curso perito telemático forense

Curso de Perito Telemático Forense

www.antpji.com Página 2

Contenido Presentación .................................................................................................................................. 4

NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES ................................................................... 4

El Perito Judicial Telemático .......................................................................................................... 8

Derechos y deberes del Perito Telemático ............................................................................. 10

Áreas de actuación de los Peritos Telemáticos ....................................................................... 13

Capacitación Profesional del Perito Judicial en los Tribunales de España .............................. 14

Acreditación de la capacitación profesional ........................................................................ 19

Derecho Informático ................................................................................................................... 20

Contexto legal del perito ......................................................................................................... 20

¿Qué es un Perito? .................................................................................................................. 21

¿Cuándo se nombrará a un perito? ......................................................................................... 21

El procedimiento de solicitud de un perito ............................................................................. 22

La designación del perito ........................................................................................................ 24

La recusación y la tacha........................................................................................................... 25

El nombramiento del perito judicial ........................................................................................ 26

El informe pericial ................................................................................................................... 26

La asistencia a juicio oral ......................................................................................................... 27

Reconocimiento in situ ............................................................................................................ 27

La valoración del informe ........................................................................................................ 28

Responsabilidades y derecho del perito ................................................................................. 28

Como extraer y recuperar evidencias digitales y telemáticas .................................................... 30

Código Deontológico ................................................................................................................... 33

Utilidades Forenses ..................................................................................................................... 34

Informe Pericial Telemático ........................................................................................................ 40

Guía del Peritaje Informático ...................................................................................................... 43

Introducción ............................................................................................................................ 43

Primera Intervención Pericial .................................................................................................. 44

Procedimiento ......................................................................................................................... 44

Trabajo en nuestro laboratorio Forense Informático ............................................................. 46

Informe Pericial ....................................................................................................................... 47

Dictamen con Conclusiones .................................................................................................... 47

Ratificación .............................................................................................................................. 48



Como realizar una auditoría telemática ...................................................................................... 49

Como se realiza un peritaje telemático para un cliente ............................................................. 54

Presupuesto del servicio: ........................................................................................................ 54

Aceptación del presupuesto: .................................................................................................. 54

AUDITORIA INFORMATICA ...................................................................................................... 54

PERITAJE TELEMÁTICO ............................................................................................................ 54

Declaración ante Tribunales: ................................................................................................... 55

Guía de buenas prácticas para el peritaje telemático en recuperación de imágenes y

documentos ................................................................................................................................ 56

Marketing para Peritos Telemáticos ........................................................................................... 65

Plan de Negocio para Peritos Informáticos ................................................................................. 68

1. Resumen Ejecutivo .............................................................................................................. 68

2. Descripción de tu nueva Empresa ....................................................................................... 69

3. Productos y Servicios ........................................................................................................... 69

4. Plan de Marketing ............................................................................................................... 69

5. Plan de desarrollo ................................................................................................................ 70

6. Plan Operacional ................................................................................................................. 70

7. Administración y Organización ............................................................................................ 70

8. Plan Financiero .................................................................................................................... 70

9. Financiación ......................................................................................................................... 70

1. Negocios con Futuro ............................................................................................................... 71



Presentación

Muchas entidades públicas y privadas e incluso la Administración de Justicia, se van dando

cuenta de que la tecnología es una parte cada vez más importante de nuestra vida laboral,

social y personal. Pero también este empuje tecnológico es aprovechado por profesionales de

la estafa y el engaño cibernético con lo que es imprescindible la figura de detectives

tecnológicos, expertos informáticos y telemáticos que asesoren de manera técnica y

profesional y que garanticen los derechos, la privacidad de datos y que brinde una protección

ante individuos que se amparan ante el anonimato de Internet como es el Perito Telemático. El

Perito Telemático es un nuevo perfil profesional, que surge de las nuevas tecnologías y que

está especializado en Tics, con una demanda al alza debido al aumento de conflictos, tanto

privados como aquellos que deben resolverse mediante juicio, en los que intervienen sistemas

informáticos. Este curso ofrece los conocimientos técnicos y legales necesarios para ejercer

como Perito Telemático Forense y generar informes periciales con validez legal, en procesos

judiciales y extrajudiciales, así como el protocolo pericial y la obtención de evidencias

electrónicas. ANTPJI, ha reunido a expertos relacionados con la pericia de la Telemático

Forense, ofreciendo un curso intensivo, para Especialistas Telemáticos que deseen ejercer

como Peritos Telemáticos, Responsables de Seguridad para conocer el proceso de la

Investigación Forense, Auditores de Seguridad que necesitan aumentar sus conocimientos en

la Pericia Investigadora, Consultores Informáticos que quieren conocer el proceso de un

Dictamen Forense y a cualquier profesional que desea conocer como buscar evidencias con

validez judicial o extrajudicial, cuando se ha producido hechos como: un fraude, uso mal

intencionado de los ordenadores por empleados o terceros, robo de identidad, correo

electrónico, datos personales, números de tarjeta de crédito, bajas fingidas, amenazas o

sencillamente se han utilizado datos sensibles o personales para la realización de actividades

no autorizadas y en muchos casos delictivos.

NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES

Una nueva profesión ha nacido al amparo de las nuevas tecnologías con una gran demanda: es

la figura del Perito judicial Telemático.

El perito Judicial Telemático o Perito Auditor Forense es un profesional dotado de

conocimientos especializados en materia de las nuevas tecnológicas, a través de su

capacitación y experiencia, que suministra información u opinión fundada a profesionales,

empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su

dictamen.

El es el encargado de analizar los diferentes elementos telemáticos, y buscar aquellos datos

que puedan constituir la evidencia digital que servirá, de manera contundente, para el

esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta

manera los aspectos y conocimientos que el juez o los tribunales no están obligados de

conocer.



Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego

aceptados por el juez), ambos ejercen la misma influencia en el juicio.

Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a

partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados,

Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos

según lo dispuesto en la leyes.

En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez

respecto a temas relacionados con la informática.

Para ejercer como Perito Judicial Telemático en España es indispensable una titulación oficial

o por una Asociación Profesional de Peritos Informáticos o Telemáticos, reconocida por el

Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia.

Su titulación le acredita como encargado experto con amplios conocimientos sobre

informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de

cualquier índole, que pueda ser imputable como delito.

Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles,

de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001

de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de

2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder

Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales

remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado

en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss.

Cuando un Perito Telemático es nombrado por un Juez, Magistrado o Administración,

automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de

acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y

reglamentos especiales (art. 470 a 480, LOPJ).

En el ámbito jurídico, el Perito Judicial Telemático es un profesional nombrado por la

autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad

e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con

hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables

conocimientos especializados.

El Peritaje Telemático es aportado en función de los conocimientos del Perito Telemático, la

localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de

su especialización en la realización de todas las pruebas digitales, combinando la auditoria

forense y su pericia.

El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que

circula libremente es utilizado por delincuentes que utilizan la tecnología para facilitar el

acometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de

que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos

profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde



las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la

persecución de delito y el delincuente.

La obtención de Información digital (evidencias electrónicas) se constituye en una de las

facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los

Peritos Telemáticos encargados de la recolección preservación, análisis y presentación de las

evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas

evidencias, a fin de ser utilizadas posteriormente ante el Tribunal.

Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin

duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia

e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen

como valor probatorio de un procedimiento judicial.

No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que

desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la

posesión de la verdad material.

De esta manera se confirmará la existencia de la infracción y la responsabilidad de quienes

aparecen en un inicio como presuntos responsables, todo esto servirá para que el Tribunal de

Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento.

El objetivo del Perito Telemático es la de recuperar los registros y mensajes de datos existentes

dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser

usada como prueba ante un tribunal.

La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización

de las evidencias digitales, que sirven para el esclarecimiento de los caso.

El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función,

entre ellas están una integridad intachable para determinar neutralmente los hechos sin

ninguna preferencia o afición por ninguna de las partes.

Debe poseer un perfil técnico, con amplios conocimientos legales con una formación

Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan

desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentación

judicial.

Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística;

siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia

electrónica (información de valor probatorio almacenada o transmitida en forma digital) es

una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y

procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la

exactitud y la confiabilidad de este tipo de evidencia.

Se exige además de la formación pragmática y académica la adquisición de habilidad técnica y

científica usando un lenguaje científico, no cientificista, que permita al profano en esta ciencia

comprender el mismo.



Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma

importancia no arrojar ninguna duda sobre los medios probatorios tecnológicos

correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la

tecnología actúa como medio o fin para configurar una conducta ilícita.

El dictamen del Perito Telemático, es una declaración de ciencia que debe sustentarse en

reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha de

valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y

desarrollan una línea de investigación forense en informática.

Las tareas a desarrollar por el perito telemático no son distintas de la de otros peritos

judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar

la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en

donde vuelque las conclusiones de la investigación realizada.

Deberes del Perito Telemático: Aceptar el cargo que le es asignado, colaborar con el resto de

los peritos o consultores técnicos y declarar ante el juez en el caso de que este lo requiera.

Fundamentar sus conclusiones técnicas, expresando claramente los elementos analizados y las

técnicas utilizadas para llegar a las mismas. Respetar el código de ética que le impone su

profesión.

Áreas de actuación de los Peritos Telemáticos: Propiedad industrial: Espionaje / Revelación de

secretos. Acceso o copia de ficheros de la empresa, planos, fórmulas, costes, Uso de

información: Competencia desleal de un empleado. Vulneración de la intimidad. Lectura de

correo electrónico. Despido por causas tecnológicas. Valoraciones de bienes informáticos.

Interceptación de telecomunicaciones. Protección de datos personales y datos reservados de

personas jurídicas. Apoderamiento y difusión de datos reservados. Manipulación de datos o

programas. Valoraciones de bienes informáticos. Hardware, redes y componentes (todos los

sistemas). Instalaciones y desarrollos llave en mano. Vulneración de la buena fe contractual.

Publicidad engañosa, competencia desleal. Delitos económicos, monetarios y societarios.

Delitos contra el mercado o contra los consumidores. Delitos contra la propiedad intelectual.

Uso de de software sin licencia. Piratería. Copia y distribución no autorizada de programas de

ordenador. Daños mediante la destrucción o alteración de datos. Sabotaje. Estafa, fraudes,

conspiración para alterar el precio de las cosas. Pornografía infantil: acceso o posesión,

divulgación, edición. Uso indebido de equipos informáticos: daños o uso abusivo.

Sin duda, El Perito Judicial Telemático será el profesional más demandado por una sociedad

cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual.

ANTPJI, se creó hace seis meses con el objetivo de que los técnicos en la ciencia de la

Informática valorizaran sus conocimientos, prestando un servicio a la Administración de

Justicia y a la sociedad en general, hoy en día el grupo aglutina a más de 80 profesionales con

presencia en cinco ciudades españolas y está en cuatro países.

Este tipo de iniciativas empresariales que fomentan el autoempleo, la capacitación profesional

y el auxilio tecnológico a la sociedad es un ejemplo de cómo quedan aun nichos de mercado

sin explotar. Más información en www.antpji.com



El Perito Judicial Telemático El perito Judicial Telemático o Perito Auditor

Forense es un profesional dotado de

conocimientos especializados en materia de las

nuevas tecnológicas, a través de su capacitación y

experiencia, que suministra información u opinión

fundada a profesionales, empresas y a los

tribunales de justicia sobre los puntos litigiosos

que son materia de su dictamen.

El Perito Judicial Telemático es el encargado de

analizar los diferentes elementos informáticos, y

buscar aquellos datos que puedan constituir la

evidencia digital que servirá, de manera

contundente, para el esclarecimiento del litigio al

que ha sido asignado en un proceso legal,

solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no

están obligados de conocer.

Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados

por el juez), ambos ejercen la misma influencia en el juicio.

Entre sus funciones esta la función de asesorar, emitir informes judiciales o extrajudiciales, a

partir de sus conocimientos científicos y técnicos siendo su papel el de auxiliar de Magistrados,

Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a través de sus conocimientos

según lo dispuesto en la leyes.

En su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez

respecto a temas relacionados con la informática.

Para ejercer como Perito Judicial informático en España es indispensable una titulación oficial

o por una Asociación Profesional de Peritos Informáticos, reconocida por el Ministerio del

Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia.

Su titulación le acredita como encargado experto con amplios conocimientos sobre

informática y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de

cualquier índole, que pueda ser imputable como delito.

Su acreditación profesional es suficiente para ejercer en los Juzgados y Tribunales españoles,

de conformidad con lo establecido en los artículos 340 y 341 de la LEC y la instrucción 5/2001

de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de

2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder

Judicial de 28 de octubre de 2010 sobre la remisión y validez de las listas de Peritos Judiciales

remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado

en el BOE nº 279 de 18 de noviembre de 2010, págs. 96464 y ss.



Cuando un Perito Informático es nombrado por un Juez, Magistrado o Administración,

automáticamente se convierte en auxiliar de la justicia y debe realizar la función pública de

acuerdo con el cargo conferido; de igual manera que la policía judicial y se rigen por las leyes y

reglamentos especiales (art. 470 a 480, LOPJ).

En el ámbito jurídico, el Perito Judicial Informático es un profesional nombrado por la

autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad

e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con

hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables

conocimientos especializados.

El Peritaje Informático es aportado en función de los conocimientos del Perito Informático, la

localización de las evidencias electrónicas, la metodología, las herramientas y la aplicación de

su especialización en la realización de todas las pruebas digitales, combinando la auditoria

forense y su pericia.

El anonimato que da la nube, la pantalla del ordenador y la cantidad de información que

circula libremente es usado por delincuentes que utilizan la tecnología para facilitar el

cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de

que tanto los Cuerpos de Seguridad del Estado, la Policía Judicial, la Fiscalía y la los distintos

profesionales de la Justicia deban especializarse y capacitarse en estas nuevas áreas en donde

las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecución de

delito y el delincuente.

La obtención de Información digital (evidencias electrónicas) se constituye en una de las

facetas útiles dentro del éxito de en una investigación criminal, aspecto que demanda de los

Peritos Informáticos encargados de la recolección preservación, análisis y presentación de las

evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas

evidencias, a fin de ser utilizadas posteriormente ante el Tribunal.

Cada día se va requiriendo más la figura del Perito Telemático al proceso judicial, ya que sin

duda las nuevas tecnológicas dominan cada sector, industrial, profesional, personal y su pericia

e investigación en la localización de evidencias electrónicas hace más necesaria su dictamen

como valor probatorio de un procedimiento judicial.

No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que

desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la

posesión de la verdad material.

De esta manera se confirmará la existencia de la

infracción y la responsabilidad de quienes aparecen

en un inicio como presuntos responsables, todo esto

servirá para que el Tribunal de Justicia alcance el

conocimiento necesario y resuelva el asunto

sometido a su conocimiento.

El objetivo del Perito Telemático es la de recuperar

los registros y mensajes de datos existentes dentro



de un equipo informático, de tal manera que toda esa información digital, pueda ser

usada como prueba ante un tribunal.

La Administración de Justicia, está comprobando lo infalible y rápido que resulta la localización

de las evidencias digitales, que sirven para el esclarecimiento de los caso.

El Perito Judicial Telemático debe tener ciertas cualidades adecuadas para su correcta función,

entre ellas están una integridad intachable para determinar neutralmente los hechos sin

ninguna preferencia o afición por ninguna de las partes. Debe poseer un perfil técnico, con

amplios conocimientos legales con una formación Universitaria en derecho procesal civil,

penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea

descalificada o impugnada durante su presentación judicial.

Tiene que ser experto y tener conocimientos forenses, de investigación legal y criminalística;

siendo de vital importancia que esté familiarizado con las pruebas electrónicas. La evidencia

electrónica (información de valor probatorio almacenada o transmitida en forma digital) es

una realidad. Actualmente se observa la convergencia de técnicas de análisis, estrategias y

procedimientos científicos que se disponen para obtener, revisar, analizar y salvaguardar la

exactitud y la confiabilidad de este tipo de evidencia. Se exige además de la formación

pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje

científico, no cientificista, que permita al profano en esta ciencia comprender el mismo.

Ante el creciente desarrollo de la criminalidad en medios informáticos, es de suma importancia

no arrojar ninguna duda sobre los medios probatorios tecnológicos correspondientes para

recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio

o fin para configurar una conducta ilícita.

El dictamen del Perito Judicial Telemático, es una declaración de ciencia que debe sustentarse

en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica, y ha

de valerse de los procedimientos técnicos forenses en medios electrónicos que fortalecen y

desarrollan una línea de investigación forense en informática. Las tareas a desarrollar por el

perito informático no son distintas de la de otros peritos judiciales. Por lo tanto deberá

recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos

que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones

de la investigación realizada.

Derechos y deberes del Perito Telemático

Derechos

El perito tiene el derecho básico de cobrar honorarios por la elaboración del dictamen,

conforme al arancel correspondiente, en su caso. El tema se resuelve de manera satisfactoria

en la nueva regulación del proceso civil ya que, frente a la situación anterior, se prevé, de un

lado, quién deberá abonar los honorarios del perito designado por el juez y, de otro, la



necesidad de que se realice provisión de fondos al perito nombrado. De esta forma se

resuelve el problema práctico de la “adecuada y tempestiva remuneración de los peritos”

(Exposición de Motivos de la Ley de Enjuiciamiento Civil, apdo XI).

De esta forma, el dictamen que emita el perito de designación judicial será a costa de quien lo

haya pedido, sin perjuicio de lo que se pueda acordar posteriormente en materia de costas

(art. 339.2.1º LEC). Cuando ambas partes lo hubieran pedido inicialmente, el juez podrá

designar, si se muestran conformes, un único perito que emita el informe solicitado.

En tal caso, el abono de los honorarios del peritos corresponderá a ambos litigantes por partes

iguales, sin perjuicio de lo que pudiera acordarse en materia de costas (art. 339.2.3º LEC). Por

tanto, de acuerdo con el art. 241 LEC, las costas y gastos del proceso se irán pagando a medida

que se vayan produciendo; todo ello sin perjuicio del derecho que le asiste de repercutir esos

gastos en la parte contraria, una vez firme la resolución judicial que ponga fin al proceso a

través del procedimiento de apremio, previa su tasación.

En lo que se refiere a la provisión de fondo, ésta podrá ser solicitada, a cuenta de la liquidación

final, por los peritos de designación judicial en el plazo de los tres días siguientes a su

nombramiento. El tribunal decidirá sobre la provisión solicitada y ordenará a la parte o partes

que hubieren propuesto la prueba pericial y no tuviesen derecho a la asistencia jurídica

gratuita, que procedan a abonar la cantidad fijada en la cuenta de Depósitos y Consignaciones

del tribunal en el plazo de cinco días. Transcurrido dicho plazo si no se hubiere procedido al

depósito, el perito quedará eximido de emitir el dictamen (art. 342.3 LEC).

Deberes

El deber primordial de los peritos es el de elaborar y emitir el dictamen correctamente, es

decir, aplicando científicamente los conocimientos profesionales y que se requieren para el

caso concreto, deber que no se expresaba en la ley anterior (simplemente se aludía a que

emitiesen el dictamen “bien, fielmente” y dentro del plazo establecido por el juez) pero que se

recoge en la nueva ley procesal en la que se alude a la obligación de prestar juramento o

promesa de decir verdad y de actuar con la mayor objetividad posible, tomando en

consideración tanto lo que pueda favorecer como lo que pueda perjudicar a cualquiera de la

partes (art. 335.2 LEC) y que se deriva también del régimen de responsabilidad que

examinaremos con detenimiento a continuación. Para ello tienen la obligación previa de

comparecer en juicio y así, acto seguido, jurar o prometer decir verdad, indicando que va a

actuar o que ha actuado con la mayor objetividad posible, manifestando que conoce las

sanciones penales previstas para el caso de incumpliendo de este deber.

De esta forma, una vez designado el perito por el juez y hecho el correspondiente

llamamiento, tiene obligación de comparecer para aceptar el cargo, salvo que concurra justa

causa que deberá ser alegada en ese momento (art. 342.2 LEC). Solamente cuando el motivo

de la causa sea aceptado por el juez, quedará el perito relevado de su obligación de aceptar el

nombramiento.

Por último, no siempre será necesario proceder a la ratificación posterior del dictamen pericial

presentado puesto que la presencia del perito en el juicio queda al criterio del órgano judicial,



pudiendo hacer peticiones en ese sentido las partes (arts. 337.2 y 346 LEC), si bien, el

órgano judicial puede acordar en todo caso mediante providencia que considera necesaria la

presencia del perito en el juicio o la vista para comprender y valorar mejor el dictamen

realizado (art. 346 LEC).

En estos casos, cuando se considere necesaria la intervención del perito, éste estará obligado a

comparecer en el día señalado para la celebración del acto del juicio en el procedimiento

ordinario o la vista del juicio verbal, salvo que le resulte imposible por causa mayor u otro

motivo de análoga entidad, en cuyo caso deberá manifestarlo así al juez (art. 183.1 LEC). Si el

juez acepta la excusa, decidirá, previa audiencia de las partes, si deja sin efecto el

señalamiento del juicio o de la vista y efectúa otro nuevo, o si cita al perito para la práctica de

la actividad probatoria fuera del juicio o vista (arts. 183.4 y 430 LEC).

Por el contrario, si el juez no considera debidamente acreditada o suficiente la excusa del

perito, mantendrá el señalamiento del juicio o vista y se lo hará saber a través de la

correspondiente notificación, al tiempo que le requiere para comparecer, bajo apercibimiento

de proceder contra él por desobediencia al a autoridad judicial (arts. 183.4 y 292 LEC).

A esto se añade además que si el juez, en el momento de resolver sobre la suficiencia de la

excusa del perito aprecia que éste actuó con dilación injustificada o sin fundamento, podrá

imponerle una multa de hasta cien mil pesetas (art. 183.5 LEC).

Los funcionarios públicos que hayan accedido a un cuerpo o escala del grupo A en su

condición Perito Judicial, estarán exceptuados de obtener el título de Perito Judicial de los

Tribunales de Justicia a los efectos descritos en el artículo 1 de este proyecto de Ley. 2. La

actuación del personal contratado y al servicio de las Administraciones Públicas o entidades

públicas ante juzgados y Tribunales en el desempeño de las funciones propias del cargo

del Perito Judicial, se regirá por lo dispuesto en este proyecto de ley (servicios de asistencia

técnica contratada mediante Ley de Contrataciones Públicas al amparo del REAL DECRETO

LEGISLATIVO 2/2000, de 16 de junio). Disposición adicional cuarta. Adaptación de las normas

colegiales a lo previsto en esta ley. Los colegios profesionales de Peritos Judiciales que puedan

crearse adaptarán su normativa a lo previsto por esta ley. Disposición adicional quinta.

Accesibilidad. Al objeto de favorecer el acceso de las personas con discapacidad a las

profesiones de Perito Judicial, en el diseño y realización de los cursos y evaluaciones a que se

refiere el artículo 2.2 del presente proyecto de Ley, se tendrán en cuenta criterios de

accesibilidad. Disposición adicional sexta. Consejos autonómicos. Las referencias al Consejo

General de Peritos Judiciales, o a sus respectivos Estatutos, contenidas en el articulado de la

Ley, se entenderán hechas, en su caso, a los respectivos Consejos autonómicos o a su

normativa reguladora, de conformidad con lo que disponga la legislación aplicable. Disposición

adicional séptima.

Especialista en Pericia Judicial. A los efectos de la presente Ley, la referencia a la

especialización de 2º grado se entenderá hecha a la Licenciatura de las diferentes

especialidades, cuando así corresponda. Disposición transitoria única. Profesionales colegiados

o asociados a la entrada en vigor de la exigencia de título profesional.



1. Los títulos profesionales regulados en esta norma no serán exigibles a quienes ya estén

en posesión de algún título universitario de 2º grado en la especialidad de Pericia Judicial y

estuvieran incorporados algún Colegio o Asociación profesional en el momento de la entrada

en vigor de la presente ley.

2. Los títulos profesionales regulados en esta Ley tampoco serán exigibles a quienes, sin

estar incorporados a un Colegio o Asociación profesional a su entrada en vigor, hubieran

estado incorporados antes de su entrada en vigor como ejercientes durante un plazo

continuado o discontinuo no inferior en su cómputo total a un año, siempre que concurran en

los demás requisitos de acceso y procedan a colegiarse antes de volver a ejercer como tales, y

no hubieran causado baja por sanción disciplinaria. Disposición final primera. Título

competencial. Las disposiciones contenidas en esta ley, dictadas al amparo del artículo

149.1. Ia, 6a y 30a de la Constitución Española y la Ley Orgánica 5/1980, de 19 de junio,

por la que se regula el Estatuto de Centros Escolares, en el número dos, apartado b) de la

disposición adicional establecen entre las competencias del Estado la de regular las

condiciones para la obtención, expedición y homologación de los títulos académicos y

profesionales no universitarios, con validez en todo el territorio español. Disposición final

segunda. Habilitación reglamentaria. Se faculta al Gobierno, al Ministro de Justicia, al Ministro

de Educación y Ciencia y a los titulares de los Departamentos ministeriales competentes

para dictar cuantas disposiciones reglamentarias fueran necesarias para el desarrollo y

ejecución de la presente ley. Disposición final tercera. Entrada en vigor de esta ley. Esta Ley

entraría en vigor transcurrido 1 año desde su publicación en el Boletín Oficial del Estado.

Áreas de actuación de los Peritos Telemáticos

Propiedad industrial: Espionaje / Revelación de secretos.

Acceso o copia de ficheros de la empresa, planos, fórmulas, costes,

Uso de información: Competencia desleal de un empleado.

Vulneración de la intimidad. Lectura de correo electrónico.

Despido por causas tecnológicas.

Valoraciones de bienes informáticos y Telemáticos.

Interceptación de telecomunicaciones.

Protección de datos personales y datos reservados de personas jurídicas.

Apoderamiento y difusión de datos reservados.

Manipulación de datos o programas.

Valoraciones de bienes informáticos.

Hardware, redes y componentes (todos los sistemas).

Instalaciones y desarrollos llave en mano.

Vulneración de la buena fe contractual.

Publicidad engañosa, competencia desleal.



Delitos económicos, monetarios y societarios.

Delitos contra el mercado o contra los consumidores.

Delitos contra la propiedad intelectual.

Uso de de software sin licencia. Piratería.

Copia y distribución no autorizada de programas de ordenador.

Daños mediante la destrucción o alteración de datos. Sabotaje.

Estafa, fraudes, conspiración para alterar el precio de las cosas

Pornografía infantil: acceso o posesión, divulgación, edición

Uso indebido de equipos informáticos: daños o uso abusivo.

Sin duda, El Perito Judicial Telemático, será el profesional más demandado por una sociedad

cada vez más tecnológica y la prueba electrónica es reina en la investigación criminal actual.

Capacitación Profesional del Perito Judicial en los Tribunales de

España

La regulación del régimen de acceso a la profesión del Perito Judicial en España es

una exigencia derivada del artículo 9.3, 24 y 103 de la Constitución Española: estos

profesionales son Auxiliares (operadores técnico-jurídicos) fundamentales de la justicia, y la

calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que

nuestra Constitución garantiza a la ciudadanía (Según el art.24 CE).

La experiencia del Derecho comparado muestra que la actuación ante los Tribunales de

Justicia y las demás actividades de Auxilio y asistencia jurídica requieren una acreditación

previa de una capacitación profesional específica que va más allá de la obtención de una

simple diplomatura o titulación universitaria.

Ello justifica la regulación de una especialización profesional complementaria al título

universitario en una materia determinada, exigible para desarrollar la actividad de "Perito

Judicial" como un operador más, asiente o auxiliar de la justicia ad hoc utilizando la

denominación de "Perito Judicial"; exigible para actuar ante los Tribunales de Justicia en

calidad de tal. En una Europa que camina hacia una mayor integración, se hace

imprescindible la homologación de esta profesión jurídica, en orden a garantizar la

fluidez en la circulación y el establecimiento de profesionales, uno de los pilares del

mercado único que constituye base esencial de la Unión Europea.

Son profesiones aquellas que se caracterizan por la aplicación de conocimientos y técnicas

propias de una ciencia o rama del saber para el ejercicio de las cuales es necesario

estar en posesión de conocimientos técnicos específicos y, en su caso, cumplir otras

condiciones habilitadoras establecidas por la ley. PROFESIÓN: (Real Academia Española)

Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribución.



Teniendo en cuenta que la necesaria capacitación profesional de estos operadores

jurídicos (Peritos Judiciales) en el ejercicio de sus funciones deben garantizar la tutela judicial

efectiva, esto ha sido una reivindicación constante de los representantes profesionales en

algunos de los Congresos celebrados por los Peritos Judiciales .El reconocimiento a efectos

profesionales de la formación práctica adicional al título profesional en una especialidad

permite coordinar e integrar el proceso con el sistema de estudios universitarios, con el

que, sin embargo, y con pleno respeto a la autonomía universitaria y a su regulación sectorial,

no se interfiere. Ahora bien, tal y como prevé ya la regulación universitaria, no puede

prescindirse en este caso del establecimiento de criterios a los que deberán sujetarse

los estudios universitarios a los efectos de posibilitar el acceso a la obtención de los títulos

profesionales que se regulan según la actual ley de titulaciones universitarias (Ley

Orgánica 6/2001, de 21 de Diciembre, de Universidades; art. 1.2 apartados a,b,c y 34.3). A

tal fin es necesaria una acreditación de los contenidos formativos conjuntamente por el

Ministerio de Justicia y el Ministerio de Educación y Ciencia (Real Decreto 1564/1982, de 18 de

junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición y

homologación de los títulos académicos y profesionales no universitarios), con la decisiva

exigencia de prácticas externas, profesorado especialmente cualificado para la impartición de

esta formación específica de contenido práctico, etc. Por otra parte, el modelo no puede

obviar la realidad de la existencia de numerosas y prestigiosas Escuelas de Práctica Jurídica

para Peritos, cuya integración en el sistema descrito se produce por su necesario

concierto con las Universidades. (Actualmente Universidad de Alcalá de Henares y la

Universidad Autónoma de Barcelona, están impartiendo titulaciones específicas).En todo

caso, para garantizar de forma objetiva la capacitación profesional del "Especialista en Pericia

Judicial" así formado, se incluye al final del período formativo Práctico una evaluación de

naturaleza general, creando a tal fin una Comisión plural con importante representación de los

sectores universitarios y profesionales afectados.

Entrando ya en el análisis del articulado, cabe destacar que se regula el título acreditativo de

aptitud profesional, "Perito Judicial de los Tribunales de Justicia"(Al igual que el de

Procurador de los Tribunales de Justicia). La Ley no interfiere, más allá de constituir estos

títulos, en los presupuestos de ejercicio profesional con los de cualquier otra titulación

oficial. Como establece el capítulo II, la formación que nos ocupa podrá ser impartida por

las Universidades, si bien no puede olvidarse que estamos ante un título profesional, de

manera que, como ya se ha indicado, a efectos de admitir los correspondientes programas de

estudios como suficientes para la capacitación profesional, y sin que ello interfiera en su

validez académica, éstos cursos serán acreditados conjuntamente por el Ministerio de Justicia

y el Ministerio de Educación y Ciencia. Ello otorga una gran flexibilidad al modelo y respeta al

máximo la autonomía universitaria, pues permite que las Universidades decidan qué

configuración tendrán estos estudios en cada, sin interferir en la posibilidad de que,

además las Universidades organicen otros estudios jurídicos de postgrado con la validez

académica que les otorgue la normativa sectorial vigente.

Asimismo se reconoce la validez de la formación práctica impartida en las Escuelas de

Formación y Práctica Jurídica de Peritos Judiciales y demás centros que puedan ser

homologados por las Corporaciones profesionales, dentro de los convenios antes referidos,

como reconocimiento a la labor de preparación de los profesionales. En cuanto a la evaluación



final se refiere, si bien la misma, para garantizar la objetividad, será única en todo el

territorio nacional, razones de operatividad aconsejan su descentralización, con la creación de

una comisión evaluadora para el territorio de cada Comunidad Autónoma donde tengan su

sede los Centros que impartan esta formación práctica. En cuanto a las Disposiciones que

complementan el texto, debe destacarse el establecimiento de un periodo de "vacatio

legis" para la entrada en vigor de esta norma, durante el que no se exigirán el

título profesional de Perito Judicial de los tribunales para colegiarse y ejercer la respectiva

profesión, valorándose la experiencia adquirida en el ejercicio de su actividad mediante

certificado por Secretario Judicial de los procedimientos en que ha intervenido en los últimos

5 años como mínimo. Asimismo, se ha resuelto la cuestión de aquellos que ejercen la Pericia

Forense desde otra función para cuyo desempeño han superado pruebas selectivas

acreditativas de capacitación jurídica, respecto de los cuales carecería de sentido someterlos

a un proceso formativo y a una evaluación reiterativa si deciden pasar a desempeñar la

profesión del Perito Judicial. La competencia estatal está amparada en el artículo 14, 149.1.

1.a, 6.a y 30.a de la Constitución, por lo que las previsiones de esta Ley serán de aplicación en

todo el territorio nacional.

Los Peritos Judiciales son Auxiliares fundamentales en la impartición de justicia, y la calidad del

servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra

Constitución garantiza a la ciudadanía. Complementando lo ya dispuesto al efecto en la Ley

Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en la Ley 1/1996, de 10 de enero, de

Asistencia Jurídica Gratuita, que consagran la función del perito judicial, a los que reserva

su actuación, de modo que a los mismos corresponde garantizar la asistencia al ciudadano

mediante la prueba pericial en el proceso, de forma obligatoria cuando así lo exija la norma

procesal y, en todo caso, como derecho a la defensa expresamente reconocido por la

Constitución. La intervención del Perito Judicial, conforme al concepto amplio de tutela

judicial efectiva. 2. La experiencia del Derecho comparado muestra que la actuación ante

los tribunales de justicia y las demás actividades de asistencia técnica jurídica requieren la

acreditación previa de una capacitación profesional que va más allá de la obtención de una

titulación universitaria.

Ello justifica la regulación de un título profesional complementario al título universitario de

una ciencia determinada: el título profesional de Perito Judicial, exigible para prestar asistencia

jurídica utilizando la denominación de Perito Judicial de los tribunales de justicia; exigible para

actuar ante los tribunales en calidad de tal. 3. La obtención del título profesional de Perito

Judicial de los tribunales de justicia en la forma determinada por este estudio de proposición

de proyecto de Ley es necesaria para el desempeño de la asistencia Técnica en aquellos

procesos judiciales y extrajudiciales en los que la normativa vigente imponga o faculte la

intervención del Perito Judicial y/o extrajudicial y, en todo caso, para prestar asistencia o

asesoramiento en derecho utilizando la denominación de Perito Judicial; todo ello sin perjuicio

del cumplimiento de cualesquiera otros requisitos exigidos por la normativa vigente para el

ejercicio de la Pericia Forense. 4. La obtención del título profesional de Perito Judicial de los

tribunales de justicia en la forma determinada por esta Ley es necesaria para desempeñar la

representación legal de las partes en los procesos judiciales en calidad de Perito Judicial,

realizando los actos de cooperación con la Administración de Justicia que la ley les autorice, así

como para utilizar la denominación de Perito judicial, sin perjuicio del cumplimiento de



cualesquiera otros requisitos exigidos por la normativa vigente para la actuación ante los

tribunales de justicia. 5. La obtención de los títulos profesionales de Perito Judicial de los

tribunales de justicia será requisito imprescindible para la colegiación en los correspondientes

Colegios profesional que puedan crearse para tal fin.

Artículo 2. Acreditación de aptitud profesional.

1. Tendrán derecho a obtener el título profesional de Perito Judicial de los tribunales de

justicia, las personas que se encuentren en posesión de algún título universitario de segundo

grado como "Especialista Universitario en Pericia Judicial" , o del Título de Grado que lo

sustituya de acuerdo con las previsiones contenidas en los artículos 34.3, 38 y 88 de la Ley

Orgánica 6/2001, de 21 de diciembre de Universidades y su Normativa de desarrollo y que

acrediten su capacitación profesional mediante la superación de la correspondiente

formación especializada y la evaluación regulada por esta Ley.

