UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (FDS)

Transcripción

1 UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (FDS) "LA INVESTIGACIÓN DE DELITOS EMERGENTES EN INTERNET, SU DETECCIÓN Y CONTROL" TESIS DE GRADO LIGIA MARIBEL GARCÍA JUÁREZ CARNET SAN JUAN CHAMELCO, ALTA VERAPAZ, FEBRERO DE 2014 CAMPUS "SAN PEDRO CLAVER, S. J." DE LA VERAPAZ

2 UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (FDS) "LA INVESTIGACIÓN DE DELITOS EMERGENTES EN INTERNET, SU DETECCIÓN Y CONTROL" TESIS DE GRADO TRABAJO PRESENTADO AL CONSEJO DE LA FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES POR LIGIA MARIBEL GARCÍA JUÁREZ PREVIO A CONFERÍRSELE EL TÍTULO Y GRADO ACADÉMICO DE LICENCIADA EN INVESTIGACIÓN CRIMINAL Y FORENSE SAN JUAN CHAMELCO, ALTA VERAPAZ, FEBRERO DE 2014 CAMPUS "SAN PEDRO CLAVER, S. J." DE LA VERAPAZ

3 III AUTORIDADES DE LA UNIVERSIDAD RAFAEL LANDÍVAR RECTOR: P. ROLANDO ENRIQUE ALVARADO LÓPEZ, S. J. VICERRECTORA ACADÉMICA: VICERRECTOR DE INVESTIGACIÓN Y PROYECCIÓN: VICERRECTOR DE INTEGRACIÓN UNIVERSITARIA: VICERRECTOR ADMINISTRATIVO: SECRETARIA GENERAL: DRA. MARTA LUCRECIA MÉNDEZ GONZÁLEZ DE PENEDO DR. CARLOS RAFAEL CABARRÚS PELLECER, S. J. DR. EDUARDO VALDÉS BARRÍA, S. J. LIC. ARIEL RIVERA IRÍAS LIC. FABIOLA DE LA LUZ PADILLA BELTRANENA DE LORENZANA DECANO: AUTORIDADES DE LA FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES DR. ROLANDO ESCOBAR MENALDO VICEDECANO: SECRETARIO: MGTR. PABLO GERARDO HURTADO GARCÍA MGTR. ALAN ALFREDO GONZÁLEZ DE LEÓN NOMBRE DEL ASESOR DE TRABAJO DE GRADUACIÓN ING. FREDY YOSCAEL BUEZO VASQUEZ TERNA QUE PRACTICÓ LA EVALUACIÓN LIC. PAOLA SOVBIO ARGUETA

4 IV

5 V

6 VI

7 VII RESPONSABILIDAD: El autor es el único responsable del contenido y de los resultados obtenidos en la presente investigación.

8 VIII DEDICATORIA Y AGRADECIMIENTOS A DIOS: Quien me ha dado la fuerza, la sabiduría y la inteligencia para poder concluir esta etapa de mi vida, porque se y confío que tiene un plan perfecto en el camino que aún me queda por recorrer. A MI PADRE: Edgar Rolando García Ché (Q.E.P.D.) Agradezco con todo mi corazón porque fue él quien siempre me apoyó y me animó a seguir adelante para alcanzar mis sueños y mis metas, siendo un padre ejemplar para mí y mis hermanos. Porque fue quien con amor, sacrificio, paciencia y sabiduría me ha guiado por el camino del bien. Papi te dedico este logro sabiendo que desde el cielo sonríes orgulloso de mí. A MI MADRE: María Isabel Juárez Sierra: Por ser quien junto a mi padre me apoyó y orientó a lo largo de mi vida, porque fuiste quien con paciencia y amor me enseñó mis primeras letras, con ello implantaste el pilar de mi vida académica y hoy, años después ha dado fruto esa enseñanza, te lo agradezco dedicándote este triunfo. A MIS HERMANOS: Marisa, Jorge y Giovanni: porque han sido ustedes quienes han estado a mi lado consintiéndome, protegiéndome y brindándome su amor y apoyo en todo momento sin esperar nada a cambio A MIS AMIGOS: Eduard (Chelin), Juank (Panon), Luis (Pacha), Edson (Choncho), J.Antonio (Palio), J.Marco (Puma), Edyn (Mechón), Carlitos, Ángel, Ale, Marianne, Joselyn, Madellin, Thelma, Julito. Han estado junto a mí, compartiendo momentos de alegría, de diversión, de tristeza y preocupación, porque me han apoyado y dado ánimo cuando lo he necesitado.

9 IX AL CIB Y LA URL: Los dos centros académicos que me han formado como profesional, y me hacen sentir orgullosa de este triunfo, agradezco por las enseñanzas que en ellos recibí. Y a todas aquellas personas que en algún modo, forma o momento me apoyaron en el transcurso de mi carrera, gracias, ya que sin la ayuda de ustedes no hubiera sido posible lograrlo.

10 X LISTADO DE ABREVIATURAS SIGLA SIGNIFICADO ISP PDH DSM CD DVD IP ICANN RAM MAC Proveedor de servicios en internet Procuraduría de derechos humanos Diagnostic and Statiscal Manual of Mental Disorder Compact disc Digital versatile disc Internet protocol Internet Corporation for Assigned Names and Numbers Random access memory Media access control MD5 Message digest algorithm 5 MP3 Media player 3 ISP ADSL MTA PDA SO DES AES IDEA Proveedores de servicios en internet Asymmetric Digital Subscriber Line Agentes de transferencia de mensajes Personal digital assistant Sistema Operativo Data Encryption Standard Advanced Encryption Standard Internatial Data Encryption Algorithm

11 XI RSA SQL DSA ESIGN E.E.U.U. Rivest, Shamir y Adleman Structured Query Language Digital Signature Algorithm Essential Sign Language Information on Government Networks Estados Unidos

12 XII RESUMEN EJECUTIVO DE LA TESIS En el presente trabajo de investigación se busca analizar la investigación de delitos emergentes en internet, su detección y control, esto con el objeto de disminuir el índice de criminalidad que este tipo de delitos ha llegado a alcanzar en las últimas eras a causa del acelerado avance de la tecnología y de las redes en internet. Se exponen pues, ejemplos de los delitos informáticos más comunes y que más han afectado a la sociedad, así como la manera de realizar el proceso de investigación en este tipo de crímenes. Se necesita personal especializado para realizar esta labor, ya que es un trabajo delicado que requiere de conocimiento en computadoras y sus áreas cibernéticas, por lo que se dan a conocer primeramente conceptos necesarios acerca del peritaje informático, seguido de técnicas para detectar esta actividad ilícita en las redes. Debido a que la actividad tecnológica va en aumento cada vez con más relevancia y rapidez, es necesario que también la preparación del investigador vaya en creciente acorde a este fenómeno; entidades que se encargan en materia de investigación deberán capacitar y presentar a sus funcionarios la oportunidad de desarrollarse en la investigación de campo y de laboratorio enfocada a estos delitos que se han convertido en cotidianos. Es posible lograr el control de esta actividad delincuencial, difícilmente en su totalidad, pero sí la prevención del mismo, si se alerta e instruye a la sociedad acerca de la vulnerabilidad que tienen cualquier persona en ser víctima y mayormente si se trata de personas que se mantienen al día en lo que a redes sociales y tecnología digital se refiere.

13 XIII ÍNDICE CONTENIDO PÁGINA Introducción CAPÍTULO I DELITOS INFORMÁTICOS COMO UN PROBLEMA ANTE LA SOCIEDAD 1.1 Robo de identidad Formas comunes de robo de identidad Un problema en aumento Terrorismo cibernético un problema para la seguridad mundial Seguridad cibernética La piratería en internet como amenaza la industria Predadores en internet Bullying Cibernético Factores que contribuyen a la delincuencia cibernética Sexualidad virtual y Abuso Cibernético Pornografía infantil y exhibicionismo Acoso por medio de redes sociales Influencia negativa Delincuentes sociópatas-sexuales Vulnerabilidad Programas destructivos.16

14 XIV CAPÍTULO II DETECCIÓN DE DELITOS EMERGENTES EN INTERNET 2.1 Confesión en el derecho informático Prueba documental Prueba de exhibición de documentos Prueba testifical Testigos calificados Inspección Judicial Prueba de informes Prueba pericial informática Experticias sobre mensajes de datos y correo electrónico Experticias sobre páginas web y sitios de internet Experticias sobre archivos, imágenes y documentos creados en programas informáticos Información Sobre Instalaciones de Licencias, Nombres de Usuarios, Registrados en el Sistema Operativo Auditoria informática Reconstrucción de hechos informáticos Prueba Libre Experimentación Reconstrucción informática de hechos jurídicos no informáticos Archivos digitales de hechos jurídicos informáticos Pruebas de valoración y justiprecios Nombre de dominio Valoración en los daños informáticos Indicios en el derecho informático Aspectos técnico-jurídicos de los delitos informáticos Identificación de un computador Individualización de archivos (Hash) Identificación de un disco compacto estampado Identificación de medios magnéticos...43

15 XV CAPÍTULO III PRINCIPIOS DE IDENTIFICACIÓN DE LAS ACTIVIDADES EN INTERNET 3.1 La dirección IP Mensajes de datos Correo electrónico Autoría del mensaje de correo electrónico Pruebas de mensajes de datos de tipo de correo-e Titularidad de la cuenta de correo, correo gratuito Correo privado Chat o conversación el línea Grupos de noticias Listas de correo Pizarrones, carteleras, boletines de noticias, blogs Derecho de privacidad y las pruebas informáticas Pruebas sobre mensajes de datos con firmas electrónicas Redes sociales. 54 CAPÍTULO IV INVESTIGACIÓN Y PERITAJE INFORMÁTICO 4.1 Peritaje Informático Análisis forense informático Plan de preparación y reunión del personal Equipo en escena Supervisor del caso Equipo de arresto Seguridad de la escena Equipo de interrogación y entrevista Equipo de fotografía Registro material Recolección de evidencia Reconocimiento de la evidencia digital....62

16 XVI Reconstrucción de la escena del delito Clases de equipos informáticos y electrónicos...64 CAPÍTULO V INVESTIGACIÓN DE DELITOS EMERGENTES EN INTERNET 5.1 Procedimientos de la investigación en la informática forense La recuperación de archivos eliminados Pandora recovery Recuva Undelete Plus Restoration Tokiwa data recovery Des-encriptación elemental Cifrado simétrico DES AES IDEA Cifrado asimétrico RSA Gramal Diffie y Itellman DSA ESIGN Leer archivos de registro Reconstruir acciones Rastrear el origen Rastreo de origen de correos electrónicos Rastreo de ip de un sitio web Principios forenses Metodología.81

17 XVII Estudio preliminar Adquisición de datos Análisis Presentación Evidencia digital Técnicas forenses en una máquina individual Técnicas forenses en una red Post-mortem Reuniendo evidencias Pasos a seguir en la escena 84 CAPÍTULO VI PRESENTACIÓN DE RESULTADOS Y DISCUSIÓN 6.1 Presentación, análisis y discusión de resultados Conclusiones Recomendaciones Referencias Bibliográficas Normativas Electrónicas Anexos Resultados gráficos de las encuestas Modelo de instrumentos utilizados...98

18 1 INTRODUCCIÓN Realizar el análisis de los delitos emergentes en internet su detección y control; busca estudiar sus antecedentes, enlistando algunos ejemplos de delitos informáticos, esto con el objetivo de que surja la idea de lo que estos representan, y por último se llegará a una conclusión objetiva a base de la recolección de datos. Hasta hoy ha sido un avance rápido en lo que se refiere a tecnología. Las redes de datos, nos permiten transmitir información hacia y desde cualquier lugar del planeta de una manera oportuna y eficiente. Esta enorme mejora en la tecnología de las comunicaciones nos ha traído otra oportunidad para la actividad financiera, se ha encontrado una nueva manera de administrar los recursos financieros (entre otras cosas) de los demás. Las personas involucradas en actividades de espionaje extranjero también hacen uso de sistemas de comunicación mejorados, tarea que es rutinariamente entrar en el gobierno, militares, comerciales y de sistemas informáticos en red y robar secretos comerciales, nuevos diseños, nuevas fórmulas. A medida que las sociedades dependen cada vez más de estas tecnologías, será necesario utilizar medios jurídicos y prácticos para prevenir los riesgos asociados. Las tecnologías de la sociedad de la información pueden ser utilizadas para perpetrar y facilitar diversas actividades delictivas. En manos de personas que actúan de mala fe, con mala voluntad, o con negligencia grave, estas tecnologías pueden convertirse en instrumentos para actividades que ponen en peligro o atentan contra la vida, la propiedad o la dignidad de los individuos o del interés público. En base a una investigación tipo monografía, se abordará en este informe el enfoque clásico de que la seguridad exige una compartimentación organizativa.

