dictamen de informatica forense (2do parcial)

La informtica forense como especialidad dentro de la criminalstica debe incluir los requisitos generales establecidos en la Inspeccin Judicial en Criminalstica. En esta especialidad los elementos dubitados pueden ser del tipo fsico o virtual. En el caso de los elementos virtuales la deteccin, identificacin y recoleccin deber efectuarse en tiempo real, es decir en vivo, con el equipo encendido. La informacin es un elemento intangible que se encuentra almacenado en dispositivos que pueden ser voltiles o no. Con el fin de determinar la validez de la informacin contenida en los mencionados dispositivos ser necesario efectuar la correspondiente certificacin matemtica por medio de un digesto o hash. Esta comprobacin es la que permitir posteriormente determinar la integridad de la prueba recolectada y su correspondencia con el elemento original.

Protocolo para la Cadena de Custodia en la pericia de informtica forense

El objetivo principal es preservar la evidencia, por lo tanto al acceder al lugar del hecho deber:- Identificar -- Situar -- Relacionar

A travs de un accionar metdico, sistemtico y seguro, cuya consigna ser: - Rotular -- Referenciar -- Proteger -

En sntesis, se deber mantener la seguridad, procurar el resguardo legal y aplicar una metodologa estricta.

En el lugar del hecho se deber seguir una secuencia de pasos expresadas en el siguiente procedimiento que ser considerado como la etapa preliminar a la elaboracin del formulario de la cadena de custodia, el cual debe ser considerado como informacin confidencial, clasificada y resguardada en un lugar seguro:1. Deteccin, Identificacin y registroEn lo posible se deben identificar la totalidad de los elementos informticos dubitados, computadoras, red de computadoras, netbook, notebook, celular, ipad, gps, etc.-.- Inventario de Hardware en la Inspeccin y Reconocimiento Judicial - Formulario Registro de Evidencia

a. Colocarse guantes

b. Fotografiar el lugar del hecho o filmar todos los elementos que se encuentran en el rea de inspeccin, desde la periferia hacia el rea dubitada.

c. Fotografiar los elementos informticos, determinando en cul de ellos efectuar macro fotografa:i. Pantallas del monitor del equipo dubitado.ii. Vistas frontal, lateral y posterior, segn correspondaiii. Nmeros de series de los elementos informticos, etiquetas de garantas.iv. Perifricos, (teclados, mouse, monitor, impresoras, agendas PDA, videocmaras, video grabadora, Pendrive, dispositivos de almacenamiento en red, Unidades de Zip o Jazz, celulares, ipod, entre otros)v. Material impreso en la bandeja de la impresora o circundantevi. Cableadosvii. Dispositivos de conectividad, almbricos e inalmbricosviii. Diagramas de la red y topologas

d. Inventariar todos los elementos utilizando una planilla de registro del hardware, identificando: Tipo, Marca, Nmero de serie, Registro de garanta, Estado (normal, daado), Observaciones Particulares. consultar Inventario del hardware de la Inspeccin Judicial y Reconocimiento Judicial Formulario de Registro de evidencia de la computadora

e. Efectuar un croquis del lugar del hecho, especificando el acceso al lugar, la ubicacin del o los equipos informticos y de cualquier otro elemento, mobiliario, racks, cableado, existentes en el rea a inspeccionar, para luego representarlo con cualquier herramienta de diseo.

2. Recoleccin de los elementos informticos dubitados Fsicos o Virtuales-El Perito Informtico Forense deber recolectar la evidencia procediendo acorde al origen del requerimiento de la pericia informtico forense, a saber:

PROCEDIMIENTO

1. Por orden judicial, cuyo texto indica:

a. Secuestrar la evidencia para su posterior anlisis en el laboratorio, el Perito Informtico Forense proceder a:i. Certificar matemticamente la evidenciaii. Identificar y registrar la evidenciaiii. Elaborar un acta ante testigosiv. Iniciar la cadena de custodiav. Transportar la evidencia al laboratorio

b. Efectuar la copia de la evidencia para su posterior anlisis en el laboratorio, el Perito Informtico Forense proceder a:i. Certificar matemticamente la evidenciaii. Duplicar la evidenciaiii. Identificar y registrar la evidencia y la copiaiv. Elaborar un acta ante testigosv. Transportar la copia o duplicacin de la evidencia al laboratorio