La formación especializada necesaria para poder acceder a las evaluaciones conducentes a

la obtención de estos títulos es una formación reglada y de carácter oficial que se adquirirá a

través de la realización de cursos de formación acreditados conjuntamente por el Ministerio

de Justicia y el Ministerio de Educación y Ciencia a través del procedimiento que

reglamentariamente se establezca. 3. Los títulos profesionales regulados en esta ley serán

expedidos por el Ministerio de Justicia y/o de Educación y Ciencia ((Real Decreto 1564/1982,

de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtención, expedición

y homologación de los títulos académicos y profesionales no universitarios). Real Decreto

942/2003, de 18 de julio, por el que se determinan las condiciones básicas que deben reunir

las pruebas para la obtención de los títulos de Técnico y Técnico Superior de Formación

Profesional Específica. La Ley Orgánica 5/2002, de 19 de junio, de las Cualificaciones y de la

Formación Profesional, establece en su artículo 8 que los títulos de formación profesional

tienen carácter oficial y validez en todo el territorio nacional y que acreditan las

correspondientes cualificaciones profesionales a quienes los hayan obtenido. Asimismo

establece, que la evaluación y la acreditación de las competencias profesionales adquiridas a

través de la experiencia laboral o de vías no formales de formación, tendrá como referente

el Catálogo Nacional de Cualificaciones Profesionales y que el reconocimiento de las

competencias profesionales así evaluadas, cuando no completen las cualificaciones recogidas

en algún título de formación profesional, se realizará a través de una acreditación parcial

acumulable con la finalidad, en su caso, de completar la formación conducente a la obtención

del correspondiente título.

Los cursos de formación para Peritos Judiciales podrán ser organizados e impartidos por

Universidades públicas o privadas, Escuelas de Práctica Jurídica y otros centros de formación

práctica profesional. 2. Todos estos centros deberán establecer al efecto los convenios a los

que se hace referencia en el presente capítulo.

Artículo 4. Formación Universitaria.

1. Los cursos de formación para "Peritos Judiciales" podrán ser organizados e impartidos

por Universidades públicas o privadas, de acuerdo con la normativa reguladora de la

enseñanza universitaria de postgrado (art. 34.3 Ley Orgánica de Universidades) y, en su caso,



dentro del régimen de precios públicos, y deberán ser acreditados, a propuesta de

éstas (81.3.c. de la Ley Orgánica 6/2001, de 21 de diciembre). Esta acreditación se otorgará sin

perjuicio de las autorizaciones y aprobaciones exigidas por la normativa educativa a los efectos

de la validez y titulación académica de los referidos cursos.

2. Constituirán requisitos indispensables para la acreditación de los referidos cursos que éstos

comprendan la realización de un periodo de prácticas externas en los términos del artículo 6,

y que incluyan la realización de la evaluación regulada en el capítulo III.

3. Reglamentariamente se establecerá el procedimiento y los requisitos que deberán cumplir

tales cursos para su acreditación periódica en lo referente a su contenido y duración, así

como a la titulación y cualificación del profesorado, de modo que quede garantizada la

presencia de la mitad, al menos, de profesionales colegiados. La duración de los cursos

será de un mínimo de 27 créditos (Título de Especialista), más los créditos necesarios para

la realización de las prácticas externas referidas en el artículo 6.

Artículo 5. Escuelas concertadas de práctica jurídica y otras enseñanzas.

1.Las Escuelas de Práctica Jurídica que puedan crearse por los Colegios o Asociaciones

de reconocido prestigio de Peritos Judiciales que hayan sido homologados por el Consejo

General de Peritos Judiciales conforme a su normativa reguladora podrán organizar e

impartir cursos que permitan acceder a la evaluación regulada en el artículo 7, siempre que

los citados cursos sean acreditados por los Ministerios de Justicia y/o de Educación y Ciencia

en la forma que reglamentariamente se determine.

2. También podrán impartir cursos que permitan acceder a la evaluación regulada en el

artículo 7 otros centros de formación práctica profesional para Titulados en Especialistas

en Pericia Judicial por distintas Universidades, siempre que los citados cursos sean acreditados

conjuntamente por los Ministerios de Justicia y/o de Educación y Ciencia en la forma que

reglamentariamente se determine.

3. Para que se pueda proceder a la acreditación y reconocimiento de sus cursos a los efectos

de la determinación de su programa, contenido, profesorado y demás circunstancias, las

Escuelas de práctica jurídica y otros centros referidos en este artículo deberán haber

celebrado un convenio con una Universidad, pública o privada, por el que se garantice el

cumplimiento de las exigencias generales previstas en el artículo 4 para los cursos de

formación. Asimismo, deberán prever la realización de un periodo de prácticas externas en

Pericia Jurídica, según estén orientados a la formación profesional de los Peritos Judiciales,

en los términos del artículo siguiente, y la realización de la evaluación regulada en el capítulo

III.

Artículo 6. Prácticas externas.

1. Las prácticas externas en actividades propias del ejercicio profesional del Perito Judicial,

con los requisitos que reglamentariamente se determinen, deberán constituir un tercio, como

máximo, del contenido formativo de los cursos a que se refieren los artículos precedentes,

quedando como parte integrante de los mismos. En ningún caso implicarán relación laboral o

de servicios.



2. Las prácticas se realizarán bajo la tutela de un Perito Judicial, según se dirijan a la

formación para el ejercicio de la Pericia judicial. Los tutores serán Peritos Judiciales con un

ejercicio profesional superior a cinco años. Los respectivos Estatutos Generales del Perito

Judicial reglamentarán los demás requisitos para el desempeño de la tutoría, así como los

derechos y obligaciones del tutor, cuya infracción dará lugar a responsabilidad disciplinaria.

3. En los supuestos regulados en los artículos 4 y 5.2, deberá haberse celebrado un convenio

entre la Universidad o Centro formativo y al menos un Colegio Profesional o Asociación de

reconocido prestigio de Peritos Judiciales, que establezca la fijación del programa de prácticas

y la designación de los correspondientes tutores, el número máximo de alumnos que podrá

asignarse a cada tutor, los lugares o instituciones donde se efectuarán las prácticas, así como

los mecanismos de control del ejercicio de éstas, dentro de los requisitos fijados

reglamentariamente.

Acreditación de la capacitación profesional Artículo 7. Evaluación.

1. La evaluación de la aptitud profesional, que culmina el proceso de capacitación profesional,

tiene por objeto acreditar, de modo objetivo, formación práctica suficiente para el ejercicio de

la profesión de Perito Judicial, así como el conocimiento de las respectivas normas

deontológicas y profesionales. Las comisiones para la evaluación de la aptitud profesional

serán convocadas por el Ministerio de Justicia y/o el Ministerio de Educación y Ciencia, oídas

las Comunidades Autónomas, el Consejo de Coordinación Universitaria y el Consejo General

de Peritos Judiciales. Reglamentariamente se establecerá la composición de la comisión

evaluadora para el acceso a Perito Judicial de los tribunales de Justicia, que serán únicas para

los cursos realizados en el territorio de una misma Comunidad Autónoma, asegurando la

participación en ellas de representantes del Ministerio de Justicia y/o del Ministerio de

Educación y Ciencia, y de miembros designados a propuesta de la respectiva Comunidad

Autónoma.

Tanto la evaluación para el acceso profesional del Perito Judicial tendrá contenido único para

todo el territorio español en cada convocatoria.

4. Reglamentariamente se determinará el procedimiento por el cual el Ministerio de Justicia

fijará el contenido concreto de cada evaluación, con participación de las Universidades

organizadoras de los cursos, del Consejo General de los Perito Judiciales Españoles.

5. Las convocatorias tendrán una periodicidad mínima anual y no podrán establecer un

número limitado de plazas.

6. Reglamentariamente se regulará el procedimiento de convocatoria, lugares y forma de

celebración de la evaluación, publicación y comunicación de los resultados y demás

requisitos necesarios para su realización. Asimismo, se regularán los programas y sistema

de evaluación, de los Peritos Judiciales, de acuerdo con la capacitación necesaria para el

desempeño de la profesión. Disposición adicional primera. Libertad de establecimiento. El

ejercicio permanente en España de la profesión del Perito Judicial con título profesional

obtenido en otro Estado miembro de la Unión Europea o del Acuerdo sobre el Espacio



Económico Europeo se regulará por su legislación específica. Disposición adicional

segunda. Informe en Derecho.

Lo previsto en esta Ley no constituye obstáculo para que los peritos Licenciados o Graduados

en alguna ciencia o práctica sin título profesional de Perito Judicial de los tribunales de

Justicia puedan informar jurídicamente en aquellos supuestos en que no esté legalmente

reservado al Perito Judicial de los tribunales de Justicia.

2. Dichos peritos Licenciados, Graduados o Diplomados podrán inscribirse como tales

Licenciados, Graduados o Diplomados como especialistas en Pericia Judicial en los Colegios de

Peritos Judiciales en los términos que deberán establecerse en el Estatuto General del Perito

Judicial.

Derecho Informático Aspectos legales y jurídicos del Perito Judicial

Contexto legal del perito Como en cualquier estudio legal que a la ley española se refiera, en primer lugar debemos

acudir, a la carta magna, nuestra constitución del año 1978, en esta constitución nos

encontramos, en lo referente al proceso judicial, el artículo 24, que hace referencia a la tutela

judicial efectiva y dice así:

Artículo 24.

1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces y tribunales en

el ejercicio de sus derechos e intereses legítimos, sin que, en ningún caso, pueda producirse

indefensión.

2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y

a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un

proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de

prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables

y a la presunción de inocencia.

En lo que afecta al tema que estamos tratando hoy debemos fijarnos en la siguiente expresión:

a utilizar los medios de prueba pertinentes para su defensa.

Es aquí donde nuestro ordenamiento jurídico otorga calidad de derecho fundamental a la

tutela judicial efectiva, y como parte integrante de la misma al derecho a presentar los medios

de prueba pertinentes para la defensa de sus intereses.

Como medio de prueba relevante en este día nos encontramos con la prueba pericial, como

uno de los medios probatorios, junto con muchos otros, para la estrategia procesal de defensa

o acusación.

Una vez visto el marco constitucional debemos establecer ahora cuales son las leyes que

regulan de forma más especifica la figura del perito judicial.



Así tenemos que hacer parada obligatoria en la Ley 1/2000, de 7 de enero, de

Enjuiciamiento Civil, que regula la figura del perito judicial y la pericia, entre sus artículos 340 y

352.

Del mismo modo debemos recalar en la Ley de enjuiciamiento Criminal, que regula el informe

pericial entre sus artículos 456 a 485.

La diferencia entre las leyes de enjuiciamiento civil y criminal es el ámbito de cada una de ellas.

Mientras que la ley de enjuiciamiento criminal se dedica a lo que conocemos como derecho

penal, es decir su ámbito de acción es el Código Penal, las faltas y delitos que un individuo

puede cometer y que, en última instancia, pueden llevarle a prisión, la Ley de Enjuiciamiento

civil, se dedica por el contrario al ámbito civil, o lo que es lo mismo, a aquellos conflictos entre

particulares, ya sean personas físicas o jurídicas, que no constituyen ninguna falta o delito pero

que si pueden conllevar responsabilidades de otro tipo, en especial dinerarias.

¿Qué es un Perito? El perito judicial o perito forense es un profesional dotado de conocimientos especializados y

reconocidos, a través de sus estudios superiores, que suministra información u opinión

fundada a los juzgados o tribunales de justicia sobre los puntos litigiosos que son materia de su

dictamen.

En concreto la Ley de Enjuiciamiento Civil, en su artículo 340, exige en referencia a los peritos,

las siguientes condiciones:

Los peritos deberán poseer el título oficial que corresponda a la materia objeto del

dictamen y a la naturaleza de éste. Si se tratare de materias que no estén

comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre

personas entendidas en aquellas materias.

Podrá asimismo solicitarse dictamen de Academias e instituciones culturales y

científicas que se ocupen del estudio de las materias correspondientes al objeto de la

pericia. También podrán emitir dictamen sobre cuestiones específicas las personas

jurídicas legalmente habilitadas para ello.

Mientras que la Ley de Enjuiciamiento Criminal, mucho más escueta, nos dice que podrán ser

peritos tanto aquellos que tienen un título oficial como los que no, si bien los primeros tendrán

preferencia sobre los segundos.

¿Cuándo se nombrará a un perito? Se nombrará a un perito, en un procedimiento civil, cuando sean necesarios conocimientos

científicos, artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el

asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de

peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en la

ley, que se emita dictamen por perito designado por el tribunal.

Mientras que en un procedimiento penal el Juez acordará el informe pericial cuando, para

conocer o apreciar algún hecho o circunstancia importante en el sumario, fuesen necesarios o

convenientes conocimientos científicos o artísticos.



Como podemos ver el perito suministra al juez el peritaje u opinión fundada de una

persona especializada en determinadas ramas del conocimiento que el juez no está obligado a

dominar, a efecto de suministrarle argumentos o razones para la formación de su

convencimiento.

El procedimiento de solicitud de un perito El procedimiento de peritaje puede iniciarse de dos formas:

1. De oficio: En cuyo caso el juez o tribunal es quien considera necesaria la intervención

de uno o varios peritos. Bien sea a iniciativa propia o porque una de las partes le

solicite que lo haga.

2. A instancia de parte: Cuando una de las partes interesadas en el proceso es quien

aporta el informe pericial.

En el procedimiento civil el informe pericial a instancia de parte puede presentarse en el

mismo momento de la demanda. De esta forma los dictámenes de que los litigantes

dispongan, elaborados por peritos por ellos designados, y que estimen necesarios o

convenientes para la defensa de sus derechos, habrán de aportarlos con la demanda o con la

contestación, si ésta hubiere de realizarse en forma escrita.

Los dictámenes se formularán por escrito, acompañados, en su caso, de los demás

documentos, instrumentos o materiales adecuados para exponer el parecer del perito sobre lo

que haya sido objeto de la pericia. Si no fuese posible o conveniente aportar estos materiales e

instrumentos, el escrito de dictamen contendrá sobre ellos las indicaciones suficientes.

Podrán, asimismo, acompañarse al dictamen los documentos que se estimen adecuados para

su más acertada valoración.

Se entenderá que al demandante le es posible aportar con la demanda dictámenes escritos

elaborados por perito por él designado, si no justifica cumplidamente que la defensa de su

derecho no ha permitido demorar la interposición de aquélla hasta la obtención del dictamen.

En los juicios con contestación a la demanda por escrito, el demandado que no pueda aportar

dictámenes escritos con aquella contestación a la demanda deberá justificar la imposibilidad

de pedirlos y obtenerlos dentro del plazo para contestar.

Si no les fuese posible a las partes aportar dictámenes elaborados por peritos por ellas

designados, junto con la demanda o contestación, expresarán los dictámenes de que

pretendan valerse, que hayan de aportar, para su traslado a la parte contraria, en cuanto

dispongan de ellos, y en todo caso con carácter previo al juicio ordinario o vista en verbal.

Una vez aportados los dictámenes, las partes habrán de manifestar si desean que los peritos

autores de los dictámenes comparezcan en el juicio o, en su caso, en la vista del juicio verbal,

expresando si deberán exponer o explicar el dictamen o responder a preguntas, objeciones o

propuestas de rectificación o intervenir de cualquier otra forma útil para entender y valorar el

dictamen en relación con lo que sea objeto del pleito.



Del mismo modo la necesidad de la intervención pericial puede observarse durante la

realización del juicio oral o después de la contestación a la demanda, dándose trámite en este

caso para la entrega del informe y la oportuna participación del perito en la fase oral.

Para el caso de peritos designados por el juez debemos distinguir varios casos.

En primer lugar y si cualquiera de las partes fuese titular del derecho de asistencia jurídica

gratuita, no tendrán que aportar con la demanda o la contestación el dictamen pericial, sino

simplemente anunciarlo, a los efectos de que se proceda a la designación judicial de perito,

conforme a lo que se establece en la Ley de Asistencia Jurídica Gratuita.

Por otro lado tanto el demandante o como demandado, podrán solicitar en sus respectivos

escritos iníciales que se proceda a la designación judicial de perito, si entienden conveniente o

necesario para sus intereses la emisión de informe pericial. En tal caso, el Tribunal procederá a

la designación, siempre que considere pertinente y útil el dictamen pericial solicitado. Dicho

dictamen será a costa de quien lo haya pedido, sin perjuicio de lo que pudiere acordarse en

materia de costas.

Cuando ambas partes la hubiesen pedido inicialmente, el Tribunal podrá designar, si aquéllas

se muestran conformes, un único perito que emita el informe solicitado. En tal caso, el abono

de los honorarios del perito corresponderá realizarlo a ambos litigantes por partes iguales, sin

perjuicio de lo que pudiere acordarse en materia de costas.

En el juicio ordinario, si, a consecuencia de las alegaciones o pretensiones complementarias

permitidas en la audiencia, las partes solicitasen, la designación por el tribunal de un perito

que dictamine, lo acordará éste así, siempre que considere pertinente y útil el dictamen, y

ambas partes se muestren conformes en el objeto de la pericia y en aceptar el dictamen del

perito que el tribunal nombre.

Lo mismo podrá hacer el tribunal cuando se trate de juicio verbal y las partes solicitasen

designación de perito.

Por su parte, y respecto al proceso penal, la Ley de Enjuiciamiento Criminal es más escueta en

cuanto a la regulación del procedimiento pericial.

En este caso los peritos podrán ser nombrados igualmente:

De Oficio por el propio tribunal, en este caso el nombramiento se realizará por el

titular del juzgado y se hará saber a los peritos por medio de oficio, o incluso, si la

urgencia del caso lo exige, podrá hacerse el llamamiento verbalmente de orden del

Juez.

En este caso nadie podrá negarse a acudir al llamamiento del Juez para desempeñar

un servicio pericial, si no estuviere legítimamente impedido. Tenemos que aclarar aquí

que aquellos que presten informe como peritos en virtud de orden judicial tendrán

derecho a reclamar los honorarios e indemnizaciones que les correspondan.



Así mismo, y al igual que en el procedimiento civil, la pericia podrá solicitarse a

instancia de parte. Tanto por el querellante como por el procesado, que tendrán

derecho a nombrar a su costa un perito que intervenga en el acto pericial.

Si los querellantes o los procesados fuesen varios, se pondrán respectivamente de acuerdo

entre sí para hacer el nombramiento.

Estos peritos deberán ser titulados, a no ser que no los hubiere de esta clase en el partido o

demarcación, en cuyo caso podrán ser nombrados sin título.

Las partes manifestarán al Juez el nombre del perito y ofrecerán al hacer esta manifestación

los comprobantes de tener la cualidad de tal perito la persona designada.

La designación del perito En el caso del proceso civil, y para el caso de la designación del perito por parte del órgano

jurisdiccional, en el mes de enero de cada año se solicitará de los distintos Colegios

profesionales o, en su defecto, de entidades análogas, así como de las Academias e

instituciones culturales y científicas el envío de una lista de colegiados o asociados dispuestos a

actuar como peritos. La primera designación de cada lista se efectuará por sorteo realizado en

presencia del Secretario Judicial, y a partir de ella se efectuarán las siguientes designaciones

por orden correlativo.

Igualmente y para cuando haya de designarse perito a persona sin título oficial, práctica o

entendida en la materia, previa citación de las partes, se realizará la designación por este

procedimiento, usándose para ello una lista de personas que cada año se solicitará de

sindicatos, asociaciones y entidades apropiadas. Si, por razón de la singularidad de la materia

de dictamen, únicamente se dispusiera del nombre de una persona entendida o práctica, se

recabará de las partes su consentimiento y sólo si todas lo otorgan se designará perito a esa

persona.

Seguidamente el secretario judicial comunicará esta decisión al perito titular, requiriéndole

para que manifieste si acepta el cargo. En caso afirmativo, se efectuará el nombramiento y el

perito hará, en la forma en que se disponga, la manifestación bajo juramento o promesa.

Si el perito designado adujere justa causa que le impidiera la aceptación, y el Secretario judicial

la considerara suficiente, este será sustituido por el siguiente de la lista, y así sucesivamente,

hasta que se pudiere efectuar el nombramiento.

Es importante conocer que el perito designado podrá solicitar, en los tres días siguientes a su

nombramiento, la provisión de fondos que considere necesaria, la cual correrá a cuenta de su

liquidación final. El Secretario judicial decidirá sobre la provisión solicitada y ordenará a la

parte o partes que hubiesen propuesto la prueba pericial y no tuviesen derecho a la asistencia

jurídica gratuita, que procedan a abonar la cantidad fijada en la Cuenta de Depósitos y

Consignaciones del Tribunal.

En caso de que no se deposite en tiempo y forma esa cantidad, el perito quedará eximido de

emitir el dictamen, sin que pueda procederse a una nueva designación.



En contraposición, y si el dictamen pericial se aporta en la demanda o contestación a la

demanda directamente por el demandante o el demandado, el perito será el que ellos

seleccionen, si bien deberán probar en juicio la validez de su designación, en caso de que la

otra parte o el juzgado así se lo soliciten.

En cuanto al procedimiento penal una vez seleccionado el perito, como veíamos

anteriormente, por orden directa del juzgado, el Secretario judicial lo notificará

inmediatamente al Ministerio Fiscal, al actor particular y al procesado.

En caso de que el informe pericial se aporte por una de las partes se seguirán las mismas

normas que en el proceso civil.

La recusación y la tacha Es importante detenernos en este punto en la recusación y la tacha, cuando alguno de los

implicados tiene algo que oponer a la designación de un perito en concreto.

En primer lugar cabe decir que solo podrán ser objeto de recusación los peritos designados

judicialmente.

En cambio, los peritos no recusables podrán ser objeto de tacha cuando concurra en ellos

alguna de las siguientes circunstancias:

1. Ser cónyuge o pariente por consanguinidad o afinidad, dentro del cuarto grado civil de

una de las partes o de sus abogados o procuradores.

2. Tener interés directo o indirecto en el asunto o en otro semejante.

3. Estar o haber estado en situación de dependencia o de comunidad o contraposición de

intereses con alguna de las partes o con sus abogados o procuradores.

4. Amistad íntima o enemistad con cualquiera de las partes o sus procuradores o

abogados.

5. Cualquier otra circunstancia, debidamente acreditada, que les haga desmerecer en el

concepto profesional.

Al formular tachas de peritos, se podrá proponer la prueba conducente a justificarlas.

Igualmente cualquier parte interesada podrá dirigirse al tribunal a fin de negar o contradecir la

tacha, aportando los documentos que consideren pertinentes. Si la tacha menoscabara la

consideración profesional o personal del perito, éste podrá solicitar del tribunal que declare

que la tacha carece de fundamento.

En este punto el tribunal podrá emitir declaración de falta de fundamento de la tacha, o por el

contrario apreciarla conforme a derecho con lo que el informe pericial carecerá de valor y no

se tendrá en cuenta.

En el caso de la recusación, peritos nombrados a instancia de parte, no podrán prestar informe

pericial acerca del delito, cualquiera que sea la persona ofendida, los que no estarían obligados

a declarar como testigos.

En concreto son causa de recusación de los peritos:



1. El parentesco de consanguinidad o de afinidad dentro del cuarto grado con el

querellante o con el reo.

2. El interés directo o indirecto en la causa o en otra semejante.

3. La amistad íntima o enemistad manifiesta.

Tenemos que destacar que el perito que, hallándose comprendido en alguno de los casos de

dicho artículo, preste el informe sin poner antes esa circunstancia en conocimiento del Juez

incurrirá en la multa e incluso en responsabilidad criminal.

El procedimiento consistirá en que el actor o el procesado que intente recusar al perito o

peritos nombrados por el Juez deberán hacerlo por escrito antes de empezar la diligencia

pericial, expresando la causa de la recusación y las pruebas que ofrezca.

El juez examinará los documentos que produzca el recusante y oirá a los testigos que presente

en el acto, resolviendo lo que estime justo respecto de la recusación.

Si hubiera lugar a ella, suspenderá el acto pericial por el tiempo estrictamente necesario para

nombrar el perito que haya de sustituir al recusado hacérselo saber y constituirse el nombrado

en el lugar correspondiente.

Si por el contrario no la admite, se procederá a continuar con la pericia.

El nombramiento del perito judicial En el proceso penal y antes de darse principio al acto pericial, todos los peritos, tanto los

nombrados por el Juez como los que lo hubieren sido por las partes, prestarán juramento, de

proceder bien y fielmente en sus operaciones y de no proponerse otro fin más que el de

descubrir y declarar la verdad.

Así mismo la Ley de Enjuiciamiento civil nos dice que al emitir el dictamen, todo perito deberá

manifestar, bajo juramento o promesa decir verdad, que ha actuado y, en su caso, actuará con

la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo

que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones

penales en las que podría incurrir si incumpliere su deber como perito.

El informe pericial El Juez manifestará clara y determinadamente a los peritos el objeto de su informe, cuando

este se emita por petición suya.

En cualquier caso el informe pericial comprenderá, como mínimo:

1. Descripción de la persona o cosa que sea objeto del informe, y del estado o modo en

que se halle.

2. Relación detallada de todas las operaciones practicadas por los peritos y de su

resultado.



3. Las conclusiones que en vista de tales datos formulen los peritos, conforme a los

principios y reglas de su ciencia o arte.

La asistencia a juicio oral Tanto el juzgado como las partes podrán solicitar la asistencia a juicio del perito.

En caso de solicitud en este sentido el tribunal sólo denegará las solicitudes de intervención

que, por su finalidad y contenido, hayan de estimarse impertinentes o inútiles, o cuando

existiera un deber de confidencialidad derivado de la intervención del perito en un

procedimiento de mediación anterior entre las partes.

En especial, las partes y sus defensores podrán pedir:

La exposición completa del dictamen, cuando esa exposición requiera la realización de

otras operaciones, complementarias del escrito aportado, mediante el empleo de los

documentos, materiales y cualesquiera otros elementos.

La explicación del dictamen o de alguno o algunos de sus puntos, cuyo significado no

se considerase suficientemente expresivo a los efectos de la prueba.

Las respuestas a preguntas y objeciones, sobre método, premisas, conclusiones y otros

aspectos del dictamen.

Las respuestas a solicitudes de ampliación del dictamen, por si pudiera llevarse a cabo

en el mismo acto y a efectos de conocer la opinión del perito sobre la posibilidad y

utilidad de la ampliación, así como del plazo necesario para llevarla a cabo.

La crítica del dictamen de que se trate por el perito de la parte contraria.

La formulación de las tachas que pudieren afectar al perito.

Del mismo modo el tribunal podrá por su propia iniciativa o por reclamación de las partes

presentes o de sus defensores, hacer a los peritos, cuando produzcan sus conclusiones, las

preguntas que estime pertinentes y pedirles las aclaraciones necesarias.

Hemos de tener en cuenta que las contestaciones de los peritos se considerarán como parte

de su informe.

Reconocimiento in situ La pericia también puede consistir en el desplazamiento del perito o los peritos a un lugar para

examinar una cosa o situación concreta.

Cuando la emisión del dictamen requiera, en el proceso civil, de este reconocimiento de

lugares, objetos o personas, las partes y sus defensores podrán presenciarlo, si con ello no se

impide o estorba la labor del perito y se puede garantizar el acierto e imparcialidad del

dictamen.

Si alguna de las partes solicita estar presente, el tribunal decidirá lo que proceda y, en caso de

admitir esa presencia, ordenará al perito que dé aviso directamente a las partes del día, hora y

lugar en que aquellas operaciones se llevarán a cabo.



En el caso del proceso penal, al acto pericial podrán concurrir, el querellante, con su

representación, y el procesado con la suya, aun cuando este preso, en cuyo caso se adoptarán

las precauciones oportunas.

El acto pericial será presidido por el Juez instructor o, en virtud: de su delegación, por el Juez

municipal o funcionario de Policía judicial.

Del mismo modo las partes que asistieren a las operaciones o reconocimientos podrán

someter a los peritos las observaciones que estimen convenientes, haciéndose constar todas

en la diligencia.

De este reconocimiento in situ se redactará igualmente un informe pericial que se presentará

ante el órgano jurisdiccional competente.

La valoración del informe Finalmente y en cuanto a la valoración del informe pericial, la Ley de Enjuiciamiento Civil nos

dice que “El tribunal valorará los dictámenes periciales según las reglas de la sana crítica.”

Es decir, la valoración del informe quedará en manos del juez o tribunal, si bien siempre su

valor probatorio será mucho más alto que el de una prueba testifical, al tratarse en este caso

de expertos acreditados e independientes.

Lo cual nos lleva en la práctica a que el informe del perito, y su asistencia a la fase oral, sea una

de las pruebas determinantes para inclinar la balanza en uno u otro sentido.

Responsabilidades y derecho del perito Antes de despedirnos debemos realizar parada obligada en las responsabilidades que el perito

acarrea como tal.

A este respecto debemos fijarnos en varios aspectos diferenciados para establecer las

oportunas responsabilidades del perito:

1. La primera de ellas es su nombramiento: Como hemos visto en puntos anteriores

el perito judicial designado por un juzgado, en el proceso penal, no podrá negarse

a realizar la pericia, salvo que exista justa causa para ello. Lo que viene siendo, que

exista una imposibilidad manifiesta y real de realizar la misma. En caso de

inexistencia de esta y persistencia en la negativa el perito deberá asumir la

imposición de una multa, que variaría entre los 200 a los 5.000 euros, y si

persistiere en su resistencia será conducido en el primer caso a la presencia del

Juez instructor por los agentes de la autoridad, y perseguido por el delito de

obstrucción a la justicia tipificado en el artículo 463.1 del Código Penal o el de

desobediencia grave a la autoridad.

En el caso del procedimiento civil se nos dice que si el perito designado alega justa

causa que le impidiere la aceptación, y el Secretario judicial la considera suficiente,

será sustituido por el siguiente de la lista, y así sucesivamente, hasta que se pueda

efectuar el nombramiento.



2. La segunda de estas responsabilidad radica en la existencia de una causa de

recusación o tacha: Si el perito, aun conociendo esta incompatibilidad continua

adelante con su labor como perito judicial, sin avisar al juez de la misma podrá

imponérsele una multa de 200 a 5.000 euros, a no ser que el hecho de lugar a

responsabilidad criminal.

3. La tercera de las responsabilidades del perito es la de actuar lealmente y no faltar

a su juramento, consistente como hemos visto en:

a. “proceder bien y fielmente en sus operaciones y no proponerse otro fin más

que el de descubrir y declarar la verdad.” (LECrim)

b. “Actuar con la mayor objetividad posible, tomando en consideración tanto lo

que pueda favorecer como lo que sea susceptible de causar perjuicio a

cualquiera de las partes, y que conocer las sanciones penales en las que podría

incurrir si incumple su deber como perito”.(LEC)

El incumplimiento de estas obligaciones es el caso más grave de responsabilidad en que puede

incurrir un perito, ya que puede ser constitutivo de actitudes tipificadas como delito en

nuestro Código Penal. Paso a leeros los artículos en concreto que regulan la cuestión:

Artículo 458.

1. El testigo que faltare a la verdad en su testimonio en causa judicial, será castigado con las

penas de prisión de seis meses a dos años y multa de tres a seis meses.

2. Si el falso testimonio se diera en contra del reo en causa criminal por delito, las penas serán

de prisión de uno a tres años y multa de seis a doce meses. Si a consecuencia del testimonio

hubiera recaído sentencia condenatoria, se impondrán las penas superiores en grado.

3. Las mismas penas se impondrán si el falso testimonio tuviera lugar ante Tribunales

Internacionales que, en virtud de Tratados debidamente ratificados conforme a la Constitución

Española, ejerzan competencias derivadas de ella, o se realizara en España al declarar en virtud

de comisión rogatoria remitida por un Tribunal extranjero.

Artículo 459.

Las penas de los artículos precedentes se impondrán en su mitad superior a los peritos o

intérpretes que faltaren a la verdad maliciosamente en su dictamen o traducción, los cuales

serán, además, castigados con la pena de inhabilitación especial para profesión u oficio,

empleo o cargo público, por tiempo de seis a doce años.

Artículo 460.

Cuando el testigo, perito o intérprete, sin faltar sustancialmente a la verdad, la alterare con

reticencias, inexactitudes o silenciando hechos o datos relevantes que le fueran conocidos,

será castigado con la pena de multa de seis a doce meses y, en su caso, de suspensión de

empleo o cargo público, profesión u oficio, de seis meses a tres años.



Artículo 462.

Quedará exento de pena el que, habiendo prestado un falso testimonio en causa criminal, se

retracte en tiempo y forma, manifestando la verdad para que surta efecto antes de que se

dicte sentencia en el proceso de que se trate. Si a consecuencia del falso testimonio, se

hubiese producido la privación de libertad, se impondrán las penas correspondientes inferiores

en grado.

Como vemos el asunto de la responsabilidad, civil y criminal, de un perito no es asunto baladí,

y por tanto el perito judicial ha de extremar siempre su compromiso con la exactitud, la

veracidad y la imparcialidad en el ejercicio de sus funciones ante los órganos jurisdiccionales.

Finalmente y como derechos de los peritos, a parte de los relacionados con el cobro de sus

oportunos honorarios, hemos de mencionar el artículo 485 de La Ley de Enjuiciamiento

Criminal, que nos dice que el Juez facilitará a los peritos los medios materiales necesarios para

practicar la diligencia que les encomiende, reclamándolos de la Administración pública, o de

autoridades de las que sea necesario.

Estableciendo de esta forma el derecho del perito a tener todas las facilidades necesarias para

llevar a cabo su tarea de la mejor forma posible.

Como extraer y recuperar evidencias digitales y telemáticas

Metadatos (del griego μετα, meta, «después de» y latín datum, «lo que se da», «dato»),

literalmente «sobre datos», son datos que describen otros datos.

Los metadatos son datos que caracterizan a un fichero que contiene ciertos tipos de datos, de

modo que a través de los metadatos podemos conocer características de un fichero como el

autor, revisiones del documento, etc.

Los metadatos pueden tener varias aplicaciones como:

En informática forense: Para demostrar en un juicio que unos archivos de imágenes

pertenecen a una determinada cámara de fotos.

En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener

los nombres de posibles usuarios, sistema operativo, nombres de red… para después

realizar un ataque de fuerza bruta.

En el análisis forense informático, la extracción de los metadatos es una disciplina que

se emplea frecuentemente en procesos judiciales. En determinados eventos

criminales, una carpeta, archivo, imagen, mensaje, correo… son evidencias digitales

y/o telemáticas que incriminen o eximan a un acusado en la comisión de un delito, y

por tanto, es importante analizar los metadatos que contenga el dispositivo para

poder obtener de ellas evidencias suficientes que sustenten una acusación o una

defensa ante un juez.



Los metadatos, es la información insertada en los archivos por el software de edición o

creación de los mismos, estés metadatos contienen información acerca de la creación del

archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces

que el documento fue modificado, fecha de creación…

Los metadatos contienen toda la información del archivo, fecha, hora, autor, geoposicion,

modificación del archivo…

En fotografías digitales, la cámara captura las imágenes y va guardando en forma de

metadatos, información de cómo fue tomada la fotografía: fecha, hora, diafragma, velocidad,

uso de flash, modo de captura, entre otros datos, uno de ellos próximo a llegar:

geoposicionamiento satelital.

De esto nos podemos dar cuenta fácilmente cuando subimos las fotografías a un servicio de

almacenamiento web, como Flickr, si quieres haz la prueba y verifica los metadatos

fotográficos de muchas imágenes y podrás darte cuenta que el "dato" es la imagen y el resto

son los "metadatos", es decir, la información sobre la fotografía.

En una canción en formato MP3, el "dato" es el sonido que estamos acostumbrados a

escuchar, y los metadatos es toda aquella información extra, como título de la obra, álbum,

año, autor, carátula, género, etc. Windows Media Player (y otros reproductores) muestra los

metadatos de una canción, entre ellos la carátula del disco que estamos escuchando.

Por supuesto, las páginas web no podrían ser ajenas a este esquema y tienen datos (que es lo

que normalmente un usuario visualiza) pero también metadatos (que desafortunadamente no

es tan visible, aunque a la larga tan importante como los datos). En las páginas web los datos

se ven por un usuario normal. Los metadatos están de cierta forma ocultos en el código

fuente.

Si enfocamos la obtención de metadatos al mundo de la fotografía digital, podemos en algunos

casos obtener incluso la geolocalización de la obtención de la imagen en concreto. Para ello

utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif).

Queda clara la importancia de mantener en la fotografía únicamente información que

deseamos que sea pública, para evitar que circule información “oculta” a primera vista y que

no deseamos ofrecer.

Herramientas como Metagoofil o la foca están enfocadas a la obtención de los metadatos, lo

que puede ser el primer paso de un análisis más exhaustivo, que dé pie a posteriores etapas en

un proceso de investigación técnica.