19 2 En el mundo digital, es un poco difícil puesto que el tratamiento de la información se distribuye, se prestan servicios a usuarios móviles, y la inter operatividad de los sistemas es una condición básica. Los enfoques tradicionales de la seguridad son sustituidos por soluciones innovadoras basadas en las nuevas tecnologías. Estas soluciones implican el uso del cifrado y las firmas digitales, de nuevos instrumentos de autenticación y de control del acceso, y de filtros de software de todo tipo. Garantizar infraestructuras de información segura y fiable, no sólo exige la aplicación de diversas tecnologías, sino también su correcto despliegue y su uso efectivo. Estas tecnología existen ya, pero a menudo los usuarios no son conscientes de su existencia, de la manera de utilizarlas, o de las razones por las que pueden ser necesarias. Esta última circunstancia está muy fuertemente arraigada en la cultura nacional, de no enfrentar esta situación con la debida anticipación, negando la oportunidad de tener una clara percepción sobre esta grave problemática. La delincuencia informática se comete en el ciberespacio, y no se detiene en las fronteras nacionales convencionales. En principio, puede perpetrarse desde cualquier lugar y contra cualquier usuario de ordenador del mundo. Se necesita una acción eficaz, tanto en el ámbito nacional como internacional, para luchar contra la delincuencia informática. A escala nacional, no hay respuestas globales y con vocación internacional frente a los nuevos retos de la seguridad de la red y la delincuencia informática. En Guatemala, las reacciones frente a la delincuencia informática se centran en el derecho nacional, descuidando medidas alternativas de prevención. Las redes sociales se han convertido en el tema del momento en internet, siendo las más famosas twitter, facebook, myspace entre otras. Gran cantidad de personas le dan un inadecuado uso a estas redes, por ejemplo, son utilizadas para la realización de fraudes, estafas, secuestros, acoso sexual, pero también para el delito de difamación contemplado en el artículo 164 del código Penal de

20 3 Guatemala, que expresa que Hay delito de difamación, cuando las imputaciones constitutivas de calumnia o injuria se hicieren en forma o por medios de divulgación que puedan provocar odio o descrédito, o que menoscaben el honor, la dignidad o el decoro del ofendido, ante la sociedad. 1 Por lo que es necesaria la investigación de estos hechos y sobre todo buscar formas para poder penalizar a las personas que cometen dicho delito. 1 Código Penal de Guatemala, Congreso de la Republica y sus reformas, Decreto

21 4 CAPÍTULO I DELITOS INFORMÁTICOS COMO UN PROBLEMA ANTE LA SOCIEDAD Una de los muchos beneficios del internet es que tiene la capacidad de conectar a personas de todas partes del mundo con intereses comunes. A los ojos de algunos, la naturaleza del mundo cibernético es más un lugar espacio peligroso que real, especialmente para niños. De acuerdo al experto en seguridad de software, Jhon Carosella, cuando (comunicación inapropiada adulto-niño) sucede en la vida real, tu sabes que es lo que está sucediendo ; No es lo mismo cuando se trata de esta comunicación por medio del ciberespacio. En el internet, los padres quizás no se imaginan que sus hijos estén hablando con una persona mayor. 2 Y así no solo con menores de edad, también personas adultas pueden estar cayendo en los engaños que el mundo cibernético nos ofrece. 1.1 Robo de identidad Obtención de información confidencial del usuario, como contraseñas de acceso a diferentes servicios, con el fin de que personas no autorizadas puedan utilizarla para suplantar al usuario afectado. 3 Provisto con la información de una persona, un ladrón puede abrir nuevas cuentas en nombre de la víctima, obtener fondos de préstamo con el nombre de la víctima, o retirar fondos desde la cuenta existente de la víctima, tales como su cuenta de cheques o su línea de crédito hipotecario. 2 Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, 3 Datos recogidos en página de definiciones técnicas relacionadas con virus y antivirus accesible el

22 5 Aunque estos delitos financieros son los más frecuentes, no son los únicos que se utilizan en el robo de identidad personal. El robo de identidad los vemos de varias maneras, pero generalmente incluye la obtención de información personal, como el número de seguridad social, fecha de nacimiento, nombre de la madre, números de cuenta, dirección, etc. y que son usados para actividades criminales (delitos de cuello blanco) como el uso no autorizado de tarjetas de crédito, o cuentas de banco Formas comunes de robo de identidad Dumpster Diving: Búsqueda dentro de la basura facturas, u otros papeles que contengan información personal en ellos. Skimming: Robo números de tarjetas de crédito/débito usando un dispositivo especial de almacenamiento, al procesar su tarjeta. Phishing: Fingir ser instituciones o compañías financieras, y envían spam (correo no deseado) o mensajes pop-up y revelar así la información personal. Changing your adress: (cambio de dirección) Desvío los estados de cuenta hacia otra ubicación para completar la forma del cambio de dirección. Old-fashioned stealing: (robo pasado de moda ) Robo de carteras, monederos y correspondencia bancaria, que incluya estados de tarjetas de crédito, ofertas de crédito con previa aprobación, cheques nuevos o información fiscal. roban los registros del personal de sus empleadores, o sobornan a los empleados que tienen acceso Un problema en aumento Se debe tomar en cuenta que el robo de identidad en sus muchas formas, es un problema cada vez mayor que se manifiesta de muchas maneras, incluyendo los abusos de mayor escala en los procesadores de tarjetas de crédito de terceros, el robo de correo de cheques impresos, ofertas de crédito previamente aprobadas y 4 Federal Trade Commission, Fighting back against identity theft, Mayo 2006.

23 6 documentos de hipotecas; muchos de estos delitos son cometidos por medio del correo electrónico no deseado. Los abusos de intrusión informática o hackers, pueden contribuir de manera significativa al impacto y alcance del robo de identidad. Violaciones de seguridad en grandes proveedores de datos de origen público, ponen de manifiesto la capacidad de los delincuentes para aprovechar la disponibilidad de datos. 1.2 Terrorismo cibernético, un problema para la seguridad mundial En este punto, Simon Finch, asegura que el terrorismo cibernético es un serio delito que afecta a la seguridad mundial, menciona como ejemplo, un ataque cibernético que amenazó con cerrar el gobierno de Estonia y las instituciones financieras de esta república europea. 5 Aunque parece que John Reid, ex ministro del Interior, con cargo en el gobierno británico, similar a la cabeza de la seguridad nacional en los Estados Unidos, no se alarmó cuando advirtió sobre la creciente amenaza cibernética de terrorismo hacia Gran Bretaña. El ciber-ataque de tres semanas en Estonia amenazó con oscurecer la infraestructura digital del país ya que los hackers irrumpieron a través de cortafuegos y se infiltraron en los sitios web de los bancos y las instituciones políticas. El resultado fue el caos y un banco que aún se encuentra sostenido bajo ataque. 5..Simon..Finch,..(..Estonia:..2013),..en..página..web,.. the..telegraph.. omment/personal-view/ /cyber-terrorism-is-real-ask-estonia.html, accesible el

24 Seguridad cibernética La seguridad informática-cibernética es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. 6 Cuando personas ordinarias imaginan terrorismo cibernético, tienden a pensar en las escenas de Hollywood, del fin del mundo en el que terroristas secuestran armas nucleares, aerolíneas, o computadoras militares a mitad de camino alrededor del mundo, dada la colorida historia de malversaciones federales que causan una preocupación comprensible. Pero con algunas excepciones, esto no se aplica a la preparación para un ataque cibernético. Según Michael Cheek, director de inteligencia para idefense, el gobierno está mucho más preparado y adelantado en lo que a seguridad cibernética se refiere, si lo comparamos con el sector privado La piratería en internet como amenaza para la industria Quienes realizan esta actividad delincuencial, comúnmente utilizan otros nombres como limewire, ares, etc., para la distribución ilegal de música, videos, películas; con esto se amenaza la actividad comercial legítima de los productores; y no corriendo mayor riesgo, ya que el delito neto lo cometen las personas que están descargando la información, ya sean niños, jóvenes, adultos, quienes son consumidores de estos programas y de una forma supuestamente inocente están cometiendo faltas a ley. Para mantener este tipo de actividad ilegal, los delincuentes deben mantener motivados a sus clientes, primero, porque les ofrecen una gama de archivos de 6 Datos recogidos en la página de definiciones accesible el

25 8 forma gratuita, lo cual parece llamativo y conveniente hacia el público, también porque no anuncian que esta es una manera ilegal de obtener información; segundo, porque motivan un intercambio de información, es decir, para obtener un archivo los usuarios deben cargar uno como forma de pago al programa o página que se está utilizando. Existen programas automáticos en descarga y carga de archivos, es decir, un usuario conscientemente realiza la descarga de algún archivo que le interesa, pero con esto autoriza automática e inconscientemente al proveedor, el acceso a sus archivos originales y la carga al programa mismo, convirtiéndose así en un cómplice más de la piratería en internet Predadores en Internet Según el reportero canadiense Jeff Buckstein, investigadores, agentes policiales y expertos en internet están de acuerdo en que los predadores del internet son una gran amenaza en su mayoría para niños, según Buckstein, el problema es mayor de lo que realmente se dice o se ha escuchado, ya que solo el 10% de los que reciben solicitudes sexuales por medio de internet lo denuncian como crimen. 7 Este tipo de delincuentes predadores, pueden reconocer fácilmente a sus víctimas, a través de características que presentan como soledad, problemas familiares, entre otros. Expertos recomiendan a los padres estar pendientes activamente de la actividad de sus hijos en las computadoras, para evitar de mejor manera posible que sean víctimas de estos criminales. 7 Buckstein Jeff,(Estados Unidos: 2013), en pagina web Cyberproof your kids to keep predators at bay, accessible, el

26 Bullying cibernético El bullying o acoso cibernético puede ser definido como la intimidación psicológica u hostigamiento que se produce entre pares, frecuentemente dentro del ámbito escolar (no exclusivamente), sostenida en el tiempo y cometida con cierta regularidad, utilizando como medio las tecnologías de la información y la comunicación. 8 Este es un serio problema que puede causar daños psicológicos y en casos extremos puede llegar a ocasionar suicidio. Usualmente estos son formados por grupos de personas que se relacionan en algún medio social como la escuela, se organizan y encuentran una víctima para ocasionarle daños que son muy traumáticos para este. Para evitar que niños sean acosados por predadores sexuales, escolares, cibernéticos, que puedan dañarlo de cualquier manera psicológica o moral, los expertos recomiendan a los padres tener control y acceso a las computadoras de sus hijos, y ubicarlas en lugares de acceso común como la sala, cocina, comedor Factores que contribuyen a la delincuencia cibernética Los motivos de los piratas informáticos varían. Se llamara piratas negros a quienes irrumpen en los sistemas de computadoras para robar o crear problemas; piratas blancos a quienes irrumpen en las computadoras de las compañías que los emplean para poder ayudar a las mismas con su estado tecnológico. Entre estos dos extremos se encuentran los que se nombran como piratas grises; estos hackers no tienen la intención de causar daños o robar. 9 8 Ciberbullyng. (Argentina), en página web Escritorio Familia : accesible el Louise I. Gerdes, Cyber crime, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág. 56.

