitados o por el contrario las buenas prácticas que permiten llegar a la vista judicial con las garantías de haber realizado
una buena labor profesional.
Curso de Perito Telemático Forense
Curso de Perito Telemático Forense
Análisis de Dispositivos Móviles
De todos es sabido que los teléfonos móviles cada vez son más parecidos a un ordenador común. La
punta de lanza de esta tendencia está encabezada por las dos plataformas más evolucionadas en el
marco de la telefonía móvil. Hablamos de Android e Iphone.
La plataforma Android tiene un núcleo basado en Linux, mientras que el núcleo de los Iphone está basado
en BSD. Ambos sistemas operativos son viejos conocidos en el mundo de los ordenadores tradicionales,
por lo que existe una menor diferencia entre un ordenador al uso y un teléfono móvil. De hecho, el iphone
4G actual presenta unas características muy similares, si no superiores, al iMac de hace tan solo 10 años.
Fuente original: http://arstechnica.com/civis/viewtopic.php?f=19&t=1114049
Aterrizando en el mundo del análisis forense de dispositivos móviles, en absoluto se trata de un tema
novedoso, aunque sí es cierto que dichos servicios se reclaman cada vez más, con una asiduidad
directamente proporcional al avance de la tecnología utilizada por nuestros terminales. Hecho
comprensible, puesto que a mayor capacidad/funcionalidad para gestionar nuestra información sensible,
mayor es la probabilidad de que un dispositivo móvil de estas características se convierta en una
evidencia digital.
Sin más dilación, en el presente post vamos a definir algunas guías que permitan conducir
adecuadamente un análisis forense sobre un dispositivo móvil.
Introducción a la tecnología Flash
Sin ánimo de profundizar el tema, será importante comprender que se trata de memoria no volátil, la cual
puede ser borrada y reprogramada por medios electrónicos. Este tipo de memoria es ideal para ser
utilizada por terminales móviles actuales. De hecho, eso es lo que hacen.
Por lo general, la memoria NOR es utilizada para soportar el firmware del terminal móvil, mientras que la
memoria NAND suele utilizarse como unidad de almacenamiento. Con esto se pretende decir que si
Curso de Perito Telemático Forense
buscamos alguna evidencia de carácter personal (emails, SMS, fotografías, etc), muy probablemente se
encuentre en la NAND. De todos modos, siempre es interesante echar un vistazo a la memoria NOR,
especialmente en la zona no ocupada por el firmware, ya que determinadas plataformas móviles las
utilizan para almacenar cierta información.
La memoria NAND está compuesta de Páginas, que a su vez conforman Bloques, que a su vez
conforman Zonas.
Estructura lógica de memorias NAND
Resumiendo mucho, y desde un punto de vista lógico, una página de memoria NAND es muy similar a un
sector de un disco duro, y al igual que éstos su tamaño es múltiplo de 512 bytes*. Desde un punto de
vista físico, la memoria NAND puede ser escrita byte a byte, aunque para borrar información la cosa
cambia. Para borrar información físicamente, debe borrarse todo un bloque. Es sumamente fácil detectar
bloques borrados, puesto que representa una cantidad ingente (tantos como ocupe el bloque) de 1’s.
*Anteriormente hemos dicho que una página tiene un tamaño múltiplo de 512 bytes, y esto requiere una
explicación: Desde un punto de vista físico, una página se compone de datos y de un payload, llamado
SPARE, que contiene información relativa al estado de los datos. Esto significa que el tamaño total de la
página será mayor de lo esperado. Conocer este hecho será de vital importancia para conducir con éxito
el proceso de adquisición, y posterior análisis de los datos. Esto se verá más claro en el apartado
“Preparación previa a la búsqueda de evidencias”.
Adquisición de datos
La adquisición de los datos, a partir del soporte físico, puede realizarse utilizando cualquiera de las
siguientes técnicas:
Herramientas de flasheo
La utilización de herramientas suele ser la vía más fácil, y no invasiva, de las tres técnicas posibles. El
problema reside en que dichas herramientas dependen fuertemente del dispositivo móvil desde el cual se
desea realizar la adquisición de datos. Otro tipo de limitación suele ser la imposibilidad de recuperar la
totalidad de la información residente en el dispositivo.
Este tipo de herramientas no suelen estar diseñadas, de forma expresa, para ser utilizadas en un
procedimiento forense, aunque el investigador puede llegar a utilizarlas si fuese oportuno. Tampoco
existen garantías de que existan dichas herramientas para todos los posibles dispositivos móviles.
Curso de Perito Telemático Forense
Todo examinador deberá conocer, y haber testeado la herramienta utilizada en otro dispositivos móvil
igual a la evidencia, el grado de modificación que puede realizar sobre la memoria flash. De hecho, es
muy frecuente que este tipo de herramientas realicen modificaciones que puedan contaminar las
evidencias.