2. Por solicitud particular de una persona especfica, de una consultora, empresa, institucin, organismo o por otros profesionales, el Perito Informtico Forense proceder a:

a. Concurrir al lugar del hecho con un escribano pblico.

b. Certificar matemticamente la evidencia ante el escribano pblico.

c. Duplicar la evidencia ante escribano pblico.

d. Solicitar al escribano que deje constancia en el acta de los motivos del secuestro, de los datos de la o las personas que solicitaron la pericia, las razones argumentadas y los fines pretendidos.

e. Solicitar una copia del acta realizada por el escribano.

f. Transportar la copia de la evidencia para su posterior anlisis en el laboratorio

PROGRAMAS EMPLEADOS PARA EL ANLISIS INFORMTICO FORENSE

ENCASE

MOUNT IMAGE 4

a. Duplicacin y autenticacin de la prueba

En ciertas situaciones el Perito Informtico Forense no podr trasladar el equipamiento que contiene la informacin dubitada, por lo tanto deber en el lugar del hecho efectuar la duplicacin de la informacin contenida en su repositorio original. Esta tarea se deber realizar de manera tal que la duplicacin o copia generada preserve la validez de su contenido original.

A continuacin se enuncian los pasos para efectuar la autenticacin y duplicacin de la prueba, el Perito Informtico Forense llevar en su maletn los dispositivos de almacenamiento limpios y desinfectados y el dispositivo de arranque (disco rgido externo, CD ROM, DVD, diskette) o inicio en vivo protegido contra escritura, que contiene el software de base seleccionado para la tarea y el software de autenticacin y duplicacin.

Las imgenes de los discos se deben realizar bit a bit para capturar la totalidad del disco rgido los espacios libres, no asignados y los archivos de intercambio, archivos eliminados y ocultos. Acorde a lo expresado por el NIST[footnoteRef:1] (National Institute of Standard and Technlogy), la herramienta utilizada para la generacin de la imagen debe reunir ciertas especificaciones, a saber: [1: ]

1. La herramienta deber efectuar una imagen bit a bit de un disco original o de una particin en un dispositivo fijo o removible

2. La herramienta debe asegurar que no alterar el disco original.

3. La herramienta podr acceder tanto a discos SCSI como IDE.

4. La herramienta deber verificar la integridad de la imagen de disco generada.

5. La herramienta deber registrar errores tanto de entrada como de salida e informar si el dispositivo de origen es ms grande que el de destino.

6. Se debe utilizar un bloqueador de escritura, preferiblemente por hardware, para asegurar la inalterabilidad del elemento de almacenamiento accedido.

La documentacin de la herramienta deber ser consistente para cada uno de los procedimientos. Esta imagen del disco se utilizar en la computadora del laboratorio para efectuar el anlisis correspondiente.

1. Apagar el equipo desconectando el cable de alimentacin elctrica.

2. Retirar diskette, PenDirve, Zip.

3. Descargar la propia electricidad esttica, tocando alguna parte metlica y abrir el gabinete.

4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI.

5. Desconectar la alimentacin elctrica del dispositivo de disco rgido

6. Ingresar al CMOS (Complementary Metal Oxide Semiconductor) o Configuracin del BIOS (Sistema de entrada y salida de la computadora):i. Encender la computadora ii. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora para acceder al CMOSiii. Verificar la fecha y hora del CMOS y registrarla en el formulario de recoleccin de evidencia. y documentar todo tipo de dato que el Perito Informtico Forense considere relevante.iv. Modificar la unidad de inicio o arranque del sistema operativo, es decir seleccionar la unidad de diskette, CD-ROM / DVD o zip.v. Guardar los cambios al salir

8. Verificar la existencia de discos CD-ROM o DVD:a. Abrir la lectora o grabadora de CD-ROM o de DVD y quitar el disco pertinente

9. Colocar la unidad de arranque, diskette, CD-ROM/DVD o zip en el dispositivo de hardware pertinente

10. Verificar el inicio desde la unidad seleccionada.

11. Apagar el equipo

12. Asegurar el dispositivo de almacenamiento secundario original generalmente est configurado en el CMOS como Master maestro o primario- con proteccin de solo lectura, a travs de la configuracin de los jumpers que indique el fabricante del disco o a travs de hardware bloqueador de lectura.