27 Sexualidad virtual y abuso cibernético Cada vez se hacen más frecuentes las prácticas de abuso por medio de las redes sociales, internet y celulares, las cuales pueden subir de tono. Sexting: envío de contenidos pornográficos por medio de celulares. En Guatemala muchos de los contenidos son montajes rostros en cuerpos de jovencitas de la comunidad nacional. Grooming: práctica en que un adulto se hace pasar por menor de edad y seduce a un joven para que le envíe imágenes cada vez más seductoras o pornográficas, hasta lograr que se desnude. Ciberbullying o ciberacoso: chantaje de quienes utilizan el grooming para obtener cada vez más material pornográfico o tener un encuentro físico con el menor, para abusar sexualmente de él o ella. Sextorsión: forma de explotación sexual en que se extorsiona a una persona por medio de una imagen suya desnuda que ha compartido a través de sexting. La víctima es coaccionada para tener relaciones sexuales con el chantajista y otras personas, además de producir pornografía, entre otras cosas. 10 Expertos afirman que son pocos los delitos sexuales perpetuados por pedófilos de forma violenta o engañosa, de hecho, la mayoría de los delitos sexuales por internet, son iniciados por adultos interesados en el sexo consensual, con menores de edad que aún no tienen la facultad jurídica de consentir esta acción. 10 Valdez, Sandra. Julio, Lara. Aumenta acoso en redes sociales. (Guatemala: 2012), en página web Prensa Libre : accesible el

28 11 Estos criminales raramente pretenden hacerse pasar por adolecentes, y mucho menos ser violentos. Los delincuentes utilizan la comunicación por internet, como mensajes instantáneos, correo electrónico, salas de chat y otros, para conocer y desarrollar relaciones íntimas con sus víctimas. La gran mayoría de casos registrados, las víctimas son conscientes que la conversación en línea que están manteniendo es con un adulto Pornografía infantil y exhibicionismo Una definición de pornografía infantil es toda representación, por cualquier medio, de un niño dedicado a actividades sexuales explícitas, reales o simuladas, o toda representación de las partes genitales de un niño con fines primordialmente sexuales. 11 La pornografía infantil puede desempeñar un papel diferente en el inicio de los delitos sexuales en internet al papel que desempeñan los delitos sexuales no en línea. La posesión de pornografía infantil, que solía ser visto como un crimen de baja incidencia, cometido casi exclusivamente por aquellos que tienen un interés sexual persistente en niños, han sido comprometidos en un problema de delincuencia más general, con una variedad cada vez mayor en cuanto a los delincuentes que pueden acceder y distribuir fácilmente y de forma privada, imágenes desde equipos de cómputo domésticos. Entre la pequeña cantidad de investigaciones existentes acerca que cuales son las causas de motivación para los poseedores de pornografía infantil, se dice que, 11 Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de niños en la pornografía. Fecha de publicación:

29 12 entre otros fines, se utiliza para alimentar la fantasía sexual, mejorar la masturbación, seducir a las víctimas o incluso a la pareja, y en ocasiones se accede por simple curiosidad o por su valor de impacto. La producción de la pornografía infantil es también un aspecto importante dentro del campo de los delitos sexuales por internet. Uno de cada cinco pedófilos en línea toma fotografías de carácter sexual insinuante o explícito de las víctimas o convencen a las víctimas de tomar tales fotografías ellos mismos o a amigos 12. Los usuarios solicitan a menores de edad que en envíen sus fotografías de contenido sexual ilícito; media vez los menores respondan a esta solicitud los solicitantes pueden hacer uso del contenido y hacerlo circular por internet sin que esta circulación sea limitada. Esto es algo de lo que algunos menores no tienen la madurez o conocimiento necesario para entender. El internet también puede ser particularmente atractivo para los delincuentes con tendencias exhibicionistas, quienes pueden hacer uso de cámaras web para transmitir imágenes de ellos mismos en línea. La cuestión no es si los niños deben ser protegidos, por supuesto que sí. Las cuestión está en que si el peligro para ellos es grande, y si las medidas propuestas garantizarán su seguridad. Mientras que algunos esfuerzos, como sentencias más largas para los infractores reincidentes, son voluntad razonada y probablemente efectiva; los que se centran en la separación de los delincuentes sexuales por parte del público son de poco valor, ya que se basan en una premisa errónea. El simple hecho de saber que un liberado vidas de delincuentes sexuales - o está en un momento dado - no garantiza que él o ella no va a estar cerca de las víctimas potenciales. Dado que pocos de los asaltos sexuales son cometidos por delincuentes sexuales en libertad, la preocupación por el peligro es 12 Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág. 73.

30 13 tremendamente desproporcionada a la amenaza real. Los esfuerzos para proteger a los niños son bien intencionados, pero la legislación debe basarse en hechos y argumentos razonados en lugar de miedo en medio de pánico moral nacional Acoso por medio de redes sociales El chantaje, ciber-acoso o envío de contenidos con escenas explícitas de sexo se han vuelto una amenaza creciente para adolescentes y niños que tengan una computadora con acceso a internet o teléfonos con conexiones a redes sociales donde se convierten en potenciales víctimas de trata de personas. Como esclavitud moderna es conocido el comercio sexual de menores, un negocio ilícito que va en aumento, principalmente porque se ha facilitado el contacto en las redes virtuales. 14 La violación a los derechos humanos por explotación sexual es generalizada en todo el país y no existe ningún segmento de la niñez y juventud que no se encuentre expuesto gravemente a este riesgo 15 Existen muchas formas de esclavizar y apoderarse de la vida de los niños y adolescentes, pero muchos de los casos ocurren hoy en el mundo virtual. En el estudio de la PDH se identifican al menos 13 maneras de trata. Las formas más modernas tienen que ver con la tecnología, pues los tratantes aprovechan desde un teléfono con videocámara, para llevar a cabo el sexting, una modalidad que consiste en obtener imágenes de una víctima, a la cual se le hace un montaje y eso facilita la extorsión. 13 Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág., Ibid., pág., Najat Maalla M jid, Niñez y Adolescencia (Madrid, 2005), en página web, acnur. accesible del,

31 14 Un ejemplo de sexting lo sufren una joven de 15 años y su familia, en Jalapa. La auxiliatura de la PDH de ese departamento conoce la denuncia, en la que se expone que fue víctima de un montaje. Alguien distribuyó vía celular, entre jóvenes del lugar, un video en que la joven supuestamente tiene una relación sexual. Aunque las imágenes son un montaje, la comunidad ha creído que son reales Influencia negativa La difusión de materiales pornográficos a través de internet ha distorsionado la mentalidad de numerosos jóvenes, quienes filman el momento en que sostienen una relación sexual durante el noviazgo, pero cuando este finaliza distribuyen el video entre sus amigos, a manera de venganza. La sociedad no se ha dado cuenta de la gravedad del problema, opina Cecilia Aguirre, auxiliar de la PDH en Guatemala, quien sugiere a los padres y maestros que aborden el tema de la sexualidad, el noviazgo y las consecuencias de la pornografía Delincuentes sociópatas-sexuales Trastorno de personalidad antisocial se caracteriza por una falta de respeto de las normas morales o jurídicas en la cultura local. Hay una marcada inhabilidad para llevarse bien con otros o someterse a las normas de la sociedad. Los individuos con este trastorno a veces son llamados psicópatas o sociópatas. 18 Víctor López, del Centro de Investigaciones para la Salud, de la Universidad de San Carlos, comentó que el envío de contenido sexual por teléfono se originó en EE. UU., pero ahora, con la disponibilidad de móviles que captan video, se han 16 Sandra Valdez, Sexting afecta (Guatemala, 2013) en pagina web, Prensa Libre, accesible del, Manual diagnóstico y estadístico de los trastornos mentales (en inglés Diagnostic and Statistical Manual of Mental Disorders (DSM) de la Asociación Psiquiátrica de los Estados Unidos (American Psychiatric Association) Estados Unidos, IV Edición, pág. 19.

32 15 dado casos en algunos departamentos. Advierte que a menudo esos mensajes empiezan como una broma, aunque hay casos de jóvenes que son drogadas o embriagadas para ser grabadas. En cualquiera de los casos, se trata de una distorsión del verdadero sentido de la sexualidad y de un daño moral irreparable. Aída Castroconde, psicóloga forense, asegura que quienes filman y distribuyen ese material son sociópatas; es decir que carecen de sentido de responsabilidad, son egocéntricos y no les importa hacer daño a alguien. Por ello los jóvenes deben fijarse bien con quién se relacionan, enfatizó. 1.4 Vulnerabilidad Ante la desinformación y la falta de alertas tempranas, los niños y las niñas se convierten en personas vulnerables ante agresores o acosadores sexuales, según el Refugio de la Niñez, que conoce al menos tres casos de este tipo en los últimos años. 19 La Procuraduría de Derechos Humanos asegura que del 2009 a este año ha recibido 440 denuncias por explotación sexual en Retalhuleu, Guatemala, Huehuetenango, Quetzaltenango, Escuintla, Izabal y Chimaltenango. En el mismo período el Ministerio Público, recibió 61 denuncias de delitos de pornografía a escala nacional. Sobre la utilización de actividades turísticas para la explotación sexual comercial de menores de edad se registran tres denuncias. En total, el MP ha presentado 524 casos, de los cuales el Organismo Judicial ha procesado 161, pero solo hay 10 sentencias condenatorias entre el 2009 y el Castañón, Mariela. Menores son altamente vulnerables ante agresiones y acoso sexual. (Guatemala 2013), en página web "La Hora : accesible el Najat Maalla M jid, Niñez y Adolescencia (Madrid, 2005), en página web, acnur. accesible del,

33 16 Son diversos los motivos que conducen a la trata de personas y explotación, aunque gran parte de estos tienen que ver con la pobreza, los niveles bajos de educación, la falta de empleo, la emigración, la niñez en situación de calle y el trabajo infantil. A esto se suma la invisibilidad del fenómeno, la estacionalidad del turismo, la distinción de género, la violencia intrafamiliar y la porosidad de las fronteras, según la PDH. Ser mujer, niña, indígena y pobre es una situación de riesgo para ser víctima de trata en el país. También la falta de información sobre herramientas básicas para detectar los engaños que los tratantes utilizan, así como el que ninguna institución familia, iglesia o escuela prepara a los niños y adolescentes para enfrentar esta amenaza Legislación existente sobre delitos informáticos en Guatemala La legislación Guatemalteca regula algunos delitos informáticos en el código penal, como también en la ley de derechos de autor y derechos conexos, y la ley de propiedad industrial, así mismo protege los derechos humanos en el ámbito cibernético. Los delitos informáticos según nuestra legislación penal se circunscriben a siete acciones antijurídicas punibles de acuerdo a los artículos 274 A B C D E F G. 1. Destrucción de registros informáticos 2. Alteración de programas. 3. Reproducción de instrucciones o programas de computación. 4. Registros prohibidos. 5. Manipulación de información. 6. Uso de información. 21 Valdez, Sandra. Julio, Lara. Aumenta acoso en redes sociales. (Guatemala: 2012), en página web Prensa Libre : accesible el

34 17 7. Programas destructivos. 22 El Dr. Javier Bustamante Donas en su artículo La Sociedad de la Información expresa que: Los nuevos medios reúnen las características de alcance, anonimato, interactividad y reproductibilidad. Dichas características crean la necesidad del desarrollo de una ética on-line que dé razón de los intercambios humanos que se producirán sin mediación de una presencia física, en el contexto del ciberespacio. Sin una pluralidad de fuentes no podríamos hablar con propiedad de libertad de pensamiento, conciencia o religión. Sin acceso a medios de alcance internacional no tiene sentido hablar de libertad de opinión y de difusión de las mismas sin limitación de fronteras. Sin el desarrollo de una nueva ética, no se podrá profundizar en los usos solidarios del poder que las nuevas tecnologías ponen en las manos de los individuos. Es por ello que debe de regularse la forma como se utiliza el internet en Guatemala, pues a diferencia de otros países en Guatemala existe una libertad sobre su uso, limitándose únicamente regular los derechos respecto a cualquier violación y penas para quien cometiera delitos contra los bienes jurídicos tutelados pero estos generalizan los hechos, y habiendo tanta libertad respecto a esto, como lo explica el doctor, no tiene sentido hablar de libertad si, nuestra propia normativa no puede limitar sus propias fronteras. En el 2009 nueve fue presentada una iniciativa de ley con el objeto de regular los delitos informáticos, por Francisco José Contreras Contreras, Mario Roderico Mazariegos de León y Félix Adolfo Ruano de León, al congreso 18 de Agosto del 2009 para conocimiento del pleno, y analizada para emitir dictamen por la comisión de Finanzas Públicas y Moneda, en la cual se le expone que es necesaria la regulación de delitos cometidos a través de sistemas que utilizan tecnologías de información, exponiendo que las adiciones hechas a código penal 22 Código Penal de Guatemala, (Decreto No Guatemala). del congreso de la república de

35 18 eran insuficientes y las mismas no se adaptan a la necesidad y realidad Guatemalteca, debido a la irrefutable variación que existe en el mundo de la tecnología y la informática. Dicha ley establece normas especiales tendientes a la regulación de los delitos informáticos, suficientes para prevenir, controlar y sancionar las conductas de ciber-crimen que no tiene límites fronterizos, ni normas que los limiten, pretendiendo limitar a los criminales y proteger de toda violación a los titulares de derechos o a aquellos que se ven afectados por los cibercriminales. La iniciativa conceptualiza lo que es delito informático, documento, pornografía infantil, sistema informático, tarjeta inteligente y tecnología de información, su ámbito de aplicación, los superpuestos en los que se está ante un acceso sin autorización, el daño que se puede provocar en el ámbito informático, espionaje. Una de las cosas que cabe resaltar es que dicha iniciativa planteaba crear una unidad de investigación especializada en los delitos informáticos, lo cual hubiera sido muy ventajoso para Guatemala, pues habría un ente encargado de velar por el cumplimiento estricto de la ley y encargado de la investigación del tema.