A modo de ejemplo, se muestra la aplicación de Sarasoft, la cual puede ayudar al investigador en el
proceso de adquisición de información:
Tool de flasheo por Sarasoft
JTAG
En el caso en que la adquisición de los datos no haya podido producirse, de forma satisfactoria, mediante
la utilización de herramientas de flasheo, puede llegarse a utilizar el puerto JTAG.
Un puerto JTAG, y dependiendo del dispositivo móvil, suele utilizarse para la realización de testeos por el
fabricante, y de forma muy particular para realizar tareas de debugging. Dicho puerto JTAG podría llegar a
ser utilizado para acceder a la memoria flash del dispositivo móvil, lo cual sería algo muy positivo para un
examinador forense.
A continuación se muestra un acceso, vía el puerto JTAG, a un Samsung Omnia i900:
Curso de Perito Telemático Forense
Conexión al puerto JTAG de un Samsung Omnia i900
Como sospechareis, este proceso depende fuertemente de las especificaciones del hardware. De todos
modos, y siempre dentro de un proceso de adquisición forense, es preferible realizar la adquisición
mediante este método, puesto que a diferencia de la utilización de herramientas de flasheo, la adquisición
vía puerto JTAG reduce la posibilidad de escrituras inadvertidas en la memoria flash, reduciendo riesgo
de contaminación de las evidencias digitales.
Extracción directa desde el chip de memoria
El tercer, y más intrusivo, método para realizar una adquisición de evidencias digitales en dispositivos
móviles es la extracción física de la memoria flash. Para esto se recomienda la utilización de aire caliente,
lo cual facilita la extracción y posterior limpieza de los pins de la memoria flash. Un dispositivo de este tipo
puede adquirirse por algo menos de 200 dólares en ebay:
Curso de Perito Telemático Forense
Desoldadora de aire caliente
Una vez el chip está debidamente extraído y sus pines limpiados, mediante una lectora, se puede
proceder a realizar un volcado completo de la memoria flash, la cual se deberá configurar con ciertas
especificaciones técnicas del chip, tales como tamaño del bus de direcciones o tamaño del bus de datos.
Para esto último, se recomienda un programador universal y diferentes adaptadores, en función del
formato del chip que se desee analizar. Un programador universal suele ser un dispositivo bastante caro,
aunque en ebay se pueden encontrar autenticas maravillas:
Reprogramadora Universal
Es fácil encontrar en ebay adaptadores por menos de 100 euros.
Curso de Perito Telemático Forense
Zócalo de adaptación de encapsulado TSOP (el mas comúnmente utilizado en memorias FLASH) para
una reprogramadora universal.
Como puede observarse, este tercer método es bastante intrusivo y requiere de cierto desembolso
económico. No obstante, cuando el dispositivo móvil no es funcional o está destruido, es la única forma de
realizar una adquisición coherente de los datos.
Preparación previa a la búsqueda de evidencias
Una vez realizada la adquisición de datos, y dependiendo del método de adquisición utilizado debemos
asegurarnos de filtrar la información relativa al SPARE, la cual contiene información relativa al estado de
los datos.
Vamos a generar una imagen limpia (sin SPARE) a partir de la imagen obtenida del proceso de
adquisición:
view sourceprint?
1.cosmic@bartolo:/tmp$ ./unspare
2.Modo de empleo: ./unspare <imagen_entrada> <imagen_salida>
<data_size_por_página> <spare_size_por_página>
3.
4.cosmic@bartolo:/tmp$ ./unspare image_adqui.bin imagen_limpia.img 512 16
5.cosmic@bartolo:/tmp$ ls -als image_raw.bin imagen_datos.img
6.65604 -rw-r--r-- 1 cosmic cosmic 67108864 2010-08-04 18:11
imagen_limpia.img
7.67656 -rwxr-xr-x 1 cosmic cosmic 69206016 2010-08-04 18:11 image_adqui.bin
Para esto hemos utilizado una herramienta, llamada unspare, cuyo código fuente se distribuye a
continuación:
Curso de Perito Telemático Forense
view sourceprint?
01./*************************************/
02./***** unspare by blueliv 2010 *******/
03./*************************************/
04.#include <stdio.h>
05.#include <stdlib.h>
06.
07.main (int argc, char** argv) {
08.FILE *flash_image_file;
09.FILE *data_file;
10.FILE *spare_file;
11.unsigned char *buffer;
12.int n,max_size,data_size,spare_size;
13.
14.if (argc<5) {
15.printf("Modo de empleo: %s <imagen_entrada> <imagen_salida>
<data_size_por_página> <spare_size_por_página>\n",argv[0]);
16.exit(0);
17.}
18.