Como no puede ser de otra manera, la recomendación es eliminar aquellos metadatos

innecesarios que impliquen información privada que en cierta manera nos hace vulnerables, ya

sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a través de imágenes.

La información básica de imagen suele ser la fecha de toma de la imagen, el fabricante de la

cámara y el modelo de cámara utilizado. Esta información se puede deducir mediante la

invocación de las propiedades de una imagen. Cualquier sistema operativo lo permite (en

http://www.informatica64.com/foca/



Windows, por ejemplo, haciendo botón derecho --> propiedades sobre una imagen).

Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos

imagen a imagen, y que además, permiten extraer mucha más información.

También veremos como cuando se toma una fotografía, existen muchos más datos que se

graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la

fecha, el fabricante y el modelo no bastan, y quizás sea necesario deducir, por ejemplo, si dos

imágenes han sido tomadas con la misma cámara o no. Un análisis de metadatos puede

proporcionarnos esta información.

Para la extracción de metadatos de archivos existen numerosos métodos. Unos son más

sencillos de interpretar y otros producen resultados más complejos.

A la hora de realizar una pericial informática, uno de los primeros pasos a dar es la recopilación

de la mayor cantidad de información “útil” del objeto de la pericia, lo que en el ámbito de la

seguridad denominamos como “information gathering”. Dentro de esta fase, podemos incluir

el análisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo

pdf, odt, jpg, etc…

En cuanto a las herramientas de extracción de metadatos, y aunque hay en Internet múltiples

recursos al respecto: RDFMetadata, Benubird PDF, Mi TeC Exe Explorer, Format Factory

Portable, EMS My SQL Manager.. y el que más utilizo el de nuestro socio la Foca Forense, cuyo

funcionamiento es muy sencillo.

Por nombrar algunas de estas herramientas de adquisición de metadatos útiles están:

hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de

archivos, y está disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD.

ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede

trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar

ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados

por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-

Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo,

Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que

permite utilizarla en Linux.

Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través

de google, y analizar los metadatos de los archivos. Para obtener información y realizar

un ataque o un test de intrusión. Esta escrita en python.

Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del

sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash".

Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces

modificado por diferentes personas.

FOCA 3.2 Free es una herramienta para la realización de procesos de fingerprinting e

information gathering en trabajos de auditoría web. La versión Free realiza búsqueda

de servidores, dominios, URLs y documentos publicados, así como el descubrimiento

de versiones de software en servidores y clientes. FOCA se hizo famosa por la

extracción de metadatos en documentos públicos, pero hoy en día es mucho más que



eso. Para el análisis de metadatos en ficheros ofimáticos puedes utilizar una

versión online de la FOCA. Gracias a esta herramienta, podemos extraer en primer

lugar los datos para obtener la información contenida en los metadatos de un fichero.

De esta manera podemos obtener información como nombres de usuarios, nombres

de equipos, rutas del equipo donde se ha creado/modificado un fichero, etc.

Podemos observar los datos que podemos obtener de un fichero “.doc” que no ha sido

previamente “limpiado”, entre los cuales cabe destacar rutas de unidades de red,

nombres de usuarios, nombre del registrador de la aplicación, aplicación con la que

está creado el documento y su versión, etc.

Es muy importante y debemos de prestar mucha atención a los metadatos, sobre todo

si el documento va a ser públicamente accesible.

Código Deontológico 1. Ejerceré la profesión de Perito Informático con dignidad, lealtad y cientifismo, colaborando

siempre con la Justicia y concediéndole la importancia que merece, siendo plenamente

consciente de la responsabilidad que supone emitir un informe o dictamen.

2. Defenderé siempre la Informática como ciencia especializada en la obtención de evidencias

electrónicas al servicio de la Justicia, para ello no permitiré que se desprestigie por falta de

cientifismo y menos por falta de ética.

3. Como Perito Informático continuaré capacitación, mediante una formación continua y

actualizando mis conocimientos, manteniéndome informado de manera puntual de los últimos

adelantes de que se produzcan en el ámbito de las Nuevas Tecnologías.

4. Pediré ayuda a la Junta Directiva de la Asociación cuando existiera alguna duda en mi

dictamen, a fin de que puedan orientarme de manera profesional orientarme; sometiéndome

al arbitrio de la Junta Directiva cuando existiera un conflicto o contradicción en un dictamen.

5. Seré objetivo en mis criterios y no me dejaré llevar por la subjetividad emotiva en la

elaboración de un dictamen a pesar de la información recibida sobre el caso.

6. Conservaré siempre mi ética profesional. No aceptaré jamás ni indicaciones, bienes o

promesas para emitir un dictamen tendencioso, confuso o con interés preconcebido y

contrario a la Justicia.

7. Ajustaré mis honorarios a la dificultad del caso, horas empleadas, gastos que origine, según

los baremos que establezca la Asociación, si bien no dejaré de auxiliar a la Justicia por razón de

precio, aceptando siempre que me sea posible las designaciones para intervenir por turno de

oficio en los casos que procedan.

8. Expondré siempre la verdad en mis dictámenes, según mi leal saber y entender, con la

máxima claridad posible a fin de que pueda comprenderse bien el motivo de las conclusiones.

Caso de faltar voluntariamente a la verdad aceptaré la decisión de la Junta en cuanto a mi

expulsión de la Asociación.



9. Respetaré la dignidad del ser humano, sus derechos y libertad personal, guardando

estricta neutralidad, sin desviar mi recto juicio profesional por motivos discriminatorios, ya

sean de raza, sexo, religión, clase social, ideas políticas o prejuicio de cualquier clase.

10. Me solidarizo con el espíritu de hermandad que tutela la "ASOCIACIÓN NACIONAL DE

TASADORES Y PERITOS JUDICIALES INFORMATICOS", evitando la deslealtad y competencia

ilícita hacia mis compañeros. Asimismo respetaré la clientela de mis colegas, sin apoderarme

previo conocimiento de la misma. En el caso de que me fuera solicitado un dictamen respecto

del contenido u objeto de otro realizado por un miembro de la Asociación, previamente a la

emisión del mismo daré la oportunidad al autor del dictamen previo de aclarar aquello que

crea conveniente, sin que esto suponga ninguna limitación a mis obligaciones de

independencia, objetividad y veracidad, y respetando, en todo caso, la identidad y

derechos de mi cliente.

Utilidades Forenses Esta es una selección de software para intervenciones informáticas forenses que es útil

compartir. Sirven para analizar ordenadores, correos, dispositivos móviles, buscar malware,

localizar archivos borrados, encontrar evidencias….

Programa Fabricante Descripción

Advanced Prefetch Analyser Hallan Hay Lee los ficheros prefetch de Windows.

Agent Ransack Mythicsoft Busca múltiples ficheros usando Perl Regex

Analyze MFT David Kovar Permite realizar “Parses” de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas.

Audit Viewer Mandiant Visualizador utilizado en combinación con Memoryze

Autopsy Brian Carrier Reconocida herramienta grafica para entornos Linux.

Backtrack Backtrack Suite de 'Penetration testing' y seguridad para la realización de auditorías de seguridad.

Bitpim Bitpim Analiza dispositivos móviles como LG, Sanyo, etc.

Caine University of Modena e Reggio Emilia

Live CD, con numerosas utilidades y herramientas.

ChromeAnalysis forensic-software

Herramienta que permite el análisis del histórico de internet del famoso Google Cromé

ChromeCacheView

Nirsoft Lee los ficheros de la cache de Google Cromé y visualiza en una lista lo que se encuentra almacenado.

DCode Digital Detective Convierte varios tipos de fechas y tiempos.

Defraser Varios Detecta ficheros multimedia en espacios

http://www.backtrack-linux.org/

http://www.bitpim.org/

http://www.caine-live.net/

http://forensic-software.co.uk/default.aspx

http://www.nirsoft.net/utils/chrome_cache_view.html

http://www.digital-detective.co.uk/downloads.asp

http://sourceforge.net/projects/defraser/



'unallocated'. Digital Forensics Framework ArxSys Framework que permite el análisis de

volúmenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.

DumpIt MoonSols Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB

EDB Viewer Lepide Software Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.

EnCase Guidance Potente herramienta de reconocido prestigio internacional. Vale para todo en el ámbito forense.

Encrypted Disk Detector JAD software

Comprueba discos físicos en busca de ficheros o volúmenes cifrados con TrueCrypt, PGP, o Bitlocker.

Exif Reader Ryuuji Yoshimoto

Extrae datos (metadatos) Exif de fotografías digitales.

FastCopy Shirouzu Hiroaki Uno de los más rápidos en copiar y/o borrar, permite utilizar SHA-1. Utilizado para copia masiva de datos con muy buenos resultados

FAT32 Format Ridgecrop Habilita la capacidad de almacenamiento de discos formateados en FAT32

Foca Informatica64 Herramienta para fingerprinting e información

gathering en trabajos de auditoría web. Lo utilizo

para casi todo, especialmente el tema de

metadatos

Forensic Image

Viewer

Sanderson

Forensics

Visor de varios formatos con posibilidad de extraer

metadatos Exif o datos de geolocalización GPS. Lo

suelo emplear bastante.

ForensicUserInfo Woanware Extrae información relacionada con los usuarios en

Windows utilizando los ficheros SAM, SOFTWARE y

SYSTEM hives también desencripta hashes LM/NT.

FoxAnalysis forensic-

software

Herramienta que permite el análisis del histórico

de internet de firefox.

FTK Imager AccessData Herramienta para adquirir, montar y analizar de

forma básica imágenes de equipos. También es

capaz de volcar la memoria a fichero. Muy

completa

Gmail Parser Woanware Obtiene de ficheros HTML información que se ha

'cacheado' al utilizar 'artefactos' de Gmail

http://www.digital-forensic.org/

http://www.moonsols.com/ressources/

http://www.nucleustechnologies.com/download-exchange-edb-viewer.php

http://www.guidancesoftware.com/forensic.htm

http://www.jadsoftware.com/go/?page_id=167

http://www.takenet.or.jp/~ryuuji/minisoft/exifread/english/download.html

http://ipmsg.org/tools/fastcopy.html.en

http://www.ridgecrop.demon.co.uk/index.htm?fat32format.htm

http://www.informatica64.com/herramientas.aspx

http://www.sandersonforensics.com/forum/list.php?category/46-Free-Software


http://www.woanware.co.uk/?page_id=42

http://forensic-software.co.uk/default.aspx

http://accessdata.com/support/adownloads



http://www.woanware.co.uk/?page_id=115



HashMyFiles Nirsoft Calcula hashes MD5 y SHA.

Highlighter Mandiant Examina ficheros log usando texto, gráficos o

histogramas.

IECacheView Nirsoft Lee los ficheros de la cache de Internet Explorer y

lo visualiza en una lista.

IECookiesView Nirsoft Extrae detalles de las cookies de Internet Explorer.

IEHistoryView Nirsoft Extrae las visitas recientes de las URL's de Internet

Explorer.

IEPassView Nirsoft Extrae las passwords de Internet Explorer en las

versiones 4 a 8.

KaZAlyser Sanderson

Forensics

Extrae información del famoso programa P2P

KAZA.

Live View CERT Permite al analista examinar y 'arrancar' imágenes

en formato dd y VMware. También muy útil

LiveContactsView Nirsoft Visor que permite exportar los contactos y otros

detalles de Windows Live Messenger.

Mail Viewer MiTeC Maravilloso visor de Outlook Express, Windows

Mail, Windows Live Mail, Mozilla Thunderbird y

ficheros basados en ficheros EML.

Memoryze Mandiant Adquiere y analiza imágenes RAM. Lo bueno es

que permite analizar el fichero pagefile en

sistemas vivos.

MFTview Sanderson

Forensics

Muestra y decodifica contenidos extraídos en

ficheros MTF.

MobaLiveCD Mobatek Ejecuta un ISO Linux desde Windows sin tener que

reiniciar. Basado en QEMU. Para utilizar servidores

FTP sin tener que tocar Windows.

MobilEdit MobilEdit Recoge todos los datos posibles desde el teléfono

móvil, a continuación, genera un amplio informe

que se puede almacenar o imprimir. Soporta la

mayoría de los móviles.

Motorola Tools

"Flash & Backup" - actualiza el firmware y "M-

Explorer" - administrador de archivos pequeños,

fáciles de usar y gratis

http://www.nirsoft.net/utils/hash_my_files.html

http://www.mandiant.com/products/free_software/highlighter/

http://www.nirsoft.net/utils/ie_cache_viewer.html

http://www.nirsoft.net/utils/iecookies.html

http://www.nirsoft.net/utils/iehv.html

http://www.nirsoft.net/utils/internet_explorer_password.html


http://liveview.sourceforge.net/

http://www.nirsoft.net/utils/live_messenger_contacts.html

http://www.mitec.cz/mailview.html

http://www.mandiant.com/products/free_software/memoryze/


http://mobalivecd-en.mobatek.net/

http://www.mobiledit.com/



MozillaCacheView Nirsoft Lee los ficheros de la cache de Mozilla y visualiza

en una lista lo que se encuentra almacenado.

MozillaCookieView Nirsoft Extrae detalles de las cookies de Mozilla.

MozillaHistoryView Nirsoft Herramienta que permite el análisis del historico

de internet de Mozilla.

MyLastSearch Nirsoft Extrae búsquedas utilizadas en los buscadores mas

populares (Google, Yahoo y MSN) también en

redes sociales (Twitter, Facebook, MySpace)

Netdetector Niksun Analizador de red y detector de intrusiones

Netwitness

Investigator

Netwitness Analizador de paquetes de red. Increíblemente

bueno.

NetworkMiner Netresec Programa de captura con el fin de detectar los

sistemas operativos, las sesiones, los nombres de

host, Puertos abiertos, etc.

Notepad ++ Notepad ++ Ya jamás volveré al notepad clásico después de

utilizar este Notepad.

OperaCacheView Nirsoft Lee los ficheros de la cache de Opera y visualiza en

una lista lo que se encuentra almacenado.

OperaPassView Nirsoft Desencripta las password del fichero 'wand.dat' de

Opera.

Oxygen Oxygen Herramienta comercial analiza todos los datos

disponibles de un móvil. No puedo vivir si ella.

P2 eXplorer Paraben Realiza montajes virtuales de unidades y de

imágenes. Casi toda la suite, por no decir toda es

muy interesante y útil.

P2 Shuttle Free Paraben Suite maravillosa que permite montar

remotamente discos, captura de tráfico de red, de

RAM, utilidades de búsqueda etc.

Paraben Forensics Paraben Al igual que las anteriores, recoge todos los datos

posibles desde el teléfono móvil, a continuación,

genera un amplio informe que se puede almacenar

o imprimir.

PasswordFox Nirsoft Extrae usuario y contraseñas almacenadas en

Mozilla Firefox.

http://www.nirsoft.net/utils/mozilla_cache_viewer.html

http://www.nirsoft.net/utils/mzcv.html

http://www.nirsoft.net/utils/mozilla_history_view.html

http://www.nirsoft.net/utils/my_last_search.html

http://www.netwitness.com/products-services/investigator-freeware

http://www.netwitness.com/products-services/investigator-freeware

http://notepad-plus-plus.org/

http://www.nirsoft.net/utils/opera_cache_view.html

http://www.nirsoft.net/utils/opera_password_recovery.html

http://www.oxygensoftware.com/es/

http://www.paraben.com/p2-explorer.html

http://www.paraben-enterprise.com/shuttle-free.html

http://www.nirsoft.net/utils/passwordfox.html



Process Monitor Microsoft Examina los procesos windows y permite hacer un

seguimiento en tiempo real del registro y accesos

a disco. Excelente y genial herramienta

PST Viewer Lepide Software Abre y visualiza (tampoco exporta) ficheros PST sin

necesidad de Outlook.

PsTools Microsoft Maravillosa Suite de utilidades en modo comando.

Siempre lo llevo encima.

recuva Piriform Has querido recuperar tus ficheros en Windows?

Entonces esta es tu utilidad

Registry Decoder Digital Forensics

Solutions

Para la adquisición, análisis e informe del

contenido del registro.

RegRipper Harlan Carvey Herramienta de correlación y extracción de

evidencias forenses del registro.

Regshot Regshot Realiza snapshots del registro con objeto de

comparar y ver los cambios que se producen. Ideal

para ver que hace un malware.

rstudio Es una suite de software de recuperación de datos

que puede recuperar archivos de FAT (12-32),

NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD,

Solaris), ext2/ext3 (Linux

Shadow Explorer Shadow Explorer Visualiza y extrae ficheros de copias shadow. Lo

utilizo en busca de malware.

SIFT SANS VMware Appliance de SANS configurado con

multiples herramientas para el análisis forense.

SkypeLogView Nirsoft Analizador del famoso Skype

Snort Snort El mas versatil y magnifico detector de intrusos.

SQLite Manager Mrinal Kant,

Tarakant

Tripathy

add-on en Firefox que permite ver contenidos de

bases de datos SQLite.

Strings Microsoft No puedo vivir sin el. Busca contenido de texto en

ficheros.

Structred Storage

Viewer

MiTec Visualiza y maneja estructuras basadas en ficheros

MS OLE.

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

http://www.nucleustechnologies.com/pst-viewer.html

http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

http://www.piriform.com/recuva

http://www.digitalforensicssolutions.com/registrydecoder/

http://regripper.wordpress.com/program-files/

http://sourceforge.net/projects/regshot/files/

http://www.shadowexplorer.com/

http://computer-forensics.sans.org/community/downloads/

http://www.nirsoft.net/utils/skype_log_view.html

http://www.snort.org/

mhtml:file://C:/Documents%20and%20Settings/usuario/Mis%20documentos/ConexionInversa%20Resultados%20de%20la%20búsqueda%20de%20HERRAMIENTAS%20FORENSES.mht!https://addons.mozilla.org/en-US/firefox/addon/sqlite-manager/

http://technet.microsoft.com/en-gb/sysinternals/bb897439.aspx

http://www.mitec.cz/ssv.html

http://www.mitec.cz/ssv.html



Suite Getdata getdata Magnifica suite de herramientas forenses para el

montaje de discos virtuales, imágenes y

recuperación y análisis de datos.

Triana Tools Informatica64 Herramienta indispensable para el análisis forense

de IPHONE del magnifico Juanito. Si la quieres te la

proporcionan si vas a los cursos

Ubuntu guide How-To Geek Guia para usar con Unbuntu live con objeto de

utilizar recuperación de particiones, ficheros, etc.

UFED Cellebrite Es el sistema más completo que combina la

extracción lógica y física, la recuperación de clave

de acceso

Unhide Security By

default

Si quieres detectar procesos 'raros' este es tu

software

USB Device Forensics Woanware Detalles de las unidades USB que se han

conectado a un equipo.

USB Write Blocker DSi Habilita la posibilidad de escribir o bloquear

puertos USB.

USBDeview Nirsoft Habilita la posibilidad de escribir o bloquear

puertos USB.

UserAssist Didier Stevens Muestra una lista de programas que se han

ejecutado incluyendo última ejecución, número de

veces y fechas y horas.

VHD Tool Microsoft Convierte discos e imágenes al formato VHD que

se puede montar en Windows.

VideoTriage QCC Produce miniaturas de ficheros de video con

objeto de apreciar imágenes o movimientos

perdidos en la película.

Volatility Framework Volatile Systems Framework que se compone de una colección de

herramientas para la extracción de ficheros RAM.

Maravillosa herramienta para la detección de

Malware. La tengo configurada en SIFT de SANS.

Web Historian Mandiant Magnifica herramienta que reúne las anteriores y

permite de los navegadores mas utilizados obtener

el histórico de navegación.

http://www.getdata.com/

http://www.howtogeek.com/howto/15761/recover-data-like-a-forensics-expert-using-an-ubuntu-live-cd/

http://www.cellebrite.com/

http://www.securitybydefault.com/p/herramientas-sbd.html

http://www.woanware.co.uk/?p=280

http://document-solutions.biz/downloads/?did=9

http://www.nirsoft.net/utils/usb_devices_view.html

http://blog.didierstevens.com/programs/userassist/

http://archive.msdn.microsoft.com/vhdtool

http://www.qccis.com/forensic-tools

mhtml:file://C:/Documents%20and%20Settings/usuario/Mis%20documentos/ConexionInversa%20Resultados%20de%20la%20búsqueda%20de%20HERRAMIENTAS%20FORENSES.mht!https://www.volatilesystems.com/default/volatility

http://www.mandiant.com/products/free_software/web_historian/



WindowsFile

Analyzer

MiTeC Otra maravillosa suite para analizar ficheros

thumbs.db, Prefetch, INFO2 y .lnk.

Windows Forensic

Environment

Troy Larson Guia de Brett Shavers para crear y trabajar con un

CD que arranque un Windows (Similar a Windows

PE).

Wireshark Wireshark Algo que decir de esta maravillosa herramienta?

Xplico xplico Entorno gráfico para poder entender y visualizar el

contenido de ficheros PCAP.

Informe Pericial Telemático Estructura de un Informe Pericial Informático.

PORTADA

Titulo del informe

Número de Expediente

TABLA DE CONTENIDOS

INFORMACIÓN IDENTIFICATIVA

ASUNTO

Nombre TITULO DE LA PERICIA

Descripción

http://www.mitec.cz/wfa.html

http://www.mitec.cz/wfa.html

http://winfe.wordpress.com/

http://winfe.wordpress.com/

http://www.wireshark.net/

http://www.xplico.org/



BREVE DESCRIPCIÓN DEL MOTIVO DE LA PERICIA

CLIENTE PETICIONARIO

Nombre

Representado por

Teléfono e-mail

Dirección

CONTACTO INICIAL

Fecha Hora / Duración

Vía

PROFESIONAL ANTPJI

Titular

Nombre .

Teléfono e-mail

Soporte

Nombre

Teléfono e-mail

Domicilio Social

INFORMACIÓN DECLARATIVA

Declaración de Abstención y Tachas

El firmante del presente informe o dictamen, en lo concerniente a los temas y alcance

tratados,

Así como las partes y terceros involucrados o afectadas por el mismo y conocidos hasta este

momento, en base a los expresados en el art. 105 de la Ley de Enjuiciamiento Civil y el art. 219

De la Ley Orgánica del Poder Judicial,

DECLARA,

a priori y en la fecha de elaboración del informe, desconocer causa o motivo alguno por la que

deba de abstenerse de la realización del presente informe.

Y en base al art. 343 de la Ley de Enjuiciamiento Civil,



DECLARA,

a priori y en la fecha de elaboración del informe, conocer causa o motivo alguno por el cual el

perito pueda ser tachado por Tercero interesado o Parte en un proceso judicial derivado de las

acciones posteriores llevadas a cabo con el presente informe o dictamen judicial.

Declaración o Juramento de Promesa

El perito firmante del presente informe o dictamen, en lo concerniente a los temas y el alcance

tratados en el mismo, y en base a lo expresado en art. 335 de la Ley de Enjuiciamiento Civil,

DECLARA,

decir la verdad y haber actuado con la mayor objetividad e imparcialidad posible tomando en

consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a

tercero o parte solicitante del informe y conoce las responsabilidades civiles, penales,

disciplinarias y asociativas que comporta la aceptación de la elaboración de un informe

o dictamen judicial.

Asimismo, bajo su única responsabilidad,

DECLARA,

que lo expresado y reflejado en el presente informe o dictamen pericial está basado en

los hechos, información y circunstancias que se han podido constatar, por medio

de los conocimientos propios y la experiencia adquirida a lo largo de la trayectoria

profesional, quedando las conclusiones siempre sujetas y abiertas a la consideración

de nuevas informaciones, exámenes y aportaciones o de un mejor criterio u opinión

que pudiese ser aportado.

INFORMACIÓN DESCRIPTIVA

Antedecedentes del asunto

Asunto que se expone

INFORMACIÓN APORTADA / UTILIZADA

Se menciona toda la información aportada por el cliente, y la que hemos utilizado para la

elaboración de la pericia así como su tratamiento para realizar el informe.

DICTAMEN Y CONCLUSIONES

ANEXOS



Guía del Peritaje Informático

Introducción

Esta guía tiene como objeto el difundir un protocolo común, y homogeneizar la realización de

peritajes informáticos, especialmente los orientados a recuperar documentos e imágenes.

Para la elaboración de un dictamen, es necesario la obtención de evidencias electrónicas de los

equipos informáticos, tanto los que existen como los que han sido borrados o eliminados y que

pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia.

No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han

solicitado nuestra pericia que pueden tener una relevancia jurídica informando de su

contenido y no otros.

Debemos de:



Mantener segura la “cadena de custodia” asegurando la nulidad del proceso

En nuestra intervención, deberemos de seleccionar los elementos relevantes,

descartando los demás equipos tecnológicos, previo examen inicial

Detallar los pasos en nuestra intervención al igual que el uso de programas y

herramientas que hemos utilizado en nuestra pericia.

Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas

No alterar los elementos informáticos originales, trabajando con copias clónicas.

Realizar el informe pericial, repasándolo varias veces, antes de la entrega al cliente,

analizando todos los posibles errores en su confección. Cuanto más claro e irrefutable

sea el dictamen, la ratificación en juicio será menor, aunque muchas veces sea preciso

nuestra presencia en el juicio.

Primera Intervención Pericial Cuando realicéis la primera intervención, deberéis de estar atentos a lo que hay a vuestro

alrededor, quien maneja los equipos informáticos, empleados, personal externo,

proveedores… identificar al informático o responsable del departamento informático, quien es

el encargado de la seguridad informática, cuantas personas acceden a la empresa desde la red

como el web máster, proveedores de servicios, comerciales, directivos…

Especial atención a los aparatos y equipos tecnológicos como:

Equipos informáticos, tanto equipos de sobremesa como portátiles

Servidores

Smartphone

Tablet

Agendas electrónicas

E-Book

PDA

Pen drives

Discos Duros

Reproductores

MP3

Dispositivos USB

Grabadores de Tarjetas Magnéticas

Discos Ópticos CDs y DVS, eliminando los grabados por los fabricantes

Programas de instalación

Teléfonos móviles

Impresoras

Fotocopiadoras...

Procedimiento Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la reseña y

ficha del señalando en el momento que fueron encontrado en el lugar de la intervención y con



las características técnicas de cada elemento, tanto si están en funcionamiento como

apagados

Equipo

Marca

Modelo

Numero de Serie



Es importante que nadie en el momento de nuestra intervención, manipulen los equipos con el

objeto de que alguien introduzca algún archivo que invalide el peritaje y si se ha de proceder al

apagado de algún equipo, retiraremos la corriente eléctrica, para no perder ficheros

temporales significativos. De esta manera no dará lugar a conjeturas acerca del proceso de la

cadena de custodia en el peritaje inicial.

Nuestra actuación en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague

consistirá en la copia de los discos duros, memorias y similares mediante las docking station de

grabación y utilizando las herramientas y programas forense que utilizamos normalmente.

Si en nuestra intervención, normalmente judicial hay que intervenir los equipos, deberemos de

realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la

siguiente manera:

Ordenadores de sobremesa: Comprobamos si las lectoras tienen algún disco óptico, si

hay algún pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos

al apagado el ordenador, desenchufando directamente de la corriente para no perder

archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los

discos duros.

Ordenadores Portátiles: comprobamos si hay algún disco óptico en la lectora, si i hay

alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batería

y procedemos a la extracción del disco duro, sabiendo que algunos equipos portátiles

tienen dos discos duros.

Discos Ópticos: anotaremos el número de serie que está en el orificio central

Todos los discos tanto rígidos como ópticos han de ser firmados y guardados en bolsas

antiestáticas

Todos los demás equipos tecnológicos de la intervención deberán inventariarse, firmarse y

guardarse en bolsas antiestáticas por separado, con sus cargadores correspondientes.

Trabajo en nuestro laboratorio Forense Informático Aconsejo la utilización de una cámara videograbadora que nos servirá a nosotros para saber

todo el proceso que hemos realizada, y nos ayudara a corregir los errores habituales.

Nuestra mesa de trabajo a de estar aséptica y contar con las herramientas, programas y

ordenadores que tendrán diferentes sistemas operativos.

Procederemos a las lecturas de los discos rígidos, ópticos, pendrives y demás elementos; con

los distintos soportes operativos, ordenadores, docking station y elementos que componen

nuestro laboratorio forense informático.

Realizaremos una recuperación de posibles archivos borrados, para localizar archivos

potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y

recuperado en el informe, explicando el método por el que se a obtenido, indicando los

programas y las herramientas.

Aquellos archivos que no podamos leer por tener archivos dañados, encriptación, daño físico o

similar se enviaran a la cámara de vacío de los laboratorios de recuperación de datos.



Para la localización de archivos en los discos clonados, necesitaremos discos limpios y sistemas

auto arrancables para no alterar ningún dato que pudiera invalidar la prueba pericial.

Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas,

etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados

para evitar la manipulación futura.

Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con

detenimiento carpetas y subcarpetas, y antes de la eliminación de cada uno de ellos, mirar las

propiedades y su peso, ya que pueden estar ocultos o encriptados.

Además de la transcripción escrita, indicando la ruta completa del archivo, fecha de creación

del fichero, usuario del equipo informático y su localización, hay que imprimir un pantallazo,

con indicación única del archivo, carpeta o dato encargado en la pericia.

Es habitual el uso de remotos para la realización de actos delictivos, con lo que si en los

archivos aparece la manipulación de archivos desde otra ip distinta al ordenador de la pericia,

reseñar la ip manipuladora.

Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el

que se habría normalmente, es recomendable el block de notas o utilizar un sistema

independiente como Linux.

Informe Pericial El informe pericial es una primera valoración por el perito que se entrega generalmente al

consejero jurídico del cliente, para poder examinar las evidencias electrónicas halladas y dirimir

como se va a llevar el proceso en vista a las pruebas obtenidas.

Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no

tecnicista los datos obtenidos.

Dictamen con Conclusiones Cuando recibimos la contestación del asesor legal y el visto bueno del cliente que nos realizado

la provisión de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisión

de un dictamen de la pericia encargada con las conclusiones finales.

En dicho dictamen, se indican que componentes informáticos, se han encontrado los ficheros

relevantes y el resumen de su contenido de la evidencia digital, referenciándose en el informe

como evidencia electrónica relevante.

Todos los dictámenes han de tener una excelente caligrafía con lo que el ordenador es una

opción recomendable, cuidando la revisión de faltas ortográficas, no escatimando en cuanto a

la presentación, numero de hojas ni discos ópticos en donde están las evidencias electrónicas

vinculantes al esclarecimiento del caso.

En nuestro dictamen tiene que constar:

Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos

personales, identificándose con el carnet profesional)



Número de diligencias y Juzgado

Objeto de la Pericia

Identificación del Perito

Si pertenece a alguna Organización o Colegio Profesional

Inventario de los equipos analizados con sus fichas técnicas y la procedencia de los

mismos

Herramientas y programas utilizados

Informe imparcial de las evidencias obtenidas, describiendo desde la recepción de

equipos hasta la obtención de las evidencias electrónicas relevantes, describiendo el

protocolo utilizado en la cadena de custodia, copias y obtención de datos, detallando

las características de los equipos que forman la pericia, enumerando los equipos

informáticos y los ficheros y datos enumerados.

No olvidaros de firmar el dictamen con vuestros datos profesionales y teléfono de

contacto

Se devuelven todos los materiales informáticos intervenidos y guardamos una copia del

dictamen pericial que nos servirá de archivo y de refresco para una posible ratificación de

nuestra pericia en un juicio.

También es conveniente realizar una copia de los discos ópticos relevantes y los discos rígidos.

Ratificación Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelación

suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos

ordenados y enumerados.

Nuestra actuación en el juicio es básicamente la de ratificarnos en el dictamen realizado,

pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrónicas

halladas.

Con lo que es muy importante la presentación de un dictamen con la letra legible, con

indicación de todo el protocolo y la enumeración de equipos en los que hemos realizado la

pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al oír el

dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que

el trabajo se multiplica y mermara nuestra reputación.



Como realizar una auditoría telemática Antiguamente la comprobación de la gestión, control y actividad económica-financiera de las

empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditoría

financiera.

La implantación de sistemas informáticos, deja anulado estos sistemas, debido a que hay que

no pueden detectar las entradas y salidas generadas y si habían sido objeto o no de

manipulación.

Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria

informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de

activos; capaz de detectar ataques internos como externos.

Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin

es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en

el que describimos:

Equipos instalados, servidores, programas, sistemas operativos…

Procedimientos instalados

Análisis de Seguridad en los equipos y en la red

Análisis de la eficiencia de los Sistemas y Programas informáticos

Gestión de los sistemas instalados

Optimización del Parque Informático (Software y Hardware)

Verificación del cumplimiento de la Normativa vigente LOPD

Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de

trabajo, redes de comunicaciones, servidores.

Protocolo de Seguridad ante una amenaza tecnológica

Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el

establecimiento de las

medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que

permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores

cometidos con anterioridad.

Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la

situación exacta de sus activos de información en cuanto a protección, control y medidas de

seguridad.

Una Auditoria de Seguridad conlleva:

Amenazas y elementos de Seguridad de entrada y salida de datos.

Aspectos Gerenciales

Análisis de Riesgos

Identificación de amenazas.

Seguridad en Internet



Control de Sistemas y Programas instalados

Protocolo de Riesgos, Seguridad, Seguros, Programas instalados…

Protocolo ante perdidas, fraude y ciberataques

Planes de Contingencia y Recuperación de Desastres

Seguridad Física

Seguridad de Datos y Programas

Plan de Seguridad

Políticas de Seguridad

Medidas de Seguridad (Directivas, Preventivas y Correctivas)

Cadena de Custodia

LOPD

Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan

de Auditoria

Informática que oriente sobre la planificación de un sistema seguro y un plan de emergencia

ante posibles desastres; implementando una metodología a seguir en caso de que ocurra

alguna vulnerabilidad.

Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el

control interno y evitar situaciones no deseadas.

Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan

determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contra-

ataque. Los servicios de auditoría pueden ser de distinta índole:

• Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y

privacidad de las redes locales y corporativas de carácter interno

• Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o

corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas

exteriores

• Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta

acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un

complemento fundamental para la auditoría perimetral.

• Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior

de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la

par que se valoran los daños ocasionados.

• Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando

vulnerabilidades.



• Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web

como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

• Auditoria de Seguridad ante la amenaza de un ataque cibernético, extorsión empresarial

cibernética y creación de un gabinete y protocolo de actuación ante cualquier ataque, chantaje

o fuga de datos.

• Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de

buenas prácticas que garanticen la seguridad de los sistemas.

Existen estándares base para auditorias informáticas como:

COBIT (objetivos de Control de la Tecnológica de la Información)

ISO 17799

ISO 27001

ISO 27002

Normas NFPA75

TIA 942

ISACA

ANBASO (Certificación propia de ANTPJI para Software) ANBAET(Certificación propia de ANTPJI

para Hardware)

No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario

actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informático a la

hora de implantar un modelo de Auditoria de Seguridad Informática sería el siguiente:

Estudio General, evaluando la empresa, el personal, equipos y programas

Observación de los sistemas implantados y realización de cuestionarios y entrevistas,

sobre todo al personal que tenga acceso a documentación o datos sensibles.

Elabora gráficos estadísticos y flujogramas.

Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis

de código de programas, Datos de prueba, Datos de prueba integrados, Análisis de

bitácoras, Simulación paralela)

Enumera los equipos, redes, protocolos

Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados

Identifica y confirma todos los sistemas operáticos instalado

Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y

fallas (OJO con el factor humano)



Diseña controles y medidas correctivas en las actividades y recursos dentro de la

empresa.

Conciencia sobre la normativa y legislación vigente

Realiza un completo Análisis de Riesgos.

Realiza un informe completo sobre la implantación de la Auditoria de Seguridad,

implantación de medidas preventivas y protocolo de Seguridad a instalar

Emite un certificado de Seguridad de Auditoria Informática

Visitas cada tres meses para la comprobación de la aplicación de las normas.

Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y

personas.

Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando

al personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con

un lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un

ataque externo.

Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa

exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas

organizacionales.

Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el

personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las

visitas de control que se indiquen según el número de empleados y facturación de la empresa.

El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de

la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido

o sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque.

No solo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento,

al igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de

los controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan

meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches,

actualizaciones de software, adquisición de nuevos productos tanto en software como

hardware.

Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables

de personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste

aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales

y la forma de superarlos.



No olvidemos que adquirimos responsabilidades no solo con la persona con la que

contratamos, sino con un número de personas desconocidas que van a utilizar el resultado de

nuestro trabajo como base para tomar decisiones.

Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, sólido maduro, para

juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos

El informe inicial de Auditoria de Seguridad Informática ha de contener:

• Tipo de Auditoria a instalar (Ámbito, Aplicación, y Planificación de la misma)

• Riesgos actuales

• Seguridad física y lógica del Centro Tecnológico (Central, Servidores)

• Auditoria de dirección y personal autorizado a integrar en la Auditoria

• Auditoria del desarrollo del negocio (Física, Forense y Financiera)

• Base de Datos ( LOPD, normativa, irregularidades, correos personales)

• Implantación de medidas de seguridad

• Análisis de Negocio Electrónico y administración de la WEB

• Aplicación de técnicas y procedimientos de auditoría forense.

• Aplicación de nuevas tecnologías en equipos o programas en la Empresa.

• Aplicación de los sistemas instalados ante incidentes Protocolo de Seguridad ante ataques

cibernéticos

Curso de gestión de conocimiento al personal sobre:

Amenazas y problemas en el uso de las tecnológicas de información

Conceptos de Seguridad

Control de Confidencialidad

Correos

Redes sociales

Privacidad

Instalación de programas

Medidas de control ante un ataque

Normas de seguridad a instalar en la empresa

Normativa de seguridad

SCII Sistema de Control Informático Interno

Riesgos y control de los mismos



Como se realiza un peritaje telemático para un cliente ANTPJI ofrece un servicio integral de Asesoramiento Técnico gratuito para poder solucionar sus

dudas o problemas en cuanto a Delitos Informáticos, Consultoría Informática, Auditoria de

Seguridad Informática o Peritaje telemático.

El protocolo de actuación empieza con la toma de contacto bien por correo electrónico

[email protected] o de manera telefónica, donde atenderemos su consulta.

A continuación ha de rellenar la solicitud de un Perito Telemático que puede realizarlo desde

nuestra web www.antpji.com

En esta primera toma de contacto el cliente en solitario o con su asesor laboral y el Perito

Telemático llevara a cabo un análisis de la situación inicial con la información facilitada por el

propio cliente donde se determinaran los objetivos de la consulta o investigación y se

establecerá el procedimiento a seguir para la extracción de las evidencias electrónicas

determinantes para la labor y se estiman los costos y tiempos de ejecución.

Presupuesto del servicio: Tras el análisis inicial, se realiza un presupuesto del servicio que incluye la tarificación de las

acciones llevadas a cabo para la Auditoria de Seguridad Informática o para la obtención de

evidencias informáticas. Se realiza una valoración inicial, detallando las partidas referentes a

horas realizadas, desplazamientos, labores técnicas del laboratorio forense, redacción y

elaboración de informes, actuación de otros profesionales… para que el cliente sepa de manera

transparente la operatividad del proceso y los costos del mismo.

Aceptación del presupuesto: El cliente recibe el presupuesto y si está conforme, lo devuelve firmado y sellado, dando

comienzo a la siguiente fase.

AUDITORIA INFORMATICA Tras la toma de contacto, se procede a la visita en donde se encuentran los equipos

informáticos para detectar las posibles deficiencias , realizándose un test de penetración, por

donde puede haber problemas en cuanto a la Seguridad Informática.

El Perito telemático realiza un análisis exhaustivo de dichos elementos, para posteriormente

elaborar un manual de seguridad, estableciendo una formación del personal implicado en los

procesos de seguridad informática o que manejen datos sensibles tanto internos como

externos.

Finalizado la Auditoria de Seguridad, el perito informático redactara el informe final y

establecerá un calendario de mantenimiento de Seguridad.

PERITAJE TELEMÁTICO Desarrollo de la investigación y elaboración del Informe:



Tras la toma de contacto, se procede a efectuar la recogida de evidencias electrónicas,

asegurando la cadena de custodia con el fin de que no existan motivos de anulación por

manipulación de los equipos tecnológicos que puedan intervenir en la investigación (equipos

informáticos, teléfonos, Smartphone, discos de almacenamiento…)

Posteriormente los datos obtenidos serán trasladados al Laboratorio Forense Telemático,

donde el Perito realizara un informe inicial que entregara antes de 78 horas al al cliente y en

donde constara la transcripción del proceso, la metodología empleada en la extracción de la

evidencia digital, las herramientas y programas utilizados, así como todos los test realizados

para la elaboración y análisis final.

Finalizado el análisis, el perito informático comienza a redactar el informe pericial que

presentará ante los Tribunales de Justicia.

Declaración ante Tribunales: En caso de que sea necesario, el perito informático de ANTPJI que ha elaborado el informe,

testificará ante los Tribunales de Justicia para aportar las conclusiones de la investigación.

Los Tribunales de Justicia aceptan la metodología empleada por los técnicos de ANTPJI, ya que

los procesos de examen realizados en el laboratorio, no alteran la información almacenada en

los soportes informáticos, garantizando así la conservación de la evidencia electrónica en

perfecto estado. Además, el cuidadoso protocolo de Peritaje Informático desarrollado por

ANTPJI garantiza la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su

adquisición hasta su presentación ante los tribunales.



Guía de buenas prácticas para el peritaje telemático en

recuperación de imágenes y documentos Esta guía de buenas prácticas tiene como objeto el difundir un protocolo común, y

homogeneizar la realización de peritajes informáticos, especialmente los orientados a

recuperar documentos e imágenes.

Estas buenas prácticas son el resultado de variadas experiencias en la realización de

pericias Informáticas, así como de la consulta de documentación referente al tema. Son

una plasmación de los códigos de práctica y conducta de la Asociación Nacional de Peritos

Judiciales Informáticos.

El ámbito del peritaje informático en recuperación de imágenes y documentos está

orientado a extraer de equipos informáticos intervenidos aquellos ficheros que puedan ser

relevantes, muchas veces en un contexto de ámbito penal, aunque también puede seguirse,

exactamente el mismo procedimiento, para el ámbito civil u otros. La lógica del peritaje

de este tipo está basada en presentar el contenido de ficheros que puedan tener

relevancia jurídica, informando de su significado y características.

Esos ficheros deben haberse mantenido en una "cadena de custodia", por lo que se detallarán

los pasos desde que se intervienen o reciben los equipos informáticos, hasta que se presentan

los ficheros relevantes. El peritaje ha de poder ser repetido, por lo que no se pueden alterar

los elementos informáticos originales, trabajándose siempre sobre copias clónicas. La mayoría

de estos peritajes están referidos a ordenadores de usuario con sistema operativo Windows.

Para efectuar peritajes en equipos servidores y/o en otros sistemas operativos.

Seguiremos un protocolo estandarizado con las adaptaciones que requiera el informe, cliente o

entorno; pero básicamente serán cuatro pasos:

1. Intervención. Se intervienen los elementos informáticos.(Conveniente la presencia de

un notario)

2. Examen y revisión visual, descartándose los elementos informáticos irrelevantes y se

preparan los demás, inventariándose e indicándose su ficha técnica, localización,

estado y datos relevantes.

3. Exploración de ficheros. Se localizan, imprimen y describen los ficheros informáticos

relevantes.

4. Informe pericial. Se confecciona el informe, y se cierra el peritaje.

Siguiendo estas precauciones, el peritaje se explicará por sí mismo, y el perito simplemente

se remitirá a lo ya expuesto en su peritaje. Cuanto más claro e irrefutable el peritaje,

menos presencia posterior del perito.



1.- INTERVENCION

En la entrada a los locales donde estén los equipos informáticos, se deberá acudir provisto de:

Ordenador portátil

Cámara fotográfica

Vídeo, rotulador para CD

Destornilladores varios

Estación de clonado de discos

La máquina fotográfica será utilizada para obtener imágenes de las pantallas de los

ordenadores, en el caso de que estuvieran en funcionamiento. También se fotografiarán los

equipos.

No se deberá permitir que nadie toque los ordenadores encendidos bajo ningún concepto.

La forma de apagar los ordenadores es directamente quitándoles la energía eléctrica. Esto

se debe a que, en un apagado ordenado, parte de los ficheros temporales, que pudieran ser

significativos, serían automáticamente borrados. Tampoco se tiene la garantía de que, en

el proceso de apagado, no se borren o introduzcan intencionadamente ficheros, lo que

podría invalidar el peritaje. De esta manera, apagando los equipos sin ninguna

manipulación, no ha lugar a ningún tipo de conjetura sobre la cadena de custodia. Un perito

profesional informático podría, antes de apagar, extraer una imagen pericial del estado

de los procesos en ejecución mediante herramientas periciales del tipo de Forensic

and Incident Response Environment. Si se quitase algún cable antes de apagar, quizá se

disparase un auto apagado, lo que se debe evitar.

Los elementos a peritar en una intervención son fundamentalmente los soportes de

datos. Los siguientes elementos informáticos no son Relevantes a efectos de pericias

informáticas:

Pantallas de ordenador

Teclados y ratones

Impresoras

Equipos de telecomunicaciones

Cables

CD o DVD grabado en fábrica

Aquellos equipos que no almacenen datos

De todos estos elementos lo único que se debe hacer es inventariarlos, y fotografiarlos,

para poder señalar en su momento que fueron encontrados en el lugar de la

intervención. Físicamente, su peritación no aportaría ninguna luz. En el caso de las

impresoras, no hay un método eficiente para individualizar una en concreto a través de su

"huella" en el papel, por lo que no son relevantes en peritajes informáticos.



Se deberán intervenir los siguientes elementos informáticos:

Ordenadores (sobremesa, portátiles y agendas PDA)

Discos ópticos -CD y DVD- (excepto los grabados en fábrica)

Discos flexibles -disquetes-

Discos duros de ordenador

Unidades de almacenamiento externas (PenDrive, Reproductores MP3, Discos,

Memorias, dispositivos USB…)

Teléfonos móviles (almacenan datos, mensajes, agendas e información relevante)

Todo tipo de soporte de almacenamiento permanente de datos en general.

Los lectores grabadores de tarjetas magnéticas (si existiesen) se intervendrán, por ser

equipos que habitualmente carecen de uso fuera de la manipulación de tarjetas.

Todos los soportes de datos deberán ser inventariados.

Los discos duros tienen número de serie. Los discos ópticos suelen tener un número

de serie en la parte transparente del orificio central. Los discos flexibles tienen

números de serie frecuentemente repetidos, y eso cuando los tienen. Una alternativa es

firmar con un rotulador de CD todos los discos ópticos y discos flexibles intervenidos.

Los ordenadores portátiles deben ser intervenidos, por la dificultad que entraña extraer

sus sistemas de almacenamiento en el mismo lugar de la intervención.

En los ordenadores de sobremesa se recomienda extraer e intervenir sus sistemas

de almacenamiento. La carcasa, CPU, placas, memoria RAM y otros componentes del

ordenador no tienen interés a efectos de pericias informáticas. Sólo los sistemas de

almacenamiento permanente de datos son relevantes.

Para extraer los sistemas de almacenamiento de datos de un ordenador de sobremesa,

normalmente solo se necesita un destornillador de estrella y seguir las siguientes

instrucciones:

1. Apagar el ordenador

2. Quitar la carcasa

3. Desconectar el cable de datos (normalmente IDE) y de alimentación del disco duro

4. Quitar los tornillos al disco duro

5. Extraer el disco duro SIN TOCAR LOS CIRCUITOS (peligro de daños)

6. Firmar el disco duro

7. Guardar el disco duro en un sobre antiestático o de papel

8. Una vez extraído el o los discos duros, se volverá a conectar el ordenador, para

abrir el lector de CD y extraer algún CD, DVD o disquete que hubiera dentro

9. Inventariar los números de serie del ordenador y de los elementos extraídos y

fotografiarlos



2.- REVISION PRELIMINAR Discos flexibles y ópticos

Los discos flexibles y ópticos pueden leerse en cualquier ordenador personal. Se

tomará la precaución de mover la pestaña en los discos flexibles para que queden en posición

de “solo lectura”. Tomadas estas precauciones, los discos ópticos y flexibles

pueden explorarse en cualquier ordenador personal, abriendo los ficheros sin miedo a

alterar el soporte original.

En caso de que un disco de errores de lectura, o esté deteriorado, se le hará una

copia clónica, intentando recuperar los sectores defectuosos, y solo se utilizará la copia

clonada.

Para hacer una copia clónica de un disco flexible, es valido cualquier clonador de CDs, utilizo

una regrabadora de DVD y el Nero, hay otros programas que saltan el antycopi como el Clon

Oves o similar.

Si los sectores defectuosos lo son por daños en el medio físico, da igual que la copia clónica

tenga ese sector dañado de la misma manera o de cualquier otra. Lo importante es que la

copia clónica del disco óptico sea completa.

Discos Duros

La precaución es evitar cualquier modificación del disco duro. Al abrir un fichero, muchos

programas crean un fichero temporal en la misma carpeta. Esto altera el disco duro

original, y no es una buena práctica.

Arrancar un ordenador hace que se modifiquen y escriban múltiples ficheros, por lo que se

ha de evitar siempre.

Se recomienda clonar el disco duro intervenido y explorar la copia clonada. Con esto se

evita modificar en lo más mínimo el disco duro intervenido, lo que podría invalidarle como

prueba pericial.

Para hacer una copia clónica de un disco duro, se necesita un disco duro virgen, un

ordenador de sobremesa, y cualquier programa de copia de discos auto arrancable desde

disquete -que no intervenga para nada el sistema operativo del disco duro-, como puede ser

Drive Image o Knoppix STD. El disco duro copia ha de estar limpio de cualquier tipo de dato

previo. Se recomienda un disco duro de fábrica a estrenar. Si se quiere reutilizar algún

disco duro, previamente habrá que hacerle un formateo completo a bajo nivel,

rellenándolo de ceros binarios.

El objetivo es evitar que sectores existentes en el disco duro que va a recibir la

copia, puedan aparecer como pertenecientes al disco duro intervenido. La copia ha de ser

clónica, incluyendo todos los sectores, para evitar que ficheros en borrado lógico queden sin

copiar. La partición del disco duro intervenido y la de la copia han de tener, por tanto, el

mismo tamaño.



Es admisible que la partición en la copia no sea primaria, sino secundaria o extendida,

para poder poner varios discos duros intervenidos dentro de un solo disco duro de

copia físico. El disco duro copia se etiquetará con las indicaciones de los discos duros

originales intervenidos. Los discos originales intervenidos no se tocarán más.

Soportes de datos de Lectura/Escritura

En cualquier soporte de datos que admita escritura, se utilizará la misma estrategia que en

los discos duros, esto es, se clonarán a un soporte de datos virgen del mismo tipo.

Ordenador portátil

Para obtener una copia de los datos de un portátil existen varias soluciones.

Si el portátil dispone de grabadora de CDs, se arrancará el portátil con un programa con

sistema operativo integrado

(no arrancar desde el disco duro) y se obtendrá una imagen del disco duro en un disco óptico.

El disco óptico se volcará a su vez, a través de un ordenador de sobremesa a un disco duro

virgen.

Otra opción es extraer el disco duro del portátil, y con un adaptador conectarlo a un ordenador

personal, para entonces copiarlo a un disco duro virgen.

En todo caso, nunca se debe arrancar el ordenador portátil desde su disco duro, pues lo

alteraría.

Si estáis familiarizados con Linux o unidades virtuales o incluso es válida la utilización del Hiren

Boot 8 o 9.

Ficheros borrados

Una vez realizada una exploración de los ficheros existentes, se deberá utilizar un

programa de recuperación de ficheros borrados (como el programa Revive) para localizar

potenciales ficheros relevantes que hubiesen sido borrados. El los discos ópticos, se puede

grabar a continuación de lo ya grabado, haciendo inaccesible lo anterior, también se

deberán revisar estas grabaciones previas, si existiesen.

En caso de incluir un fichero borrado y recuperado en el informe pericial, deberá explicarse

prolijamente el método por el que se ha obtenido.

3.- EXPLORACION DE FICHEROS Imágenes

Las imágenes, sobre todo las referentes a falsificaciones, tienen una característica

fundamental: para tener cierta calidad han de tener bastante tamaño. El procedimiento más

sencillo para localizar las imágenes de un medio es el programa estándar de exploración

de Windows. Se utilizará la búsqueda, seleccionando opciones de búsqueda para

que el tamaño mínimo del fichero a buscar sea superior a un tamaño determinado, por

ejemplo 100 KB.



Teniendo en cuenta que la gran mayoría de los ficheros en un ordenador son de

pequeño tamaño, seleccionar todos los ficheros superiores a un límite determinado

reduce enormemente el número de ficheros.

Una vez seleccionados los ficheros superiores a un tamaño, se procede a revisar los resultados,

clasificándolos por fecha, opor carpeta o por tipo.

Normalmente la experiencia indica que los ficheros relevantes se suelen encontrar en los

directorios normales de usuario, por ejemplo en “Mis documentos”.

Para mirar antecedentes y procedencia, podéis utilizar el programa FOCCA, que os indicara

muchos registros de los que necesitáis.

Las técnicas de esteganografía, basadas en ocultar una imagen relevante dentro de otra imagen

de apariencia anodina, no suelen estar al alcance de personas sin sólidos conocimientos

informáticos, por lo que, salvo en casos muy concretos, no se realizarán análisis

esteganográficos.

Un caso particular es la localización de imágenes en Internet. Normalmente, los ficheros de

un ordenador, a efectos periciales, se pueden dividir en aquellos referidos a Internet y

aquellos no referidos a Internet.

Una buena práctica, si se dispone de tiempo y recursos, especialmente en aquellos discos

duros que contienen un gran número de imágenes, es copiar la información de Internet

a una partición y el resto a otra partición, explorando entonces cada partición por

separado. Una forma de realizar esta copia es clonar el disco duro y luego, desde el

explorador de Windows cortar y pegar el directorio de Internet (dentro de las carpetas del

sistema operativo Windows) a otra participación en el disco copia.

Hay que tener en cuenta que los ficheros de Internet, especialmente los gráficos, tienen

tamaños menores que los ficheros distribuidos en soporte físico. En temas de fotografías

de menores, es en los ficheros del directorio de Internet el sitio más probable donde

encontrar ficheros relevantes.

También en el directorio de Internet es más probable localizar ficheros de imágenes

relevantes que identifiquen actividades a las que el usuario del ordenador se ha dedicado.

Por ejemplo gestiones bancarias o de otro tipo donde va a figurar el nombre y la

identificación del usuario.

Esto es muy interesante a la hora de poder justificar que ese disco duro ha sido

utilizado por un usuario determinado.

Un programa muy útil para la localización de imágenes es el que busca y muestra todas las

imágenes de una carpeta o de un soporte determinado, selecciona aquellas que contienen

imágenes, y las presenta como miniaturas en pantalla.



El programa ACDsee es paradigmático en este aspecto. Con un programa de este tipo

se pueden recuperar, por ejemplo, todas las imágenes contenidas en el directorio de

Internet y presentarlas en pantalla como miniaturas, inclusive clasificadas por tamaño.

De esta manera se puede revisar rápidamente miles de imágenes. Por cada imagen relevante

seleccionada se procederá de la siguiente manera:

1. Se obtendrá una "foto" del directorio donde estaba el fichero. Esto se puede hacer

mediante el explorador de Windows hasta localizar el fichero. Luego se "fotografía" la

pantalla pulsando simultáneamente las teclas “alt” y “impr pant” y, en un documento de

Word, pulsar el botón derecho del ratón y seleccionar “pegar”.

La "foto" quedará pegada en el documento Word.

2. Se copiará la imagen a un directorio de trabajo, que podemos denominar

“imágenes relevantes”.

3. Se imprimirá cada imagen con un pie que consista en la ruta completa del fichero.

Para ello se utilizará un buen programa de tratamiento de imágenes, como Photoshop o

PhotoPaint.

En el caso de falsificación de billetes o documentos con números de serie, se hará una

ampliación digital de los números de serie. El objetivo es revisar si los números de serie,

especialmente los últimos dígitos han sido manipulados.

Es habitual encontrar una misma imagen que da lugar a distintas falsificaciones por el

procedimiento de alterar el número

de serie. También revisar formularios sellados en blanco, por si hubiesen sido manipulados

para borrar lo escrito y dejar los campos en blanco.

Documentos

La exploración de documentos no tiene relación con la exploración de imágenes.

Los ficheros de documentos son de tamaños muy variados, y también pueden estar en

cualquier sitio.

La buena práctica indica que los ficheros con documentos suelen estar en las carpetas de

usuario, y además con las extensiones habituales (.doc .xls .txt . pdf .rtf .htm y similares).

Por tanto es muy útil el explorador de Windows, buscando en el disco duro completo por

tipo de fichero.

Es importante localizar ficheros relevantes que identifiquen al usuario del ordenador,

especialmente los ficheros donde figuren el nombre y los datos del usuario. Esto es muy



interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un

usuario determinado.

Hay gran cantidad de ficheros de distribución que pueden dificultar la búsqueda

de ficheros relevantes. habitualmente, con una simple clasificación por fecha, se detecta

rápidamente cuales son los ficheros de distribución de un producto determinado, ya que

suelen tener todos la misma fecha.

Para ver el contenido de un fichero que no tiene una extensión reconocida, y no es de un

gran tamaño, una opción muy rápida es abrirlo con el programa de utilidad “bloc de notas”.

Programas

Desde el punto de vista pericial, es también importante determinar qué programas se

han utilizado en un ordenador. No es lo mismo que el ordenador disponga

exclusivamente de los programas de tratamiento de imágenes que vienen ya instalados

con el sistema operativo, a que se encuentre toda una panoplia de software de

exploración, de tratamiento y de impresión de imágenes, sobre todo si también se

encuentran imágenes relevantes.

Aun que cada uno de estos programas no tiene relevancia independiente, el conjunto de

un elenco de programas de tratamiento de imágenes con ficheros con imágenes de

falsificaciones si que puede tener relevancia. Los efectos de la relevancia no han de ser

determinados por el Perito, que deberá ceñirse a indicar si los medios técnicos,

programas y ficheros forman un conjunto apto para el tratamiento de imágenes.

Un caso especial son los programas utilizados para la falsificación de tarjetas magnéticas. Se

suelen reconocer porque están escritos en Visual Basic (extensión .vba). Abierto el

fichero con el bloc de notas, se pueden ver los comentarios del programa que indicarán

su uso. Por su propia naturaleza, no hay software de difusión masiva para el manejo

de lectores grabadores de tarjetas magnéticas, que sea accesible al público en general, por

lo que es habitual el desarrollo de programas "ad hoc".

Es muy conveniente relacionar el programa con los lectores de tarjetas magnéticas

intervenidos, ya que cada programa suele tener opciones para el manejo de unos

determinados modelos de lectores grabadores de tarjetas.

4.- INFORME PERICIAL

Los informes periciales suelen seguir la misma pauta cuando se refieren a similares

asuntos. Se adjunta un informe tipo utilizado en informes periciales referentes a falsificación

de billetes.



Portada

Los apartados más relevantes son los siguientes:

Deberá orientarse a identificar clara y rápidamente el contenido del informe pericial.

Donde se ha hecho el peritaje, la referencia y a quien va destinado (normalmente

identificando Juzgado y diligencias). Los datos de la portada se resumirán y repetirán como

pie de página a lo largo del peritaje.

Peritos

Identificación del Perito o los Peritos. En los peritajes de índole penal, es muy común omitir

el nombre y apellidos del Perito y sustituirlo por un número de identificación, como puede

ser un número de colegiado.

Antecedentes

Es un inventario de los equipos intervenidos y de su procedencia.

Prueba pericial

Se describen los pasos dados desde la recepción de los equipos intervenidos hasta la

obtención de los ficheros relevantes.

Se debe indicar el código o códigos de conducta o de buenas prácticas que se han seguido.

Por ejemplo el código deontológico, de práctica y conducta de ANTPJI.

Se describe los pasos realizados para la obtención de discos copia.

Se detallan las características técnicas de los elementos informáticos intervenidos.

Se enumeran los ficheros relevantes encontrados, y los equipos informáticos donde fueron

hallados.

Ficheros relevantes

Se describe, para cada fichero relevante encontrado, el contenido que le hace

relevante. En los casos de falsificación, este apartado suele ser cumplimentado por un

experto pericial en falsificaciones.

Conclusiones

Se indica en que componentes informáticos se han encontrado ficheros relevantes, y un

resumen del contenido que les hace relevantes, inclusive enlazando con datos de

identificación de usuario que se hubieran encontrado. Este apartado es generalmente un

resumen del apartado de ficheros relevantes.



Firma

Se inventarían los elementos informáticos relevantes que quedan como resultado de la

prueba pericial, y que se remiten con el informe, esto es, todos los soportes de

almacenamiento donde se han encontrado ficheros relevantes. Es muy conveniente grabar

los ficheros relevantes y el propio informe pericial en un CD, (grabarlo con sesión “cerrada”

para que no se pueda manipular), que permitirá acceder con facilidad a los ficheros relevantes.

En otra relación, se devuelven los elementos informáticos que no hayan resultado relevantes.

El Perito no debe quedarse con ningún elemento informático intervenido. Debe devolverlos

todos, señalando y distinguiendo aquellos elementos informáticos que contienen

elementos relevantes de aquellos donde no se han encontrado elementos relevantes.

Anexos I: equipos peritados

Se incluirán las fotografías de los equipos peritados, así como de las imágenes de las

carpetas donde se encontraron los ficheros relevantes.

Anexo II: ficheros relevantes

Se incluirá el contenido de cada fichero relevante con la ruta completa donde fue encontrado.

Conservación de elementos periciales

Una vez realizado el informe pericial se deben conservar los siguientes elementos en poder del

Perito:

1. Copia del informe pericial

2. Copia del CD con los ficheros relevantes y el informe pericial

3. Disco duro copia utilizado en la realización del peritaje.

Si por algún motivo el disco duro copia se alteró durante la realización del peritaje, deberá

volver a clonarse de nuevo, para su conservación.

Marketing para Peritos Telemáticos No eres ni el primero, ni serás el último. Cuando recibimos el titulo de Perito Judicial

Telemático, todos tratamos de posicionar nuestra nueva actividad, por lo general, miramos lo



que están haciendo los colegas y trata de copiar lo mejor que puede. Miramos artículos, web y

blog de otros Peritos Informáticos o incluso de otras disciplinas.

Lo primero que tienes que hacer es ser consciente de que la Organización a la que perteneces,

se preocupa de que tu nueva actividad sea lo más lucrativa posible con el objetivo de que

hables bien de la misma y sirva para otros profesionales, ya que no tiene contemplado una

partida ni mensual ni anual en cuanto a publicidad.

Su reconocido respeto tan solo ha de crearse gracias al boca a boca de sus asociados, clientes y

proveedores. No olvidar que el Presidente de la Organización, dejo su agencia de publicidad,

tras pasar por varios medios de comunicación tanto en prensa escrita, radio y televisión como

director de marketing y se decanto por las Nuevas Tecnologías con el objetivo de ayudar a

informáticos buscando la manera de una capacitación profesional.

Voy a tratar de dar unas pinceladas para que tu imaginación haga el resto.

El marketing y el saber venderse es fundamental con lo que tenemos que comunicar nuestro

nuevo status laboral, y repartir tarjetas, iniciar contactos con personas que pueda serles útil

nuestra nueva capacitación como abogados, fiscales, empresas y profesionales autónomos.

No debemos de olvidar el publicitarnos en portales gratuitos como www.porticolegal.com y

crear un blog e incluso una página web en donde sabemos que el coste económico es asumible

y la creación de una página no excede de los 100 €.

Las facultades no forman a sus alumnos sobre el mercado, las pautas de comunicación interna

o externa, las relaciones con los medios, el acercamiento a clientes, gerencia sobre

departamentos de responsabilidad informática, tributos, estudios de calidad, de

responsabilidad social…

En la Organización en la que te encuentras, te ofreceremos herramientas que te permitirán

hacer desde un Plan básico de Empresa, como otras herramientas para que puedas planificar y

gestionar mejor tu nueva actividad, porque sabemos que la fortaleza de de un servicio de

Auditoría y Peritaje Informático, está en el Capital Humano que lo brinda, sumado a un

conocimiento continuo y actualizado agregado al saber de un colectivo que trabaja en lo mismo

y esa sinergia creada da como resultado una conocimiento superior a la mayoría de

profesionales.

No pretendemos que seas un Perito Informático cualquiera, sino que tus clientes vean la

diferencia entre otros Peritos Profesionales y tú.

Te ayudaremos con la imagen corporativa, con el visado de informes, pericias, dictámenes…

segmentar el mercado al que te vas a dedicar, ordenar los esfuerzos, proporcionándote todo el

material que necesites y alinear los costos, para asegurarnos el éxito en tu nueva andadura

profesional.

Te ofrecemos algunos consejos, cumpliendo la norma y la ética de la profesión para que

promuevas la atención personalizada de tus clientes, el seguimiento de sus necesidades y las



ventas cruzadas. No hay que esperar la llamada del teléfono, sino salir para ofrecer nuestros

servicios, porque hay mucha gente que los necesita y no conocen nuestro teléfono.

No es una parrafada, pero cada día llama más gente a la Organización buscando Peritos y

agradeciéndonos nuestra existencia porque no sabían a dónde dirigirse.

PRIMEROS PASOS

Como hemos apuntado empezaremos a trabajar sobre un listado de acciones y herramientas:

Imagen Corporativa. Tarjetas, Hojas con membrete, Papelera personalizada. (Enviamos

modelos)

Blog (Dedicarle media hora diaria)

New Lester (Compartamos Plataformas del conocimiento con otros colegas e

intercambiemos datos)

Pagina Web (Diseñemos algo ágil y funcional)

Presencia en las redes sociales (No olvidemos el dicho que si no estamos en la Red, no

existimos, y todos sabemos que no hay coste en publicitarnos en facebook, twiter, redes

profesionales como Linkendin, Xing…)

Organización de seminarios, desayunos o congresos. (La organización, te apoyara en estas

actividades con su experiencia y merchandaising)

Publicidad en medios de comunicación técnicos o generales. (No se trata de gastar dinero en

publicidad, sino en ofrecerse como especialistas en informáticas a revistas del barrio,

profesionales, cadenas de radio e incluso de televisión, y en donde sabemos que la retribución

económica es escasa, pero se puede intercambiar con publicidad)

Participación Académica (Estamos en un escalón superior y es necesario el compartir

nuestro conocimiento con escuelas de FP, academias o similar en donde verán un profesional y

el retorno de la inversión de nuestro tiempo repercutirá en breve con ventas cruzadas….Es

cierto que podemos dar unas clases gratis, pero también es cierto que llevamos el

mantenimiento de los equipos, la auditoria de seguridad, la implantación de la LOPD… Y e

aprendido mucho de los alumnos de FP)

Actividades como ponentes o asesores en cámaras empresariales o espacios sociales como

Juntas de Distrito,Ayuntamientos, Institutos de Arbitraje…

Networking on y off line.

Responsabilidad Social Corporativa, colaborando con ONGs (Aunque no creáis, la red

hablara de vosotros y cuando hagáis alguna acción que beneficie a un grupo determinado en

riesgo de exclusión o marginado por la brecha digital, el reconocimiento será mayor)



Meditar el nicho de mercado que tenemos y en donde no está presente los aparatos

tecnológicos y por ende la informática que nosotros dominamos, y es muy cierto, la gente tiene

muchas dudas sobre la seguridad en general, no hablemos de la seguridad en equipos

informáticos.

Muchas veces he oído a otros compañeros porque salía más que ellos en medios de

comunicación. La respuesta era fácil, cuando firmaba una columna o un artículo en una revista

o en un diario, ellos desconocían que semanas antes había enviado decenas de cartas y

artículos y que según la ley sagrada del marketing REPETICION es igual a REPUTACION, de cada

diez acciones de ventas que se realizan una se materializa seguro y si encima nos esforzamos

en perfeccionarla el resultado es más que satisfactorio.

Mucha gente ha seguido mis consejos y doctrinas de los artículos y otros me han criticado con

diferentes argumentos

ya que también ellos son “expertos”, olvidando que mi objetivo se había cumplido de manera

doble, porque al margen de quien llevara razón, sabían quién era yo desde ese instante que

me replicaban.

Meditarlo porque estas apariciones en los medios de comunicación adquieren un valor muy

fundamental sobre todo

para vuestros clientes actuales o futuros que les hace sentir que eligieron bien al seleccionaros,

porque es una voz autorizada para opinar en la materia de la que me representa o en la que e

confiado la seguridad de mis equipos informáticos y eso nos coloca en un lugar privilegiado

convirtiéndose en publicidad del de boca a boca.

Nunca olvidéis cuidar la imagen, ni la vuestra ni la del Gabinete, ni de vuestros colaboradores y

si un día estamos mal, escribirlo en un papel y tirarlo por el retrete todos los problemas, salir

con una sonrisa de oreja a oreja y veréis como el día nos trae logros fructíferos.

Conozco muchos informáticos, algunos muy buenos que no consiguen trabajos, no por su no

conocimiento en la materia, sino porque no cuidan su imagen o usan un lenguaje técnico que

aleja al profano olvidando que es nuestro cliente y que cuanto más nos entienda, mas trabajo

nos dará. No inventar, no utilizar vocablos informáticos para salir al paso de problemas que nos

plantean, solo hay que interactuar como personas sin olvidar que somos especialistas de una

ciencia en la que hay un universo por descubrir.

Plan de Negocio para Peritos Informáticos

1. Resumen Ejecutivo Escribe una breve reseña de tu empresa, como Perito Judicial Informático, que hace, quién

eres, qué vas a hacer, cuánto necesitas, en qué mercado y cuáles son tus proyecciones.



2. Descripción de tu nueva Empresa Misión, en que te vas a especializar, promociones, pagina web, publicidad..:

Historia

Mercado y Productos

Objetivos

Situación Actual

3. Productos y Servicios Descripción

Producción:

Asesoramiento:

Nuevos productos

4. Plan de Marketing Análisis del Mercado: No hay muchos Peritos Judiciales en la actualidad. Aprovecha ese

nicho de mercado existente

Investigación del Mercado:

Proyecciones:

Tendencias

Análisis de la competencia

Factor Mi Empresa Fortaleza Debilidad Competidor A Competidor B Cliente

Producto

Precio

Cualidad

Selección

Servicio

Fiabilidad

Estabilidad

Experiencia

Reputación

Locación

Apariencia

Método de

Política de

Publicidad

Imágen

Estrategia de Marketing

Demografía

Proyección de Ventas



Mes 2014 2015 2016 2017

Enero

Febrero

Marzo

Abril

Mayo

Junio

Julio

Agosto

Septiembre

Octubre

Noviembre

Diciembre

5. Plan de desarrollo Estado Actual

Planes de desarrollo

Expansión

Cronograma

Riesgos

6. Plan Operacional Locación:

Seguros:

Ambiente Legal

Producción:

7. Administración y Organización Personal:

Personal Externo:

Outsoursing

8. Plan Financiero

9. Financiación



1. Negocios con Futuro Escribe los 5 negocios o actividades relacionados con el Peritaje Informático a los que les ves

más futuro en los próximos 5 años

1.

2.

3.

4.

5.

2. Lo que más me gusta hacer

Escribe las 5 actividades que más te gusta hacer en la Informática

1.

2.

3.

4.

5.

2. Lo que mejor hago

Escribe las 5 actividades que sabes hacer

1

2.

3.

4.

5.

Qué producto o Servicio ofrezco?

A qué mercado me voy a dedicar



Qué productos o servicios ofrecerle a mis clientes como valor agregado?

Qué productos o servicios puedo crear como Fast Cash Product para generar dinero rápido?

Cliente Ideal

Cómo es?: Recuerda que los abogados tienen ya clientes y que necesitan de tu dictamen.

Dónde lo busco?: Empresas, Colegios Profesionales, eres Perito y Tasador también

Qué Estrategia voy a implementar para alcanzar más clientes ideales:

Cuándo la voy a implementar:

Cómo voy a medir los resultados?:

Cómo es tu Marca

Qué colores usas? Cómo es tu logotipo?

Cómo quieres que sea tu imagen?

Proposición Única de Ventas

Cuál es mi PUV?:

Proposición Única de Ventas

Cuál es mi PUV?:

En Materia de Peritaje Informático, Auditoria Forense, Ciberdelitos o similar.. a cuantos cursos

has ido? Seminarios?

Qué vas a hacer para mejorar tu situación?:

Cuándo?:

Nuestro éxito, es tu éxito por eso te damos las claves del éxito en esta aventura que te has

Propuesto y en la que cosecharas momentos gratificantes. Todos tenemos derecho al éxito,

solo por ser humanos, y el que logres tus metas solo dependerá de tus creencias. Ya

has dado el primer paso asociándote a ANTPJI. Eres uno de los que han visto que hay

una oportunidad de triunfar, hay un nicho de mercado sin cubrir actualmente y has

sabido aprovecharlo.