36 19 CAPÍTULO II DETECCIÓN DE DELITOS EMERGENTES EN INTERNET La detección de delitos emergentes en internet es esencial en la investigación para lograr la óptima resolución de casos, el avance de la tecnología también ha supuesto el surgimiento de nuevos delincuentes que cometen este tipo de delitos, siendo necesaria la identificación de los mismos y así tener un claro panorama del procedimiento adecuado para la investigación Confesión en el derecho informático La llamada reina de las pruebas, tiene importancia en el mundo informático, como por ejemplo en el derecho civil y administrativo en cualquiera de sus ramas. A través de declaraciones directas, se puede buscar que la parte a la que se destine la prueba declare sobre aspectos de funcionamiento o comportamiento de hardware o software. Se trae a memoria casos emblemáticos, donde a directivos de la empresa Microsoft se les citó para declarar, no solo sobre el alcance del funcionamiento de software, sino sobre puntos y aspectos informáticos de instalación de programas, para establecer si ha existido competencia desleal, monopolio y otros ilícitos de comercialización, cuya responsabilidad estuvo determinada en la obligación de instalar programas en computadoras, en su distribución o cadena de comercialización. 2.2 Prueba documental o instrumental La formada por los documentos que las partes tengan en su poder y que presenten en el juicio dentro del término procesal oportuno, o que, estando en poder de la parte contraria, se intime a ésta para su presentación cuando por otros elementos de juicio resulta verosímil su existencia y contenido.

37 20 Dentro del concepto de esta prueba figuran también los documentos que se hallaren en poder de tercero, el que podrá ser requerido para su presentación, sin perjuicio del derecho de éste a una negativa si el documento fuere de su exclusiva propiedad y la exhibición pudiere ocasionarle perjuicio 23 La protección de los derechos intelectuales, se logra mediante el registro ante los órganos correspondientes. Los algoritmos y secuencias de programación pueden ser protegidos con la respectiva documentación, que puede ser presentada posteriormente en juicio a efectos de ser valorada autónomamente o junto a otras pruebas, o para que sirvan de comparación o patrón para establecer si hubo violación que sirvan de comparación o patrón para establecer si hubo violaciones a las mismas pueden ser presentadas los certificados de patente. Para probar la infracción de derechos marcarios deberá probarse la titularidad de los mismos, y la prueba por excelencia en estos casos es la documental. Las clasificaciones internacionales de protección de marcas han aceptado categorías íntimamente relacionadas con las telecomunicaciones de marcas, pueden establecerse relaciones del titular de una marca con un dominio cuando se tiene mejor derecho. Las licencias de software que se venden al detalle y las licencias que se vende por lotes, van acompañadas de certificados en soporte de papel muchas veces con elementos de seguridad y hologramas que pueden ser tema de prueba u objeto de valoración. Documentos relacionados con transferencia tecnológica, franquicias y otros convenios de carácter comercial pueden tener implicaciones informáticas. Los contratos de desarrollo y mantenimiento o supervisión, así como el de almacenamiento de datos, pueden claramente ser promovidos y evacuados en juicio como documentos fundamentales de la demanda o como pruebas complementarias. 23 Diccionario de ciencias jurídicas políticas y sociales. Guillermo Cabanellas de las Cuevas, Buenos Aires, Heliasta, 1996, 23ª edición, pág 818.

38 21 En materia laboral, los contratos de trabajo pueden contener cláusulas de confidencialidad, de uso de computadores y equipos, a efectos de prevenir indebidas o malgasto de recursos informáticos, que pueden regular o establecer el marco del tema probandum en estos casos. 2.3 Prueba de exhibición de documentos Por cuanto es un medio probatorio derivado y dependiente de la prueba documental 24 es interesante plantearse la posibilidad de promover este tipo de pruebas para la exhibición de documentos informáticos. En este sentido, establece por ejemplo la ley de mensajes de datos de firmas electrónicas de Venezuela, en su art 4º 2, que la eficacia probatoria de los mensajes de datos que no son más que documentos electrónicos o digitales, es la misma que la ley le otorga a los documentos escritos. Igualmente establece esta ley que la información contenida en un mensaje de datos, reproducida en formato impreso, tendrá la misma eficacia probatoria atribuida en la ley que la información contenida en un mensaje de datos, reproducida en formato impreso, tendrá la misma eficacia probatoria atribuida en la ley a las copias o por reproducciones fotostáticas. Establece la norma rectora de la exhibición de documentos en el procedimiento civil venezolano, que la parte que promueve la prueba, deberá acompañar una copia del documento, o en su defecto la afirmación de los datos que conozca acerca del contenido del mismo. Lo antes expuesto genera bases para establecer que se puede pedir la exhibición de un mensaje de datos, basada en la promoción de este tipo de pruebas con la debida consignación de una copia o ejemplar impreso de mensaje de datos recibido. En el caso de que sea acordada esta exhibición, la parte a la cual le es requerida la exhibición debe presentar el texto del mensaje de datos enviados y debería acompañar un soporte electrónico del mismo. Cuando se envían, por ejemplo, mensajes de datos por correo electrónico, es posible que quede una 24 del Código. de Procesal. Civil. Venezolano:. Gaceta Nº Extraordinaria, año, 1982, Art. 436.

39 22 copia o ejemplar guardado en la carpeta de elementos enviados 25 y que el mismo pueda servir para presentar el documento electrónico correspondiente. 2.4 Prueba testifical o testimonial La que se obtiene mediante la declaración de testigos que pueden ser presenciales, si conocen personalmente el hecho sobre el cual recae la prueba, o referenciales cuando sólo lo conocen por lo que otras personas le has manifestado. Si bien las personas mayores de determinada edad tienen capacidad para testimoniar, hay algunas que quedan excluidas de la actuación en esa prueba, como los consanguíneos o afines el línea directa de las partes y el cónyuge. 26 Los hechos jurídicos informáticos pueden ser percibidos por personas y por ende pueden ser incorporados al proceso a través de testigos donde eminentemente la memoria es la protagonista. El usuario que sea llamado como testigo podrá declarar sobre los aspectos más diversos que sean de su conocimiento. Podrán ser convocados a declarar como testigos, los administradores de sitios web, redes y directores de empresas de tecnología de información, para que expongan sobre los sistemas, aplicaciones y datos de los que sean responsables. La prueba testifical puede ser muy útil en los casos en los que ya no sea posible dejar constancia de hechos informáticos, para el momento el juicio, toda vez que la informaron alojada en servidores y computadores puede ser desactivada o borrada. 2.5 Testigos calificados Visto lo amplio de las áreas de especialidad de la información e ingeniería de sistemas, debe tomarse en cuenta que los conocedores del funcionamiento o 25 Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, 26 Diccionario de ciencias jurídicas políticas y sociales. Guillermo Cabanellas de las Cuevas, Buenos Aires, Heliasta, 1996, 23ª edición, pág 819.

40 23 procedimiento de operación de lo que llamamos software pueden ser tantos como programas o software exista. Los diseñadores de una aplicación o programa, o bien especialistas, auditores y críticos de sistemas, pueden ser llamados a declarar sobre aspectos relacionados con productos informáticos. Los administradores y usuarios expertos de sistemas, también pueden entrar en esta categoría para declarar sobre el funcionamiento, comportamiento y fallas de programas. 2.6 Inspección judicial El juez podrá percibir con sus propios sentidos mensajes de datos, contenidos de páginas web, ver imágenes, percibir sonidos y observar todos los fenómenos multimedia para incorporarlos al expediente 27. El aspecto negativo de este medio es el que las partes que no estén interesadas en la prueba pueden procurar el cambiar los contenidos o bórralos, a efectos de que no queden incorporados por este medio en el proceso. En los casos en que se trate de utilizar la jurisdicción voluntaria, sabemos que puede estar supeditada a la ratificación de las inspección de este tipo dentro del proceso, momento para el cual pueden haber cambiado o desaparecido los documentos informáticos. Aunque los buscadores o motores de búsqueda guardan versiones de las páginas para poder indexarlas, existen varios sitios, lo cual puede ser un recurso alterno probatorio. Lo ideal es que la inspección se haga directamente sobre el sitio, pero en caso de que no sea posible se podrá captar cualquier tipo de información archivada en diversos tipos de servidores y se puede considerar captación de máquinas, con su hardware y el software instalado deben ser verificados por esta vía 28. Los jueces o funcionarios también pueden dejar constancia por este medio de la existencia de mensajes de datos en computador o computadores, tanto del emisor 27 Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, 28 Ibíd., Pág., 22.

41 24 como del destinatario y terceros a los que se haya copiado o reenviado el mensaje Prueba de informes En las normas procesales argentinas se entiende por prueba de informes aquella que consiste en solicitar a las oficinas públicas, escribanos con registro y entidades privadas, informaciones relativas a actos o hechos que resulten de la documentación, archivo o registros contables del informante. Dentro de ese mismo tipo de prueba se encuentra el requerimiento a las oficinas públicas para que remitan al juez requirente expedientes, autos, testimonios o certificados relacionados con el juicio. 30 Es una de las pruebas más importantes dentro del derecho informático, por cuanto la tendencia del desarrollo tecnológico va hacia la telecomunicación informática a distancia. Los hechos jurídicos informáticos se verifican muchas veces entre dos o más computadores, y por lo general en las telecomunicaciones informáticas intervienen diversas empresas y proveedores de servicios de internet, establecimientos comerciales de acceso público a internet, como los llamados ciber-fases, a los cuales puede estar destinada la prueba de informes. En este sentido se podrá pedir dicho tipo de pruebas a cualquier ente con personalidad jurídica que posea información actualizada o archivada de eventos informáticos. Los proveedores de servicio de alojamiento u hospedaje web, y de registro de dominios de internet, conocen datos importantes sobre la titularidad de dominio. La prueba puede promoverse para que se suministre información de cliente, usuarios, administradores relacionados con el sitio o sistema. Esta es una prueba 29 Zapata Marcó, Juan Carlos, el delito de estafa en la modalidad phishing a través de internet y sus medios probatorios en Venezuela,Universidad de Carabobo, Venezuela, 2009, pág Diccionario de ciencias jurídicas políticas y sociales. Guillermo Cabanellas de las Cuevas, Buenos Aires, Heliasta, 1996, 23ª edición, pág 818.

42 25 que servirá en muchos casos para la confirmación, ampliación o complemento de los resultados en materia pericial. En muchos casos, aunque la información de hechos informáticos, tales como propiedades de dominio de internet, se puede obtener directamente desde internet en varias oportunidades no se puede tener acceso al historial de registro de un sitio o dominio de internet, por lo que deben ser requeridos los datos correspondientes por esta vía de infames, para lo cual podría solicitarse la aplicación del término ultramarino para la evacuación de las mismas si se trata de empresas ubicadas en el extranjero Prueba pericial informática La computación avanzada por lo general no forma parte de los conocimientos privados del juez para poder valorarlos adecuadamente, por lo que es necesaria la promoción y evacuación de la llamada prueba pericial informática o experticia informática, siendo este auxilio de prueba el más idóneo cuando de hechos jurídicos informáticos se trata. Por prueba pericial se entiende que es la que se deduce del dictamen de un perito en la ciencia o en el arte sobre el que verse la pericia. Bien se comprende que esta posibilidad probatoria es ilimitada, puesto que los juicios civiles o criminales pueden afectar a una gran cantidad de ciencias o artes. Las más frecuentes son la peritación médica, la contable, la caligráfica, la balística, la ecopométrica, la dactiloscópica. 31 Las pericias informáticas pueden recaer sobre diversos aspectos de los hechos informáticos y prácticamente sobre cualquier tipo de programa, aplicación o software, servicio web, correos electrónicos, análisis de programación de bases de 31 Diccionario de ciencias jurídicas políticas y sociales. Guillermo Cabanellas de las Cuevas, Buenos Aires, Heliasta, 1996, 23ª edición, pág 819.