19.flash_image_file = fopen(argv[1], "rb");
20.data_file = fopen(argv[2], "wb");
21.spare_file = fopen(argv[3], "wb");
22.data_size=atoi(argv[3]);
23.spare_size=atoi(argv[4]);
24.max_size=data_size+spare_size;
25.buffer=malloc(sizeof(char)*max_size);
26.if (!buffer) {
27.printf ("Error reservando memoria");
28.exit(0);
29.}
30.if (flash_image_file) {
31.while (!feof(flash_image_file)) {
32.n=fread(buffer, max_size, 1, flash_image_file);
33.if (n!=0) {
34.n=fwrite(buffer, data_size, 1, data_file);
35.fwrite(buffer+data_size, spare_size, 1, spare_file);
36.}
37.}
38.}
39.else {
40.printf ("Error abriendo fichero\n");
41.}
42.}
A partir de este momento disponemos de una imagen limpia, equivalente a la que podría haberse
obtenido mediante la herramienta dd sobre un disco duro, por lo que desde este momento, y sobre la
imagen limpia obtenida, aplicarían todas las técnicas conocidas para realizar un análisis postmortem
estándar, máxime cuando por norma general los dispositivos móviles suelen utilizar particiones FAT32,
FAT16 o FAT12.
Curso de Perito Telemático Forense
Para aquellos que deseen profundizar en materia de análisis forenses de dispositivos móviles, a
continuación os dejo con una serie de referencias de especial interés:
NIST – Guidelines on PDA Forensics
http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf
NIST – PDA Forensics Tools: An Overview and Analysis
http://www.csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf
NIST – Cell Phone Forensic Tools: An Overview and Analysis
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf
Interpol – Good Practice Guide for Mobile Phone Seizure & Examination
http://www.holmes.nl/MPF/Principles.doc
http://www.holmes.nl/MPF/FlowChartForensicMobilePhoneExamination.htm
NIST – Guidelines on Cell Phone Forensics
http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf
bluelog un salto en valor Author Archives: Jose Antonio Lancharro
Rescontruyendo datos mediante el ingenio – Análisis
forense en dispositivos móviles (II) Jose Antonio Lancharro Bervel
22Sep 2010
Existen situaciones en las que un investigador forense necesita sobrepasar las limitaciones técnicas
intrínsecas a las herramientas existentes en la actualidad. Un claro ejemplo de esto sucede cuando el
investigador necesita interpretar datos que contiene un teléfono móvil, los cuales pueden sufrir una fuerte
fragmentación y, además, las entradas de la FAT también pueden estar completamente destruídas.
El presente artículo es una continuación del artículo Análisis forense en dispositivos móviles (I), en
dónde repasamos diferentes métodos para realizar una adquisición de los datos contenidos en la
memoria flash de dispositivos móviles. Para trabajar con datos tangibles, pongamos como ejemplo de
Curso de Perito Telemático Forense
adquisición un volcado de memoria NAND, descargable desde aquí. Dicho volcado de memoria
corresponde al reto forense del 2010, realizado por la Digital Forensics Research Conference.
leer más »
Compártelo:
Etiquetas: dispositivos móviles, forensics deja un comentarioleer más »
De cómo evadir las restricciones de seguridad establecidas
en un kiosko Jose Antonio Lancharro Bervel
14Ago 2010
Se define como kiosco aquella máquina, puesta a disposición pública, para que usuarios utilicen los
servicios ofrecidos por la empresa que facilita su acceso.
Seguro que muchos habéis visto algún kiosko similar, ofreciendo diversos servicios a través de Internet,
ya sea en aeropuertos, estaciones de tren o incluso en oficinas bancarias. Dichos kioskos suelen
presentar una serie de restricciones de seguridad, mediante las cuales se trata de acotar las
funcionalidades que desde dicho sistema se puedan realizar, ofreciendo como interface con el usuario
únicamente un navegador, sin posibilidad aparente de que éste pueda interactuar con el sistema
subyacente.
En el presente artículo se presentarán una serie de técnicas, las cuales pueden ser utilizadas para evadir
los controles de seguridad dispuestos en el kiosko, logrando en muchos casos interactuar libremente con
el sistema operativo, e incluso escalar privilegios dentro del mismo.
Curso de Perito Telemático Forense
Obtención de herramientas instaladas en el kiosko
En el caso en que el navegador proporcionado por el kiosko sea Internet Explorer, podemos utilizar el
manejador res:// para inferir la existencia o no de binarios, y por lo tanto enumerar el software instalado.
Para realizar dicha comprobación, deberemos ejecutar, desde la barra de direcciones, el siguiente código
javascript, o similar:
view sourceprint?