13. Conectar el cable plano al disco rgido, puede ser IDE o SCSI

14. Conectar la alimentacin elctrica del dispositivo de disco rgido master maestro o primario-

15. Conectar el dispositivo que se utilice como destino para hacer la duplicacin del disco rgido dubitado como slave esclavo o secundario-, ya sea una controladora SCSI, un disco IDE esclavo o una unidad de cinta, o cualquier otro hardware utilizado para la duplicacin de tamao superior al disco original o dubitado. Si el almacenamiento secundario original es demasiado grande o es un arreglo de discos, efectuar la copia en cintas.

16. Verificar que en el dispositivo de arranque seleccionado se encuentren los controladores del hardware para la duplicacin, en caso de que sean requeridos.

17. Encender la computadora iniciando desde la unidad de arranque configurada en el CMOS.

18. Efectuar la certificacin matemtica del dispositivo dubitado.

19. Guardar el resultado en un dispositivo de almacenamiento

20. Registrar el resultado en el formulario verificacin de la evidencia

21. Duplicar el dispositivo de los datos con la herramienta de software y hardware seleccionada.

22. Efectuar, acorde al requerimiento de la pericia una o dos copias de la evidencia. En el caso de realizar dos copias, una se deja en el lugar del hecho, para permitir la continuidad de las actividades, otra copia se utiliza para el anlisis en el laboratorio del perito informtico forense y el original se deja en depsito judicial o si la pericia ha sido solicitada por un particular, registrarlo ante escribano pblico y guardarlo, segn lo indicado por el solicitante de la pericia y el escribano pblico.

23. Efectuar la certificacin matemtica de la o las copias del dispositivo dubitado.

24. Guardar el resultado generado por las copias duplicadas en un dispositivo de almacenamiento.

25. Registrar el resultado generado por las copias duplicadas en el formulario de recoleccin de la evidencia.

26. Apagar el equipo

27. Retirar los tornillos de sujecin del dispositivo de disco rgido

28. Retirar el disco rgido con cuidado de no daar el circuito electrnico.

3. Recoleccin y registro de evidencia virtual

a. Equipo encendido

En el caso de que se deba acceder a un equipo encendido, se debe considerar la obtencin de los datos en tiempo real y de los dispositivos de almacenamiento voltil. Los dispositivos de almacenamiento voltil de datos pierden la informacin luego de interrumpirse la alimentacin elctrica, es decir al apagar la computadora la informacin almacenada se pierde.

Los datos que se encuentran en el almacenamiento voltil muestran la actividad actual del sistema operativo y de las aplicaciones, como por ejemplo: procesos en el estado de ejecucin, en el estado de listo o bloqueado, actividad de la impresora (estado, cola de impresin), conexiones de red activas, puertos abiertos, (puerto es una estructura a la que los procesos pueden enviar mensajes o de la que pueden extraer mensajes, para comunicarse entre s, siempre est asociado a un proceso o aplicacin, por consiguiente slo puede recibir de un puerto un proceso, recursos compartidos, estado de los dispositivos como discos rgidos, disqueteras, cintas, unidades pticas.

Los datos voltiles estn presentes en los registros de la unidad central de procesamiento del microprocesador, en la memoria cach, en la memoria RAM o en la memoria virtual.

PROCEDIMIENTOS

Conjunto de tareas a realizar en el acceso a los dispositivos de almacenamiento voltil:

1. Ejecutar un intrprete de comandos confiable o verificado matemticamente.2. Registrar la fecha, hora del sistema, zona horaria.3. Determinar quin o quienes se encuentran con una sesin abierta, ya sea usuarios locales o remotos.4. Registrar los tiempos de creacin, modificacin y acceso de todos los archivos.5. Verificar y registrar todos los puertos de comunicacin abiertos.6. Registrar las aplicaciones relacionadas con los puertos abiertos. 7. Registrar todos los procesos activos.8. Verificar y registrar las conexiones de redes actuales y recientes.9. Registrar la fecha y hora del sistema10. Verificar la integridad de los datos.11. Documentar todas las tareas y comandos efectuados durante la recoleccin.