43 26 datos. Se pide a los expertos se pronuncien sobre aspectos que pueden estar relacionados con el origen o procedencia de mensajes de datos, estructura, contenidos y otros Experticias sobre mensajes de datos y correo electrónico Para este tipo de experticias muchas veces es necesario que se le dé acceso al perito al computador en el cual se ha recibido el mensaje de datos. Debe hacerse un análisis detallado de la meta data 33 o datos ocultos que guardan la información sobre el programa o aplicación utilizado para enviarlo, su versión 34 información sobre el proveedor de servicios de correo o agentes de mensajes de datos 35 es posible que alguna vez conocidos los datos ocultos del mensaje de datos sea necesario requerir al proveedor de servicios de internet (ISP) 36 los datos relacionados con esa dirección IP en una fecha y hora determinadas. Los expertos también pueden dirigirse a verificar la información en los computadores que han servido como canal para el envío de los mensajes, como los servidores de correo, a efectos de verificar las bitácoras o registros internos de estos computadores en los que queda registrada la actividad de los usuarios. Es bastante probable que se promuevan experticias del computador o computadores del presunto emisor, donde se puede tratar de ubicar el mensaje en los archivos de elementos o mensajes de datos enviados. En muchas oportunidades, la parte a la que no le interesa este tipo de prueba, puede realizar maniobras de cambio o eliminación de la evidencia digital, cambio de equipos, borrado de información puntual o formateo de discos duros, así como otro tipo de 32 Audrey, Bruno. Informática Jurídica en Venezuela. (Venezuela 2008), en página web Scribd : accesible el Donovan Felicia, Kristin, Bernier cyber crime fighters, Estados Unidos, Publishing, 2008, pág., Loc. Cit. 35 Loc. Cit. 36 Loc. Cit.

44 27 recursos dolosos (que pueden ser ilícitos) para evitar que se prueben hechos. 37 Los peritos deberán comunicar sus evaluaciones y resultados sobre la base de la información que encuentren. Uno de los primeros casos famosos relacionados con este tipo de experiencia sobre mensajes de datos fue el del escándalo de los Iran Contas en los Estados Unidos, donde el indicado era el militar norteamericano Oliver Northm quien había borrado mensajes de datos de su computador, pero la evidencia fue encontrada en los respaldos o backups alojados en los servidores destinados a este efecto Experticias sobre páginas web y sitios de internet Los elementos de información útiles desde el punto de vista probatorio en relación con páginas web son varios. Uno de los puntos fundamentales es el de los datos de identificación, la asignación de uso del dominio de internet, o el nombre de página web, el cual puede asignarse a personas naturales y/o jurídicas. Los datos de contacto de la administración técnica de un sitio web por lo general responden a nombres de personas naturales. 39 Este tipo de información puede ser obtenida con investigaciones en internet, porque se encuentra guardada en varios proveedores de servicios y es de acceso público, si se ratifica la información obtenida en varios tipos de servidores, puede ser considerada como evidencia suficiente para ser valorada en juicio. 40 Igualmente se puede requerir información sobre el historial y los cambios de datos y fechas en el registro de los dominios, lo que puede ser importante desde el punto de vista probatorio y de investigación. Las partes pueden recurrir en este sentido de forma complementaria a la prueba de informes. Se requerirá de intérpretes públicos para tramitar las solicitudes de informes a países en donde 37 Zapata Marcó, Juan Carlos, el delito de estafa en la modalidad phishing a través de internet y sus medios probatorios en Venezuela,, Venezuela, 2009, dirección de postgrado Especialización en derecho penal, Universidad de Carabobo pág Loc. Cit. 39 Loc. Cit. 40 Loc. Cit.

45 28 otros idiomas sean los oficiales. El experto debe investigar previamente con qué proveedor de servicios se ha registrado el dominio de internet, para que sea a este a quien se le solicite la información, con la desventaja de que gran cantidad de proveedores se encuentran diseminados por todo el mundo. Para su control, inclusive, estos pueden ser sometidos a pruebas con otras aplicaciones informáticas que ayuden a los expertos a comparar y ubicar, por ejemplo, códigos fuente copiados u otro tipo de elementos informáticos Experticias sobre archivos, imágenes y documentos, creadas en programas informáticos La mayor parte de los programas o aplicaciones informáticos guardan los trabajos o los resultados generados por los usuarios en los llamados archivos. Estos archivos, dependiendo del programa, pueden tener nombres de hasta 256 caracteres, extensión esta que seguramente será mayor en el futuro. A los archivos de programa se les agregan las llamadas extensiones a efectos de ser diferenciados de otros archivos creados en otros programas. Por ejemplo, desde hace muchos años la extensión de archivos doc está reservada a todos los documentos producidos en el procesador de palabras Word de la empresa Microsoft. Aunque otros programas pueden trabajar en este formato o editar archivos de este tipo, lo importante que debemos mencionar es que la mayoría de este tipo, lo importante que debemos mencionar es que la mayoría de los programas guardan información adicional del computador y por ende del usuario (meta data) Información sobre instalaciones de licencias, nombres de usuarios, registrados en el sistema operativo Un Sistema Operativo (SO) es el software básico de una computadora que provee una interfaz entre el resto de programas del ordenador, los dispositivos hardware y 41 Loc. Cit.

46 29 el usuario. 42 El sistema operativo es el software que por lo general es instalado por el usuario o por un técnico designado por este (si no viene preinstalado) inclusive. Los equipos nuevos de marca, al arrancar por primera vez, es cuando instalan el sistema operativo, a efectos de realizar lo que se llama proceso de personalización del software. A la hora de comenzar la instalación le es requerido al usuario nombres y apellidos. En los casos en que el titular de la licencia sea una persona jurídica se deben llenar estos datos. Es requerido en la actualidad que el instalador introduzca su identificación de licencia de software y las llamadas llaves de instalación que vienen impresas con la certificación de licencias originales en equipos nuevos. En casos de instalación ilegal de software, se introducen claves obtenidas ilícitamente, pero por lo general el usuario coloca sus datos verdaderos y siglas de nombre, lo cual puede ser utilizado como indicio o prueba durante la valoración de las pruebas como indicios. 43 El sistema operativo tiene varios archivos que registran toda esta información y la preservan, por lo que uno de los elementos de la investigación y pruebas informáticas debe ser la identificación de los datos registrados por los usuarios en la instalación o personalización. Todo ello resulta de suma importancia, ya que los programas que se instalan posteriormente al sistema operativo (procesadores de palabras, hojas de cálculo, software de presentaciones, diseño, gráficos y otros) pueden extraer esta información personal para registrarla e incorporarla, total o parcialmente, sin que lo sepa el usuario, en cada uno de los archivos creados o modificados en los programas correspondientes, pudiéndose realizar experticias para la determinación del origen o procedencia de este tipo de archivos. 44 En este tipo de archivos estos datos entran en la categoría de los metadatos ya mencionados. 42 Datos recogidos en página web accesible el Loc. Cit. 44 Loc. Cit.

47 30 Los metadatos generados por los programas y aplicaciones dentro de los archivos, contienen información sobre la fecha y hora de creación, modificación, edición, usuarios que han intervenido en el proceso, si el archivo ha ido impreso en muchos tipos de software y datos del tipo de equipo donde ha sido impreso. Otro de los datos importantes que pueden guardar los archivos, es la ruta o dirección del sistema donde ha sido creado. Cuando en un sistema se registran un nombre de usuario, en el caso específico de los sistemas Windows, esos crean carpetas personalizadas para guardar informan con el nombre del usuario, en el caso específico de los sistemas Windows, estos crean carpetas personalizadas para guardar información con el nombre del usuario. 45 En muchos procesadores de palabras se graban internamente, sin que el usuario lo sepa las direcciones donde se encontraba el archivo, pudiendo por ejemplo, una ruta de almacenamiento como la siguiente; c:/documents and settings/raymond/my documents, en donde Raymond significa por normas internas del sistema operativo, que la computadora tiene un usuario registrado con ese nombre y que puede constituir un indicio del origen, autoría o visualización de datos. Cuando las imágenes son copiadas desde internet para ser incorporadas a archivos tales como los de procesadores de palabras o presentaciones, si bien los programas bajan la información gráfica, son capaces también de guardar los vínculos del sitio de donde fueron tomadas, incorporándolas de una manera interesante desde el punto de vista probatorio, que puede ser susceptible de experiencia a efectos de probar la violación de derechos intelectuales de sus titulares. 45 Louise I. Gerdes, Cyber Crime, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág. 289.

48 Auditoria informática La auditoría informática es una especialidad de las ciencias de la computación que consiste en la evaluación de programas y proyectos informáticos, en sus fases de planificación, desarrollo, implementación y producción. Muchas denuncias de fraudes en contratación de servicios de desarrollo de software deben ser evaluadas con criterio y conocimientos específicos de programación, a efectos de que se determine el grado de desarrollo y la calidad del producto objeto de evaluación 46. La auditoría informática se constituye en la explotación de la operatividad y de pruebas contra fallos del software que se está evaluando. Puede consistir en la exploración de la operatividad del mismo. Las auditorias informáticas de seguridad, pueden ayudar a establecer si un programa o sistema, tiene la fiabilidad que se había ofrecido si los servicios que se prestan son los realmente estipulados en los contratos o bien si cumple solo con lo que se ha previsto para ellos, o hacen operación a espaldas de los usuarios Reconstrucción de hechos informáticos Desde el punto de vista procesal, la reconstrucción de los hechos es un tipo de medio probatorio en el que debe participar el juez o bien designar peritos para que la ejecuten 47. A través de la pericia informática de reconstrucción pueden verificarse o desvirtuarse todo tipo de alegatos relacionados con hechos informáticos, o establecerse la posibilidad de que un hecho informático haya ocurrido o no. 46 Hernández Celis, la prueba en el lavado de activos, ( Perú, 2013) en página web, gestiopolis accesible del Louise I. Gerdes, Cyber crime,, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág. 230.

49 32 Es materia también de este tipo de pruebas, los ensayos sobre comportamiento de software, equipos, servicios de internet y otros. Para la reconstrucción de los hechos informáticos, debe procurarse trabajar con el mismo tipo de software y hardware, conexión a redes y emular el ambiente informático en que presuntamente ocurrieron para verificar, por ejemplo, el grado de daños que puede sufrir un ordenador al ser infectado de un virus conocido, para establecer sus consecuencias en un sistema, así como los grados de responsabilidad o tipos de delitos cometidos, bien el alcance de los daños producidos y la internacionalidad quien lo escribe o utiliza Prueba libre Cuando las normas de derecho procesal de cada país no se adecúen exactamente a los casos o ejemplos que hemos mencionado, se puede recurrir a la promoción y evacuación de pruebas informáticas, amparadas en la prueba libre 48 prevista también en ordenamientos procesales de diversas naciones a través de los cuales y por aplicación analógica, pueden saltarse los obstáculos en los casos en que las pruebas necesitadas no entren en los supuestos de procedencia de los medios probatorios convencionales de una manera exacta Experimentación Este análisis puede ser importante para muchos tipos de hechos informáticos. Por ejemplo, para probar la existencia de cuentas de correo electrónico sin que se pueda tener acceso a los servidores o computadores, pueden enviarse correos electrónicos de prueba con este fin, a los cuales se les puede incluir la solicitud de confirmación de envío por parte del servidor de correo del receptor. Puede igualmente procurarse el acceso a un sistema de comercio electrónico, para conocer su funcionamiento, mensajes de inscripción, respuestas automáticas, al igual que puede experimentarse la navegación para establecer el comportamiento 48 del Código. de Procesal. Civil. Venezolano:. Gaceta Nº Extraordinaria, año, 1982, Art. 335.