1.javascript:var aux = new
Image();aux.src="res://<;strong>c:\\windows\\Microsoft.NET\\Framework\\v1.0.3
705\\mscormmc.dll</strong>/#2/#10";if (aux.height != 30) { alert("El binario
existe"); } else { alert("El binario N0 existe"); }
El valor del objeto Image, en nuestro ejemplo llamado aux, por defecto tiene los siguientes atributos:
aux.height=30 y aux.width=28. En el caso en que exista el fichero, dichos valores por defecto serán
modificados, y por lo tanto podremos inferir si el fichero existe:
Constatación de la existencia del binario c:\windows\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll
Obtención de información sobre el navegador proporcionado por el kiosko
Con frecuencia, las políticas establecidas en el kiosko no permiten la consulta directa de cierta
información relativa al mismo, como por ejemplo una consulta de la versión del navegador utilizado. Para
evadir dicho control y obtener el nombre del navegador, versión, plataforma utilizada y useragent,
podríamos ejecutar el siguiente código javascript, desde el campo de direcciones del navegador
proporcionado por el kiosko.
view sourceprint?
1.javascript:
alert(navigator.appName+","+navigator.appVersion+","+navigator.platform+","+n
avigator.userAgent);
Curso de Perito Telemático Forense
Revelación de variables del navegador
Por otro lado, y apoyándonos en un servidor web controlable por el auditor, podemos acceder a una URL
que contenga el siguiente código, con el objeto de averigurar la IP pública del kiosko:
view sourceprint?
01.<html>
02.<body>
03.<table>
04.<tr>
05.<td>IP del kiosko:</td><td><?
print($_SERVER['REMOTE_ADDR']);$hostname=gethostbyaddr($_SERVER['REMOTE_ADDR'
]);print(" : $hostname"); ?></td>
06.</tr>
07.</table>
08.</body>
09.</html>
Revelación de la dirección IP con la que el kiosko sale a Internet
Curso de Perito Telemático Forense
Me parece muy bien, pero ¿Cómo puedo acceder al sistema de ficheros?
Para aquellos kioskos que, sí o sí, has de interactuar únicamente con el navegador, la forma más fácil de
poder pegarle un vistazo a lo que hay debajo es la siguiente:
Ejecutemos el siguiente código javascript desde el campo de direcciones del navegador:
view sourceprint?
1.javascript:document.execCommand("SaveAs");
Con lo que obtendremos un dialog que nos debería permitir navegar por el sistema de ficheros:
Obtención de un dialog, mediante el cual poder explorar el sistema de ficheros
Como plan alternativo, y en el caso en que el código javascript anterior no hubiese resultado exitoso, es
posible abrir un dialog desde un componente flash ubicado en un servidor Web controlado por el auditor:
Y ahora… ¿Algún modo para ejecutar otros programas residentes en el kiosko?
Curso de Perito Telemático Forense
Sí. La forma más rápida es utilizar una serie de manejadores, que el navegador puede tener vinculados al
software que se desea ejecutar. Algunos de estos manejadores pueden ser:
callto:// Telnet://
gopher:// NNTP://
Hcp:// Ldap://
Rlogin:// Search-ms://
Mailto://
Ejecución de software no contemplado para uso público desde el kiosko
¿Otros modos de abuso? Por supuesto…
Desde el momento en que cualquier usuario puede conectarse a su propio servidor Web, se abre un
amplio abanico de posibilidades que, sin un adecuado bastionado del kiosko, pueden facilitar diversos
vectores de abuso.
Un vector de abuso puede ser la ejecución de applets dispuestos por el usuario, los cuales se ejecutará
en el kiosko. Como ejemplo de este vector de abuso, se puede disponer de una shell de python,
posibilitando a atacantes el desarrollo y ejecución cualquier tipo de programa realizado en python, java e
incluso interactuación con el sistema.
Curso de Perito Telemático Forense
Consola proporcionada por jython habilitada en el kiosko
Una vía más directa es la utilización de applets firmados para ejecutar cualquier aplicación del sistema:
Ejecución del bloc de notas desde un applet
Del mismo modo con el que pueden ejecutarse comandos del sistema desde un applet hecho en java, con
su debida firma, pueden ejecutarse comandos del sistema utilizando ActiveX o incluso aplicaciones
desarrolladas en .Net.
Ejecución de binarios, albergados en un servidor web controlado por el usuario del kiosko. Dichos binarios
podrían ser ejecutados tras la descarga directa, encapsulados en un fichero .zip o incluso dispuestos
mediante un objeto flash.
Curso de Perito Telemático Forense
Descarga de zip, extracción de binario y ejecución del mismo
En kioskos, con frecuencia se encuentran establecidas ciertas directivas de grupo que impiden la
ejecución de una shell, como puede ser:
Opción DisableCMD habilitada
En tal caso, para poder visualizar correctamente la shell deberemos parchearla para que no tenga en
cuenta la directiva de grupo anteriormente mencionada, o bien utilizar una shell previamente
desbloqueada.