Anexo I: Normativa ISO 27001 Y 27002

TÍTULO

Criterios generales para la elaboración de informes y dictámenes periciales



CORRESPONDENCIA

OBSERVACIONES

ANTECEDENTES

Esta norma ha sido elaborada por el comité técnico AEN/CTN 197 Informes

Periciales cuya Secretaría desempeña el COL•LEGI D’ENGINYERS TÈCNICS

INDUSTRIALS DE BARCELONA en nombre y representación del CONSEJO GENERAL DE

PERITOS E INGENIEROS TÉCNICOS INDUSTRIALES.

0 INTRODUCCIÓN

El creciente número de actuaciones periciales profesionales, lleva a la necesidad de

establecer una garantía para asegurar que aquellas son adecuadas al uso a que se destinan.

1 OBJETO Y CAMPO DE APLICACIÓN

Esta norma tiene por objeto el establecimiento de las consideraciones generales

que permitan precisar los requisitos formales de las características de informes y

dictámenes periciales, sin determinar los métodos y procesos específicos para la

elaboración de los mismos.

Las normas específicas que se desarrollarán bajo el marco de esta norma serán de

aplicación para determinadas actividades profesionales y podrán complementar los aspectos

generales contenidos en esta norma.

2 NORMAS PARA CONSULTA

Los documentos que se citan a continuación son indispensables para la aplicación de

esta norma. Únicamente es aplicable la edición de aquellos documentos que aparecen con

fecha de publicación. Por el contrario, se aplicará a la última edición (incluyendo cualquier

modificación que existiera) de aquellos documentos que se encuentran referenciados sin fecha.



UNE-EN ISO 9000 Sistemas de gestión de la calidad. Fundamentos y vocabulario

(ISO 9000:2005)

UNE 50132 Documentación. Numeración de las divisiones y subdivisiones en

los documentos escritos.

3 DEFINICIONES

Para los fines de este documento, se aplican los términos y definiciones incluidos en

la Norma UNE-EN ISO 9000 junto con los siguientes. En el caso de posible conflicto entre las

definiciones contenidas en esta norma con las incluidas en las normas anteriormente

mencionadas, prevalece la definición dada en esta norma

1.1 Código o referencia de identificación:

Conjunto de caracteres alfanuméricos que identifican un informe o dictamen

pericial. Debe existir una correspondencia unívoca entre el código o la referencia de

identificación y el informe correspondiente, de forma que no pueda haber en un mismo

emisor otro informe pericial u otro dictamen que dispongan de la misma identificación.

1.2 Dato de partida:

Cualquier cantidad, magnitud, característica, relación, parámetro, criterio, hipótesis o

requisito empleado en los documentos técnicos del informe o dictamen pericial, externo

a éstos y cuyo conocimiento y aplicación es necesario y obligatorio para el desarrollo del

informe o dictamen pericial.

3.3 Dictamen pericial:

Opinión técnica y experta que se emite sobre hechos o cosas.

4 REQUISITOS GENERALES

4.1 Título

Todo informe y dictamen pericial deben tener un título que los identifique de forma

clara e inequívoca.

4.2 Documento

Todo informe o dictamen pericial debe constar de la siguiente estructura básica:



Identificación,

Índice;

Cuerpo del informe; y cuando corresponda

Documentos anejos.

4.3 Paginación

En todas las páginas del informe o dictamen pericial debe figurar el código o

referencia de identificación, el número de página y el número total de páginas

5 IDENTIFICACIÓN

5.1 Generalidades

Es el elemento que contiene los datos necesarios para identificar el informe o dictamen

pericial.

5.2 Contenido

El informe o dictamen pericial debe iniciarse con la siguiente información:

El título y su código o referencia de identificación.

El nombre del Organismo u Organismos a los que se dirige el informe o

dictamen pericial y el número de expediente o procedimiento, si lo hubiera.

El nombre y apellidos del perito, su titulación, y, en su caso, colegio o entidad a

la que pertenece, Documento Nacional de Identidad (DNI), domicilio

profesional, teléfono, fax, correo electrónico y cualquier otro identificador

profesional que pudiera existir, salvo aquellos cuya revelación no sea

legalmente procedente.

El nombre, apellidos y Documento Nacional de Identidad (DNI) del

solicitante del informe o dictamen pericial, sea en nombre propio o en

representación de otra persona física o jurídica, cuyos datos también

figurarán y cualquier otro identificador que pudiera existir, cuya revelación sea

legalmente procedente.

En el caso en que el objeto del informe o dictamen pericial contemple

un emplazamiento geográfico concreto, se debe definir dicho emplazamiento

(dirección y población) y, si procede, sus coordenadas UTM (Universal

Transverse Mercator).



Cuando proceda, nombre y apellidos del letrado y del procurador del

solicitante.

La fecha de emisión del informe o dictamen pericial.

6 DECLARACIÓN DE TACHAS

En este capítulo se establece, cuando proceda, que el perito puede aplicar el sistema de

tachas o hacer constar su imparcialidad.

7 JURAMENTO O PROMESA

En este capítulo se establece, cuando proceda, que al emitir su dictamen, el perito

manifiesta bajo juramento o promesa de decir verdad, que actuará con veracidad y con la

mayor objetividad posible, que ha tomado y tomará en consideración todo aquello que sea

susceptible de favorecer o causar un perjuicio a cualquiera de las partes y que conoce las

sanciones penales en que puede incurrir en el caso de incumplir su deber como perito.

8 ÍNDICE GENERAL

8.1 Generalidades

El índice general del informe o dictamen pericial tiene como misión el facilitar la

localización de todos y cada uno de los capítulos y apartados.

8.2 Contenido

El índice debe indicar el número de página en que se inicia cada uno de los capítulos y

apartados del informe o dictamen pericial.

9 CUERPO DEL INFORME O DICTAMEN PERICIAL

9.1 Generalidades

El cuerpo del informe o dictamen pericial es el documento principal de su

estructura y asume la función de presentar y justificar las conclusiones.

El cuerpo del informe o dictamen pericial debe ser claramente comprensible por

todos los interesados, especialmente en lo que se refiere a sus objetivos, las investigaciones

realizadas y las razones que han conducido a las conclusiones adoptadas.

9.2 Contenido



En los puntos siguientes se indica la numeración, de acuerdo con la norma UNE

50132, título y contenido de cada uno de los capítulos y apartados en los que se compone el

cuerpo del informe o dictamen pericial:

1 OBJETO

En este capítulo del cuerpo del informe o dictamen pericial se debe indicar su finalidad.

2 ALCANCE

En este capítulo del cuerpo del informe o dictamen pericial se deben indicar las

cuestiones planteadas por el solicitante.

3 ANTECEDENTES

En este capítulo se deben indicar los hechos, cosas, sucesos o asuntos que se hayan

producido con anterioridad al inicio del informe o dictamen pericial y que estén en

conocimiento del perito.

4 CONSIDERACIONES PRELIMINARES

En este capítulo se deben enumerar todos aquellos aspectos necesarios para la

comprensión de la investigación y la metodología empleada.

Se podrá incluir, en caso necesario, los criterios y técnicas utilizadas para garantizar la

representatividad de la muestra objeto del informe o dictamen pericial.

5 DOCUMENTOS DE REFERENCIA

Este capítulo debe recoger el conjunto de disposiciones normativas, otras normas de

no obligado cumplimiento, la buena práctica profesional y la bibliografía que se han tenido en

cuenta, y que hayan sido citados en el informe o dictamen pericial.

6 TERMINOLOGÍA Y ABREVIATURAS

En este capítulo se deben relacionar todas las definiciones de palabras técnicas,

así como el desarrollo y significado de todas las abreviaturas o siglas que se hayan utilizado

en el informe o dictamen pericial.

7 ANÁLISIS



En este capítulo del cuerpo del informe o dictamen pericial se deben describir

las bases y datos de partida establecidos por el solicitante y los que se deriven de:

La legislación, reglamentación y normativa aplicables;

La investigación realizada encaminada a la definición de las conclusiones

Las referencias, documentos, muestras y procedimientos de toma y

conservación de las mismas que puedan fundamentar las conclusiones del

informe o dictamen pericial;

También se deben indicar los distintos razonamientos estudiados, qué caminos se han

seguido para llegar a ellos, las ventajas e inconvenientes de cada uno y cuál es la justificación

de las conclusiones.

8 CONCLUSIONES

En este capítulo del cuerpo del informe o dictamen pericial se debe establecer

de forma inequívoca la interpretación técnica y experta resumida que se emite sobre los

extremos que constan en el capítulo Alcance.

Se podrán añadir consideraciones adicionales que a juicio del perito maticen las

conclusiones.

10 ANEXOS

10.1 Generalidades

Los anejos forman parte inseparable de la estructura del informe o dictamen pericial, y

deben estar recogidos en el índice general.

Asimismo deben estar identificados de manera correlativa y paginada de forma

inequívoca

10.2 Contenido

Como anexo, el perito puede incluir las referencias, documentos, muestras y

procedimientos de toma y conservación de las mismas que puedan fundamentar las

conclusiones del informe o dictamen pericial.



Juan Luis García Rambla



Un forense llevado a juicio

[ ]

1

Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO Curso de Perito Telemático Forense

”Hay ciertas pistas en la escena de un

crimen que por su naturaleza nadie puede recoger o examinar ¿cómo se recoge el

Amor, la Ira, el Odio, el Miedo…? son cosas que hay que saber buscar”

Dr. James T Reese.

2


http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.es

http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.es

3


Indice

Capítulo 1 – El análisis forense .............................................. 5

Capítulo 2 – La importancia de las evidencias........................ 8

Capítulo 3 – El procedimiento de copiado de discos .............12

Capítulo 4 – La cadena de custodia ......................................24

Capítulo 5 – Las buenas prácticas en el análisis. ..................28

Capítulo 6 – El informe pericial .............................................34

Capítulo 7 – Prueba anticipada en un proceso civil ...............40

Capítulo 8 – Un juicio civil ....................................................43

Capítulo 9 – Claves de un forense en juicio ...........................47

4


Prólogo

A diario los medios de comunicación nos informan de noticias relacionadas con filtraciones,

abusos o ataques relacionados con la tecnología y la informática. Esta realidad es cada vez

más evidente y no es más que la punta del iceberg. Junto a estos casos juzgados socialmente,

se dan otros miles de ellos que se dirimen en una sala y son conocidos sólo por unos pocos,

los afectados. Pero sin embargo, para esta gran mayoría de ciudadanos tienen una

transcendencia mucho mayor que aquellos casos con un gran impacto social y mediático.

El esclarecimiento de esta situaciones, que pueden acarrear consecuencias mayores, incluida

la privación de libertad para los afectados, son tareas de muy pocos y realmente críticas.

Evidentemente no se trata de cuestiones que puedan tomarse a la ligera y deben ir

acompañadas de investigaciones rigurosas y de los procedimientos adecuados.

Cualquier investigación forense se encuentra rodeada de un cierto “misticismo”. También es

así en esta ocasión, cuando la información manejada es fundamentalmente tecnológica. Sin

embargo, no debemos olvidar que aunque la carga técnica es importante, existen también en

este tipo de escenarios muchos detalles que se encuentran alejados de una visión puramente

informática de la situación que se está analizando. Todo ello resulta aún más acusado

cuando el caso forense tiene posibilidades de derivar finalmente en un proceso judicial.

Ante estas circunstancias es frecuente que el parapeto tecnológico detrás del cual se

protegen muchos consultores desaparezca, dejando paso a situaciones donde los

profesionales de la informática no se encuentran cómodos. En un proceso judicial, el técnico

ya no se encuentra en su elemento, no es el “juez” ni quién tiene el control de la situación. Es

simplemente una parte más dentro del proceso e incluso, aunque no sea la persona

enjuiciada, puede llegar a sentirse juzgado en su labor profesional.

Situaciones que técnicamente se dan como definitivas en un entorno profesional informático

pueden ser cuestionadas en una vista judicial. El especialista forense digital debe por lo tanto

conjugar su pericia técnica con la capacidad para enfrentarse a temas para los que no se

encuentra tan preparado profesionalmente. El éxito depende de muchos factores de los que

a menudo el perito es un mero espectador.

A lo largo de esta publicación, Juan Luis García Rambla Director Técnico del Área de

Seguridad de Sidertia Solutions S. L., realizará el análisis de un proceso forense digital

completo. Incorporando en él, desde los apartados más técnicos, que incluyen herramientas y

procedimientos, hasta aspectos legales que podrían llegar a ser determinantes en un juicio

en el que un profesional de la informática interviene en calidad de perito.

5


En este documento técnico Juan Luis aporta no sólo su conocimiento en la materia sino

fundamentalmente su experiencia, procedente de la directa intervención en casos forenses

bien como perito informático bien como coordinador de equipos de analistas forenses. Nos

aporta su visión particular de la cuestión, pero sin lugar a dudas la información suministrada

permitirá al perito llegar al proceso judicial con un mayor porcentaje de posibilidades de

éxito.

La publicación será de especial utilidad para aquellos que inician sus pasos en el delicado

mundo del análisis forense, pero también ofrece una visión interesante para aquellos

analistas experimentados que nunca han participado en un proceso judicial.

Juan Antonio Calles García

6


Capítulo 1 – El análisis forense

Como especialidad dentro del ámbito de la seguridad informática el análisis forense digital

puede aportar al profesional resultados plenamente gratificantes, pero también situaciones

realmente desagradables. Escenarios de actuación en principio sencillos, pueden

complicarse hasta límites insospechados. A todo esto se suma una circunstancia difícil de

digerir, especialmente para un informático, la subjetividad. Por muy técnicos que sean los

resultados obtenidos, por metódicos que lleguen a ser los procedimientos y claras las

conclusiones técnicas, todo el proceso no deja de estar cargado de cierta subjetividad. Es

más, en un determinado momento la decisión final será adoptada por alguien que presenta

lógicas limitaciones técnicas para apreciar lo dispuesto en un informe pericial informático.

Desde su inicio un análisis forense digital debe responder a la pregunta ¿es posible que las

conclusiones lleguen a un proceso judicial? Inicialmente, esta cuestión puede parecer poco

relevante para un análisis técnico. Sin embargo, esta impresión cambia radicalmente al

entrar en calidad de perito en la sala donde se desarrolla el proceso.

Probablemente, en el desarrollo del mismo, el tipo de preguntas a las que se enfrente el

informático no serán tan claras y directas como las que en sus labores técnicas contesta

habitualmente. Y por qué no decirlo, en muchas ocasiones éstas serán directamente

malintencionadas e incluso retorcidas. Una mala respuesta puede llegar a desbaratar

judicialmente una buena labor de análisis digital.

En estos momentos es cuando se aprecia lo determinante que es haber realizado

correctamente el análisis desde sus inicios. De este modo la duda, la inseguridad y falta de

claridad en la respuesta serán infrecuentes. La frustración de que estaba “casi” todo bien y

de que por lo menos “lo intentamos” será inusual si la labor técnica de análisis ha sido la

adecuada.

Enfrentarse a un caso forense implica tener que anticipar inicialmente la posibilidad de llegar

a juicio. A menudo, y en función del escenario, es posible que ese hecho no se observe en un

principio, pero tal y como se desencadenen los acontecimientos pueda llegar a darse.

Expongamos a continuación un hipotético caso y que sin embargo recoge situaciones que

no son inusuales en la realidad y que ilustran la posibilidad de que un análisis técnico

7


desemboque en un proceso judicial. El equipo de trabajo de un directivo comienza a hacer

“cosas raras”. En consecuencia se decide realizar un análisis del mismo y averiguar que está

ocurriendo. Se detecta la presencia de un malware. En ese momento son múltiples las

cuestiones a abordar: ¿por qué el antivirus no lo ha detectado?, ¿pueden otros ordenadores

estar afectados?, ¿cómo eliminarlo? Sin embargo, en el transcurso del análisis digital no sólo

se detecta al elemento malicioso, sino que está provocando una fuga de información. Se

localiza quién ha sido el actor (denominación judicial, para ir entrando en materia) culpable

de la acción maliciosa y a qué tipo de información ha tenido acceso. Se trata de otro

empleado de la compañía que ha sustraído información crítica respecto de la política

corporativa de recursos humanos. La empresa afectada ¿no querría llevarle a juicio o

despedirlo de forma procedente? Probablemente sí.

Frecuentemente en los casos forenses se sabe cuáles son los inicios de la investigación

digital, pero no cuál puede ser su final. Por ello es interesante conocer si el promotor de la

investigación tiene de partida la intención de llevar el caso a los juzgados. En múltiples

ocasiones los interesados desestimarán esta posibilidad. Sin embargo, es posible que no

sean conscientes de las circunstancias reales y al disponer progresivamente de mayor

información sus intenciones iniciales se pueden modificar.

Es recomendable por lo tanto desde un primer momento indicar que ante la posibilidad

ineludible de que el análisis pueda finalizar en una fase judicial, la recogida de evidencias

debe realizarse teniendo esta circunstancia en consecuencia o al menos en caso de no

hacerlo comunicárselo a los interesados.

En todo momento se debe hablar de posibilidades. El desarrollo de una investigación digital

correcta en sus procedimientos y conclusiones, no asegura el éxito de la misma. En un juicio

la decisión final se dirime en un momento y localización puntual. En ocasiones sólo la

habilidad y experiencia de unos y otros hacen que la balanza se incline hacia uno u otro lado.

No hay que olvidar que el desarrollo de la recogida de evidencias y de todo el análisis

atendiendo de forma rigurosa a los procedimientos adecuados demanda una mayor

dedicación y en el mundo profesional el tiempo es dinero. En cada escenario es necesario

valorar si la inversión económica, el porcentaje de posibilidades de éxito y el propio desgaste

del proceso hacen recomendable el inicio del mismo. En ocasiones lo idóneo será desestimar

la realización del peritaje. Tras valorar los anteriores factores no es inusual en casos

laborales que una organización puede llegar a la conclusión de que le es más conveniente

afrontar un despido improcedente que iniciar una investigación.

Es necesario tener presente aquellos análisis que pueden derivar en un juicio, deben ser

atendidos con mayor pulcritud y rigor procedimental para que las conclusiones obtenidas a

8


partir de las evidencias, sean válidas, creíbles y lo más importante “rotundas” e irrefutables

sea cuáles fueren los argumentos utilizados. Aquellas actuaciones cuyo objetivo no es

atender a un proceso judicial, sino obtener una determinada información, permiten una

mayor flexibilidad, reduciendo con ello los tiempos dedicados a la recogida y tratamiento de

evidencias.

La tendencia habitual es hacer uso de procedimientos, que siendo más o menos reglados

pueden resultar algo imprecisos o inapropiados para tener valor judicial. Póngase un

ejemplo. Para tareas de adquisición de evidencias un especialista puede operar haciendo

uso de las normas marcadas en la RFC 3227 “Guía para la recogida y almacenamiento de

evidencias”. Pero actualmente en España, aplicar esta norma de forma escrupulosa puede

ser una temeridad, fundamentalmente porque rompe el principio de que “antes de tocar

cualquier evidencia, prevalece la rigurosa recogida de la misma”. El escenario nunca debe

alterarse. Esta circunstancia puede llegar incluso a eliminar la validez de la evidencia.

En otros países, más avanzados judicialmente en materia de procedimientos forenses

informáticos y que incluso disponen de leyes y regulaciones para ello, esta RFC pueda tener

su validez. Sin embargo, en otros muchos, como es el caso de España, es mucho más

importante poder acreditar la no alteración de evidencias que cualquier otra cuestión. Dicho

de forma más coloquial, para el perito es crítico poder afirmar en cualquier caso “cuando yo

llegué, esto ya estaba así”. En caso contrario, las pruebas pueden ser recusadas por posible

alteración de las mismas en el análisis. Aunque la imparcialidad del perito es obligatoria por

ley, finalmente sus servicios son contratados habitualmente por una de las partes y se diluye

por lo tanto esa esencia de independencia asociada a su labor.

Si es claro que independientemente de cómo se desarrolle el caso, éste no acabará en un

juicio, el nivel de exigencias y pulcritud se relaja dejando paso a la efectividad en el análisis

Todas estas claves se irán valorando a lo largo de esta publicación. Ser consciente en todo

momento de la importancia del proceso que se tiene entre manos, anticiparse a las

cuestiones a abordar antes de hacerlo y conocer las herramientas necesarias para ello. Pero

especialmente, cómo abordar la “dichosa experiencia” que un juicio supone para cualquiera,

pero especialmente para un informático, que además tiene una labor crítica en las

actuaciones judiciales.

9


Capítulo 2 – La importancia de las evidencias

Uno de los aspectos fundamentales a la hora de afrontar un análisis forense digital,

constituye la necesidad de contar con evidencias válidas. A priori, todas aquellas

correctamente recogidas potencialmente lo son, pero una mala práctica puede llegar a

invalidarlas. Hay que tener presente a lo largo de todo el proceso que el perito debe poder

defender y contar con el principio de independencia.

Sin lugar a dudas la información proporcionada por el afectado es vital. Sin embargo, su

visión de los acontecimientos puede condicionar en exceso al perito, provocando incluso que

su impulso e interés por llegar a la realidad de los hechos le haga actuar a éste sobre el

equipo e infraestructuras afectadas sin respetar el procedimiento adecuado para ello. Es un

riesgo fundamental en el inicio de un análisis digital luchar contra ese impulso.

Cuando se sospecha que sobre un determinado equipo se ha realizado una acción perniciosa

y que por lo tanto debe ser objeto de análisis, la prudencia es fundamental. Inicialmente

debe asumirse que es posible que contenga evidencias interesantes y que por ello es

necesario tratarlo como un sistema con información importante y sensible para el caso. No

hacerlo así y “caer en la tentación” de actuar sobre él precipitadamente, permite en caso de

juicio poder alegar que las evidencias pueden haber sido manipuladas con el objetivo de

favorecer o incriminar a alguien. Este es también habitualmente un argumento

frecuentemente utilizado en análisis contra periciales.

Y si no debe tocarse el equipo ¿qué ha de hacerse? A día de hoy no hay nada reglado en este

sentido, pero existen una serie de buenas prácticas y normas no escritas cuya aplicación es

recomendable. Si el equipo está encendido es una buena opción obtener una fotografía de la

pantalla y apagarlo. Puesto que pudiera haber información importante relativa a ficheros

temporales o incluso en sistemas Windows, el propio fichero de paginación de memoria,

podría optarse por apagar el equipo por la vía rápida, cortando el suministro de energía. En

este procedimiento, la pérdida más importante la constituye la información de conectividad

de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo

de escenario al que hay que enfrentarse para adoptar la decisión adecuada. Si esa

información resulta vital, sería imprescindible contar con testigos que pudieran refrendar las

acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna acción

10


enfocada a manipular datos, sólo a extraerlos. No obstante, siempre habrá que tener

prevista una respuesta en la vista judicial para una defensa de las acciones realizadas.

La presencia de testigos es una cuestión a considerar en procesos comprometidos.

Formulados a través de reglamentaciones de uso de medios corporativos o protocolos de

seguridad internos, muchas organizaciones cuentan entre sus procedimientos con

mecanismos que hacen uso de testigos para la intervención de equipos, en muchas

ocasiones herederos de acciones tales como el registro de una taquilla. Para estos casos,

suele requerirse que todo el proceso de recogida de las evidencias sea llevado a cabo con la

presencia de una persona del comité sindical y el propio afectado, o en su defecto dos

personas de la organización, totalmente independientes a las circunstancias del caso. Estos

procedimientos ofrecen la seguridad, sobre todo de cara a procesos judiciales, de que,

habiéndose realizado una serie de acciones específicas, testigos concretos pueden refrendar

los hechos. Estas acciones se tratan de forma muy análoga al hecho de la apertura de una

taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores.

Aunque con una orientación diferente, sirva como ejemplo una sentencia de noviembre del

2000 de la Sala de lo Social en Málaga del Tribunal Superior de Justicia de Andalucía, en la

que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le

intervino y copió todos sus correos y ficheros personales, aún en presencia del comité de

empresa. La sentencia se inclina en este apartado por el criterio empresarial, a pesar de que

la sentencia en cuestión da la razón al trabajador, pero sólo por el hecho de que no se

justificó el registro tal y como obliga el artículo 18 del Estatuto de los Trabajadores. La

resolución afirma implícitamente, que el mencionado artículo 18 autoriza el registro en la

terminal de ordenador que utiliza el trabajador. A todos los efectos, un equipo se asimila a la

taquilla, basándose en que el ordenador es un instrumento de trabajo propiedad de la

empresa. Por lo tanto, no deberá ser utilizado con otros fines diferentes que la realización de

la propia actividad laboral.

Sin embargo nunca deberá obviarse el hecho de que en un juicio la palabra y la

interpretación última es siempre tarea del juez atendiendo para ello a su criterio,

interpretando las leyes y aplicándolas según su entender. Por lo tanto cualquiera de los

procesos efectuados y las acciones llevadas a cabo son validadas y refrendadas

exclusivamente por su señoría.

Pero finalmente teniendo en consideración lo expuesto hasta el momento, llegará la hora

de adquirir las evidencias como fase crítica del proceso. En este momento vuelve a aparecer

la cuestión fundamental, ¿cuál es el procedimiento adecuado? De nuevo la respuesta es

compleja, no existe un procedimiento único, así como tampoco existen unas herramientas

11


“validadas” y que sirvan específicamente a efectos judiciales. Como ya se ha indicado, en

muchos países de la Unión Europea, entre ellos España, no existe una legislación para el

análisis forense digital. Por ello no puede expresarse de forma taxativa qué proceso es el

adecuado ni cuáles son las herramientas necesarias y cómo deben utilizarse.

Básicamente hay que dar respuestas a una serie de preguntas fundamentales:

1. ¿Cuál es el escenario ante el que hay que enfrentarse?

2. ¿Qué quiere analizarse: un fichero, un directorio, un disco o todo un sistema?

3. ¿De cuánto tiempo se dispone para hacer la adquisición de las evidencias?

4. ¿Dónde se almacenarán las evidencias?

5. ¿Cuántas copias deben realizarse?

Sin lugar a dudas, una operación crítica para el analista forense es la copia. Normalmente los

escenarios a los que se enfrentará demandarán procesos complejos y voluminosos de

copiado de información, haciendo incluso uso para ello de distintos medios. La propia

configuración del equipo analizado, desconocer la ubicación específica de los ficheros o su

ubicación en múltiples medios de almacenamiento, son algunas de las circunstancias

posibles que pueden complicar la realización de la copia. Muy probablemente el tiempo

invertido será alto y el coste en recursos también.

El proceso de copiado de un disco o de determinados ficheros debe de garantizar las

siguientes condiciones:

- Las copias realizadas deben ser idénticas al origen y por lo tanto entre ellas también.

- Bajo ningún concepto el origen de datos debe ser alterado. Tampoco el destino. En

este caso la copia queda inutilizada para el proceso de análisis y deberá repetirse. Si

no se hiciese así todo el proceso de análisis podría quedar invalidado.

- El copiado debe ser completo, incluyendo el supuesto espacio libre. Muchas veces es

posible que aparezca allí información interesante, especialmente si se ha hecho uso

de herramientas antiforenses.

- Debe aplicarse una función hash sobre la información adquirida con objeto de

obtener su huella digital.

Este último aspecto es fundamental. A través de él se garantiza que las conclusiones a las

que se llega tras el análisis de las copias realizadas de las evidencias, parten de un disco o

ficheros idénticos al original y por lo tanto no ha habido una manipulación de los mismos

tras las copias binarias realizadas.

12


Inicialmente es necesario determinar cuántas copias deben realizarse. Es recomendable un

mínimo de dos adicionales al original. Una de ellas destinada al analista forense, la otra a la

empresa implicada o al afectado por el caso, para dar continuidad al trabajo, y finalmente el

original que deberá salvaguardarse como elemento crítico. Para esto último son varias las

posibilidades. En caso de denuncia se podrá presentar junto a ésta, quedar depositada en un

notario o bien almacenada por la organización o persona afectada con las garantías de

seguridad debidas. Es fundamental tener en cuenta su importancia de cara al posterior

juicio.

El hash garantizará que el disco no ha sido manipulado y este aspecto es fundamental.

Permite reproducir las pruebas originales ante la posible realización de análisis

contrapericiales. Para la obtención del hash existen multitud de algoritmos, se recomienda el

uso de al menos SHA-1 (Secure Hash Algorithm) para ello.

Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la función

dd para el copiado. Esta se realiza bien por la clonación del disco físico o las unidades lógicas,

o bien generando un único fichero de imagen que pueda ser tratado directamente por las

herramientas forenses.

Para ello existen elementos hardware que permiten realizar estos procesos de forma

cómoda, precisa y con altas garantías. Aunque no es la solución más económica, si es la que

ofrece mayor profesionalidad y seguridad a un analista forense.

No obstante hay que tener en cuenta la diversidad de tipos de discos existentes en el

mercado. Su evolución llega a suponer que un determinado hardware adquirido podría no

ser válido para un proceso de copia, al no disponer de los accesorios adecuados para

recuperar un modelo de disco específico. No obstante existen conversores que facilitan la

labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo del tiempo.

A modo de ejemplo se presentan a continuación algunos enlaces orientativos sobre

dispositivos existentes en el mercado que permiten las operaciones de adquisición de

evidencias.

- Logicube (http://www.logicube.com/)

- ICS (http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm)

- Data Device International (http://www.datadev.com/hard-drive-forensics-dod-

approved-data-security-erase.html)

http://www.logicube.com/

http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm

http://www.datadev.com/hard-drive-forensics-dod-approved-data-security-erase.html

http://www.datadev.com/hard-drive-forensics-dod-approved-data-security-erase.html

13


Capítulo 3 – El procedimiento de copiado de discos

Ya se ha tratado en el capítulo anterior la importancia de llevar a efecto un procedimiento

adecuado para la adquisición de evidencias. Se citaba el equipamiento hardware como la

opción más profesional e idónea para realizar los procesos de copiado necesarios. Sin

embargo, existen como alternativa, soluciones basadas en software que pueden encargarse

de esta fase fundamental en todo análisis forense. La mayor parte de ellas hacen uso de la

función dd, existente en entornos Unix y Linux, para la copia de un número determinado de

bytes o de bloques. En esta publicación se citan y muestran las opciones proporcionadas por

las suites forenses Helix y Caine.

La suite Helix de e-fense (http://www.e-fense.com/), ha evolucionado en el tiempo, nació

con una inspiración diferente, sobre todo en lo que se refiere al aspecto económico. Era una

solución de libre distribución y ofrecía funcionalidades para realizar análisis Live Forensics

sobre sistemas Microsoft y Post Mortem, a través de un arranque sobre distribución Linux.

Totalmente gratuito, tanto en el análisis Live Forensics como Post Mortem, proporcionaba

mecanismos para la realización de copias de evidencias digitales que podrían ser utilizadas

en los casos forenses.

Para los no iniciados en el análisis forense, se realiza a continuación una breve descripción

de las tipologías mencionadas en el párrafo anterior. El análisis Live Forensics presenta como

premisa la obtención de evidencias y análisis de un equipo mientras el sistema operativo se

encuentra iniciado. Resulta especialmente interesante en escenarios como los de

identificación de aplicaciones con código malicioso o de ataques que se producen en red.

Hay que tener especial cuidado con este tipo de análisis, puesto que existe una alta

posibilidad de alterar las evidencias. Por lo tanto, será especialmente crítico el haber

realizado una copia binaria adecuada antes de iniciar el peritaje.

Por otra parte el análisis Post Mortem se realiza sin arrancar el sistema operativo del equipo

a analizar. Es la tipología más frecuentemente utilizada puesto que el riesgo de modificación

de evidencias es muy bajo. Es especialmente útil en búsqueda de datos, análisis de registros

o reconstrucción de ficheros eliminados por citar algunos ejemplos significativos. Múltiples

herramientas forenses basan su funcionalidad en este tipo de investigación.

A día de hoy las distribuciones de este producto presentan un coste, sin embargo todavía es

posible localizar en Internet versiones de la suite que como la 1.9 o la 2008 R1 pueden ser

http://www.e-fense.com/

14


utilizadas para la adquisición de evidencias. Basadas en la distribución de Linux Knoppix,

pueden utilizar su funcionalidad de Live-CD para la adquisición de discos.

Las distintas versiones presentan diferencias, no sólo en su presentación sino también en las

aplicaciones proporcionadas para la ejecución de procedimientos forenses. La versión 1.9 a

diferencia de la posterior 2008 R1, aportaba una funcionalidad adicional a través de la

aplicación Air.

A continuación se muestran dos imágenes con el la interfaz de cada una de las versiones.

Imagen. 1.- Helix versión 1.9.

Como es posible apreciar las diferencias aparecen tanto en el aspecto visual, como en las

herramientas aportadas por cada una de las versiones.

15


Imagen. 2.- Helix versión 2008 R1.

16


Ambas versiones incluyen una las aplicaciones más utilizadas para la realización de

operaciones de copia, Adepto. Esta aplicación permite dos modos diferentes de emplear la

funcionalidad dd para la adquisición de evidencias:

- Adquisición en un único fichero dd, volcando en el mismo todo el contenido del disco

seleccionado.

- Realización de una clonación del disco, generando una copia idéntica del disco

seleccionado.

La siguiente imagen muestra la operación de la adquisición de disco haciendo uso de la

aplicación Adepto. Dentro de las opciones significativas que se pueden observar, se

encuentra la posibilidad de indicar ruta de destino donde volcar la información. Para ello,

podrá hacerse uso de una ruta local, una conexión de red tipo Netbios o incluso una salida

de datos a través de Netcat sobre la dirección IP y puerto especificado.

Imagen. 3.- Adquisición de disco.

Como se ha comentado en capítulos anteriores, es un elemento fundamental en el proceso

la opción de poder obtener el hash de las evidencias originales. Esta funcionalidad permitirá

verificar, en cualquier momento tras la realización de copias, que origen y destino son

17


idénticos, dando así plena validez a la prueba y a los procesos de análisis que hagan uso de

ella, así como a las conclusiones a las que pueda llegarse.

Es recomendable modificar el algoritmo predeterminado de cálculo del hash, MD5. La

utilización en su lugar de al menos SHA1 mejora sensiblemente el nivel de seguridad de la

operación. Algunas de las motivaciones de esta modificación se recogen en el siguiente

artículo del blog “Legalidad Informática”:

http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html Queda por lo tanto de este modo garantizado que el analista forense no ha realizado

manipulación alguna de las pruebas desde el momento en que se realiza la adquisición de las

mismas. Claro está que éste no puede extender esta garantía de no alteración con

anterioridad a su intervención. No es inusual que los afectados o bien personal informático

en su representación, sí que hayan modificado las evidencias originales, de forma más o

menos malintencionada dependiendo del caso. Sólo el posterior análisis dará respuesta a

esta incertidumbre propia de toda investigación.

Partiendo de la ya mencionada aplicación dd, otras metodologías de posible uso como

DCFLDD y AFF presentan características avanzadas en las prácticas de adquisición de

evidencias forenses. El primero de estos métodos fue desarrollado por el departamento de

los EEUU, Defense Computer Forensics Lab. El segundo denominado Advanced Forensics

Format, fue diseñado como un mecanismo más avanzado que el formato dd estándar,

siendo más flexible y permitiendo el almacenamiento extensivo de metadatos, además de

requerir menor espacio de disco que otros formatos propietarios existentes en el mercado,

como el propio de EnCase. Teniendo en consideración el tipo de implementación, es

recomendable decantarse por la metodología DCFLDD.

El segundo de los métodos de adquisición es el proporcionado por Adepto, una de las

herramientas fundamentales de la suite Helix, y basado en la posibilidad de clonación

completa de un disco, manteniendo tanto la información como su estructura física, de tal

forma que la copia será un calco del disco origen. En esta circunstancia también se realizará

una función hash del mismo, que será mostrada a través del sistema Log que proporciona la

propia herramienta.

Como es posible observar en la siguiente imagen, también a través del menú de

Restauración/Clonado de Adepto, se ofrece la alternativa de restaurar un fichero tipo dd

bien sobre un disco o bien sobre otro fichero imagen. De tal forma que se verifique

nuevamente la idoneidad del procedimiento mediante función hash del origen y del destino.

http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html

18


Imagen. 4.- Clonación de un disco

En ambas circunstancias es importante tener en consideración una serie de detalles:

- El tamaño de disco es relativamente importante. Los discos origen y destino no

deben presentar las mismas características, ni ser idénticos en tamaño, pero al

menos el disco destino deberá ser superior en tamaño al de origen.