50 33 de páginas, la generación de galletas o cookies 49 en sitios web, e igualmente para determinar la ubicación y publicación de términos o condiciones de uso de un portal 50, para establecer el grado de visibilidad y el comportamiento de políticas administrativas de acceso a recursos informáticos, como carpetas, o dispositivos de almacenamiento. En referencia al hardware se puede poner a prueba por esta vía los componentes de computadores para evaluar su comportamiento, calidad y durabilidad. Una de las tareas informáticas que puede ser aplicada por vía del experimento, es la del descifrado de claves. Es posible que deba ser objeto de prueba un archivo que haya sido cifrado y cuyo contenido tenga importancia para el caso. Bajo autorización judicial los expertos pueden aplicar algoritmos informáticomatemáticos y programas, para tratar de descifrar el contenido de estos Reconstrucción informática de hechos jurídicos no informáticos Se refiere a la aplicación de la tecnología informática en las pruebas de hechos no informáticos, aparte, de las pruebas que pueden ser consideradas como informáticas propiamente. Leibovich, sostenía que el abogado debe ir al lugar de los hechos para plantear una efectiva defensa. 51 Los avances informáticos dieron un gran salto con la aparición de la llamada realidad virtual. Esta tecnología busca reproducir ambientes que pueden ser explorados de manera inversiva. El espectador puede desplazarse dentro de la escena para aumentar la sensación de realidad y hacer recorridos por lugares y ambientes con una amplitud visual de hasta 360 grados, pudiéndose controlar igualmente las condiciones de iluminación conforme a nuestra ubicación global, 49 Loc, Cit 50 Loc, Cit. 51 Datos recogidos en la página de Laboratorio Grafotécnico Orta Poleo, Reconstrucción informática de hechos, cion-informatica-de-hechos&catid=1:grafotecnica&itemid=37, accesible el

51 34 día mes y año, con variables de visibilidad según las condiciones climatológicas. Muchos programas dirigidos al diseño industrial, ingeniería y arquitectura, han impulsado a la representación digital de mapas, proyectos, obras o diseños que pueden ser incorporados para fácil compresión en el proceso. Con el desarrollo de la biometría y el análisis forense se incorporan nuevos tipos de pruebas que pueden ser promovidas en juicio. La animación informática no tiene límites, por lo que no cabe duda de que pueden ser incorporadas este tipo de reconstrucciones digitales como pruebas para sostener las hipótesis de las partes, para que los administradores de justicia puedan formase una mejor opinión de los hechos sobre la base de estos nuevos recursos. 52 La reconstrucción virtual es ideal para casos de accidentes fatales y en aquellos donde resultaría costosa y riesgosa una reconstrucción real. La veracidad de las reconstrucciones dependerá de la veracidad de sus fuentes en el proceso y de un minucioso control y es posible que las reproducciones no sean fehacientes, y por ello el control de este tipo de pruebas debe ser activo y diligente. La reconstrucción virtual permitirá en muchos casos la confirmación de versiones de las partes y servirá para el descubrimiento de falsos argumentos gracias al montaje digital de escenarios, objetos, acciones y personajes que sean objeto de la reconstrucción. Ahora que es posible ir más allá de la percepción del sitio de los hechos y recrear virtualmente los mismos, se debe ampliar nuestras costumbres probatorias en defensa de los derechos de las partes utilizando este tipo de medios tecnológicos ahora al servicio de la justicia. Si una imagen vale más que mil palabras, una animación virtual puede valer más que un millón Hernández Celis, Domingo, Auditoria Forense, (Perú; 2012), en página web, gestiopolis accesible del Loc, Cit,.

52 Archivos digitales de hechos jurídicos informáticos Este tema se relaciona con los problemas probatorios de autenticidad de todo tipo de archivos generado por aparatos digitales, como cámaras fotográficas, de video, audio, entre otros. Por ejemplo, que en un procedimiento policial se han grabado determinadas conversaciones telefónicas, ciertos videos, o se han tomado fotografías con aparatos que utilicen medios de almacenamiento digital. Desde el punto de vista jurídico se sabe que la legitimidad de cualquier medio probatorio de este tipo, se sustenta en la legalidad, procedencia y conducencia, para lo que deben verificarse los supuestos de ley. Una de las primeas defensas que presenta comúnmente contra la evidencia digital de cualquier naturaleza, está relacionada con la fidelidad y veracidad de los archivos capturados por los funcionarios policiales y las partes sosteniéndose en muchos casos que la evidencia ha sido forjada, manipulada o alterada. Uno de los casos típicos de análisis de esta naturaleza se relaciona con la determinación del origen o procedencia de los archivos digitales, para que se establezca si en un equipo determinado fue donde se capturó y grabó un archivo digital. A pesar de que la tendencia del mercado es la de estandarizar los tipos de formatos de los equipos digitales, es importante señalar que los fabricantes incorporan datos a los archivos capturados (meta data), que permiten identificar hasta cierto punto el tipo de equipo donde se generaron. En este sentido cada fabricante puede agregar datos invisibles a los usuarios que sirven para identificar sus archivos, lo cual puede dar lugar a una experticia. Todos estos archivos guardan además los meta datos típicos, tales como la hora de producción. Muchas cámaras fotográficas y de video digital pueden configurarse además para que incorporen en los elementos perceptibles como las imágenes, datos como fecha, hora y otras leyendas que pueden ser consideradas como indicios.

53 36 Existen programas y herramientas técnicas destinadas a proteger los archivos digitales capturados por equipos electrónicos para que no puedan ser objeto de manipulación posterior a la fase de captura, pero la verificación de la meta data en muchos casos puede ser suficiente para establecer un forjamiento, alteración o modificación de archivos digitales. Es importante aclarar que todo lo expuesto, se refiere a la verificación de origen o procedencia de los archivos digitales utilizando solo el equipo y la data objeto de cuestionamiento ya que desde el punto de vista de los hechos, deben pronunciarse los especialistas correspondientes en audio, video, e imágenes, debiendo ser los propios peritos en acústica forense respecto de la fidelidad y veracidad de la reproducción del audio contenido en el archivo digital, con el objeto de certificar si el archivo desde el punto de vista del audio que contiene fue objeto de edición aditiva, sucesiva o modificativa, tomando en cuenta esta técnica de análisis, y lo mismo deberá suceder con los análisis de video y fotografía. Las fotografías digitales pueden ser objeto de modificación o edición, por lo que también pueden realizarse análisis sobre las imágenes en formato digital a efectos de establecer sus características de certeza y fidelidad respecto del mundo material, para detectar las llamadas fotocomposiciones collages digitales, sobre lo cual podrán pronunciarse adicionalmente expertos en fotografía o grafotecnia, dependiendo del caso. Existen programas destinados al análisis de imágenes para establecer el tipo de cámara que fue utilizada sin emplear como por ejemplo el factor de distorsión del lente. Para los procedimientos de confirmación y reconfirmación de la evidencia digital los funcionarios y peritos deberán preservar la imagen digital original o el duplicado exacto digital, sin modificarlos, y documentar los procedimientos de mejoramiento y optimización para que puedan se constatados en caso de que se ponga en duda la evidencia digital.

54 Pruebas de valoración y justiprecios El software tiene costos de desarrollo y valor intrínseco derivado de la implementación de ideas y de las horas hombre necesarias para desarrollarlo. Los derechos de autor sobre software pueden ser susceptibles de valoración. El desarrollo de bases de datos y todo tipo de algoritmos de programación son susceptibles de ser valorados también. Después de establecer el grado de desarrollo de una aplicación informática se puede fijar su valor y el del trabajo pendiente a efectuar. Esto es importante, por ejemplo, en los casos de demandas por incumplimiento de contratos de desarrollo de software y en las que lo son por daños y perjuicios relacionados con este tema Nombre de dominio En términos generales un nombre de dominio es la dirección en la red que posee una página web determinada, por ejemplo ( Este debe ser único; por tanto como las huellas digitales no pueden existir dos iguales. 54 Los nombres de dominio de internet, funcionan dentro de un esquema análogo al del arrendamiento o alquiler, por cuanto se debe pagar para poder utilizar y se tiene preferencia o existe una presunción de derecho sobre el mismo, cuando se ha registrado de primero como usuario, pero esto puede ser debatido ante autoridades como la ICANN para los criterios de valoración de dominios web, se consideran vario parámetros, entre ellos la cantidad de sitios web llamados (dominio.com), se puede hacer búsquedas de la palabra dominio en los principales buscadores, y dependiendo de la cantidad de páginas web que contengan esa palabra, tendrá mayor o menor valor, toda vez que significa que el término es utilizado en una determinada proporción del lenguaje o de los usuarios de internet, pero por otra parte y en contraposición existen otros parámetros que afectan el valor intrínseco del nombre como marca, por cuanto desde el punto de vista 54 Datos recogidos en página de venta, reparación y configuración de computadoras accesible el

55 38 publicitario se sostiene que los nombres demasiado comunes, como automóvil.com, vehiculo.com, u otros similares, sin originalidad, y tienden a ser no aceptados tan ampliamente. Desde el punto de vista del valor agregado del sitio o su contenido activo, debe tenerse en cuenta cuantos otros sitios enlazan el que debe tenerse en cuenta cuantos otros sitios enlazan el que debe ser evaluado, por cuanto a mayor cantidad de enlaces existan hacia este, mas privilegiada será su posición en los buscadores y por ende tendrá más valor en este sentido el orden de aparición en los motores de búsqueda de un sitio conforme a determinadas palabras relacionadas con la marca será un factor importante a la hora de la valoración del sitio como tal. En la evaluación de equipos estamos en presencia de uno de los tipos de bienes que sufren una depreciación acelerada; se trata de uno de los mercados que se mueve más rápidamente en el lanzamiento de nuevos productos, porque en cuestión de meses un equipo que era tope de línea deja de serlo, y aunque su durabilidad es notable, pierde valor rápidamente. El avance del software y principalmente el de los sistemas operativos, hacen que cada día se deba incrementar la potencia de los procesadores, precisándose un aumento de la cantidad de memoria física en los computadores. Las licencias de uso de software también se deprecian rápidamente, en cuanto salen nuevas versiones, y prácticamente dejan de tener valor una vez que el fabricante retira el soporte técnico de estos productos.

56 Valoración en los daños informáticos El daño causado a computadores y sistemas es susceptible de ser apreciado para determinar los daños y perjuicios que hayan tenido lugar por acciones u omisiones relacionadas con el derecho informático la producción y difusión de un virus intencionalmente en una red puede causar gastos impresionantes en perdida de datos, equipos y horas hombre, en el diagnóstico, reparación, reinstalación, configuración y puesta en marcha de sistemas Indicios en el derecho informático Todos los hechos que indirectamente orientan al juez hacia la convicción de que un hecho jurídico informático se ha producido, o bien acerca de la manera en que ha tenido lugar, podrán ser evaluados bajo las normas de valoración de la sana crítica 55 aunque no se puede probar directamente su existencia. En muchas ocasiones se presentarán solo indicios de hechos informáticos, dada la posibilidad de que varíen o desaparezcan las pruebas digitales. La conducta procesal de las partes también podrá constituirse en un indicio en su contra, si se designan peritos para la práctica de una experiencia de un computador o una red, o bien sobre servidores, y si se impide o bloquea el acceso a los equipos, se cambia o borra la información contenida en los mismos, ello podría constituirse en un indicio de la prexistencia de documentos electrónicos. Un conjunto de indicios de hechos jurídicos informáticos podría ser valorado conforme a la sana crítica, a efectos de establecer la convicción sobre un punto de hecho con sus consecuencias jurídicas respectivas. 55 del Código. de Procesal. Civil. Venezolano:. Gaceta Nº Extraordinaria, año, 1982,. Art. 510.

57 Aspectos técnico jurídicos de los hechos informáticos Identificación de un computador Del mismo modo en que se han establecido mecanismos de seguridad para el reconocimiento de vehículos, algo analógico se puede hacer con los computadores y sus componentes. Aparte de los seriales externos presentes en las cajas de los computadores de marca, muchos de los componentes internos tienen seriales individuales y pueden ser de marcas distintas a las que aparecen en la parte exterior del computador. Los discos duros, memorias volátiles o RAM, tarjetas de sonido, de red, unidades de disco flexible, CD ROM o DVD, también tienen seriales. Aun cuando dos computadores sean de la misma marca y del mismo modelo, pueden ser diferenciados físicamente desde el punto de vista probatorio. 56 La identificación del disco duro es esencial para la validez de cualquier medio probatorio relacionado con experticias o inspecciones directas de equipos, toda vez que la identificación de la evidencia desde el punto físico, es esencial para la cadena de custodia e igualmente para cumplir con los requisitos de identificación de los objetos sobre los cuales se realiza una pericia en la mayor parte de los códigos de procedimientos civiles. 57 Existen además componentes que aunque sean iguales externamente poseen individualidad interna. A partir de la salida al mercado de los procesadores Intel, Pentium III, se generó un revuelo respecto de la privacidad de las personas, por cuando se notificó al público que se les había incorporado un serial electrónico que podía ser rastreado. 56 Raymond J. Orta Martínez, (Venezuela: 2013), en página web Informática Forense accesible el Loc. Cit.

58 41 Posteriormente se dio la posibilidad a los usuarios de desactivar este serial, pero no la tendencia a la incorporación de actividades informáticas. Este es el caso de las tarjetas de red que se utilizan para lograr conexión entre computadoras; por convenciones internacionales, estas tarjetas de red poseen un serial electrónico único a nivel mundial. Se trata de un serial que guarda datos de fábrica, como modelo y marca de este componente. Al tener el computador acceso a internet este dato puede ser conectado a efectos de grabar datos de actividad. Este serial es llamado dirección MAC Adicionalmente si estos computadores están conectados a una red, los mismos deben diferenciarse con nombres de usuario individuales conectados a la misma. Los periféricos, tales como monitores, ratones, impresoras y accesorios multimedia, deben ser igualmente identificados físicamente. Desde el punto de vista del software, existe manera de individualizar los programas instalados en una máquina, los cuales distinguirán a un equipo de una manera tan importante como los seriales de hardware. Cada es que se instala el sistema operativo y los programas adicionales, se inscribe en diversas partes una especie de serial electrónico o identificación, que muchas veces se incorpora automáticamente en la instalación, o bien se agrega cuando se requiere del usuario la colocación de clase o llaves de instalación. En este paso también puede solicitarse al instalador que ingrese datos personales, las letras de sus iniciales, o si correspondiere el nombre de la empresa. En los casos de instalación de software ilegal o pirateado, se pueden encontrar en varias máquinas datos de software duplicados lo cual puede constituirse como indicio en este tipo de hechos. Hasta los programas gratuitos como navegadores registran datos que pueden ser utilizados desde el punto de vista probatorio. En los sistemas como Windows de Microsoft desde hace muchas erosiones se han incorporado archivos, como el llamado registry, que guarda información de instalación o inclusive de desinstalación, quedando almacenada sin que lo sepa el usuario, lo cual resulta muy importante desde el punto de vista probatorio.