Una vez obtenida una shell de sistema, completamente operativa, se posibilita que el intruso pueda elevar
privilegios o incluso que la intrusión se propague hacia otros entornos, como pueda ser una red de
kioskos, o incluso instalar cualquier tipo de malware en los mismos.
Por todos estos motivos, no está de más hacer hincapié en la importancia de bastionado exhaustivo de
sistemas tan expuetos a diferentes amenazas como pueden ser los kioskos.
Curso de Perito Telemático Forense
Todas estas técnicas y herramientas, entre otras, están dispuestas en una suite orientada a auditar
kioskos llamada ikat, de Paul Craig, cuya versión 3 es accesible desde http://ikat.ha.cked.net, las cuales
pueden ayudarnos a determinar el nivel de seguridad no sólo de kioskos, sino de cierto perfil de
estaciones de trabajo e incluso entornos Citrix, cuyas técnicas de análisis, y dependiendo de la
configuración, pueden ser análogas a las aquí enumeradas.
Curso de Perito Telemático Forense
Aplicaciones móviles que se pueden utilizar en las primeras
etapas de un PenTest Generalmente cuando vemos a una persona con un iPad o iPhone en sus manos pensamos que
está revisando su correo, leyendo algunas noticias, twitteando, navegando por Facebook o
jugando al AngryBirds, no es una actitud que levante sospechas como la de estar con una
notebook y algunas terminales o ventanitas extrañas abiertas.
Y lo cierto es que desde una tablet o smartphone se puede recolectar mucha información de
una red y realizar varios ataques contra ella. Obviamente no se tiene la misma potencia que la
notebook, pero se pueden realizar muchas cosas y pasar desapercibidos.
La siguiente es una recopilación de aplicaciones para iOS de Apple como herramientas de
pentesting
Es simplemente un ejemplo sobre las distintas etapas de un test de penetración y
mencionando para cada una de ellas varias apps.
Fing (descarga para iOS y Android – gratis): permite enumerar todos los equipos de una red
inalámbrica incluyendo dispositivos como routers e impresoras. Permite ver IPs, MACs,
fabricantes y escanear puertos para detectar servicios disponibles. Es muy útil para determinar
rápidamente cómo está compuesta una red.
Net Tools (descarga para iOS y Android – gratis): es una herramienta que facilita varias tareas
como la de realizar traceroutes, whois, reverse lookups, etc.
MobileTerminal (descarga para iOS desde Cydia – gratis): como el nombre lo indica, permite
acceder a una terminal para trabajar directamente con el dispositivo y aplicaciones como
Netcat o Nmap, este último es un escáner como Fing muy utilizado durante los pentesting pero
mucho mejor y más completo.
Mac2Wpkey (descarga para iOS desde Cydia y Android - gratis): detecta modems Huawei y
genera la contraseña WEP/WPA por defecto a partir de la dirección MAC. En relación al tema
de las contraseñas, también les recomiendo el sitio routerpasswords.com para ver las claves
por defecto de todos los routers.
Routerpwn (descarga para iOS y Android – gratis): hace algún tiempo la recomendé en
SpamLoco, permite detectar vulnerabilidades conocidas en los routers y explotarlas.
iWeb PRO (descarga para iOS desde Cydia – de pago): realiza ataques de fuerza bruta para
obtener claves de distintos modems. Una alternativa para Android puede ser Router Keygen.
Pirni Pro (descarga desde Cydia – de pago): útil para sniffear la red.
Nessus (descarga para iOS y Android – gratis): permite escanear equipos y detectar
vulnerabilidades.
Curso de Perito Telemático Forense
Estas son algunas de las aplicaciones útiles para recolectar mucha información desde una
tableta o móvil. Pero también se pueden realizar ataques e instalar herramientas
como SET (Social Engineering Toolkit), Metasploit, entre otras.
Curso de Perito Telemático Forense
Borra de Facebook tu contenido comprometido ¿Te disfrazaste de Super-Ratón el año pasado y ahora te avergüenzas de haber subido la foto a
Facebook? ¿Escribiste un chiste verde en tu muro y lo quieres borrar pero no lo encuentras?
¿Tu ciclista favorito te ha decepcionado y quieres quitar cualquier referencia a él de tu
Facebook?
El actual motor de búsqueda de Facebook no facilita para nada la tarea de encontrar
contenidos que hayas publicado en tu página personal. Por suerte, existe una aplicación de
Facebook llamada FaceWash.
Con FaceWash puedes buscar y borrar fácilmente aquel contenido que, por los motivos que
sean, ya no quieres seguir compartiendo con el mundo. ¿Cómo funciona? Sigue leyendo...