- Los discos implicados en el proceso de copia no deben ser idénticos en formato. Un

disco tipo IDE puede volcarse sobre otro SATA o éste último sobre un disco USB. Para

ello es posible utilizar componentes hardware que permiten la conversión y conexión

de diferentes tipos de unidades de disco a USB. Aunque es un método bastante más

lento e inseguro que el uso de una clonadora convencional, resulta bastante más

económico, permitiendo además tratar todos los discos como externos y controlar de

este modo la identificación de unidades.

- Puede parecer obvio y realmente lo es, pero la experiencia indica que es útil recordar

que en todo proceso de clonación es imprescindible identificar con claridad disco

origen y destino. No sería la primera ocasión en que tras la realización de la copia el

analista comprueba que origen y destino presentan exclusivamente los ceros que

existirían en la supuesta unidad que iba a ser utilizada originalmente como destino.

19


- Es indispensable que el disco destino no disponga de ningún dato previo. Con ello se

evitaría que en el espacio no copiado se encontraran por ejemplo datos de otros

casos, con el consiguiente problema de mezcla de evidencias. Sería peculiar ver como

el analista intenta desentramar relaciones existentes entre diferentes casos motivado

todo ello por el cruce de las evidencias, además de que éstas pueden quedar

comprometidas como pruebas del caso. Se tratará posteriormente qué metodología

es posible aplicar para que un disco quede limpio de trazas previas.

La utilización de un método u otro de copiado, dependerá fundamentalmente del tipo de

escenario al que se enfrente el analista, el tipo de pruebas que sea necesario efectuar y las

herramientas con las que se cuente para el análisis. Por ejemplo, en un análisis de malware

donde hay un componente muy importante de análisis activo sería necesario realizar un

clonado de disco. Sin embargo si se va a realizar un rastreo en busca de una determinada

cadena de caracteres o un documento concreto, el método adecuado podría ser la

generación de un fichero único de imagen.

El tiempo de adquisición de una evidencia dependerá de múltiples factores: el espacio a

copiar o clonar, la velocidad de los discos, el soporte, el tipo de hash a realizar o si se va a

incorporar una verificación de copias son, junto a otros factores, elementos que influyen

directamente sobre el tiempo de copiado. Para el que nunca haya realizado una adquisición

de este tipo es necesario tener en consideración que se trata de un proceso bastante lento.

Como mínimo, para un disco duro convencional y sin que se produzcan errores, estaremos

hablando de unas cuantas horas.

Una aportación importante proporcionada por la herramienta Adepto es que finalizado el

proceso, ésta nos suministrará un fichero de suma importancia en el procedimiento forense,

el fichero de cadena de custodia. Este será objeto de tratamiento posterior, pero resulta

fundamental como parte de la información que deberá acompañar a cualquier evidencia

digital que sea presentada en un proceso judicial.

Otra suite interesante para la adquisición de evidencias y análisis forenses es CAINE

(http://www.caine-live.net/). Computer Aided Investigative Environment es un conjunto de

herramientas de libre distribución, agrupadas en una suite GNU/Linux Live basada en la

distribución UBUNTU. Es de origen italiano y se encuentra dirigida como Product Manager

por Nanni Bassetti.

CAINE ofrece un conjunto de herramientas, que al igual que en el caso de Helix, opera en

modalidad tipo Live-CD. Aporta algunas aplicaciones para interactuar con discos y poder

realizar también la adquisición de los mismos.

http://www.caine-live.net/

20


Imagen 5. Utilidades forenses de CAINE V 2.5.1

Para la adquisición de evidencias, la aplicación más destacada con la que cuenta la suite

CAINE es AIR (Automated Imaged and Restore). Con ella es posible adquirir discos y realizar

algunas operaciones interesantes y habituales en los procedimientos forenses, como es la

limpieza de los discos sobre los que realizar el volcado de información.

Tal y como muestra la Imagen 6, a pesar de las diferencias de interfaz y las particularidades

de cada herramienta, en esencia AIR aporta funcionalidades muy similares a las

suministradas por la aplicación Adepto, comentada previamente.

21


Imagen. 6.- Aplicación AIR.

22


Los procesos que se llevan a cabo en todas las herramientas de este tipo son similares,

debiendo establecerse los orígenes y destinos, bien de ficheros o bien de dispositivos

completos. En todas ellas, se puede proceder a la adquisición de un fichero tipo dd o a la

realización de un clonado de disco. En la realización de estos procesos debe tenerse también

en cuenta la comprobación del hash como operación fundamental.

Al contrario que en el caso de Adepto, la aplicación AIR no genera el fichero de cadena de

custodia y por lo tanto esta operación deberá efectuarse manualmente, tal y como se

mostrará en el siguiente capítulo de esta publicación.

AIR dispone de una interesante función para asegurar la limpieza de discos, Disk Wiping. A

través de este proceso se vuelcan sobre un disco seleccionado como destino, datos de tipo 0

que serán identificados como origen de los datos, eliminando de este modo cualquier

información anterior.

Imagen 7.- Funcionalidad para realizar Disk Wiping.

Tal y como se comentó en páginas previas, esta operación de limpieza constituye un

procedimiento indispensable para garantizar la higiene en el tratamiento y posterior análisis

de las evidencias de cada caso. De esta forma, existe la certeza de que un disco contendrá

información exclusiva de un caso, no quedando rastro de información alojada anteriormente

23


en el dispositivo. Como hemos visto, esta circunstancia es especialmente importante ante la

existencia en un disco de espacio supuestamente no utilizado.

No es inusual que muchos analistas se planteen exclusivamente el análisis del espacio

particionado. Sin embargo el no particionado puede contener información perfectamente

válida. No debe olvidarse que la eliminación de las particiones de un disco a través de los

procedimientos utilizados habitualmente, no elimina la información que pueda residir en el

espacio no particionado. Cuando un disco es clonado físicamente, se duplica también el

espacio no particionado. De este modo, ante la necesidad de recuperación de ficheros

eliminados, que puede darse en determinados procesos forenses, ésta puede efectuarse

tanto en el espacio particionado como en aquel que no lo está. Es importante que el disco

sobre el que se va a volcar información tenga condiciones lógicas similares al de origen. De

este modo, aunque no es obligatorio, sí muy recomendable que si la tecnología del

dispositivo origen es USB, IDE o cualquier otra, ésta se corresponda con la del disco destino.

Este aspecto resulta crítico en análisis tipo Live Forensics, para evitar la aparición de

problemas a la hora de arrancar el sistema operativo y reconocer y trabajar con el disco.

Como es posible apreciar en la Imagen 8, se ha seleccionado como origen el conjunto de bits

ZERO y como destino la unidad SDA. Tras aceptar el mensaje de advertencia que aparecerá

en pantalla, se iniciará la operación.

Imagen. 8.- Inicio del proceso de eliminación de datos

24


La revisión de éste proceso podrá realizarse aprovechando el módulo de estado que

proporciona la herramienta AIR. En la siguiente imagen, éste muestra información sobre el

volcado de bits 0 sobre el disco SDA. Como ya se indicaba para la adquisición de evidencias,

estos procesos de copiado son lentos y requieren de un tiempo considerable para ser

completados. Esta circunstancia debe tenerse en consideración en la asignación de tiempos

que el analista realice para este tipo de operaciones. No olvidemos que en la mayoría de las

ocasiones éstas se desarrollan en las instalaciones de los clientes o afectados. En estos

escenarios es recomendable contar de partida con discos “limpios”. Los procesos de copiado

resultarán por si mismos tediosos, requiriéndose en muchas ocasiones por procedimiento la

presencia de varias personas, con lo que es más que aconsejable evitar demoras adicionales

provocadas por la necesidad de realizar la limpieza de discos “in situ” con antelación a la

adquisición de evidencias propiamente dicha.

Imagen. 9.- Estado del proceso

El proceso mostrado de Disk Wiping, no debe confundirse con el de eliminación segura de

información, del que se habla en otras ocasiones. Este último trata de garantizar la no

recuperación de la información que hubiese estado alojada en un disco. Para ello se requiere

de la realización de varias pasadas de bits de 1 y 0, asegurando de este modo que una

información no será recuperable bajo ninguna circunstancia, ni siquiera haciendo uso de

elementos hardware altamente especializados. En el caso del proceso de Disk Wiping, éste

es más ligero, siendo sólo necesario realizar una pasada de bits 1.

25


Aunque el proceso de eliminación segura de información puede realizarse con AIR, resulta

más aconsejable hacer uso de soluciones que han sido específicamente diseñadas con este

propósito. Sirva de ejemplo el conjunto de aplicaciones DBAN (http://www.dban.org/), cuyo

uso se encuentra ampliamente extendido a nivel mundial en diversidad de grandes

empresas y organizaciones para la realización de este tipo de acciones de borrado seguro de

información.

Una aplicación para el tratamiento de discos aparentemente más simple, al menos es lo que

a su aspecto se refiere, es Guymager. Esta forma parte de la suite CAINE, mencionada ya en

repetidas ocasiones en esta publicación, y aporta también la funcionalidad de adquirir y

clonar discos mediante una interface realmente sencilla de manejar.

Imagen. 10.- Guymager

Sin embargo la aparente sencillez no debe asociarse necesariamente a la falta de potencia o

efectividad. Al seleccionar la opción “Adquirir imagen o clonar dispositivo” será posible

introducir un gran número de parámetros y seleccionar diversidad de opciones para la

realización del proceso en unas determinadas condiciones. Esto amplía considerablemente

las capacidades de la aplicación, haciéndola mucho más versátil que las anteriormente

citadas.

La siguiente figura muestra las opciones que la herramienta Guymager aporta para la

adquisición del fichero imagen. Son varias las posibilidades. No sólo mediante la función dd,

tal y como se ha mostrado hasta ahora, sino también generando un fichero de formato

http://www.dban.org/

26


nativo utilizado por software de análisis forense, EnCase. De igual modo, será posible

suministrar a la evidencia información relevante para su identificación, incluyendo datos

asociados al caso objeto de investigación o al analista responsable de la operación.

Imagen. 11.- Adquisición de discos

Se ha mostrado en este capítulo la importancia de una correcta adquisición de evidencias,

así como algunas de las metodologías para llevarla a efecto. Evidentemente, son múltiples

las posibilidades válidas. Sin embargo es crítico para el buen desarrollo de la investigación

que en todos los casos la “higiene de las pruebas” sea la máxima observada por el

procedimiento utilizado.

Es necesario dar al proceso de copiado de evidencias el tempo adecuado. A pesar de la

presión externa y circunstancial de la investigación, que los afectados pueden incluso

incrementar, el analista debe ser coherente con su labor profesional, valorando cada

aspecto con rigor y siendo consecuente con la responsabilidad que adquiere. En las

operaciones de copiado es la persona clave que dispone del conocimiento, especialización y

capacitación necesaria. Debe por lo tanto, abstraerse de cualquier presión externa, que con

objeto de acelerar los procesos, pueda influir negativamente en el rigor de la operación.

27


Capítulo 4 – La cadena de custodia

Ha quedado claro en los capítulos anteriores que el fundamento para llegar a un proceso

judicial en una buena posición como perito, es garantizar la consistencia de las evidencias

digitales adquiridas. Desde un punto de vista formal esto se consigue mediante la utilización

de un procedimiento válido que garantice la no alteración de las pruebas. En esta misma

línea, la posterior custodia rigurosa y documentada de las evidencias será otro aspecto que

afianzará la garantía de no alteración, crítica para el proceso. En este cuarto capitulo se

aportará información relacionada con este aspecto.

No existe en España una regulación específica para procedimentar y garantizar la custodia de

pruebas, aunque sí en otros países del ámbito europeo. Sin embargo, se prevé de forma

inminente la aparición de la norma que regulará y garantizará la custodia de las pruebas

policiales. El encargado de su elaboración ha sido el Instituto Universitario de Investigación

en Ciencias Policiales. Actualmente existen protocolos internos pero no unificados. Esta

norma deberá tenerse en consideración para las diferentes unidades de cuerpos de

seguridad del estado. Sin embargo aunque puede ser tomada como referencia, no afectará a

aquellos análisis y peritajes que sean realizados en el ámbito privado.

Sin embargo, aunque no exista oficialización del procedimiento, está ampliamente aceptada

la figura de la cadena de custodia como norma de facto para dar garantías al proceso de

mantenimiento de las evidencias. La cadena de custodia asegura en cualquier investigación,

sea o no informática, que las pruebas aportadas y las conclusiones a las que se llega

partiendo de las evidencias, son consistentes y válidas, no habiendo sido alteradas para

ningún fin con posterioridad al momento de su adquisición.

A lo largo de la investigación es necesaria la cesión tanto de las evidencias como de las

copias garantizadas de las mismas, fundamentalmente entre distintos peritos, pero también

entre personas u organizaciones involucradas en el proceso. Sobre ellos recaerá en cada

momento el compromiso de mantenimiento de las pruebas. Es por ello que la cadena de

custodia deber recoger en todo momento: ¿quién es el depositario?, ¿durante qué espacio

temporal lo es? y ¿cuál es la razón por la que la evidencia queda bajo su custodia?

La cadena de custodia permite identificar con claridad quién ha estado en posesión de las

evidencias antes de que éstas sean utilizadas en instancias judiciales, permitiendo que

cualquier depositario de las mismas pueda ser citado judicialmente si las evidencias

28


quedaran en entredicho durante el proceso. Este hecho atiende habitualmente a posibles

errores respecto de los procedimientos utilizados durante el peritaje.

Queda recogido en la Ley 1/2000 de Enjuiciamiento Civil el objeto y finalidad del dictamen de

peritos a través de su artículo 335:

“Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad.

1. Cuando sean necesarios conocimientos científicos artísticos, técnicos o prácticos para

valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos,

las partes podrán aportar al proceso el dictamen de peritos que posean los

conocimientos correspondientes o solicitar, en los casos previstos en esta Ley, que se

emita dictamen por perito designado en el Tribunal.

2. Al emitir el dictamen todo perito deberá manifestar, bajo juramento o promesa de

decir la verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible,

tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible

de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en

las que podrá incurrir si incumpliere su deber como perito.”

La custodia de las pruebas, se convierte por lo tanto en un procedimiento fundamental que

permite al perito garantizar la independencia y objetividad en la elaboración de sus

conclusiones, sin haber realizado manipulación de las evidencias para favorecer a alguna de

las partes.

Teniendo en consideración lo anterior, es necesario incorporar un fichero de cadena de

custodia para cada evidencia existente. En el caso de los procedimientos que se llevan a

cabo en Sidertia Solutions, compañía en la que desarrollo mi labor profesional, también las

copias adquiridas se acompañan de su correspondiente fichero para dar mayor consistencia

a la investigación.

De este modo, cuando un analista recibe un disco previamente copiado del original, para a

su vez realizar otra copia que le permita efectuar acciones de análisis de datos deberá

proceder también a formalizar el fichero de cadena de custodia correspondiente. Gracias a

ello, será posible también tener identificada y controlada la copia de trabajo generada, que

contiene la misma información que será tratada como evidencia en el juicio.

No es posible mencionar la existencia de un único modelo de fichero de cadena de custodia

homologado y de uso generalizado. Es posible localizar en la red diversidad de formularios

que pueden ser válidos. En otras ocasiones son las propias herramientas de adquisición de

evidencias las que proporcionan sus propios modelos. Pero incluso es factible la generación

del fichero de forma manual si este recoge la información necesaria. Haciendo uso de

29


cualquiera de las posibilidades mencionadas, lo importante es contar con algún archivo de

cadena de custodia asociado a la evidencia y que contenga la información de identificación

imprescindible.

A continuación se muestra el formulario generado por la herramienta Adepto, que ha sido

objeto de análisis en capítulos anteriores de este documento.

Imagen. 12.- Funcionalidad de cadena de custodia

Haciendo uso de la funcionalidad que aporta el módulo de cadena de custodia en Adepto, es

posible generar un fichero PDF conteniendo la información correspondiente al

procedimiento realizado y que permitirá acompañar a la prueba desde su adquisición.

La siguiente imagen permite apreciar el archivo generado por Adepto tras la operación de

30


adquisición del disco. En él se incorporan los datos que dan validez al procedimiento y que

31


han sido proporcionados al iniciar la herramienta. De igual modo, se adjunta de forma

automática información como la identificación del disco y las opciones empleadas para la

adquisición.

Img. 13.- Fichero de cadena de custodia de Adepto.

Una vez generado el fichero de cadena de custodia, éste debe acompañar siempre a la

propia evidencia. La transferencia de la misma de un perito a otro, conlleva el cambio de la

custodia y por lo tanto también la actualización y traspaso del fichero. Para su formalización

deben suministrarse los datos requeridos, incluyendo el motivo por el que se realiza la

transferencia de la evidencia. No es inusual que un profesional sea el encargado de realizar

la adquisición, mientras que el proceso de análisis de las pruebas es realizado por un

segundo analista.

El fichero de cadena de custodia no implica en esencia más que un formalismo, pero como

tal es parte esencial del proceso. Es posible que nunca sea requerido en el proceso judicial,

pero en algún caso puede ser crítico para afrontar las dudas y desconfianzas sobre las

pruebas que alguna de las partes puede intentar fomentar en su beneficio.

32


Capítulo 5 – Las buenas prácticas en el análisis.

Llegados a este punto, el analista cuenta con las evidencias del caso, que además han debido

ser recogidas a través de los procedimientos y buenas prácticas comentadas en capítulos

anteriores. Ha llegado pues el momento de iniciar el análisis propiamente dicho. No es

objetivo de este manual realizar un exhaustivo estudio de cómo analizar evidencias digitales.

Este aspecto daría lugar a un estudio de mayor calado técnico y cuyo contenido sería

indudablemente más extenso. Sí se pretende sin embargo ofrecer toda una serie de buenas

prácticas y consideraciones generales, que permitan, teniéndolas en consideración, la

obtención de unos correctos resultados en el proceso de análisis.

Evidentemente será necesario valorar que cada escenario presenta sus peculiaridades y no

todos pueden analizarse de la misma forma. Las diferencias son significativas de unas

situaciones a otras. Poco tiene que ver un caso donde es necesario localizar en un equipo

una conversación mantenida a través de Messenger, con otros donde existen indicios de

accesos ilícitos a cuentas de correo electrónico corporativo o donde se intenta detectar la

posible acción de aplicaciones maliciosas en un caso de espionaje industrial. Los posibles

ejemplos objeto de análisis pericial y sus diferencias podrían completar un listado

interminable.

¿Porqué no decirlo? El término “forense” conlleva un cierto aire de misterio que puede

resultar atractivo. Se asocia a la idea de investigación y descubrimiento y esto también

ocurre en el ámbito de la informática. Sin embargo, en la mayoría de las ocasiones, las tareas

de análisis no resultan nada edificantes, sino más bien todo lo contrario. Pueden incluso

llegar a ser tediosas y requieren de un gran esfuerzo personal para no caer en la desidia.

Muchos de los casos forenses que finalizan en un proceso judicial, demandan como tareas

fundamentales el análisis de interminables log (registros de actividad) o la búsqueda de

cadenas de carácteres entre el gran volumen de ficheros que pueden estar alojados en un

determinado servidor o equipo de trabajo. Labores habitualmente poco gratificantes.

Es cierto que hay otros muchos tipos de actividades forenses más atractivas que las citadas

anteriormente, sin embargo es inusual que las investigaciones basadas exclusivamente en

estás técnicas deriven en un juicio. Los casos relacionados con aplicaciones maliciosas, los

análisis de memoria, el descubrimiento de técnicas antiforenses o de ocultación

(esteganografía) son algunos ejemplos de los muchos posibles. No debe obviarse que la

33


información y conclusiones a las que el perito debe llegar tienen que ser rotundas y

difícilmente refutables y éstas interesantes técnicas no suelen aportar el nivel de certeza

requerido.

Frente a lo anterior, lo habitual es que sean aquellas investigaciones donde sea necesario

analizar correos, ficheros de registros o ficheros de datos los que terminen en un proceso

judicial. En definitiva hay que hablar de interpretaciones, ante lo cual serán los datos más

simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la

labor tanto de peritos como abogados.

Frente a lo anterior, lo habitual es que sean los procedimientos de análisis de correos, logs o

ficheros los que aporten datos de valor para una investigación que tenga un fin judicial. En

definitiva estamos hablando de interpretaciones, ante lo cual serán los datos más simples y

asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto

de peritos como abogados.

Planteemos un ejemplo ilustrativo de lo anterior, la necesidad de explicar a un juez que a

través de la identificación de una dirección de memoria se tiene constancia de la

manipulación de un proceso del sistema que interfiere en las pulsaciones del teclado.

Además dicha manipulación se produjo por la instalación de una aplicación que aunque en el

registro del sistema aparezca realizada por el usuario demandante, se estima que en

realidad fue llevada a efecto por el demandado, mediante una intrusión en el sistema a

través de una vulnerabilidad en la máquina virtual de Java del equipo del demandante.

Como es fácil deducir la posibilidad de transmitir esta información a un juez es una labor casi

imposible.

Regularmente, y más en la coyuntura económica actual, son muchos los casos relacionados

con despidos que buscan una causa justificada que los convierta en procedentes. De igual

modo la gran competitividad hace que sean numerosas las investigaciones por espionaje

industrial o robo de propiedad intelectual. Pues bien, este tipo de casos se resuelven

habitualmente escarbando entre los registros de los sistemas o en ficheros de datos.

En la actualidad, los casos de investigación forense suelen presentar desde sus inicios

objetivos concretos. No suelen ser habituales los análisis realizados en función de la

posibilidad de estar afectado por una aplicación maliciosa o sospechas similares poco

definidas. Cuando se adopta la decisión de iniciar un proceso, que además puede

desembocar en un juicio, es porque existe una clara sospecha o al menos indicios razonables

como punto de partida de la investigación. Los análisis realizados con ausencia de objetivos

concretos, además de ser más complejos y costosos en el tiempo, suelen dar resultados

poco tangibles y en muchas ocasiones incluso denotan falta de coherencia en la sospecha.

34


Adicionalmente estos resultados finales no suelen satisfacer al cliente, que ha visto

“fantasmas donde no los hay”, y que no es inusual que ante ello presente dificultades para

abonar los servicios prestados.

En el momento de afrontar el análisis de evidencias, deberán tenerse en consideración una

serie de criterios y obtener del cliente unos datos fundamentales para la investigación:

- Definición de la línea temporal. Es crítico en cualquier análisis definir tiempos, tanto

para acotar temporalmente la investigación como para definir las conclusiones

siguiendo para ello patrones claramente definidos. Muchas de las conclusiones a las

que se puede llegar se apoyarán en información de fechas y horas.

- Búsqueda de elementos o palabras clave. En ocasiones los indicios no estarán

definidos con claridad, pero resulta totalmente indispensable tener una orientación

respecto de qué buscar. Un nombre, una web o una dirección de correo suelen ser

datos que el cliente puede llegar a facilitar y que suponen un buen punto de origen

para desarrollar el análisis. Sin estos datos es realmente complicado realizar una

investigación rápida y fructífera.

- ¿Quién es quién? Es vital conocer los máximos datos posibles de las personas

involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en

determinados escenarios son determinantes. A veces en la búsqueda de

conversaciones almacenadas en un equipo no aparecen nombres directamente pero

sí “alias” de las personas involucradas. Definir un cuadro relacional puede resultar

esclarecedor en este tipo de circunstancias. No sería el primer caso en el que tras una

investigación pueden salir a la luz relaciones personales, incluso sentimentales,

desconocidas hasta el momento por la persona u organización que había solicitado la

investigación.

El analista en su labor de investigación debe tener en todo momento amplitud de miras y

evitar la posible pérdida de evidencias por haber circunscrito la investigación al marco

operativo e indicios originales exclusivamente. Nunca debería descartarse la posibilidad de

incorporar nuevas evidencias a un escenario. Cuando la existencia de un caso pasa a ser

pública de forma inevitable ante acciones que no pueden efectuarse con discreción, como

son la retirada de un ordenador o la comunicación a los investigados, es habitual la

eliminación de evidencias por parte de los afectados. En este sentido y en la medida de lo

posible, es importante haber sido previsor, planteando al cliente una estrategia de

adquisición de evidencias de mayor alcance del que podría considerarse inicialmente. Es por

ello que ante la existencia de algún tipo de sospecha, aunque no totalmente fundada sobre

una persona, debería procederse a clonar el disco de su equipo desde el momento inicial. De

35


este modo si en el desarrollo la investigación fuese necesario, sería posible realizar un

análisis posterior del disco recogido.

No debe olvidarse que este aspecto puede resultar especialmente conflictivo. Poner en

guardia o crear supuestos sospechosos de personas que a larga pudieran no estar

involucrados en el caso, genera una desestabilidad palpable en el ambiente laboral.

Situación nada deseable en ninguna organización. Por ello, es importante desde un primer

momento valorar con el cliente las prioridades, definiendo hasta que punto la correcta

adquisición y preservación de las evidencias prevalece sobre el resto de circunstancias.

A la hora de analizar un disco, las búsquedas realizadas sobre el mismo deben ser

exhaustivas, incluyendo la localización de información que inicialmente podría parecer

inexistente. Mas allá de los escenarios donde se han implementado técnicas antiforense,

muchos casos requieren de la recuperación de ficheros eliminados. No es inusual que el

“sospechoso” haya podido tener la precaución de eliminar ficheros o datos que puedan ser

contraproducentes para él. Incluso, si dispone de las capacidades para ello, puede que la

eliminación de información haya sido irreversible.

La recuperación de ficheros eliminados es una tarea que implica mucho tiempo y a veces los

resultados no son positivos o difíciles de gestionar para fines judiciales. A pesar de ello, su

recuperación puede aportar al menos indicios importantes para la línea de investigación.

Medio fichero es mejor que nada. Herramientas forenses tales como EnCase o FTK (Forensic

ToolKit), cuentan con módulos para realizar búsquedas de ficheros eliminados y sobre ellos

poder localizar palabras o frases clave. La dificultad aquí estriba en hacer creíble la prueba

de cara al juicio.

Otro aspecto fundamental en la fase de análisis de muchos casos forenses, es la detección

de patrones de conducta más o menos definidos. Usuarios que se conectan a unas horas

concretas, correos que se envían desde unas IP específicas que aunque dinámicas

pertenecen a un mismo rango, frases o palabras muy especiales, representan ejemplos de

patrones que pueden ser fáciles de rastrear. En un caso abordado recientemente, una

cuenta que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos

personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el

método de validación empleado se usaban dos patrones de autenticación válidos, aunque

totalmente diferentes (dominio\usuario y usuario@dominio).

Analizar patrones, a priori puede resultar algo complejo, sin embargo haciendo uso de tablas

de relación adecuadas esta labor puede ser un potente instrumento. A nadie se le exige

tener la mente analítica, relacional y obsesiva del matemático y economista John Forbes

Nash que inspiró la novela y posteriormente la película “Una mente maravillosa”. Sin

mailto:usuario@dominio

36


embargo, sí es interesante para un forense disponer de ciertas capacidades de razonamiento

analítico. Son muchos los casos en los que gracias a ellas, salen a la luz determinados

patrones que dan pie en la elaboración de conclusiones bien fundamentadas. Por otra parte,

la experiencia muestra que convenientemente introducidas en el juicio, los patrones de

comportamiento constituyen un elemento esencial para poder conducir de forma efectiva

las alegaciones y conclusiones que se presentan ante el Juez.

Es interesante contrastar los patrones obtenidos con el cliente. En ocasiones se llegará a

apreciaciones realmente valiosas para la investigación. Pongamos un sencillo ejemplo de

esta afirmación. En un determinado escenario laboral, todos los días se producen

determinadas conexiones a recursos corporativos desde un mismo equipo. Sin embargo en

determinadas fechas de la línea temporal de investigación puede observarse que esto no

sucede así, lo cuál hace sospechar que en esos días la persona que opera desde el equipo en

cuestión no desarrolló su labor habitual. Tras contrastar con la organización la inexistencia

en esos días de alguna cuestión que justifique estas excepciones, es evidente que en las

fechas señaladas sucedió algo “distinto a lo habitual” y que puede ser sintomático de los

comportamientos anómalos que la investigación intenta localizar. Estos datos podrán ser

introducidos en el informe como parte esencial de las conclusiones derivadas. No obstante

hay que matizar que un informe pericial nunca puede encontrarse condicionado por el

cliente y mucho menos, parcial o totalmente, elaborado por él. Será tarea del analista

solicitar determinada información y por lo tanto atendiendo a su criterio como perito

introducirla en el informe en un término u otro.

Este contraste de información con el cliente puede aportar valor a la investigación en algún

otro sentido además del ya indicado. Retomemos el escenario anterior para ilustrar esta

afirmación y pongámonos en la situación de que a diferencia de lo expuesto, el cambio en el

patrón de comportamiento del profesional investigado en determinadas fechas sí responde

a causas justificadas, como pueden ser visitas médicas. El analista dispone de esta

información tras su comunicación con la organización cliente. Estos resultados por lo tanto

afianzan la veracidad de las evidencias utilizadas, puesto que los resultados obtenidos por el

investigador no eran conocidos por él de antemano y sin embargo se ha detectado

claramente un cambio en el patrón de comportamiento habitual, a pesar de estar en este

caso totalmente justificado.

Aprovéchese este breve ejemplo para recalcar que en cualquier caso el analista tendrá que

ser muy cuidadoso con el tratamiento de aquellos datos que puedan resultar invasivos de la

intimidad de las personas afectadas, pudiendo tener con ello consecuencias nada deseables

37


ante una posible violación de la intimidad o de los datos personales de las personas objeto

de investigación.

Evidentemente es crítico ser extremadamente escrupuloso en la realización del análisis e

inevitablemente esto implica ser organizado. Hay que tener claro desde el principio cuales

son los objetivos sin desdeñar por ello alternativas. Si eres caótico saltarás desde una pista a

otra sin una clara visión y esto se reflejará indefectiblemente sobre el informe resultante de

la labor de peritaje. Es importante anotar cualquier apreciación relativa a información

obtenida directamente o a partir del cruce de resultados. No hay que confiar nunca en las

capacidades de memoria personales, puesto que ante la avalancha de información es posible

la pérdida de detalles relevantes. Es una buena práctica llevar un cuaderno de bitácora

donde anotar cualquier apreciación, evidencia, horas, fechas, nombres o cualquier dato o

impresión que pueda considerarse de interés.

Las herramientas son elementos fundamentales para el desarrollo de tareas de análisis, pero

ni mucho menos lo más esencial. La experiencia, eficacia y buen hacer del especialista, son la

clave para obtener resultados válidos y fiables. Las herramientas no utilizadas de forma

adecuada serán de escasa o nula utilidad. La experiencia ha mostrado lo potentes que

pueden llegar a ser aplicaciones sencillas utilizadas por manos expertas. No existen varitas ni

teclas mágicas para afrontar en un caso la fase de análisis. Cada uno de ellas presenta sus

peculiaridades y es muy importante desprenderse desde un principio de prejuicios y

conclusiones preconcebidas. El asesino no siempre es el mayordomo. No debe olvidarse

tampoco, que en ocasiones la visión profesional de un tercero puede dar aire fresco a la

investigación en momentos de bloqueo de ésta.

38


Capítulo 6 – El informe pericial

El informe pericial constituye, sino el más importante, uno de los elementos esenciales en un

caso forense. En definitiva es el único lugar donde se recoge el resultado y la información de

todo el proceso. Hay que tener presente que por muy buenos que hayan sido los

procedimientos llevados a cabo, las técnicas empleadas y los resultados obtenidos, si no se

reflejan correctamente en un documento, no tendrán valor alguno. Al final, al igual que en

un proyecto de auditoría, el valor del trabajo reside en el documento y será éste el elemento

de juicio fundamental respecto de la labor del analista forense.

Un informe de estas características presenta sus peculiaridades y hay que tener presente

que aunque la carga técnica resulta importante, su objetivo final es transmitir información a

personas que en muchas ocasiones no tienen una relación directa con la informática. Son

meros usuarios tecnológicos. Por lo tanto, sin desdeñar los datos técnicos fundamento de la

investigación, el profesional que lo realiza debe tener en consideración en todo momento a

quién va dirigido, siendo para él un reto hacerlo inteligible a estas personas, sin que ello

implique una pérdida de rigor en la información presentada. Obviamente, será necesario

evitar la tentación de que el informe sea una muestra de las amplias capacidades

informáticas del perito. Evidentemente no es éste su objetivo.

Un informe pericial ininteligible pierde todo su valor de cara al juicio. Es más, el propio

abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y

comprender la información esencial contenida en él. Para un neófito en informática,

comprender aspectos tan básicos como el concepto de dirección IP, puede suponer un

problema. En la elaboración del informe pericial, el analista deberá aplicar en ocasiones una

cierta dosis de pedagogía para facilitar su comprensión.

Es necesario tener presente en la elaboración de este documento final del peritaje la

condición de independencia del perito. Aunque existirá una tendencia inevitable a reflejar

cierta parcialidad en las conclusiones, ésta no debe condicionar la elaboración del informe,

que en ningún caso debe recoger otra información que no sea la realidad de los resultados

obtenidos en la investigación.

Un informe debe presentar una línea maestra bien definida. No pueden plantearse unos

objetivos de inicio y que sin embargo en el desarrollo del informe pericial la información

recogida se dirija a otras cuestiones no asociables a su resolución. Es necesario ser

39


consecuente y evitar en todo término que el informe presente hilos sueltos o cuestiones no

resueltas adecuadamente. Este hecho podría arrojar dudas sobre la validez de la totalidad

del documento.

El informe forense debe atender a un tempo en su desarrollo, que se vea articulado a través

de una estructura de documento claramente definida. En este sentido, pueden ser varias los

modelos y apartados incorporados en el informe. Una posible estructura valida puede ser la

que se presenta a continuación:

- Antecedentes.

- Evidencias.

- Análisis y tratamiento.

- Resultados.

- Conclusiones y recomendaciones. Los antecedentes suponen la mejor forma para iniciar el informe. Estos deben recoger tanto

los objetivos del caso forense, como las reuniones e informaciones iniciales suministradas al

analista. Es importante definir los motivos por los que se ponen en contacto con nosotros

para iniciar el proceso, definiendo así el alcance del mismo. Estos objetivos constituyen la

línea maestra de la investigación y las conclusiones deben ser fiel reflejo de haberlos

resuelto, en un sentido o en otro. Es importante también exponer a través de los

antecedentes las líneas temporales que el análisis debe observar y en que medida se

relacionan con el caso.

Como ya se indicó en repetidas ocasiones en capítulos anteriores, el segundo de los

apartados es realmente crítico. Se trata de la presentación de las evidencia digitales

asociadas al caso. Hay que recordar que son el elemento fundamental del trabajo de

investigación y por lo tanto de la posterior elaboración del informe. Su identificación,

recogida y almacenamiento son determinantes para esta tarea documental. Los

procedimientos empleados deben reflejarse con claridad, garantizando siempre que se han

llevado a efecto las buenas prácticas necesarias, evitando cualquier manipulación o

alteración de las evidencias

Es muy recomendable que las evidencias aparezcan enumeradas en el informe, facilitando

además sobre ellas toda la información posible: cuál es su origen y cuál la motivación de su

obtención, cómo han sido tratadas, qué cantidad de copias se han realizado de las mismas,

quién las ha recogido, almacenado y analizado y cualquier otra información disponible que el

analista considere oportuno incorporar en el informe. Sería importante definir también en el

40


informe, cuando sea factible, los fundamentos existentes que demuestren la no

manipulación de las pruebas. Por ejemplo a través de la firma tomada de las mismas.

Ante la existencia en un determinado caso de evidencias delicadas en lo concerniente a su

modo de adquisición, es recomendable motivar en el informe el porqué de la metodología

empleada, ahondando en las precauciones que se han tomado y su importancia con

respecto al caso. Si determinadas evidencias han sido adquiridas una vez iniciada la

investigación, deberá también indicarse esta circunstancia, así como el motivo que la

provoca. Un escenario ilustrativo de esto sería aquel en que tras unas pruebas iniciales se

detectan indicios de una conversación mantenida desde un determinado equipo. En

consecuencia, se procede a realizar un análisis del mismo adquiriendo para ello su disco

duro.

Los resultados y conclusiones deberán derivarse en todo momento de las evidencias

presentadas. Aquellas afirmaciones que figuren en el informe sin un sustento en las

evidencias, serán tomadas como una elucubración y por lo tanto su valor puede ser puesto

en entredicho. La valoración del perito es válida mientras demuestre su imparcialidad, pero

con las evidencias bien definidas se afianza siempre esta posición.