Posteriormente, en lo posible, se debe realizar una recoleccin ms detallada de los datos existentes en el almacenamiento voltil, efectuando las siguientes tareas:

1. Examinar y extraer los registros de eventos2. Examinar la base de datos o los mdulos del ncleo del sistema operativo 3. Verificar la legitimidad de los comandos del sistema operativo4. Examinar y extraer los archivos de claves del sistema operativo5. Obtener y examinar los archivos de configuracin relevantes del sistema operativo6. Obtener y examinar la informacin contenida en la memoria RAM del sistema

PROCEDIMIENTO

En la computadora, con el equipo encendido, acceder al recurso acorde al orden de volatilidad de la informacin, con las herramientas forenses almacenadas en diskette o cd-rom y de acceso de solo lectura:1. Ejecutar un intrprete de comandos legtimo2. Obtener y transferir el listado de comandos utilizados en la computadora, antes de la recoleccin de datos.3. Registrar fecha y hora del sistema4. Recolectar, transferir a la estacin forense o medio de recoleccin forense y documentara. Fecha y hora del sistemab. Memoria Principalc. Usuarios conectados al sistemad. Registro de modificacin, creacin y tiempos de acceso de todos los archivos.e. Listado de puertos abiertos y de aplicaciones escuchando en dichos puertos.f. Listado de las aplicaciones asociadas con los puertos abiertosg. Tabla de procesos activosh. Conexiones de red actuales o recientesi. Recursos compartidosj. Tablas de ruteok. Tabla de ARPl. Registros de eventos de seguridad, del sistema, de las aplicaciones, servicios activosm. Configuracin de las polticas de auditoria del sistema operativon. Estadsticas del ncleo del sistema operativoo. Archivos de usuarios y contraseas del sistema operativop. Archivos de configuracin relevantes del sistema operativoq. Archivos temporalesr. Enlaces rotoss. Archivos de correo electrnicot. Archivos de navegacin en Internetu. Certificacin matemtica de la integridad de los datos.v. Listado de los comandos utilizados en la computadora, durante la recoleccin de datos.w. Recolectar la topologa de la red4. Si es factible, apagar el equipo.

b. Equipo apagado

En el caso que el Perito Informtico Forense efecte la recoleccin de la evidencia a partir del equipo apagado, deber previamente asegurarse que el dispositivo de inicio del equipo no se realice a travs del disco rgido o dispositivo de almacenamiento secundario dubitado. Deber utilizar dispositivos de arranque en el modo solo lectura, con herramientas informticas forenses para realizar la deteccin, recoleccin y registro de indicios probatorios.

PROCEDIMIENTO

1. Apagar el equipo desconectando el cable de alimentacin elctrica2. Retirar diskettes, PenDirve, Zip.3. Descargar la propia electricidad esttica, tocando alguna parte metlica y abrir el gabinete4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI5. Desconectar la alimentacin elctrica del dispositivo de disco rgido6. Ingresar al CMOS (Complementary Metal Oxide Semiconductor) o Configuracin del BIOS (Sistema de entrada y salida de la computadora): a. Encender la computadora b. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora para acceder al CMOSc. Verificar la fecha y hora del CMOS y registrarla en el formulario de recoleccin de evidencia. y documentar todo tipo de dato que el Perito Informtico Forense considere relevante y documentarlo con fotografa, filmadora o en la lista de control.d. Modificar la unidad de inicio o arranque del sistema operativo, es decir seleccionar la unidad de diskette, cd-rom/dvd o zip de solo lectura con las herramientas informticas forenses. e. Guardar los cambios al salir8. Colocar la unidad de arranque, diskette, cd-rom/dvd o zip en el dispositivo de hardware pertinente9. Verificar el inicio desde la unidad seleccionada.10. Apagar el equipo11. Acorde a la decisin del perito informtico forense o a lo solicitado en la requisitoria pericial, se podr realizar el Procedimiento de duplicacin y autenticacin de la prueba, explicado anteriormente o continuar con la lectura del dispositivo original, configurando el mismo con los jumpers que el fabricante indique como solo lectura o colocando un dispositivo de hardware de bloqueo de escritura. 12. Conectar el cable plano al disco rgido, puede ser IDE o SCSI13. Conectar la alimentacin elctrica del dispositivo de disco rgido14. Encender la computadora iniciando desde la unidad de arranque configurada en el CMOS.15. Colocar el dispositivo de almacenamiento forense.16. Efectuar la certificacin matemtica del dispositivo dubitado.17. Guardar el resultado en un dispositivo de almacenamiento forense.18. Registrar el resultado en el formulario de recoleccin de la evidencia.19. Por medio del conjunto de herramientas informtico forense, obtener la siguiente informacin del disco dubitado, documentarla y almacenarla en dispositivos de almacenamiento forense, para su posterior anlisis, ya sea en el lugar del hecho o en el laboratorio:

a) Tipo de Sistema Operativob) Fecha, hora y zona horaria del Sistema Operativoc) Versin del Sistema Operativod) Nmero de particionese) Tipo de particionesf) Esquema de la tabla de particionesg) Listado de todos los nombre de archivos, fecha y horah) Registro del espacio descuidado o desperdiciado.i. Incluido el MBRii. Incluida la tabla de particionesiii. Incluida la particin de inicio del sistema y los archivos de comandosi) Registro del espacio no asignadoj) Registro del espacio de intercambio k) Recuperacin de archivos eliminadosl) Bsqueda de archivos ocultos con las palabras claves en el: i. espacio desperdiciadoii. espacio no asignado iii. espacio de intercambioiv. MBR y tabla de particionesm) Listado de todas las aplicaciones existentes en el sisteman) Bsqueda de programas ejecutables sospechososo) Identificacin de extensiones de archivos sospechosas.p) Listado de todos los archivos protegidos con claves.q) Listado del contenido de los archivos de cada usuario en el directorio raz y si existen, en los subdirectoriosr) Verificacin del comportamiento del sistema operativo:i. Integridad de los comandosii. Integridad de los mdulosiii. Captura de pantallas20. Generar la autenticacin matemtica de los datos a travs del algoritmo de hash al finalizar la deteccin, recoleccin y registro.21. Conservar las copias del software utilizado22. Apagar o dejar funcionando el equipo, esto depender de la requisitoria pericial.

4. Procedimiento para el resguardo de la prueba y preparacin para su traslado

PROCEDIMIENTOS

1. Disponer, segn sea el caso, las pruebas obtenidas en una zona despejada, para su posterior rotulado y registro.2. Registrar en el formulario de registro de la evidencia cada uno de los elementos dubitados, acorde a lo especificado en dicho formulario y agregando cualquier otra informacin que considere pertinente el perito informtico forense.3. Proteger:a. en bolsas antiestticas los elementos informticos de almacenamiento secundario, registrando: Fecha y hora del secuestro, Tipo, Nro de serie del elemento si se puede obtener, Capacidad de almacenamiento, Apellido, Nombre y DNI del Perito Informtico Forense, Firma del Perito Informtico Forense. Rtulos de Evidenciab. en bolsas manufacturadas con filamentos de cobre y nquel para prevenir la interferencia de seales inalmbricas celulares, gps, etc.-4. Proteger con plstico y/o con bolsas estriles cualquier otro elemento que considere relevante el Perito Informtico Forense y rotularlos con los datos pertinentes al elemento, Apellido, Nombre y DNI del Perito Informtico Forense, Firma del Perito Informtico Forense. 5. Elaborar el acta de secuestro acorde al formulario del Recibo de Efectos6. Colocar los elementos identificados y registrados en una caja o recipiente de traslado que asegure la suficiente rigidez, aislamiento trmico, electromagntico y proteccin para evitar daos accidentales en el traslado de los elementos probatorios.7. Trasladar, en lo posible, los elementos secuestrados reunidos en un nico recipiente, evitando la confusin, separacin o prdida durante su almacenamiento posterior. Formulario Cadena de Custodia

5. Traslado de la evidencia de informtica forenseEl traslado de la evidencia tendr como destino el Laboratorio de Informtica Forense correspondiente al organismo establecido en la requisitoria pericial. La permanencia en este laboratorio puede ser temporal, pero ser necesario mantener la cadena de custodia mientras la prueba sea analizada por las entidades involucradas. Formulario de responsables de la cadena de custodia.Acorde a la evolucin del proceso judicial en donde se encuentra involucrada la prueba de informtica forense, la prueba podr ser posteriormente entregada y resguardada en un lugar o destino especfico para su resguardo y depsito final o definitivo.