Accede a FaceWash y haz clic en Get started
Haz clic en Ir a la aplicación y dale permisos a la aplicación para que pueda acceder a tu
biografía. (Nota: si haces clic en Omitir, FaceWash podrá acceder a todas las partes de tu
biografía excepto a los comentarios publicados por otros)
Haz clic en Start. La primera vez que lo ejecutes, FaceWash buscará en tu biografía palabras
genéricas que pueden ser comprometidas (sexo, culo, etcétera...).
Esta función no es muy práctica. Lo mejor viene cuando introduces algún témino en el campo
de búsqueda. Escribe el nombre de alguna, algún lugar, alguna fecha o el comentario de
alguien que quieras borrar.
Por ejemplo, en este caso quiero borrar una foto de cuando era pequeño en la que mi
hermano llevaba una sudadera de Mickey Mouse para olvidar. Así que escribo "Mickey Mouse"
y rápidamente Facewash encuentra la susodicha foto.
Para eliminar la foto, sólo tienes que hacer clic en el enlace resaltado y FaceWash te llevará
directamente al contenido en tu página de Facebook, desde donde podrás eliminarlo para
siempre:
Nota: FaceWash no es infalible. Recuerda que para que encuentre un contenido, éste debe
contener los términos de búsqueda que hayas introducido, escritos del mismo modo.
¿Hay mucho contenido que quieres borrar de tu Facebook?
Curso de Perito Telemático Forense
¿Cómo construir su propio laboratorio forense digital? Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de
bajo costo forense.
Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para
recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han
pisoteado la evidencia digital como un oficial de policía novato en su primera escena del
crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en
la corte, o peor, el sospechoso sabe que está siendo investigado.
Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito,
usted puede construir fácilmente su propio equipo básico de laboratorio forense que le
permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante,
recuperar una valiosa evidencia para todas sus investigaciones.
Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la
computadora o el disco rígido del sospechoso.
En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la
sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca.
Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora,
desde el punto de análisis forense, genera un cambio en el disco rígido.
Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:
- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior
de la computadora (no desde la pared) y deje que la misma muera (energéticamente
hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el
sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.
- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo
de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el
disco rígido del sospechoso mientras se encuentre buscando de evidencias.
Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil
momento en la corte.
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente
documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas
Electrónicas, Guía de bolsillo.
Con esas normas en claro, nada le impide realizar la construcción de una configuración básica
de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la
misma) y la revisión de la misma para la obtención de evidencias.
El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente,
encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las
Curso de Perito Telemático Forense
empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo
sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40
GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes
de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple
búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede
ayudarle de forma rápida y fácil cómo extraer la unidad.
Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar
o construir.
Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios.
Personalmente uso Logicube’s Portable Forensic Lab
(http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una
copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer
copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no
conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades
portátiles de unos pocos cientos de dólares que funcionan muy bien también.
Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un
dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su
configuración/registro, puede lograr la imagen de datos como un profesional.
Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser
recomendable si usted no está familiarizado con la tecnología de la computadora.)
Haga clic en el botón Inicio y escriba Regedit y pulse Intro.
Navegue a través de HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control.
Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva
clave FORENSICWRITEBLOCK.
Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword.
Llame al nuevo Dword WriteProtect.
Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y
pulse Aceptar.
Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de
terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o
elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a
cero.)
Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido
personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le
dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento
de copia de archivos fallará.
Curso de Perito Telemático Forense
Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el
dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el
explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia
cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un
momento posterior por usted o por un tercero y llevar a cabo la información a la corte.
Para hacer una imagen forense, descargue Accessdata’s FTK Imager 2.6.1
(http://accessdata.com/) En el mercado forense hay muchos programas de código abierto,
software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de
usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez
instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de
disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar
en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas
usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento
usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia.
FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando
“Agregar evidencia”. En esta función, Imagen actúa tanto como el Explorador de Windows,
pero le mostrará muchos archivos borrados marcados con una X.
Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata,
ofrecen soluciones de software que organizan los documentos del sospechoso, correos
electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas;
crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus
herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte
técnico excelente.
Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia.
Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o
compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted
emplea en conectar los puntos y el ordenarlos de manera inteligente a través de una gran
cantidad volumen de información.
Curso de Perito Telemático Forense
Las 10 mejores apps para blindar tu móvil o tableta
En movilidad, se creía erróneamente que las aplicaciones de seguridad eran superfluas,
cuando lo cierto es que ahora nuestros dispositivos móviles son un blanco perfecto para
ataques. Veamos cómo protegerlos.