59 Individualización de archivos (hash) Cuando se trata de archivos, como los musicales, los problemas probatorios pueden ser diversos. En principio, los formatos de archivos comprimidos de audio conocidos como mp3 deben provenir de medios o copias legalmente obtenidas para no violar los derechos de autor. Aunque existan socios que tengan un mismo contenido de audio, los mismos pueden tener un origen o procedencia distintos. Las fórmulas o algoritmos de compresión pueden ser diferentes, dependiendo del programa utilizado para abrirlo, o bien de la versión del mismo programa, produciéndose una calidad similar pero no idéntica desde el punto de vista probatorio. Por lo antes expuesto, de una misma versión de una pista musical de un cd legal pueden existir cientos de archivos con características técnicas diferentes. En los Estados Unidos de Norteamérica se han venido produciendo sentencias condenatorias por transferencias ilegales de archivos musicales y de video, al encontrarse en diversas máquinas de usuarios archivos idénticos a los hallados en servidores y servicios de transferencia de este tipo de archivo Identificación de un disco compacto estampado El proceso de identificación desde el punto de vista técnico se denomina hash, y consiste en un procedimiento de corroboración de que un archivo no ha cambiado, un algoritmo o secuencia de confirmación popular ha sido en llamado MD5, un ejemplo de esto es el algoritmo MD5, que es un algoritmo criptográfico de reducción, diseñado por Ronald Riest en Este algoritmo se utiliza igualmente para la colección de evidencia digital, en la cual los peritos deben certificar la identidad de la data del medio magnético original con la de la data presente en el medio magnético o copia realizada para hacer análisis forense.

60 43 Los peritos realizan estudios regidos bajo los principios sicométricos, para los procesos de moldeado, sellado, estampado y de huellas de las herramientas utilizadas, con el propósito de identificar minucias o ciertas características que permitan identificar la maquina estampadora del cd. 58 Al momento de dar inicio con el estudio, se puede ver que el disco compacto contiene un cuerpo principal, una capa metalizada de aluminio y una capa de laca. El diámetro de su cuerpo es de 12 cm y pesa aproximadamente 14 gramos. Se deben practicar ensayos y mediciones sobre la cara que se denomina espejo, pues a través de ella son susceptibles de análisis los niveles externos e internos del cuerpo transparente del disco Identificación de medios magnéticos Las investigaciones penales y las pruebas civiles, están y estarán relacionadas con los medios de almacenamiento en los que se guarda la información. Discos duros, discos flexibles, memorias intercambiables, de equipos de audio, fotografías video, así como todo tipo de unidades de almacenamiento externo tienen grabados o impresos seriales identificativos y hasta los discos compactos y dvd llevan impresos seriales en la parte interna que puede no solo servir para resguardar la cadena de custodia y los derechos de los investigados, sino que contactando al fabricante o distribuidor, pueden establecerse datos probatorios interesantes, tales como fecha de producción, distribución y otros de interés para informática forense. 60 para los fines de identificación no sólo se consideran las características congénitas, sino también aquellas que se han adquirido por las partes y piezas, producto de rayas y abolladuras, y las que por su ubicación, tamaño, forma y 58 Criminalística Actual, ley, ciencia y arte. Tlalnepantla, Estado de México. Ediciones Euroméxico, S.A. de C.V. Edición Pág Ibíd., pág Raymond J. Orta Martínez, Op. Cit.

61 44 dirección conforman una serie de minucias que son útiles para la identificación del equipo de moldeado utilizado para su producción. Para el cotejo se utiliza el microscopio de comparación Ibíd., pág. 455.

62 45 CAPÍTULO III PRINCIPIOS DE IDENTIFICACIÓN DE LAS ACTIVIDADES EN INTERNET Todo usuario que tiene acceso a internet necesita de servicios llamados proveedores de servicios de internet, que dan acceso a particulares a la llamada súper autopista de la información; los usuarios son identificados con este tema. Cada vez que un usuario del servicio se conecta a internet, comienza lo que desde el punto de vista informático se denomina una sesión de acceso. 62 Las sesiones de acceso son controladas por los servidores del proveedor de servicios, que registran en bitácoras (logs), datos esenciales para la investigación de los hechos informáticos. Cuando la conexión a internet se hace vía telefónica (dial Up), el servidor correspondiente del ISP registra el número de teléfono desde el cual se está haciendo la conexión, lo que sirve a su vez para ubicar la sede física o lugar desde el cual se realizó el acceso para navegación, envío de mensajes de datos, etc. Los computadores relacionados con hechos informáticos también poseen la información y configuración de acceso a los proveedores, para que se pueda establecer contacto entre proveedor y los usuarios, lo cual puede constatarse preferiblemente por vía de inspección La dirección IP Cada vez que se comienza una sección de acceso a internet, se asigna al usuario un número de identificación único a nivel mundial, denominado dirección IP, los proveedores de servicios de internet poseen un gran rango de números de identificación disponibles, que son asignados a los usuarios durante las diversas sesiones de acceso. 64 La dirección IP asignada al usuario es guardada también en las bitácoras de los servidores del proveedor y es capturada por la mayoría de 62 Zapata Marcó, Juan Carlos, el delito de estafa en la modalidad phishing a través de internet y sus medios probatorios en Venezuela,, Venezuela, 2009, dirección de postgrado Especialización en derecho penal, Universidad de Carabobo pág Loc. Cit. 64 Loc. Cit.

63 46 los programas de telecomunicación informática, tales como programas o aplicaciones Web de correo electrónico servidores de internet navegadores. 65 De lo antes expuesto podemos deducir que al enviarse y recibirse los mensajes de datos, la dirección IP del emisor puede ser extraída de estos mensajes. Existen proveedores de servicios de internet, que asignan direcciones IP fijas a sus usuarios. Es común que estos casos sean los de servicios de televisión por acceso combinados de televisión por cable. El servicio de acceso a internet por banda ancha (ADSL), por sus características técnicas, hace posible que un mismo usuario emplee o detecte una sola dirección IP, por días o meses, lo que hace posible una identificación rápida de los usuarios. Las direcciones IP en estos casos pueden variar en un mismo día. 3.2 Mensajes de datos Un mensaje de datos es toda información inteligible en formato electrónico similar que pueda ser almacenada o intercambiada por cualquier medio 66. La característica principal del mensaje de datos es la posibilidad de intercambio de información. Dentro de este concepto legal amplio entrarían las páginas web, toda vez que el propietario, administrador y muchas veces los usuarios de páginas web, pueden publicar información subiéndola al servidor web, una vez que se encuentra la información en el servidor y que por ende la misma es pública, terceros pueden acceder a ella, con lo que se configuraría el intercambio. 3.3 El correo electrónico Es uno de los medios de intercambio de información más comunes donde existen aplicaciones o programas que sirven para redactar y leer mensajes de datos que 65 Louise I. Gerdes, Cyber crime. Estados Unidos, San Mateo California. Greenhaven Press Pág Ley sobre mensajes de datos y firmas electrónicas (Decreto 1.024, Legislación Nacional de Venezuela.) 10 de Febrero de 2001.

64 47 se generan por un usuario llamado emisor para ser recibidos por una o más personas usuarias de cuentas de correo llamados receptores o destinatarios. Los mensajes de datos de este tipo pueden ser enviados a una o más personas. Cuando se trata de aplicaciones o programas, después de ser escritos, se envían a través de los llamados agentes de trasmisión de correo, que son programas ubicados en servidores que sirven como oficinas postales, dirigiendo los mensajes de datos a otros agentes de trasmisión de correo o a su destinatario final 67. Los mensajes de datos vía correo también pueden ser generados por programas que se activan desde los navegadores web, tales como el explorer, netscape y otros. Los sitios como hotmail.com permiten que en un computador se genere un mensaje de datos tipo correo electrónico, se envíe a otra cuenta de este mismo tipo que posteriormente puede ser visto por otro usuario en un mismo computador. 3.4 Autoría del mensaje de correo electrónico El envío de un mensaje de correo electrónico por técnicas universalmente aceptadas implica la captura de la dirección IP del usuario que lo envía, la hora en que se realiza el envío, y la hora en que el mensaje pasa por los agentes de transferencia de los mensajes de datos, estos últimos juegan un papel fundamental probatorio, por cuanto van agregando datos de horas de envío y recepción a las llamadas cabeceras de los mensajes de datos, que podemos comparar imaginaria y analógicamente con los sellos que van colocando las oficinas de correo postal a los sobres que procesan. 3.5 Pruebas de mensajes de datos de tipo de correo electrónico Pruebas de origen de destino, identidades del emisor y receptor, existencia de una cuenta de correo determinada, para establecer si una cuenta de correo existe o si 67 Louise I. Gerdes, Cyber crime. Estados Unidos, San Mateo California. Greenhaven Press Pág. 175.

65 48 la misma ha sido falsificada o inventada, se dispone de la posibilidad de dirigirse al administrador servidor o de la empresa encargada del mismo a efectos de que se suministren los datos del usuario; si no se tiene acceso directo a ella, se pueden realizar pruebas de experticia o de experimentos, en los cuales se pueden enviar mensajes de prueba y establecer el comportamiento del sistema para determinar si son retornados o no para demostrar la actividad o vigencia de una cuenta de correo determinada, lo que se puede indicar o se indica de la posibilidad de emisión de un mensaje de datos. El hecho de que un mensaje de prueba rebote de una cuenta no significa que la cuenta no ha existido, las cuentas de correo electrónico pueden ser creadas y borradas por los administradores de los servidores de correo, es por ello que pueden obtener pruebas dentro del servidor como ejecutor de este tipo de comandos. También puede haber indiciarias que indiquen la existencia de direcciones de correo determinadas y la relación con sus presuntos autores. La configuración del programa de correo hace que cuando se configura un programa para el uso de una cuenta de correo, se coloque el nombre de usuario lo cual constituirá un indicio de la titularidad de la cuenta. El nombre de usuario de la cuenta puede ser también otro indicio de hecho, al igual que la coincidencia de iniciales o de sílabas que formen parte del nombre y apellido de una persona, o bien la combinación de números. En un caso donde no se impugne o desconozca un mensaje de datos debe tenerse como acepta la existencia de la cuenta del emisor. 68 Cuando se investiga una cuenta de correo relacionada presuntamente con un dominio o nombre web tipo pueden realizarse estudios periciales a efectos de establecer si efectivamente ese dominio está apuntando a un servidor con servicios de correo activos. 69 La tecnología permite que exista nombres de dominio activos que apunten o dirijan el navegador a un servidor sin 68 Ibíd. Pág Loc. Cit.