El tratamiento de las evidencias digitales adquiridas es el siguiente punto que el informe

pericial debe recoger. El análisis de las mismas proporcionará datos a partir de los cuales se

puedan establecer relaciones que a su vez deriven en conclusiones. El factor fundamental

para la exposición de éstas debe ser el de causa-efecto. Es interesante atender en este

sentido al “principio de intercambios” formulado por Locard, que aunque aplicable

fundamentalmente a indicios y evidencias físicas, puede ser tenido en consideración

también para las de tipo digital. Este principio afirma que "siempre que dos objetos entran

en contacto transfieren parte del material que incorporan al otro objeto".

En el caso de que el analista detecte la existencia de patrones de comportamiento, éstos

deberán citarse como un aspecto importante a la hora de elaborar las conclusiones. El

análisis debe ser escrupuloso, metódico y cuidadoso en su ejecución. La falta de método se

reflejará en gran medida en el informe, produciendo unos resultados muy difíciles de

consolidar e hilvanar.

El informe pericial en su apartado de análisis debe ir proporcionando paulatinamente los

resultados, dosificándolos en su justa medida y preparando con ello los elementos finales del

documento. Por otra parte, será este apartado el que habitualmente se encuentre más

cargado de tecnicismos. En muchas ocasiones, esta circunstancia es interesante

contrarrestarla con la generación de un anexo, en forma de glosario de términos, que facilite

41


la compresión del informe, haciéndolo más asequible a posibles lectores que no dispongan

de una base de conocimientos informáticos suficiente.

También deben ser presentados como anexos aquellos resultados del análisis que siendo

importantes puedan ser repetitivos en exceso, provocando con ello una perdida de

efectividad en la presentación del informe pericial. Un ejemplo de ello pueden ser los

resultados obtenidos del análisis de múltiples logs y que es recomendable que se condensen

en una serie de tablas descriptivas en este apartado del informe. Adicionalmente, toda la

información tratada puede recogerse en un anexo que sea referenciado en el documento.

No debe olvidarse que en ocasiones el exceso de información puede desembocar en

desinformación o falta de claridad.

Siempre que sea necesaria, podrá establecerse la correlación existente entre los distintos

análisis. Sin embargo no es recomendable anticiparse con ello a las conclusiones. En caso de

considerarse importante adelantar en este apartado alguna información o relación

concluyente, ésta deberá volverse a exponer en las conclusiones, aunque pueda parecer

reiterativo. Es factible que determinadas personas, especialmente aquellas con un perfil

menos técnico, sólo revisen los resultados y conclusiones del documento.

La información de análisis recogida en el informe debe reflejar la pericia del investigador

como factor determinante. También la eficacia de los métodos y aplicaciones empleadas,

pero siempre dando paso a la labor pericial como elemento fundamental. Esto en España es

aún más acusado dado que no existen herramientas homologadas, ni claro está aquellas

cuyo empleo garantice un éxito de cara al juicio.

La exposición de resultados es una continuación de la fase documental de análisis. Aquí se

define y presenta toda la información obtenida y que pude ser relevante para el caso.

Aunque la correlación de datos es una más propia de las conclusiones, en este apartado del

informe inevitablemente se irá adelantando información en este sentido.

Sin embargo, los datos deben ser fríos y mostrar el fiel reflejo del análisis. Deben prestarse al

hilo conductor de la investigación, reflejando y realzando los más significativos frente a los

menos importantes. El perito debe tener en consideración todos ellos, sean o no favorables,

obligando fundamentalmente por su condición profesional de imparcialidad, pero también

valorando la posible ejecución de una investigación contrapericial.

En la medida de lo posible, la presentación de resultados debe ser acorde a la línea temporal

definida en los antecedentes y que junto con otros elementos muestra el hilo conductor del

caso. Información sensible, particularidades, referencias y un largo etcétera de elementos

deberán ser parte también de la presentación de los hechos.

42


Las conclusiones son uno de los apartados finales del informe, sin embargo muy

probablemente será el punto que se lea en primera instancia. Incluso puede darse el caso de

que en aquellos documentos especialmente voluminosos se presenten como uno de los

apartados iniciales, a modo de informe ejecutivo.

La labor del analista, fundamental en la elaboración de cualquier elemento del informe, es

especialmente determinante a la hora de elaborar las conclusiones. Es en este punto donde,

independientemente de las metodologías o herramientas utilizadas, será la experiencia, el

buen hacer o la capacidad de análisis y síntesis del analista los factores críticos en el

establecimiento de las conclusiones del proceso de investigación.

La importancia del apartado de conclusiones respecto de la toma de decisiones en cada caso

es absoluta. Es a partir de este punto principalmente desde el que se adoptará la decisión

final de considerar a los implicados como inocentes o por el contrario pasar a iniciar una

acción judicial. Es el momento de reflejar relaciones, de presentar las pruebas en toda su

crudeza, de defender los patrones detectados que indican conductas maliciosas reiteradas,

condicionando con ello la gravedad final de las acciones. No debe olvidarse que para las

empresas y organizaciones no será lo mismo la detección de un hecho aislado que una

conducta maliciosa reiterativa. Por todo lo anterior, es recomendable que el analista se

abstraiga de las circunstancias externas del caso, olvidándose de las consecuencias

posteriores que las conclusiones de su labor pueden acarrear.

En definitiva, las conclusiones son la síntesis y el desenlace del caso. Un mayor número de

ellas no implica necesariamente un mejor trabajo. En ocasiones la exposición de datos

inconexos y faltos de sentido puede distraer al lector del informe de las conclusiones

principales, resultando con ello negativo de cara al juicio y facilitando, por su falta de

concreción, la posibilidad de desmontar la labor pericial realizada. Pocos argumentos y bien

planteados serán mejores que un mayor número de ellos pero desdibujados.

Adicionalmente a los anexos que cada informe forense demande en función de las líneas de

investigación desarrolladas, es muy recomendable que en el documento figure un anexo

específico que recoja la pericia, experiencia y capacitación del perito. Con ello se reforzará la

veracidad, profesionalidad y valor de la información recogida en el informe. Hay que tener

presente que quién suscriba el documento pericial se encuentra obligado, si fuese necesario,

a prestar declaración en el juicio en calidad de testigo pericial.

Un informe pericial forense podría recoger en su contenido la necesidad de disponer de

información que no era inicialmente demandada y cuya obtención posterior podría ser

positiva para el esclarecimiento del caso. Debe existir para ello, una causa que lo justifique y

que haya podido surgir en el propio desarrollo de la investigación. Un ejemplo clarificador de

43


esta circunstancia puede ser la aparición de IP públicas, cuya identificación sólo se encuentra

en posesión de los proveedores de Internet. No es objetivo del analista elucubrar sobre las

posibilidades que pueden aportar estos datos, sino simplemente reflejar que gracias a ellos

podría ser posible corroborar o ampliar de una u otra forma las conclusiones.

Para todos aquellos que tengan interés en disponer de un ejemplo de informe pericial de

carácter “oficial”, en el siguiente enlace es posible acceder al elaborado por la Interpol sobre

los ordenadores y equipos informáticos de las FARC decomisados en Colombia.

http://static.eluniversal.com/2008/05/15/infointerpol.pdf

http://static.eluniversal.com/2008/05/15/infointerpol.pdf

44


Capítulo 7 – Prueba anticipada en un proceso civil

En determinadas circunstancias, un análisis forense puede llegar a un punto muerto o bien a

unas conclusiones irrelevantes dado que la información necesaria se encuentra en manos de

un tercero, fuera del alcance del investigador. Un escenario ilustrativo de esto podría ser el

mencionado en el capítulo anterior, relacionado con la aparición de direcciones IP públicas

en los registros de actividad de un servidor investigado. En esta situación sólo el proveedor

de servicios de Internet conoce a quién han podido ser adjudicadas estas direcciones en una

fecha y hora concretas. En ocasiones la ausencia de esta información ha provocado que se

desestimen evidencias ante la creencia de que no es posible su obtención.

La obtención de estos datos puede resultar totalmente determinante, permitiendo motivar

un hecho o incriminar a una persona concreta en el proceso de investigación. Puesto que

bajo ninguna circunstancia el analista tiene acceso a la información y elucubrar sobre

posibilidades, aunque factible, no tiene validez en el juicio, será por lo tanto necesario

solicitar la información.

En este sentido es importante tener en consideración la volatilidad de estos datos. El

proveedor de Internet desechará los registros relativos a las conexiones de sus abonados

con el paso del tiempo. Por ésta y otras razones, es una buena práctica agilizar todo lo

posible su solicitud.

Este procedimiento se denomina solicitud de prueba anticipada. Su base se encuentra en la

protección del derecho fundamental a la prueba. Dado que existe el riego de que una prueba

pudiera no practicarse porque para ello es necesario esperar a que llegue la fase de

procedimientos del juicio, es posible requerir el adelantamiento de la prueba. De este modo,

aunque el proceso judicial no haya sido iniciado podrá solicitarse que se practique el proceso

de solicitud anticipada.

La Ley 1/2000 de Enjuiciamiento Civil a través de su sección IV que comprende los artículos

del 293 al 298 recoge precisamente el ordenamiento de la prueba anticipada. Dicho proceso

puede ser invocado por cualquiera de las partes, debiendo ser motivado y solicitado al

tribunal que está llevando el caso siempre con anterioridad al inicio del juicio.

El escrito de solicitud es remitido por el abogado que llevará el caso ante el juzgado

correspondiente, mediante una súplica de oficio. Es recomendable que el escrito sea

revisado por el analista forense. Aunque está claro que el lenguaje judicial se encuentra

45


fuera del alcance del investigador, se hace necesario asesorar al abogado y evitar con ello

incurrir en errores técnicos que hagan imposible atender a la súplica.

Adicionalmente a otras peticiones que puedan ser cursadas mediante este procedimiento,

las de ámbito informático más habituales son las relacionadas con solicitud de datos de

actividad a los proveedores de Internet y telefonía. Necesidades de información asociada a

direcciones IP públicas o envíos de SMS, uso de dispositivos Smartphone o identificación de

correos electrónicos, son algunas de las múltiples circunstancias que hacen necesaria la

solicitud de información a un tercero.

El procedimiento de solicitud de prueba anticipada se ve favorecido si se acompaña del

máximo de información posible, facilitando con ello su ejecución. Si por ejemplo, se solicita

información de direcciones IP es recomendable que en la petición figure el proveedor o

proveedores asociados a las mismas, además de la línea temporal de conexión claramente

indicada. De esta forma la solicitud al juzgado puede ser encaminada de la forma correcta,

facilitando además la labor de éste. En este sentido, es útil recordar las posibles

discrepancias que pueden tener los ficheros de log, con las horas locales reales donde opera

el proveedor correspondiente.

Un analista en el desarrollo de su labor de investigación debe huir en todo momento de

ideas preconcebidas. Estas incluso pueden venir fomentadas ante la repetición habitual de

un determinado patrón de comportamiento en el desarrollo del análisis. Sin embargo,

cuando el patrón excepcionalmente deja de cumplirse, la duda sobre la validez de la

evidencia puede surgir en el analista pudiendo llegar por ello incluso a desestimar la prueba.

Ilustremos este planteamiento con un posible caso. El analista identifica que el autor de los

hechos se conecta a una misma hora y desde su casa regularmente. Por el contrario y de

forma puntual en determinadas fechas, las conexiones realizadas en una misma franja

horaria proceden de direcciones IP pertenecientes a distintos proveedores. Esta

excepcionalidad respecto del patrón de comportamiento habitual, genera ciertas dudas en el

analista sobre la validez de las evidencias. Esto evidentemente es un error de apreciación,

producido fundamentalmente por presuponer que el investigado realiza siempre las

conexiones desde su casa. Sin embargo se dan muchas circunstancias para que este hecho

sea factible:

- Diferentes actores implicados.

- Un único actor operando desde distintas ubicaciones, por ejemplo desde su casa y la

de un familiar o amigo.

46


- Un único actor utilizando diferentes tecnologías. Por ejemplo, uso de ADSL y

smartphone por el que se conecta a través de su equipo, implicando con ello a

diferentes proveedores. Escenarios como los que se acaban de describir de forma somera en lo puntos anteriores

pueden aportar información de valor para la investigación. De todos modos, tal y como se ha

indicado en párrafos anteriores, para llegar a conclusiones definitivas debe esperarse a la

resolución de la prueba anticipada.

Este tipo de pruebas suelen ser determinantes en el desenlace de un juicio y por lo tanto hay

que hacer todo lo factible para su obtención. Es indudable que ante una información que

solo puede aportar un tercero, como que en una fecha concreta una IP está asociada

directamente a uno de los actores del caso, cobra importancia extrema en el juicio. La

imparcialidad total del tercero, al no conocer ni estar involucrado en la causa, hace que la

prueba tome mucha fuerza, si el abogado la utiliza apropiadamente. Por lo tanto la súplica

deberá realizarse con la debida anticipación para que las pruebas lleguen a tiempo a la vista.

El resultado obtenido de la solicitud de prueba anticipada puede llegar a condicionar

totalmente la estrategia en el juicio

47


Capítulo 8 – Un juicio civil

Tras la labor realizada, llega el punto final y definitivo del proceso. Es necesario tener en

consideración que aun habiéndose realizado una labor profesional de valor, cualquier

investigación forense digital que desemboque en un juicio se dirimirá en éste de forma

definitiva. Anteriormente, la empresa, organización o persona afectada habrá utilizado el

informe pericial fruto de la investigación como elemento fundamental a la hora de adoptar

decisiones, pero el resultado definitivo del peritaje se obtendrá al finalizar el proceso

judicial.

Como paso previo a la vista, es necesario preparar junto a los abogados la estrategia que se

va a adoptar para la misma. El perito aportará su perspectiva e importantes apreciaciones

técnicas que pueden ser hilo conductor de las preguntas que el abogado le formulará en la

vista. La preparación de ésta será también de utilidad para intentar anticiparse a las

cuestiones que puedan plantearse por parte del abogado de la otra parte. Finalmente, su

labor de asesoramiento técnico será también considerada para preparar la testificación de la

parte contraria. Sin una preparación adecuada, incluso habiendo realizado una buena labor

pericial, el juicio se puede convertir en una auténtica lotería. Una testificación ambigua,

poco veraz, no sólo no aportará al desarrollo favorable del proceso judicial, sino que puede

llegar a ser abiertamente contraproducente.

En un juicio civil, el abogado preparará una nota judicial que presentará en la vista y donde

la información pericial tiene una importancia significativa. A modo de informe ejecutivo, en

ella se describen los conceptos y conclusiones más importantes que acompañados de los

fundamentos legales, permitirán llegar al objetivo perseguido, atender o desestimar una

demanda. El perito deberá colaborar técnicamente en su elaboración.

El día de la vista el perito deberá asistir a la misma con la correspondiente documentación

identificativa, DNI preferiblemente. Este quedará fuera, a la espera de ser llamado en calidad

de testigo pericial. De esta forma y como cualquier otro testigo, se logra que se mantenga

ajeno lo que está sucediendo en la vista, siendo por lo tanto y llegado el caso, su

intervención mucho más objetiva. En un proceso convencional cada parte presentará sus

testigos, participando en primer lugar los que presenta el demandado y en segundo los de la

parte demandante.

48


Habitualmente y por cuestiones de estrategia de la parte que presenta el peritaje, el perito

suele ser el último de los testigos en declarar, para centrar sobre su testimonio y labor de

análisis las correspondientes conclusiones. Sin embargo, en ningún momento debe olvidarse

su carácter totalmente imparcial y su deber de independencia.

Tras entrar en la sala, habiendo entregado previamente su documento identificativo, el juez

se dirige al él, para identificarlo y comunicarle su deber de prestar la verdad y no dar falso

testimonio. Hay que tener en consideración, que en caso de faltar a la verdad, el perito

podría ser sancionado con pena de multa o incluso privación de libertad.

En la vista, se le hará entrega del informe pericial presentado como prueba, que deberá

reconocer como suyo. Lo tendrá a su disposición para las aclaraciones o referencias a él que

puedan ser necesarias, ante cualquier planteamiento que pudiera darse en las preguntas

que se le formulen. En primer lugar será interrogado por el abogado de la parte por la que se

presenta y en segunda instancia intervendrá la parte contraria. La intervención de ésta es

fundamental puesto que habitualmente su estrategia será mermar la credibilidad del perito,

su testimonio o el informe pericial presentado. Finalmente es el juez el que le planteará

aquellas cuestiones que considere oportunas. La intervención del perito, debido a la

relevancia de la información que aporta, se presenta siempre como una de los momentos

críticos de la vista judicial y suele ser tenida en gran consideración por parte del juez.

Como ya se indicaba en el capítulo inicial de esta publicación, el informático que desarrolla

labores de peritaje se encuentra en una vista judicial fuera de su espacio natural. Por regla

general, ningún perito en sus primeras comparecencias suele estar preparado para la

situación que debe afrontar. Mantenerse sereno, en la medida de lo posible, es la clave

fundamental. Los nervios no permiten visualizar con claridad la situación, exponer las

conclusiones de forma veraz, pudiendo incluso errar en las apreciaciones como

consecuencia de la tensión del momento.

Los abogados sin embargo, se enfrentan a esta situación con la mayor de las normalidades

posibles, están en su espacio profesional y lo controlan, por lo tanto debería dejárseles a

ellos el manejar las situaciones.

Considerando lo anterior, es útil tener en consideración una serie de cuestiones relacionadas

con la intervención del perito informático en la vista judicial:

- Del perito se espera que disponga de la capacidad para analizar los hechos y aportar

su experiencia profesional. Esto difiere del resto de los testigos, dado que éstos sólo

declaran en función de los hechos que conocen.

49


- Hay que estar preparado para las preguntas que pueda plantear la otra parte. No

entrar bajo ninguna circunstancia en enfrentamientos, puesto que harían dudar del

buen hacer y la imparcialidad pericial. Responder simplemente de forma profesional,

sencilla y veraz. Por ello es importante valorar antes del inicio del juicio aquellas

preguntas que pudiera formular la otra parte, anticipando así las respuestas y

evitando con ello cometer errores o aparecer en la vista de forma dubitativa.

- Aunque un perito es requerido por su capacitación técnica, habitualmente el público

al que se dirige no tiene este perfil y por lo tanto deberá ser comedido en la carga

técnica de sus respuestas. Cuanto más sencilla y comprensible sea su exposición,

mayor claridad aportará al juez para su toma de decisiones.

- A pesar de que muchas preguntas presentarán como objetivo respuestas simples de

afirmación o negación, en todo momento podrán hacerse tantas consideraciones

como se considere oportuno. En múltiples ocasiones, estas aclaraciones evitarán caer

en aquellas “trampas” que pudiesen conllevar respuestas tajantes de sí o no.

- Ante una pregunta dudosa, es recomendable solicitar que se replantee de nuevo si

no ha sido comprendida. Esto es siempre preferible a dar una respuesta rápida e

inadecuada al no haber entendido correctamente la pregunta.

- Hay que tener presente que es posible suministrar como respuestas un “no

recuerdo” o “no lo se”. Como perito, no es exigible disponer de conocimientos sobre

absolutamente todo, sino simplemente no faltar a la verdad.

- Hay que esperar preguntas o incluso afirmaciones que cuestionen el proceso de

análisis pericial o las conclusiones emitidas en el informe. Ante todo profesionalidad,

suministrando las aclaraciones necesarias para evitar la sensación de duda, pero

nunca entrando en conflicto.

- Un aspecto clave suele ser el de las preguntas orientadas a poner en entredicho el

tratamiento de las evidencias digitales. Si no existe otra posible defensa, la otra parte

podría intentar en su estrategia desmontar la pericia, esgrimiendo para ello

manipulación de las pruebas. Si los procedimientos han sido bien llevados, será solo

un trámite que incluso podrá reafirmar el valor y la veracidad de la labor forense.

- Ante preguntas realizadas sobre el informe pericial, especialmente si hace tiempo

que se realizó, es preferible acudir al mismo y volver a leerlo que dar una respuesta

precipitada y contraria al propio documento.

50


Finalizado su testimonio, el perito podrá presenciar el resto del juicio, debiendo mantener

en todo momento la compostura. En la exposición final de conclusiones, los abogados

pueden proporcionar información contraria al informe pericial o intentar desvirtuar la

actuación del perito en la práctica de las pruebas. A pesar de ello, debe mantenerse la calma

en todo momento. Hay que tener en consideración la profesionalidad de los jueces,

habituados a las estrategias de los abogados. Los juicios se graban, se dispone del informe

pericial así como de toda la información aportada en el juicio como pueden ser las pruebas

anticipadas. Todo ello ayudará al juez a emitir su sentencia. Finalizado el juicio y quedando

visto para dictamen, todos los testigos, incluidos lógicamente los peritos, procederán a la

firma correspondiente que ratifica sus testimonios.

Ahora no queda más que esperar un tiempo a que el juez emita su sentencia. No cabe duda

que un juicio constituye una experiencia enriquecedora para cualquier analista forense

digital. Ayuda de forma muy especial a comprender la importancia de los procedimientos.

Mejora la forma y capacitación para entender y elaborar informes. Cuestiones que

inicialmente se consideran muy importantes en los informes, pierden relevancia en el juicio y

sin embargo, ocurre lo contrario con otros aspectos a los que originalmente no se les había

dado mucha importancia.

Cada juicio es diferente y la intervención de cada profesional, juez, abogado o el propio

perito hacen impredecible su resultado final. En ocasiones se pasará por la frustración de

una sentencia contraria cuando todo estaba a favor. Pero es parte de un proceso donde en

la mejor de las situaciones habrá un 99% de posibilidades de éxito, nunca la absoluta certeza

de ello.

51


Capítulo 9 – Claves de un forense en juicio

Tal y como se ha mostrado en los capítulos anteriores, un analista forense debe seguir en su

labor de investigación unos procesos muy concretos y en ocasiones complejos, siendo

necesario en todo momento un alto nivel de rigor profesional en su desarrollo. Como ya se

ha recogido en esta publicación, en España no existen fundamentos regulatorios para la

realización de los procedimientos en unos términos concretos, sin embargo debe de

atenderse en su ejecución a una serie de buenas prácticas que garanticen, cuando se llega al

proceso judicial, la confianza en unos hechos veraces, probables y reproducibles, basados en

evidencias que en ningún momento han sido manipuladas.

Este último capítulo, se dedicará a repasar todo el procedimiento que permite defender con

garantías un informe pericial en un juicio, así como otros aspectos importantes a tener en

consideración dentro del ámbito legal. En definitiva se trata de recoger aquellos elementos

fundamentales que se ha abordado en mayor detalle en capítulos anteriores:

- Paso I. Obtener información previa sobre el caso. Antes incluso de iniciar la recogida

de evidencias, el analista debe ser conocedor de las circunstancias del escenario en el

que se han desarrollado los hechos, así como disponer de la máxima información

posible sobre ellos. Para esto es necesario acudir a todos aquellos que pudieran

proporcionarla. La complejidad del escenario determinará también la cantidad de

evidencias a recuperar y tratar. Cuanto mayor sea el volumen de información inicial

obtenida, menor será el número de problemas posteriores derivados de la falta de

datos o de la inconexión de los mismos.

- Paso II. Obtención de evidencias. Es determinante la recuperación rigurosa y la firma

de las evidencias asociadas a cada caso, generando además los ficheros de cadena de

custodia correspondientes. De forma especial en nuestro país, la no alteración bajo

ningún concepto de las pruebas y la garantía por lo tanto de su valor pericial son la

máxima fundamental a observar en los procesos de recuperación de evidencias. Este

mismo concepto deberá regir el almacenamiento seguro de las pruebas recogidas

que pudieran posteriormente ser utilizadas en un juicio.

- Paso III. Identificar datos relevantes y la línea temporal de la investigación. Es

estratégico identificar los datos importantes en función de las circunstancias de cada

caso: nombres, direcciones, correos, números de teléfono, ficheros, etc. Con ello se

52


facilitará la posibilidad de realizar búsquedas eficaces. De igual modo, debe definirse

la línea temporal que se tendrá en consideración para el desarrollo de la

investigación pericial. Esto permitirá articular una investigación basada en un proceso

secuencial, manejable y que facilite la elaboración de un informe eficaz.

- Paso IV. Ordenar y relacionar los datos obtenidos a partir de las evidencias del caso.

Teniendo siempre en consideración la garantía de independencia del perito y la

incapacidad para ocultar cualquier dato aunque sea negativo para la parte por la que

ha sido contratado. Las conclusiones deben exponerse sin ningún tipo de injerencias

si el pericial quiere tener el valor que le corresponde en el juicio. No se debe

despreciar tampoco la posibilidad de que pueda realizarse un contrapericial que

destape datos que hayan podido ocultarse, con el consiguiente efecto negativo,

tanto para la parte como para el propio perito.

- Paso V. Generación del informe pericial. El objetivo es construir un informe

escrupuloso, técnico pero legible y con unas conclusiones sólidas que permitan

arrojar luz sobre el caso. Deberán evitarse las verdades a medias y cualquier

apreciación dudosa emitida a través de prejuicios obtenidos en los pasos previos.

Como ya se ha expuesto en el capítulo correspondiente, un elemento muy

importante del informe consiste en reflejar las garantías observadas en el proceso y

que permiten dar absoluta veracidad a las evidencias.

- Paso VI. Práctica de prueba anticipada. Toda vez que el informe esté concluido y se

tenga en consideración la posibilidad de llegar a juicio, se deberá aconsejar al

abogado, la práctica de la prueba anticipada cuando las circunstancias así lo

requieran.

- Paso VII. Asesoramiento técnico. Es necesario apoyar al abogado técnicamente en la

estrategia a llevar en el juicio para la defensa de la labor e informe pericial, así como

en la preparación de la nota que deberá presentarse para la vista. De igual modo,

deberán definirse con antelación aquellas preguntas claves que permitan presentar

las conclusiones del informe más importantes.

- Paso VIII. Intervención en la vista judicial. En el juicio, el perito desempeña un papel

clave. La otra parte en todo momento intentará desmontar los argumentos técnicos

que presente, pero también buscará desacreditar su figura, poniendo en duda su

imparcialidad. Sabe que cualquier atisbo de duda en este sentido, provocará que

pruebas e informes técnicos tengan menor relevancia sobre el veredicto final. La

compostura será un punto esencial, no debiendo entrar en confrontación con la otra

parte, aunque a veces conseguirlo resulte complicado. Y finalmente, si bien en el

53


informe pericial se presenta la necesidad de incorporar una argumentación técnica

sólida, en la vista judicial es necesario simplificar al máximo la exposición, de la forma

más clara y concisa posible para su entendimiento, sin dejar por ello de respetar la

realidad en todo momento.

Otro aspecto clave a tener en consideración es la legitimidad de determinadas prácticas de

acceso a la información de los investigados en un caso forense. Es frecuente la duda

respecto de la realización de determinadas prácticas de investigación, como puede ser el

acceso a las cuentas de correo que proporciona la organización a un usuario y donde residen

las evidencias necesarias para el esclarecimiento de un caso. En este tipo de escenarios, la

línea que delimita la protección de los datos personales no se encuentra claramente

definida. Existen lagunas interpretativas entre la protección en el ámbito estrictamente

personal y la que goza la propia empresa para hacer un uso razonable de los medios que

proporciona.

La existencia en las compañías de un buen documento de uso de medios tecnológicos y del

que los trabajadores se encuentran adecuadamente informados, facilita considerablemente

la situación. Sin embargo la ausencia de éste, deja la interpretación totalmente abierta a la

decisión judicial. En este sentido existen sentencias en una y otra dirección. Hay que

recordar que la justicia en España se basa en la interpretación de la ley y esta puede

orientarse en distintos sentidos.

En una regulación de uso de medios sólida, el documento correspondiente establecerá con

claridad que la compañía podrá ejercer el control del uso de los mecanismos que a efectos

profesionales se faciliten al trabajador, tal y como recoge el Estatuto de los Trabajadores.

Con ello se legitima la posibilidad de controlar el uso de Internet, el mantenimiento de

estadísticas o el acceso a las cuenta de correo electrónico, junto a otros aspectos

relacionados con la actividad ejercida con medios corporativos por parte de los

profesionales. Sin este documento, como se ha indicado, la situación es mucho más

compleja y deberá hilarse muy fino, puesto que la experiencia demuestra que circunstancias

similares pueden finalizar en dos sentencias totalmente antagónicas. Sirva de ejemplo las

que se recogen a continuación.

En el primero de ellos se estima una demanda por despido improcedente al considerar

violación de la intimidad el acceso al correo electrónico de un trabajador en el transcurso de

la investigación pericial (http://www.bufetalmeida.com/64/violacion-de-correo-electronico-

de-trabajadores-despido-improcedente.html). Se proporciona a continuación un extracto de

la sentencia que recoge este proceder.

http://www.bufetalmeida.com/64/violacion-de-correo-electronico-de-trabajadores-despido-improcedente.html

http://www.bufetalmeida.com/64/violacion-de-correo-electronico-de-trabajadores-despido-improcedente.html

54


“Del anterior relato de los hechos se dimana que, en el marco del conflicto laboral al que

tantas veces se ha hecho alusión y, además, en paralelo a la interposición por la actora de la

papeleta de conciliación para la extinción contractual, el empresario encargó a una empresa

especializada un análisis (monitorización) de los contenidos del ordenador de la actora, con

especial referencia a sus archivos personales (es este último un extremo que queda diáfano al

acto del juicio, ante la clara respuesta dada por el perito compareciente a instancias de la

empresa a pregunta de este magistrado). A estos efectos, dicha persona -por órdenes de la

empresa- entró en archivos de correo electrónico de la demandante, sacó copia y se

aportaron como prueba documental. Hay que decir que algunos de dichos correos son de

carácter íntimo y personal (especialmente los que figuran numerados como 129 y 136 del

ramo de prueba de la demandada).

Dichas consideraciones han de comportar la valoración de si estas pruebas son contrarias a

derechos constitucionales y, más en concreto, a lo establecido en el art. 18.3 de nuestra

"norma normarum". En el caso de que se diera una respuesta positiva a esta cuestión, las

pruebas practicadas resultarían inhábiles, en aplicación de lo contemplado en el art. 11.1

LOPJ.

Séptimo.- Como se puede desprender del anterior relato fáctico -en el que no se ha

nombrado en este extremo- este juzgador ha llegado a la conclusión de que dicha prueba es

contraria al derecho fundamental al secreto de las comunicaciones -consagrado en el art.

18.3 CE, ya citado-.”

En contraposición al anterior, puede citarse también el famoso caso de Deutsche Bank,

donde se recurrió una sentencia en suplicación ante el Tribunal Superior de Justicia de

Cataluña, por un uso abusivo por parte de un trabajador del correo electrónico para fines

personales, que había desembocado finalmente en despido. Se citan a continuación algunos

párrafos significativos de la sentencia.

“doctrina jurisprudencial ha venido señalando (en aplicación al art. 54.2d ET) como esta

causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe

contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe

que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el

sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones

jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de

rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico

(STS 8 mayo 1984); debiendo estarse para la valoración de la conducta que la empresa

considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y

sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar

55


el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga

una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que

el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y

relevante los deberes de fidelidad implícitos en toda prestación de servicios, que deben

observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en

él depositada (STS 16 mayo 1985).”

“En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen

una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de

extinguir el contrato de trabajo con base en el citado arts. 54.2.d), al haber utilizado el

trabajador los medios informáticos con que cuenta la empresa, en gran número de

ocasiones, para fines ajenos a los laborales (contraviniendo, así –con independencia de su

concreto coste económico-temporal- un deber básico que, además de inherente `a las reglas

de buena fe y diligencia que han de presidir las relaciones de trabajo –ex art. 5ª ET-, parece

explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores”

Sin embargo, a pesar del fallo favorable a la empresa, posteriormente se realizó por parte de

la persona despedida una demanda contra cuatro directivos por el delito de descubrimiento

y revelación de secretos.

Como ha sido posible apreciar a lo largo de esta publicación, las situaciones y escenarios

propios de una investigación forense son muchos y diversos, con el agravante de poder

llegar a complicarse en ocasiones hasta límites insospechados. Recientemente en

conversación con un abogado especializado en este tipo de casos, éste me transmitía sus

impresiones que me parecen un adecuado final para esta publicación: “Cuanto más

experiencia adquiero, mayor es mi incertidumbre por la cantidad de situaciones que he

llegado a ver y que me generan la sensación de no saber nunca con certeza como va a

finalizar un caso”.


Juan Luis García Rambla UN FORENSE LLEVADO A JUICIO

52

Un forense llevado a juicio

Juan Luis García Rambla

Juan Luis García Rambla, es en la actualidad el Director del

Departamento de Seguridad TIC de Sidertia, donde se encuadra el área

de análisis forense digital de la compañía. Profesional de contrastada

experiencia y reconocimiento en el sector de la seguridad informática,

ha desarrollado su actividad a lo largo de más de 18 años en el ámbito

tanto civil como militar.

Su participación directa y la coordinación de gran número de casos forenses, así como sus intervenciones como perito informático en juicios de índole civil, le aportan un conocimiento práctico inestimable para la investigación forense. Complementa su sólido perfil técnico con un componente de conocimiento legal de alto valor. Dispone de su propio Blog: “Legalidad Informática”.

Galardonado como Microsoft MVP durante siete años consecutivos en diferentes categorías vinculadas a la seguridad, publica regularmente artículos en revistas y medios especializados. Es autor de tres libros, a los que ahora suma esta nueva publicación, cuya lectura sin lugar a dudas, aportará información de valor tanto a los profesionales de la tecnología como a aquellos vinculados al mundo legal y de la investigación.

“Un forense llevado a Juicio” es una herramienta de inestimable utilidad a la hora de

abordar un análisis forense digital que finalice en un proceso judicial. En este tipo de

escenarios se mezclan dos áreas profesionales tan dispares como la tecnología informática y

el mundo legal, donde el seguimiento de normativas y procedimientos estrictos es

determinante. Una buena labor técnica puede desaprovecharse en un juicio al no haber

atendido a buenas prácticas no escritas pero que se consideran virtualmente regladas.

Este breve manual aporta la experiencia y el conocimiento de su autor en aspectos fundamentales a la hora de enfocar y desarrollar labores periciales informáticas. La adecuada recogida de las evidencias digitales, la correcta elaboración de un convincente informe para su presentación a juicio son algunos de estos aspectos. Junto a ellos, la publicación muestra los errores más comunes que deben ser evitados o por el contrario las buenas prácticas que permiten llegar a la vista judicial con las garantías de haber realizado

una buena labor profesional.


Análisis de Dispositivos Móviles

De todos es sabido que los teléfonos móviles cada vez son más parecidos a un ordenador común. La

punta de lanza de esta tendencia está encabezada por las dos plataformas más evolucionadas en el

marco de la telefonía móvil. Hablamos de Android e Iphone.

La plataforma Android tiene un núcleo basado en Linux, mientras que el núcleo de los Iphone está basado

en BSD. Ambos sistemas operativos son viejos conocidos en el mundo de los ordenadores tradicionales,

por lo que existe una menor diferencia entre un ordenador al uso y un teléfono móvil. De hecho, el iphone

4G actual presenta unas características muy similares, si no superiores, al iMac de hace tan solo 10 años.

Fuente original: http://arstechnica.com/civis/viewtopic.php?f=19&t=1114049

Aterrizando en el mundo del análisis forense de dispositivos móviles, en absoluto se trata de un tema

novedoso, aunque sí es cierto que dichos servicios se reclaman cada vez más, con una asiduidad

directamente proporcional al avance de la tecnología utilizada por nuestros terminales. Hecho

comprensible, puesto que a mayor capacidad/funcionalidad para gestionar nuestra información sensible,

mayor es la probabilidad de que un dispositivo móvil de estas características se convierta en una

evidencia digital.

Sin más dilación, en el presente post vamos a definir algunas guías que permitan conducir

adecuadamente un análisis forense sobre un dispositivo móvil.

Introducción a la tecnología Flash

Sin ánimo de profundizar el tema, será importante comprender que se trata de memoria no volátil, la cual

puede ser borrada y reprogramada por medios electrónicos. Este tipo de memoria es ideal para ser

utilizada por terminales móviles actuales. De hecho, eso es lo que hacen.