La seguridad, cuando se aplica a los terminales móviles, puede tener muchas acepciones que no
necesariamente se identifican con el antivirus tradicional para PC. El hecho de que las aplicaciones
estén centralizadas en una tienda bajo la supervisión y gestión del proveedor de la plataforma
móvil (Google, Microsoft, BlackBerry o Apple) hace que sea más complicado su uso como vehículo
para portar malware. Aun así, hay ocasiones en las que este control no es perfecto y se cuelan en
los móviles o tabletas de los usuarios programas que hacen un uso inapropiado de los recursos del
dispositivo, por ejemplo para enviar SMS premium o servicios no contratados que pueden suponer
un gasto inesperado para el usuario.
La propuesta de los expertos
Curso de Perito Telemático Forense
Kaspersky Mobile Security
La solución de seguridad para movilidad de Kaspersky incluye, en su versión de pago, todo un
repertorio de funcionalidades orientadas a blindar el terminal contra posibles fisuras, desde
lagestión de listas blancas y negras de llamadas hasta el filtrado de mensajes SMS. También tiene
funcionalidades antirrobo, como la geolocalización, el aviso de cambio de SIM o elborrado selectivo
de datos, todo ello mediante SMS. Para algunas funcionalidades, también se usa el correo
electrónico. Muy útil es también la opción para ocultar las listas de llamadas y los SMS o contactos
que desee el usuario.
El antivirus empieza a cobrar relevancia en plataformas como Android, donde no siempre se puede
asegurar la integridad de una aplicación. Dispone de una versión de prueba gratuita, así como de
un servicio de suscripción anual, que es la que ofrece todas las funcionalidades sin restricciones.
Curso de Perito Telemático Forense
Android Lost
Esta aplicación se encuentra disponible solo para el sistema operativo Android, pero es una de las
«navajas suizas» de la seguridad en el terminal móvil. La solución está orientada especialmente a
situaciones en las que se ha producido la pérdida o robo del móvil o tableta y tiene funcionalidades
tan exclusivas como la grabación de audio en segundo plano, lacaptura de fotos con ambas
cámaras del terminal o el acceso mediante servidor web a todos los archivos. Y todo ello de un
modo tal que quien se haya apropiado del teléfono no se dará ni cuenta, porque incluso existe la
opción de borrar remotamente el icono de la aplicación en el escritorio.
La geolocalización o la gestión de mensajes que se pueden enviar a quien lo haya encontrado o
robado están entre lo mejor y más versátil de cuantas soluciones para seguridad se pueden
encontrar actualmente en el mercado, incluyendo las de pago.
BlackBerry Protect
Esta firma siempre se ha caracterizado siempre por ser una compañía que ha estado volcada
completamente en la seguridad, y su propuesta Protect no es una excepción a la norma.
Además de disponer de herramientas para localizar mediante un sonido el terminal, enviar
mensajes remotamente o geolocalizarlo en caso de robo o pérdida, ofrece una buena gestión de
los datos, de modo que se puede programar la ejecución de una copia de seguridad bajo demanda
y, así, es posible borrar del dispositivo con la tranquilidad de saber que los datos importantes están
a salvo en la Nube. Posteriormente, esta copia de seguridad podrá restaurarse en un nuevo
Curso de Perito Telemático Forense
terminal llegado el caso. Por si fuera poco, brinda la oportunidad de gestionar varios terminales
diferentes desde la misma página web a la que se accede con el ID de BlackBerry.
Encuentra mi iPhone
En los dispositivos de Apple, una de las mayores amenazas que hay es la de que te roben el
flamante terminal, ya sea un iPhone o un iPad. Para esos casos, Apple dispone del servicio
denominado Encuentra mi iPhone, que ahora viene integrado dentro del paraguas de iCloud.
Es factible programar la app para que emita un sonido en el terminal, así como ubicarlo
geográficamente, bloquearlo o borrar la información que contiene. Gracias al servicio iCloud, lo
habitual será que todos los datos estén almacenados en la Nube, lo que es una auténtica garantía
en caso de que se pierda el dispositivo, aunque se echa de menos un modo para activar la copia de
seguridad bajo demanda o para poner en marcha la cámara en remoto con el fin de que se puedan
hacer fotos. El servicio, como ya hemos comentado, depende de la cuenta de iCloud con la que se
tenga configurado el dispositivo.
Curso de Perito Telemático Forense
Encuentra mi teléfono
Microsoft tampoco es ajena a que el terminal se pueda extraviar o ser robado. Su servicio ofrece
una funcionalidad básica para la localización y gestión, como el borrado remoto o el bloqueo.