TIPO DE ARCHIVO (FORMATO)IMAGENUBICACIN DEL ARCHIVOPROGRAMAS EMPLEADOS PARA SU LOCALIZACINOBSERVACIONES

JPEGDISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSFoto casera de un probable encuentro sexual

JPEGDISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSFoto de perfil


JPEG

DISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSFotografa del sujeto bajo investigacin











JPEGDISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSFotografa casera de un encuentro sexual


JPEGDISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICS





JPEG

DISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSFotografa casera de un encuentro sexual






JPEGDISCO LOCAL (F)----->USERS------>FULANO DE TAL--------->APP DATA------->LOCAL------>MOZILLA----->FIREFOX----->PROFILES---->WAUK6PHJ.DEFAULT----->CACHE2------>ENTRIESENCASE FORENSICSDesnudo




PGINA O SITIOS WEB FRECUENTADOSRELACIN CON LA INVESTIGACIN

Formulario de Registro de evidencia

OrganismoFormulario de registro de evidencia de la computadoraIF-Nro

Caso NroJuzgadoLugar y fecha

Especificaciones de la computadora

Marca

Modelo

Nro de Serie

Garanta

Placa MadreMarca/Modelo

Microprocesador Marca/Modelo/Velocidad

Memoria Ram

Memoria Cache

Almacenamiento Secundario, Fijo y /o Removible

CantidadTipoDisketera-CD-ROM-DVD-Disco Rgido- IDE-SCSI-USB-Zip-Jazz-PenDriveMarca/ModeloVelocidad/CapacidadNro de Serie

Accesorios y Perifricos

CantidadTipoPlaca de red, modem, cmara, tarjeta de acceso, impresora, etcMarca/ModeloVelocidad/CapacidadNro de Serie

Observaciones

Perito Informtico ForenseLugarFecha

Apellido:Nombre:Legajo Nro:DNI:

Firma

Aclaracin:

Formulario para la cadena de custodia

Cadena de Custodia de la Evidencia

Nro Identificacin de Caso:

NroUnico de IdentificacinUbicacin ActualFechaRazn de trasladoSitio a donde se trasladaObservaciones

Entregado por: Gerardo Antonio Ortega CastanFirma y Aclaracin

Recibido por: Michael Emmanuel Segura EscobarFirma y Aclaracin

Lugar de depsito final de la evidencia:Fecha: 08/05/15

Formulario de Cadena de Custodia de responsables

Nro de Idenficacin Unica del Caso:

ResponsableFirma y AclaracinFechaHora

Entregado por:Gerardo Ortega08/05/1512:00

Recibido por:Michael Segura08/0/1512:00

Razn de traslado:Adjuntar evidencia extrada del disco duro


Entregado por:

Recibido por:

Razn de traslado:


Entregado por:

Recibido por:

Razn de traslado:


Entregado por:

Recibido por:

Razn de traslado:


Entregado por:

Recibido por:

Razn de traslado:


Entregado por:

Recibido por:

Razn de traslado:

Modus Operandi Del Sujeto: El sujeto utilizaba las redes sociales o las pginas populares para encontrar perfiles o ponerse en contacto con varias de las jvenes que le causaban inters, para por medio del engao lograr sostener relaciones sexuales con ellas.

Conclusiones:Se encontr informacin muy variada en el disco duro del sujeto bajo investigacin, como por ejemplo bsquedas de equipo para clonacin de tarjetas, nmeros de cuentas bancarias, etc. por lo que adems de los delitos sexuales antes mencionados, se debe iniciar una investigacin para crmenes financieros

ATTE:PERITOS

__________________________________

__________________________________

__________________________________

__________________________________

_________________________________

dictamen de informatica forense (2do parcial)

Documents

elementos dubitados

inspeccin judicial

elementos virtuales

lugar seguro

rea de inspeccin

red de computadoras

planilla de registro

dispositivos de almacenamiento