Por lo general, la memoria NOR es utilizada para soportar el firmware del terminal móvil, mientras que la

memoria NAND suele utilizarse como unidad de almacenamiento. Con esto se pretende decir que si

http://bluelog.blueliv.com/?attachment_id=287


buscamos alguna evidencia de carácter personal (emails, SMS, fotografías, etc), muy probablemente se

encuentre en la NAND. De todos modos, siempre es interesante echar un vistazo a la memoria NOR,

especialmente en la zona no ocupada por el firmware, ya que determinadas plataformas móviles las

utilizan para almacenar cierta información.

La memoria NAND está compuesta de Páginas, que a su vez conforman Bloques, que a su vez

conforman Zonas.

Estructura lógica de memorias NAND

Resumiendo mucho, y desde un punto de vista lógico, una página de memoria NAND es muy similar a un

sector de un disco duro, y al igual que éstos su tamaño es múltiplo de 512 bytes*. Desde un punto de

vista físico, la memoria NAND puede ser escrita byte a byte, aunque para borrar información la cosa

cambia. Para borrar información físicamente, debe borrarse todo un bloque. Es sumamente fácil detectar

bloques borrados, puesto que representa una cantidad ingente (tantos como ocupe el bloque) de 1’s.

*Anteriormente hemos dicho que una página tiene un tamaño múltiplo de 512 bytes, y esto requiere una

explicación: Desde un punto de vista físico, una página se compone de datos y de un payload, llamado

SPARE, que contiene información relativa al estado de los datos. Esto significa que el tamaño total de la

página será mayor de lo esperado. Conocer este hecho será de vital importancia para conducir con éxito

el proceso de adquisición, y posterior análisis de los datos. Esto se verá más claro en el apartado

“Preparación previa a la búsqueda de evidencias”.

Adquisición de datos

La adquisición de los datos, a partir del soporte físico, puede realizarse utilizando cualquiera de las

siguientes técnicas:

Herramientas de flasheo

La utilización de herramientas suele ser la vía más fácil, y no invasiva, de las tres técnicas posibles. El

problema reside en que dichas herramientas dependen fuertemente del dispositivo móvil desde el cual se

desea realizar la adquisición de datos. Otro tipo de limitación suele ser la imposibilidad de recuperar la

totalidad de la información residente en el dispositivo.

Este tipo de herramientas no suelen estar diseñadas, de forma expresa, para ser utilizadas en un

procedimiento forense, aunque el investigador puede llegar a utilizarlas si fuese oportuno. Tampoco

existen garantías de que existan dichas herramientas para todos los posibles dispositivos móviles.



Todo examinador deberá conocer, y haber testeado la herramienta utilizada en otro dispositivos móvil

igual a la evidencia, el grado de modificación que puede realizar sobre la memoria flash. De hecho, es

muy frecuente que este tipo de herramientas realicen modificaciones que puedan contaminar las

evidencias.

A modo de ejemplo, se muestra la aplicación de Sarasoft, la cual puede ayudar al investigador en el

proceso de adquisición de información:

Tool de flasheo por Sarasoft

JTAG

En el caso en que la adquisición de los datos no haya podido producirse, de forma satisfactoria, mediante

la utilización de herramientas de flasheo, puede llegarse a utilizar el puerto JTAG.

Un puerto JTAG, y dependiendo del dispositivo móvil, suele utilizarse para la realización de testeos por el

fabricante, y de forma muy particular para realizar tareas de debugging. Dicho puerto JTAG podría llegar a

ser utilizado para acceder a la memoria flash del dispositivo móvil, lo cual sería algo muy positivo para un

examinador forense.

A continuación se muestra un acceso, vía el puerto JTAG, a un Samsung Omnia i900:



Conexión al puerto JTAG de un Samsung Omnia i900

Como sospechareis, este proceso depende fuertemente de las especificaciones del hardware. De todos

modos, y siempre dentro de un proceso de adquisición forense, es preferible realizar la adquisición

mediante este método, puesto que a diferencia de la utilización de herramientas de flasheo, la adquisición

vía puerto JTAG reduce la posibilidad de escrituras inadvertidas en la memoria flash, reduciendo riesgo

de contaminación de las evidencias digitales.

Extracción directa desde el chip de memoria

El tercer, y más intrusivo, método para realizar una adquisición de evidencias digitales en dispositivos

móviles es la extracción física de la memoria flash. Para esto se recomienda la utilización de aire caliente,

lo cual facilita la extracción y posterior limpieza de los pins de la memoria flash. Un dispositivo de este tipo

puede adquirirse por algo menos de 200 dólares en ebay:



Desoldadora de aire caliente

Una vez el chip está debidamente extraído y sus pines limpiados, mediante una lectora, se puede

proceder a realizar un volcado completo de la memoria flash, la cual se deberá configurar con ciertas

especificaciones técnicas del chip, tales como tamaño del bus de direcciones o tamaño del bus de datos.

Para esto último, se recomienda un programador universal y diferentes adaptadores, en función del

formato del chip que se desee analizar. Un programador universal suele ser un dispositivo bastante caro,

aunque en ebay se pueden encontrar autenticas maravillas:

Reprogramadora Universal

Es fácil encontrar en ebay adaptadores por menos de 100 euros.




Zócalo de adaptación de encapsulado TSOP (el mas comúnmente utilizado en memorias FLASH) para

una reprogramadora universal.

Como puede observarse, este tercer método es bastante intrusivo y requiere de cierto desembolso

económico. No obstante, cuando el dispositivo móvil no es funcional o está destruido, es la única forma de

realizar una adquisición coherente de los datos.

Preparación previa a la búsqueda de evidencias

Una vez realizada la adquisición de datos, y dependiendo del método de adquisición utilizado debemos

asegurarnos de filtrar la información relativa al SPARE, la cual contiene información relativa al estado de

los datos.

Vamos a generar una imagen limpia (sin SPARE) a partir de la imagen obtenida del proceso de

adquisición:

view sourceprint?

1.cosmic@bartolo:/tmp$ ./unspare

2.Modo de empleo: ./unspare <imagen_entrada> <imagen_salida>

<data_size_por_página> <spare_size_por_página>

3.

4.cosmic@bartolo:/tmp$ ./unspare image_adqui.bin imagen_limpia.img 512 16

5.cosmic@bartolo:/tmp$ ls -als image_raw.bin imagen_datos.img

6.65604 -rw-r--r-- 1 cosmic cosmic 67108864 2010-08-04 18:11

imagen_limpia.img

7.67656 -rwxr-xr-x 1 cosmic cosmic 69206016 2010-08-04 18:11 image_adqui.bin

Para esto hemos utilizado una herramienta, llamada unspare, cuyo código fuente se distribuye a

continuación:

http://bluelog.blueliv.com/forensics/analisis-forense-en-dispositivos-moviles-i-3/#viewSource


http://bluelog.blueliv.com/forensics/analisis-forense-en-dispositivos-moviles-i-3/#about



view sourceprint?

01./*************************************/

02./***** unspare by blueliv 2010 *******/

03./*************************************/

04.#include <stdio.h>

05.#include <stdlib.h>

06.

07.main (int argc, char** argv) {

08.FILE *flash_image_file;

09.FILE *data_file;

10.FILE *spare_file;

11.unsigned char *buffer;

12.int n,max_size,data_size,spare_size;

13.

14.if (argc<5) {

15.printf("Modo de empleo: %s <imagen_entrada> <imagen_salida>

<data_size_por_página> <spare_size_por_página>\n",argv[0]);

16.exit(0);

17.}

18.

19.flash_image_file = fopen(argv[1], "rb");

20.data_file = fopen(argv[2], "wb");

21.spare_file = fopen(argv[3], "wb");

22.data_size=atoi(argv[3]);

23.spare_size=atoi(argv[4]);

24.max_size=data_size+spare_size;

25.buffer=malloc(sizeof(char)*max_size);

26.if (!buffer) {

27.printf ("Error reservando memoria");

28.exit(0);

29.}

30.if (flash_image_file) {

31.while (!feof(flash_image_file)) {

32.n=fread(buffer, max_size, 1, flash_image_file);

33.if (n!=0) {

34.n=fwrite(buffer, data_size, 1, data_file);

35.fwrite(buffer+data_size, spare_size, 1, spare_file);

36.}

37.}

38.}

39.else {

40.printf ("Error abriendo fichero\n");

41.}

42.}

A partir de este momento disponemos de una imagen limpia, equivalente a la que podría haberse

obtenido mediante la herramienta dd sobre un disco duro, por lo que desde este momento, y sobre la

imagen limpia obtenida, aplicarían todas las técnicas conocidas para realizar un análisis postmortem

estándar, máxime cuando por norma general los dispositivos móviles suelen utilizar particiones FAT32,

FAT16 o FAT12.



http://bluelog.blueliv.com/forensics/analisis-forense-en-dispositivos-moviles-i-3/#about


Para aquellos que deseen profundizar en materia de análisis forenses de dispositivos móviles, a

continuación os dejo con una serie de referencias de especial interés:

NIST – Guidelines on PDA Forensics

http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf

NIST – PDA Forensics Tools: An Overview and Analysis

http://www.csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf

NIST – Cell Phone Forensic Tools: An Overview and Analysis

http://csrc.nist.gov/publications/nistir/nistir-7387.pdf

Interpol – Good Practice Guide for Mobile Phone Seizure & Examination

http://www.holmes.nl/MPF/Principles.doc

http://www.holmes.nl/MPF/FlowChartForensicMobilePhoneExamination.htm

NIST – Guidelines on Cell Phone Forensics

http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf

bluelog un salto en valor Author Archives: Jose Antonio Lancharro

Rescontruyendo datos mediante el ingenio – Análisis

forense en dispositivos móviles (II) Jose Antonio Lancharro Bervel

22Sep 2010

Existen situaciones en las que un investigador forense necesita sobrepasar las limitaciones técnicas

intrínsecas a las herramientas existentes en la actualidad. Un claro ejemplo de esto sucede cuando el

investigador necesita interpretar datos que contiene un teléfono móvil, los cuales pueden sufrir una fuerte

fragmentación y, además, las entradas de la FAT también pueden estar completamente destruídas.

El presente artículo es una continuación del artículo Análisis forense en dispositivos móviles (I), en

dónde repasamos diferentes métodos para realizar una adquisición de los datos contenidos en la

memoria flash de dispositivos móviles. Para trabajar con datos tangibles, pongamos como ejemplo de

http://bluelog.blueliv.com/

http://bluelog.blueliv.com/author/joseantonio-lancharroblueliv-com/

http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/

http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/

http://bluelog.blueliv.com/forensics/analisis-forense-en-dispositivos-moviles-i-3/


adquisición un volcado de memoria NAND, descargable desde aquí. Dicho volcado de memoria

corresponde al reto forense del 2010, realizado por la Digital Forensics Research Conference.

leer más »

Compártelo:

Etiquetas: dispositivos móviles, forensics deja un comentarioleer más »

De cómo evadir las restricciones de seguridad establecidas

en un kiosko Jose Antonio Lancharro Bervel

14Ago 2010

Se define como kiosco aquella máquina, puesta a disposición pública, para que usuarios utilicen los

servicios ofrecidos por la empresa que facilita su acceso.

Seguro que muchos habéis visto algún kiosko similar, ofreciendo diversos servicios a través de Internet,

ya sea en aeropuertos, estaciones de tren o incluso en oficinas bancarias. Dichos kioskos suelen

presentar una serie de restricciones de seguridad, mediante las cuales se trata de acotar las

funcionalidades que desde dicho sistema se puedan realizar, ofreciendo como interface con el usuario

únicamente un navegador, sin posibilidad aparente de que éste pueda interactuar con el sistema

subyacente.

En el presente artículo se presentarán una serie de técnicas, las cuales pueden ser utilizadas para evadir

los controles de seguridad dispuestos en el kiosko, logrando en muchos casos interactuar libremente con

el sistema operativo, e incluso escalar privilegios dentro del mismo.

http://www.dfrws.org/2010/challenge/dfrws2010-challenge.zip

http://dfrws.org/

http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/#more-872

http://bluelog.blueliv.com/category/dispositivos-moviles/

http://bluelog.blueliv.com/category/forensics/

http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/#respond

http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/#respond

http://bluelog.blueliv.com/hacking/de-como-evadir-las-restricciones-de-seguridad-establecidas-en-un-kiosko-2/

http://bluelog.blueliv.com/hacking/de-como-evadir-las-restricciones-de-seguridad-establecidas-en-un-kiosko-2/

http://www.facebook.com/share.php?src=bm&u=http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/

http://twitter.com/home?status=Currently reading http://bluelog.blueliv.com/forensics/rescontruyendo-datos-mediante-el-ingenio-analisis-forense-en-dispositivos-moviles-ii/

http://www.addtoany.com/share_save



Obtención de herramientas instaladas en el kiosko

En el caso en que el navegador proporcionado por el kiosko sea Internet Explorer, podemos utilizar el

manejador res:// para inferir la existencia o no de binarios, y por lo tanto enumerar el software instalado.

Para realizar dicha comprobación, deberemos ejecutar, desde la barra de direcciones, el siguiente código

javascript, o similar:

view sourceprint?

1.javascript:var aux = new

Image();aux.src="res://<;strong>c:\\windows\\Microsoft.NET\\Framework\\v1.0.3

705\\mscormmc.dll</strong>/#2/#10";if (aux.height != 30) { alert("El binario

existe"); } else { alert("El binario N0 existe"); }

El valor del objeto Image, en nuestro ejemplo llamado aux, por defecto tiene los siguientes atributos:

aux.height=30 y aux.width=28. En el caso en que exista el fichero, dichos valores por defecto serán

modificados, y por lo tanto podremos inferir si el fichero existe:

Constatación de la existencia del binario c:\windows\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll

Obtención de información sobre el navegador proporcionado por el kiosko

Con frecuencia, las políticas establecidas en el kiosko no permiten la consulta directa de cierta

información relativa al mismo, como por ejemplo una consulta de la versión del navegador utilizado. Para

evadir dicho control y obtener el nombre del navegador, versión, plataforma utilizada y useragent,

podríamos ejecutar el siguiente código javascript, desde el campo de direcciones del navegador

proporcionado por el kiosko.

view sourceprint?

1.javascript:

alert(navigator.appName+","+navigator.appVersion+","+navigator.platform+","+n

avigator.userAgent);

http://bluelog.blueliv.com/author/joseantonio-lancharroblueliv-com/#viewSource


http://bluelog.blueliv.com/author/joseantonio-lancharroblueliv-com/#about

res:////%3c/






Revelación de variables del navegador

Por otro lado, y apoyándonos en un servidor web controlable por el auditor, podemos acceder a una URL

que contenga el siguiente código, con el objeto de averigurar la IP pública del kiosko:

view sourceprint?

01.<html>

02.<body>

03.<table>

04.<tr>

05.<td>IP del kiosko:</td><td><?

print($_SERVER['REMOTE_ADDR']);$hostname=gethostbyaddr($_SERVER['REMOTE_ADDR'

]);print(" : $hostname"); ?></td>

06.</tr>

07.</table>

08.</body>

09.</html>

Revelación de la dirección IP con la que el kiosko sale a Internet







Me parece muy bien, pero ¿Cómo puedo acceder al sistema de ficheros?

Para aquellos kioskos que, sí o sí, has de interactuar únicamente con el navegador, la forma más fácil de

poder pegarle un vistazo a lo que hay debajo es la siguiente:

Ejecutemos el siguiente código javascript desde el campo de direcciones del navegador:

view sourceprint?

1.javascript:document.execCommand("SaveAs");

Con lo que obtendremos un dialog que nos debería permitir navegar por el sistema de ficheros:

Obtención de un dialog, mediante el cual poder explorar el sistema de ficheros

Como plan alternativo, y en el caso en que el código javascript anterior no hubiese resultado exitoso, es

posible abrir un dialog desde un componente flash ubicado en un servidor Web controlado por el auditor:

Y ahora… ¿Algún modo para ejecutar otros programas residentes en el kiosko?







Sí. La forma más rápida es utilizar una serie de manejadores, que el navegador puede tener vinculados al

software que se desea ejecutar. Algunos de estos manejadores pueden ser:

callto:// Telnet://

gopher:// NNTP://

Hcp:// Ldap://

Rlogin:// Search-ms://

Mailto://

Ejecución de software no contemplado para uso público desde el kiosko

¿Otros modos de abuso? Por supuesto…

Desde el momento en que cualquier usuario puede conectarse a su propio servidor Web, se abre un

amplio abanico de posibilidades que, sin un adecuado bastionado del kiosko, pueden facilitar diversos

vectores de abuso.

Un vector de abuso puede ser la ejecución de applets dispuestos por el usuario, los cuales se ejecutará

en el kiosko. Como ejemplo de este vector de abuso, se puede disponer de una shell de python,

posibilitando a atacantes el desarrollo y ejecución cualquier tipo de programa realizado en python, java e

incluso interactuación con el sistema.

callto://dummy/

telnet://dummy/

gopher://dummy/

nntp://dummy/

hcp://dummy/

ldap://dummy/

rlogin://dummy/

search-ms://dummy/

mailto:dummy



Consola proporcionada por jython habilitada en el kiosko

Una vía más directa es la utilización de applets firmados para ejecutar cualquier aplicación del sistema:

Ejecución del bloc de notas desde un applet

Del mismo modo con el que pueden ejecutarse comandos del sistema desde un applet hecho en java, con

su debida firma, pueden ejecutarse comandos del sistema utilizando ActiveX o incluso aplicaciones

desarrolladas en .Net.

Ejecución de binarios, albergados en un servidor web controlado por el usuario del kiosko. Dichos binarios

podrían ser ejecutados tras la descarga directa, encapsulados en un fichero .zip o incluso dispuestos

mediante un objeto flash.




Descarga de zip, extracción de binario y ejecución del mismo

En kioskos, con frecuencia se encuentran establecidas ciertas directivas de grupo que impiden la

ejecución de una shell, como puede ser:

Opción DisableCMD habilitada

En tal caso, para poder visualizar correctamente la shell deberemos parchearla para que no tenga en

cuenta la directiva de grupo anteriormente mencionada, o bien utilizar una shell previamente

desbloqueada.

Una vez obtenida una shell de sistema, completamente operativa, se posibilita que el intruso pueda elevar

privilegios o incluso que la intrusión se propague hacia otros entornos, como pueda ser una red de

kioskos, o incluso instalar cualquier tipo de malware en los mismos.

Por todos estos motivos, no está de más hacer hincapié en la importancia de bastionado exhaustivo de

sistemas tan expuetos a diferentes amenazas como pueden ser los kioskos.




Todas estas técnicas y herramientas, entre otras, están dispuestas en una suite orientada a auditar

kioskos llamada ikat, de Paul Craig, cuya versión 3 es accesible desde http://ikat.ha.cked.net, las cuales

pueden ayudarnos a determinar el nivel de seguridad no sólo de kioskos, sino de cierto perfil de

estaciones de trabajo e incluso entornos Citrix, cuyas técnicas de análisis, y dependiendo de la

configuración, pueden ser análogas a las aquí enumeradas.


Aplicaciones móviles que se pueden utilizar en las primeras

etapas de un PenTest Generalmente cuando vemos a una persona con un iPad o iPhone en sus manos pensamos que

está revisando su correo, leyendo algunas noticias, twitteando, navegando por Facebook o

jugando al AngryBirds, no es una actitud que levante sospechas como la de estar con una

notebook y algunas terminales o ventanitas extrañas abiertas.

Y lo cierto es que desde una tablet o smartphone se puede recolectar mucha información de

una red y realizar varios ataques contra ella. Obviamente no se tiene la misma potencia que la

notebook, pero se pueden realizar muchas cosas y pasar desapercibidos.

La siguiente es una recopilación de aplicaciones para iOS de Apple como herramientas de

pentesting

Es simplemente un ejemplo sobre las distintas etapas de un test de penetración y

mencionando para cada una de ellas varias apps.

Fing (descarga para iOS y Android – gratis): permite enumerar todos los equipos de una red

inalámbrica incluyendo dispositivos como routers e impresoras. Permite ver IPs, MACs,

fabricantes y escanear puertos para detectar servicios disponibles. Es muy útil para determinar

rápidamente cómo está compuesta una red.

Net Tools (descarga para iOS y Android – gratis): es una herramienta que facilita varias tareas

como la de realizar traceroutes, whois, reverse lookups, etc.

MobileTerminal (descarga para iOS desde Cydia – gratis): como el nombre lo indica, permite

acceder a una terminal para trabajar directamente con el dispositivo y aplicaciones como

Netcat o Nmap, este último es un escáner como Fing muy utilizado durante los pentesting pero

mucho mejor y más completo.

Mac2Wpkey (descarga para iOS desde Cydia y Android - gratis): detecta modems Huawei y

genera la contraseña WEP/WPA por defecto a partir de la dirección MAC. En relación al tema

de las contraseñas, también les recomiendo el sitio routerpasswords.com para ver las claves

por defecto de todos los routers.

Routerpwn (descarga para iOS y Android – gratis): hace algún tiempo la recomendé en

SpamLoco, permite detectar vulnerabilidades conocidas en los routers y explotarlas.

iWeb PRO (descarga para iOS desde Cydia – de pago): realiza ataques de fuerza bruta para

obtener claves de distintos modems. Una alternativa para Android puede ser Router Keygen.

Pirni Pro (descarga desde Cydia – de pago): útil para sniffear la red.

Nessus (descarga para iOS y Android – gratis): permite escanear equipos y detectar

vulnerabilidades.

https://itunes.apple.com/uy/app/fing-network-scanner/id430921107?mt=8

https://play.google.com/store/apps/details?id=com.overlook.android.fing&hl=es

https://itunes.apple.com/us/app/network-dns-tools/id431658085?mt=8

https://play.google.com/store/apps/details?id=com.v1_4.B7541A9A637D94DC.com

https://play.google.com/store/apps/details?id=mx.websec.mac2wepkey.hhg5xx&hl=es

http://www.routerpasswords.com/

http://www.routerpwn.com/info.html

https://play.google.com/store/apps/details?id=websec.routerpwn&hl=es

http://spamloco.net/2012/03/aplicacion-para-explotar-vulnerabilidades-de-routers.html

http://spamloco.net/2012/03/aplicacion-para-explotar-vulnerabilidades-de-routers.html

http://code.google.com/p/android-thomson-key-solver/

https://itunes.apple.com/us/app/nessus/id390891776?mt=8

https://play.google.com/store/apps/details?id=com.tenable&hl=es


Estas son algunas de las aplicaciones útiles para recolectar mucha información desde una

tableta o móvil. Pero también se pueden realizar ataques e instalar herramientas

como SET (Social Engineering Toolkit), Metasploit, entre otras.


Borra de Facebook tu contenido comprometido ¿Te disfrazaste de Super-Ratón el año pasado y ahora te avergüenzas de haber subido la foto a

Facebook? ¿Escribiste un chiste verde en tu muro y lo quieres borrar pero no lo encuentras?

¿Tu ciclista favorito te ha decepcionado y quieres quitar cualquier referencia a él de tu

Facebook?

El actual motor de búsqueda de Facebook no facilita para nada la tarea de encontrar

contenidos que hayas publicado en tu página personal. Por suerte, existe una aplicación de

Facebook llamada FaceWash.

Con FaceWash puedes buscar y borrar fácilmente aquel contenido que, por los motivos que

sean, ya no quieres seguir compartiendo con el mundo. ¿Cómo funciona? Sigue leyendo...

Accede a FaceWash y haz clic en Get started

Haz clic en Ir a la aplicación y dale permisos a la aplicación para que pueda acceder a tu

biografía. (Nota: si haces clic en Omitir, FaceWash podrá acceder a todas las partes de tu

biografía excepto a los comentarios publicados por otros)

Haz clic en Start. La primera vez que lo ejecutes, FaceWash buscará en tu biografía palabras

genéricas que pueden ser comprometidas (sexo, culo, etcétera...).

Esta función no es muy práctica. Lo mejor viene cuando introduces algún témino en el campo

de búsqueda. Escribe el nombre de alguna, algún lugar, alguna fecha o el comentario de

alguien que quieras borrar.

Por ejemplo, en este caso quiero borrar una foto de cuando era pequeño en la que mi

hermano llevaba una sudadera de Mickey Mouse para olvidar. Así que escribo "Mickey Mouse"

y rápidamente Facewash encuentra la susodicha foto.

Para eliminar la foto, sólo tienes que hacer clic en el enlace resaltado y FaceWash te llevará

directamente al contenido en tu página de Facebook, desde donde podrás eliminarlo para

siempre:

Nota: FaceWash no es infalible. Recuerda que para que encuentre un contenido, éste debe

contener los términos de búsqueda que hayas introducido, escritos del mismo modo.

¿Hay mucho contenido que quieres borrar de tu Facebook?


¿Cómo construir su propio laboratorio forense digital? Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de

bajo costo forense.

Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para

recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han

pisoteado la evidencia digital como un oficial de policía novato en su primera escena del

crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en

la corte, o peor, el sospechoso sabe que está siendo investigado.

Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito,

usted puede construir fácilmente su propio equipo básico de laboratorio forense que le

permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante,

recuperar una valiosa evidencia para todas sus investigaciones.

Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la

computadora o el disco rígido del sospechoso.

En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la

sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca.

Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora,

desde el punto de análisis forense, genera un cambio en el disco rígido.

Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:

- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior

de la computadora (no desde la pared) y deje que la misma muera (energéticamente

hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el

sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.

- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo

de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el

disco rígido del sospechoso mientras se encuentre buscando de evidencias.

Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil

momento en la corte.

Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente

documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas

Electrónicas, Guía de bolsillo.

Con esas normas en claro, nada le impide realizar la construcción de una configuración básica

de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la

misma) y la revisión de la misma para la obtención de evidencias.

El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente,

encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las


empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo

sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40

GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes

de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple

búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede

ayudarle de forma rápida y fácil cómo extraer la unidad.

Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar

o construir.

Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios.

Personalmente uso Logicube’s Portable Forensic Lab

(http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una

copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer

copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no

conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades

portátiles de unos pocos cientos de dólares que funcionan muy bien también.

Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un

dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su

configuración/registro, puede lograr la imagen de datos como un profesional.

Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser

recomendable si usted no está familiarizado con la tecnología de la computadora.)

Haga clic en el botón Inicio y escriba Regedit y pulse Intro.

Navegue a través de HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control.

Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva

clave FORENSICWRITEBLOCK.

Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword.

Llame al nuevo Dword WriteProtect.

Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y

pulse Aceptar.

Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de

terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o

elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a

cero.)

Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido

personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le

dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento

de copia de archivos fallará.


Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el

dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el

explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia

cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un

momento posterior por usted o por un tercero y llevar a cabo la información a la corte.

Para hacer una imagen forense, descargue Accessdata’s FTK Imager 2.6.1

(http://accessdata.com/) En el mercado forense hay muchos programas de código abierto,

software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de

usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez

instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de

disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar

en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas

usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento

usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia.

FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando

“Agregar evidencia”. En esta función, Imagen actúa tanto como el Explorador de Windows,

pero le mostrará muchos archivos borrados marcados con una X.

Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata,

ofrecen soluciones de software que organizan los documentos del sospechoso, correos

electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas;

crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus

herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte

técnico excelente.

Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia.

Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o

compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted

emplea en conectar los puntos y el ordenarlos de manera inteligente a través de una gran

cantidad volumen de información.


Las 10 mejores apps para blindar tu móvil o tableta

En movilidad, se creía erróneamente que las aplicaciones de seguridad eran superfluas,

cuando lo cierto es que ahora nuestros dispositivos móviles son un blanco perfecto para

ataques. Veamos cómo protegerlos.

La seguridad, cuando se aplica a los terminales móviles, puede tener muchas acepciones que no

necesariamente se identifican con el antivirus tradicional para PC. El hecho de que las aplicaciones

estén centralizadas en una tienda bajo la supervisión y gestión del proveedor de la plataforma

móvil (Google, Microsoft, BlackBerry o Apple) hace que sea más complicado su uso como vehículo

para portar malware. Aun así, hay ocasiones en las que este control no es perfecto y se cuelan en

los móviles o tabletas de los usuarios programas que hacen un uso inapropiado de los recursos del

dispositivo, por ejemplo para enviar SMS premium o servicios no contratados que pueden suponer

un gasto inesperado para el usuario.

La propuesta de los expertos


Kaspersky Mobile Security

La solución de seguridad para movilidad de Kaspersky incluye, en su versión de pago, todo un

repertorio de funcionalidades orientadas a blindar el terminal contra posibles fisuras, desde

lagestión de listas blancas y negras de llamadas hasta el filtrado de mensajes SMS. También tiene

funcionalidades antirrobo, como la geolocalización, el aviso de cambio de SIM o elborrado selectivo

de datos, todo ello mediante SMS. Para algunas funcionalidades, también se usa el correo

electrónico. Muy útil es también la opción para ocultar las listas de llamadas y los SMS o contactos

que desee el usuario.

El antivirus empieza a cobrar relevancia en plataformas como Android, donde no siempre se puede

asegurar la integridad de una aplicación. Dispone de una versión de prueba gratuita, así como de

un servicio de suscripción anual, que es la que ofrece todas las funcionalidades sin restricciones.

http://www.kaspersky.es/


Android Lost

Esta aplicación se encuentra disponible solo para el sistema operativo Android, pero es una de las

«navajas suizas» de la seguridad en el terminal móvil. La solución está orientada especialmente a

situaciones en las que se ha producido la pérdida o robo del móvil o tableta y tiene funcionalidades

tan exclusivas como la grabación de audio en segundo plano, lacaptura de fotos con ambas

cámaras del terminal o el acceso mediante servidor web a todos los archivos. Y todo ello de un

modo tal que quien se haya apropiado del teléfono no se dará ni cuenta, porque incluso existe la

opción de borrar remotamente el icono de la aplicación en el escritorio.

La geolocalización o la gestión de mensajes que se pueden enviar a quien lo haya encontrado o

robado están entre lo mejor y más versátil de cuantas soluciones para seguridad se pueden

encontrar actualmente en el mercado, incluyendo las de pago.

BlackBerry Protect

Esta firma siempre se ha caracterizado siempre por ser una compañía que ha estado volcada

completamente en la seguridad, y su propuesta Protect no es una excepción a la norma.

Además de disponer de herramientas para localizar mediante un sonido el terminal, enviar

mensajes remotamente o geolocalizarlo en caso de robo o pérdida, ofrece una buena gestión de

los datos, de modo que se puede programar la ejecución de una copia de seguridad bajo demanda

y, así, es posible borrar del dispositivo con la tranquilidad de saber que los datos importantes están

a salvo en la Nube. Posteriormente, esta copia de seguridad podrá restaurarse en un nuevo


terminal llegado el caso. Por si fuera poco, brinda la oportunidad de gestionar varios terminales

diferentes desde la misma página web a la que se accede con el ID de BlackBerry.

Encuentra mi iPhone

En los dispositivos de Apple, una de las mayores amenazas que hay es la de que te roben el

flamante terminal, ya sea un iPhone o un iPad. Para esos casos, Apple dispone del servicio

denominado Encuentra mi iPhone, que ahora viene integrado dentro del paraguas de iCloud.

Es factible programar la app para que emita un sonido en el terminal, así como ubicarlo

geográficamente, bloquearlo o borrar la información que contiene. Gracias al servicio iCloud, lo

habitual será que todos los datos estén almacenados en la Nube, lo que es una auténtica garantía

en caso de que se pierda el dispositivo, aunque se echa de menos un modo para activar la copia de

seguridad bajo demanda o para poner en marcha la cámara en remoto con el fin de que se puedan

hacer fotos. El servicio, como ya hemos comentado, depende de la cuenta de iCloud con la que se

tenga configurado el dispositivo.

http://www.apple.com/es


Encuentra mi teléfono

Microsoft tampoco es ajena a que el terminal se pueda extraviar o ser robado. Su servicio ofrece

una funcionalidad básica para la localización y gestión, como el borrado remoto o el bloqueo.

También se puede hacer sonar para localizarlo, aunque carece de funcionalidades importantes,

como la gestión de copias de seguridad bajo demanda. Además, la gestión se realiza mediante SMS,

de modo que, si se quita la SIM, el sistema dejará de ser práctico. Si se tienen varios terminales,

desde https://www.windowsphone.com/es-es/my/find es posible gestionarlos. Sería deseable que

se pudiese hacer a través de SkyDrive o gestionar las cámaras para hacer fotos del entorno del

terminal. En lo que se refiere a antivirus, Windows Phoneparece ser una plataforma segura e

inmune al malware, al menos a día de hoy.

http://www.microsoft.es/

https://www.windowsphone.com/es-es/my/find


Google Latitude

Dentro de los servicios de Google, hay algunos que permiten implementar políticas de

seguridad aplicables en el día a día. Latitude, por ejemplo, posibilita ver la ubicación de tus

contactos en tiempo real. A pesar de las connotaciones sobre privacidad que se derivan de la

exhibición de este tipo de información, lo cierto es que, para grupos cerrados de familiares,

profesionales o amigos, es una buena herramienta. Por ejemplo, si tenemos personas que

dependan de nosotros, permite saber con bastante fiabilidad dónde están, con todo lo que ello

tiene de control de aquellos que dependen de un familiar o un responsable. En el ámbito delocio, y

de relaciones de confianza, es una forma simpática y útil de localizar a los amigos en un momento

dado. En cualquier caso, es una herramienta gratuita y muy intuitiva y fácil de usar que puede

configurarse con todo nivel de detalle para que solo aquellos que tú quieres vean tu ubicación.

http://www.google.com/


iOnRoad Smarter Driver

Los terminales móviles empiezan a encontrar aplicación en otros nichos como el de la seguridad en

la conducción. Ubicando el dispositivo enfrente del parabrisas, mirando a la carretera, y mediante

aplicaciones de Realidad Aumentada, es posible conseguir que el móvil nos avise si estamos

moviéndonos fuera del carril o calcular con bastante precisión la distancia que nos separa de otro

vehículos, y todo ello mediante avisos sonoros y señales en pantalla. Es de especial interés en viajes

largos, de modo que se consigue un plus de atención al volante, siempre que se tenga la

precaución de no fiarse totalmente de sus indicaciones, que hay que tomar como un refuerzo para

la atención.

Además, puede gestionar música, así como grabar los trayectos y capturar imágenes dependiendo

de las situaciones que hayamos programado o que determinemos de forma periódica.


Ford Sync

Dentro de la seguridad en el automóvil, Ford ha conseguido integrar el uso del móvil con

lossistemas del vehículo, de modo que no solo se usa el smartphone como repositorio de

contenidos multimedia para el sistema de entretenimiento a bordo, sino que también se usa para

realizar la gestión por voz de algunas funcionalidades o se enlaza con otros sistemas del coche para

implementar un sistema de llamadas de emergencia automáticas en caso de que se dispare el

airbag o se pare la bomba de combustible. Este sistema realiza una llamada a través del móvil a un

número de emergencias y permite que los ocupantes hablen a través del sistema de manos libres,

así como proporciona datos sobre la ubicación del vehículo.

Ford cuenta con la tecnología Sync en algunos de sus modelos, y es una tendencia que se propaga

rápidamente en el sector del automóvil. Su precio depende de la configuración y del vehículo.

http://www.ford.es/


McAfee Mobile Security

Esta propuesta es una de las más completas del panorama de la seguridad para móviles, como

podemos comprobar en su versión gratuita, que no está limitada en funcionalidades, aunque sí en

tiempo (solo se dispone de siete días para probarlo y decidir si se contrata el servicio anual o no).

En caso de contratarlo, contarás con un completo sistema de gestión del terminal tanto a escala

local como en remoto, que abarca, desde la gestión de llamadas hasta la protección frente a la

desinstalación de la aplicación, pasando por la administración de copias de seguridad y la

restauración de datos, una cualidad que lo diferencia de otras soluciones donde este apartado no

está resuelto.

Por supuesto, también cuenta con antivirus, aunque, en la práctica, de momento solo tiene una

aplicación real en dispositivos con plataformas Android.


Completa, pero con pocas funciones gratuitas

Norton Mobile Security

Symantec es otro de los grandes de la seguridad que cuenta con una solución específica para

móviles. En este caso, se puede descargar una versión gratuita, pero con funcionalidades limitadas.

Con esta herramienta, podrás usar alarmas sonoras, realizar borrados remotos

ogeolocalizar mediante SMS, realizar un bloqueo y hasta hacer fotografías usando las cámaras de

los terminales. Además, tendrás herramientas de bloqueo de llamadas no deseadas y SMS que no

quieras recibir. La parte dedicada a la gestión remota es especialmente atractiva en lo que

concierne a hacer fotos, aunque la gestión de copia de seguridad de los datos no está resuelta

desde la aplicación propiamente dicha.