También se puede hacer sonar para localizarlo, aunque carece de funcionalidades importantes,
como la gestión de copias de seguridad bajo demanda. Además, la gestión se realiza mediante SMS,
de modo que, si se quita la SIM, el sistema dejará de ser práctico. Si se tienen varios terminales,
desde https://www.windowsphone.com/es-es/my/find es posible gestionarlos. Sería deseable que
se pudiese hacer a través de SkyDrive o gestionar las cámaras para hacer fotos del entorno del
terminal. En lo que se refiere a antivirus, Windows Phoneparece ser una plataforma segura e
inmune al malware, al menos a día de hoy.
Curso de Perito Telemático Forense
Google Latitude
Dentro de los servicios de Google, hay algunos que permiten implementar políticas de
seguridad aplicables en el día a día. Latitude, por ejemplo, posibilita ver la ubicación de tus
contactos en tiempo real. A pesar de las connotaciones sobre privacidad que se derivan de la
exhibición de este tipo de información, lo cierto es que, para grupos cerrados de familiares,
profesionales o amigos, es una buena herramienta. Por ejemplo, si tenemos personas que
dependan de nosotros, permite saber con bastante fiabilidad dónde están, con todo lo que ello
tiene de control de aquellos que dependen de un familiar o un responsable. En el ámbito delocio, y
de relaciones de confianza, es una forma simpática y útil de localizar a los amigos en un momento
dado. En cualquier caso, es una herramienta gratuita y muy intuitiva y fácil de usar que puede
configurarse con todo nivel de detalle para que solo aquellos que tú quieres vean tu ubicación.
Curso de Perito Telemático Forense
iOnRoad Smarter Driver
Los terminales móviles empiezan a encontrar aplicación en otros nichos como el de la seguridad en
la conducción. Ubicando el dispositivo enfrente del parabrisas, mirando a la carretera, y mediante
aplicaciones de Realidad Aumentada, es posible conseguir que el móvil nos avise si estamos
moviéndonos fuera del carril o calcular con bastante precisión la distancia que nos separa de otro
vehículos, y todo ello mediante avisos sonoros y señales en pantalla. Es de especial interés en viajes
largos, de modo que se consigue un plus de atención al volante, siempre que se tenga la
precaución de no fiarse totalmente de sus indicaciones, que hay que tomar como un refuerzo para
la atención.
Además, puede gestionar música, así como grabar los trayectos y capturar imágenes dependiendo
de las situaciones que hayamos programado o que determinemos de forma periódica.
Curso de Perito Telemático Forense
Ford Sync
Dentro de la seguridad en el automóvil, Ford ha conseguido integrar el uso del móvil con
lossistemas del vehículo, de modo que no solo se usa el smartphone como repositorio de
contenidos multimedia para el sistema de entretenimiento a bordo, sino que también se usa para
realizar la gestión por voz de algunas funcionalidades o se enlaza con otros sistemas del coche para
implementar un sistema de llamadas de emergencia automáticas en caso de que se dispare el
airbag o se pare la bomba de combustible. Este sistema realiza una llamada a través del móvil a un
número de emergencias y permite que los ocupantes hablen a través del sistema de manos libres,
así como proporciona datos sobre la ubicación del vehículo.
Ford cuenta con la tecnología Sync en algunos de sus modelos, y es una tendencia que se propaga
rápidamente en el sector del automóvil. Su precio depende de la configuración y del vehículo.
Curso de Perito Telemático Forense
McAfee Mobile Security
Esta propuesta es una de las más completas del panorama de la seguridad para móviles, como
podemos comprobar en su versión gratuita, que no está limitada en funcionalidades, aunque sí en
tiempo (solo se dispone de siete días para probarlo y decidir si se contrata el servicio anual o no).
En caso de contratarlo, contarás con un completo sistema de gestión del terminal tanto a escala
local como en remoto, que abarca, desde la gestión de llamadas hasta la protección frente a la
desinstalación de la aplicación, pasando por la administración de copias de seguridad y la
restauración de datos, una cualidad que lo diferencia de otras soluciones donde este apartado no
está resuelto.
Por supuesto, también cuenta con antivirus, aunque, en la práctica, de momento solo tiene una
aplicación real en dispositivos con plataformas Android.
Curso de Perito Telemático Forense
Completa, pero con pocas funciones gratuitas
Norton Mobile Security
Symantec es otro de los grandes de la seguridad que cuenta con una solución específica para
móviles. En este caso, se puede descargar una versión gratuita, pero con funcionalidades limitadas.
Con esta herramienta, podrás usar alarmas sonoras, realizar borrados remotos
ogeolocalizar mediante SMS, realizar un bloqueo y hasta hacer fotografías usando las cámaras de
los terminales. Además, tendrás herramientas de bloqueo de llamadas no deseadas y SMS que no
quieras recibir. La parte dedicada a la gestión remota es especialmente atractiva en lo que
concierne a hacer fotos, aunque la gestión de copia de seguridad de los datos no está resuelta
desde la aplicación propiamente dicha.
Curso de Perito Telemático Forense