66 49 que necesariamente se tenga activado el servicio de correo en el mismo. Esto es posible gracias a que los propietarios de dominio pueden utilizar servicios de re direccionamiento, que hacen por ejemplo que cualquier correo electrónico enviado a una dirección propia y determinada se reenvíe automáticamente a otra cuenta de correo, funcionando de modo similar a un servicio telefónico de transferencia de llamadas. Existe gran cantidad de variables desde el punto de vista técnico que deben ser verificados por expertos o peritos a efectos de que se establezca el origen o procedencia de los mensajes de datos, su emisor y destinatario Titularidad de la cuenta de correo electrónico gratuito La información sobre la titularidad de una cuenta de correo electrónico en servidores gratuitos, como por ejemplo hotmail.com, es resguardada por políticas de privacidad. Las leyes de algunos países regulan el control y resguardo de este tipo de información, por lo que el acceso a la misma deberá principalmente realizarse por requerimiento judicial. Uno de los problemas típicos de este tipo de cuentas es el anonimato que buscan muchos usuarios, suministrando datos falsos en las plantillas de inscripción y registro de estos servicios. A todo evento debemos mencionar que lo más seguro es que la mayoría de los servicios resguarden otros datos, como la dirección IP del usuario al momento del registro, lo que puede generar indicios y elementos de prueba susceptibles de ser utilizados en juicio. 3.7 Correo electrónico privado En los casos de cuentas de correo de servidores privados, se puede requerir información al administrador o al propietario del sitio web. La dirección y los datos 70 Romero, Luis. Las pruebas en el derecho informático. (julio 2008), en página web Bolgspot : accesible el

67 50 del administrador de un sitio web pueden ser obtenidas vía inspección ocular, con asistencia de un práctico, toda vez que al realizarse el registro de un dominio indispensable que se coloque los datos del propietario, administradores y responsables, lo cual es por lo general de acceso público a través de diversas páginas web. 71 Adicionalmente pueden practicarse experticias e inspecciones en computadores que sean sospechosos de haber dado origen a los mensajes de datos, o como aquellos en que fueron recibidos, en donde se puede revisar su configuración para determinar si en los programas destinados a la redacción y lectura se encuentran datos relacionados con las cuentas de correo involucradas en un caso. La configuración de equipos para la conexión a internet y el uso de cuentas de correo pueden ser elementos importantes para el establecimiento del uso de cuentas de correo así como del envío y recepción de mensajes de datos. 3.8 Chat o conversación en línea El término chat proviene de la palabra conversar. Una de las características de las conversaciones es que se llevan a cabo en tiempo real o de forma síncrona. La más popular es la conversación en línea por textos, en los cuales una persona digita en pantalla frente al computador lo que quiere comunicar y envía el texto digitado al destinatario, que puede responder coetáneamente. En estas sesiones de chat pueden participar dos o más personas, y para ello es necesario que se conecten a un servidor, común que asimilando al servicio telefónico sería como una especie de central telefónica que se encargaría de entrelazar a estos usuarios. 72 En este mismo sentido analógico, los usuarios en vez de tener números de teléfono tienen nombres de usuarios o logins, por lo general conocidos por los 71 Ibíd. Pág Datos recogidos de la página de definiciones accesible el

68 51 amigos para que le puedan contactar muchos servicios como el messenger de microsoft requieren del uso de una cuenta de correo creada en el sitio hotmail.com. Existen algunos servicios llamados salones de chat, en los que se pueden entrar a hablar de un tópico precisamente establecido y se puede ingresar sin registro previo o sin conocer a los otros interlocutores. Las conversaciones de los usuarios de estos servicios en algunos casos pueden quedar guardadas en los computadores empleados para ello, los que al igual que los servidores de chat, conservan la información de los datos técnicos de conexión de los usuarios, todo lo cual puede ser importante desde el punto de vista probatorio. En los Estados Unidos de Norteamérica existen ciber-patrulleros que se encargan de entrar anónimamente a salones de chat a efectos de verificar las conductas de sus usuarios, para investigar no solo crímenes informáticos, sino delitos no informáticos. Se encuentran ya disponibles otro tipo de comunicaciones síncronas como las de conversaciones de audio y de video entre dos o más personas, las que también pueden ser objeto de prueba. Se encuentra en pleno auge la telefonía vía internet, llamada tecnología de oz sobre IP, para realizar las comunicaciones como las conocemos telefónicas, pero por canales informáticos. 3.9 Grupos de noticias Son un tipo de servicios de comunicación asíncrona, es decir que no se producen en tiempo real. 73 Los usuarios colocan en servidores públicos los mensajes destinados a una audiencia por lo general relacionada con un tema específico. Los servidores de noticias registran la información enviada por sus usuarios además de los datos técnicos que puedan servir para rastrear el origen de este tipo de mensajes de datos. 73 Louise I. Cyber Crime, Estados Unidos San Mateo California, Greenhaven Press, Pág. 182.

69 Listas de correo Son otro tipo de servicios tecnológico que se encargan de distribuir mensajes entre los usuario inscritos en las mismas 74. El sistema se encarga de distribuir los mensajes enviados por el emisor a todos los miembros de la lista. Estos sistemas, por lo general están configurados para almacenar todos los mensajes enviados, por lo que el sistema se convierte en un verdadero depósito de pruebas de mensajes informáticos Pizarrones, carteleras, boletines de noticias, blogs Son servicios web a lo que se tiene acceso vía navegador, en donde se pueden enviar directamente mensajes públicos, que por lo general se organizan por tópico y por orden cronológico. 75 Estos servicios requieren que los usuarios se registren previamente con su dirección de correo electrónico o datos personales, por lo que pueden ser solicitados a los administradores, por medio de informes o la prueba testifical, para que aclaren información o datos de quienes publiquen en este tipo de servicios. La mayoría de los programas web o servicios de este tipo registran las direcciones IP asignadas en el momento de publicación, haciendo posible el rastreo de la autoría por esta vía Derecho de privacidad y las pruebas informáticas Uno de los puntos típicos de las oposiciones a la promoción de pruebas informáticas es lo relacionado con la privacidad de particulares y personas jurídicas. Los computadores de escritorio son verdaderos depósitos de información personal. Los servidores de las empresas pueden guardar datos y secretos de 74 Ibíd. Pág Loc. Cit.

70 53 comercialización e infinidad de datos de muchos clientes que pueden no estar relacionados con un caso en el que se ha promovido cualquier tipo de prueba informática. En la legislación norteamericana y en la venezolana, el abuso por exceso del ejercicio de autorizaciones de uso de sistemas informáticos constituye un delito específico, el cual puede ser aplicado también a los peritos en informática forense que se excedan en sus funciones de acceso autorizado Pruebas sobre mensajes de datos con firmas electrónicas La llamada tecnología de firma electrónica funciona principalmente con mensajes de correo electrónico de usuarios, inscritos previamente en el sistema de firmas digitales. Este sistema actúa de manera análoga a una notoria, por cuanto el usuario que pretende enviar un mensaje de datos con su firma digital, lo confecciona y se conecta con el proveedor de servicios de firmas digitales para que se verifique que el emisor que pretende enviar el mensaje es el autorizado para utilizar el sistema, lo cual se puede autenticar con claves u otras aplicaciones de seguridad y para verificar el contenido del mensaje para que no pueda ser alterado. En países como Venezuela, la utilización de este sistema de firmas digitales, da equivalencia probatoria de este tipo de documentos firmados digitalmente a la de los documentos privados, la información enviada por el signatario a través de este sistema permite atribuirle su autoría. Desde el punto de vista probatorio la prueba de la firma digital y de autoría de documentos electrónicos enviados a través de certificadores de firma digital puede ser directamente a través de la prueba de informes, en la que se puede requerir del proveedor para que mande por vía de informe al tribunal u órgano de

71 54 investigación de la certificación del envío del mensaje de datos, así como la fecha u otras características registradas con este servicio Redes sociales Las redes sociales son estructuras sociales compuestas de grupos de personas, las cuales están conectadas por uno o varios tipos de relaciones, tales como amistad, parentesco, intereses comunes o que comparten conocimientos, e ideas de libre expresión 76. La investigación multidisciplinar ha mostrado que las redes sociales operan en muchos niveles, desde las relaciones de parentesco hasta las relaciones de organizaciones a nivel estatal (se habla en este caso de redes políticas), desempeñando un papel crítico en la determinación de la agenda política y el grado en el cual los individuos o las organizaciones alcanzan sus objetivos o reciben influencias. El análisis de redes sociales estudia esta estructura social aplicando la teoría de grafos e identificando las entidades como nodos o vértices, y las relaciones como enlaces o aristas. La estructura del grafo resultante es a menudo muy compleja. En su forma más simple, una red social es un mapa de todos los lazos relevantes entre nodos; se habla en este caso de redes socio céntricas o completas. Otra opción es identificar la red que envuelve a una persona (en los diferentes contextos sociales en los que interactúa); en este caso se habla de red personal 77. La red social también puede ser utilizada para medir el capital social, es decir, el valor que un individuo obtiene de los recursos accesibles a través de su red social. 76 Datos recogidos en página web accesible el Loc. Cit.

72 55 Estos conceptos se muestran a menudo en un diagrama donde los nodos son puntos y los lazos, líneas. 78 También se suele referir a las redes sociales como las plataformas en Internet, las cuales tienen como fin o propósito hacer de la comunicación y temas sociales algo más fácil y accesible para la comunidad cibernética. 78 Loc. Cit.

73 56 CAPÍTULO IV INVESTIGACIÓN Y PERITAJE INFORMÁTICO La investigación en la informática forense ha ido evolucionando de manera que afectan factores externos, tal como el desarrollo de la tecnología, cuestiones sociales, y cuestiones legales. Cada vez más va en aumento el uso de estas tecnologías, en empresas, instituciones de comercio, de educación, en el hogar, etc.; así también ha ido en crecimiento el número de delitos que pueden cometerse por estos medios digitales, por lo que los métodos de investigación delictiva deben estar a la vanguardia de los avances tecnológicos para la investigación de estos. La complejidad de la informática forense radica principalmente en el tratamiento de las evidencias, desde su localización, captura, reconstrucción e interpretación a la preservación y conservación, siempre haciendo uso de la tecnología, el estado de la técnica más actual posible y del procedimiento más adecuado para cada caso. El investigador forense debe estar suficientemente capacitado para realizar eficientemente su labor en el campo tecnológico; lo que diferencia al forense informático del resto de forenses es la volatilidad de los métodos específicos a utilizar y de la multitud de plataformas, sistemas, lenguajes, dispositivos, técnicas y especializaciones. 4.1 Peritaje informático El Peritaje Informático se refiere a los estudios e investigaciones orientados a la obtención de una prueba o evidencia electrónica de aplicación en un asunto

74 57 judicial o extrajudicial para que sirva para decidir sobre la culpabilidad o inocencia de una de las partes Análisis forense informático Esto es básicamente, la actividad que realizan los peritos, técnicos, especializados en la actividad digital, con el fin de recopilar evidencias que le permitan obtener información sobre el responsable del delito informático que se investiga, siempre procurando firmemente no alterar las evidencias mientras se investigan, ya que se considera a este proceso de recolección delicado 80. Antes de profundizar en el tema del proceso de investigación de la informática forense, es necesario que se tenga un conocimiento base sobre las reglas de la evidencia. Es sumamente importante la presentación de pruebas en cualquier ámbito o proceso legal, pero cuando se trata de evidencia informática el reto es aún mayor. Es necesario para ello poseer conocimientos acerca de la materia, y un especial cuidado para preservar y no alterar el medio de prueba. Para que un medio pueda ser presentado como prueba del delito, este debe ser competente y relevante, con el fin de demostrar que una persona puede ser responsable de este. Son 5 los pasos que se consideran en el análisis informático forense: 1. Identificación del hecho 2. Identificación y recopilación de la evidencia 3. Preservación de la evidencia 79 Informático Peritaje, Evidencias Informáticas.(Bilbao, Bizcalla: 2012), en página web, Evidencias.Informaticas, Accesible, Loiuse I. Gerdes, Cyber Crimes, Estados Unidos San Mateo California, Greenhaven Press, Pág. 244.

75 58 4. Estudio y análisis de la evidencia 5. Documentación del hecho Plan de preparación y reunión del personal Se debe elaborar un plan preliminar antes de entrar a escena, así como enviar a investigadores apropiados al tipo de escena. En base al trabajo de investigación de Marjie T. Britz, para realizar un buen trabajo de investigación en la escena es necesario contar con equipos de trabajo en distintas funciones especiales Equipo en escena Así como en investigaciones tradicionales, el desenvolvimiento del personal y la asignación de responsabilidades, es fundamental para el éxito en cualquier investigación. Cuando se trata de investigaciones relacionadas con computadoras, cabe mencionar ciertos aspectos o categorías en el rol del investigador. Para Francisco Antón Barberá. perito es la persona que posee determinados conocimientos técnicos, y por tanto, especializados. El perito es experto en determinada materia, que coincide normalmente con un campo de actividad profesional, ya sea en cuestiones estrictamente científicas, artísticas o prácticas. De ahí que se le exija un determinado grado de capacidad Supervisor del caso El encargado de la escena debe tener la habilidad de asumir el control, la habilidad de dirigir y mantener comunicación y contacto con los distintos elementos que participan como técnico en escena, así como debe tener conocimientos de investigador y por supuesto de equipo tecnológico. Se debe 81 Loc. Cit. 82 Antón Berberá, Francisco, Política científica I, Universidad de Valencia, España, 1990, pág. 401.

76 59 verificar que el equipo a utilizar esté completo, y designar roles adecuados a cada investigador que mejor le corresponda según su especialidad o su capacidad Equipo de arresto Aunque los individuos involucrados en delitos informáticos se han descartado de ser violentos, cada uno de los equipos de ejecución debe estar preparado para el peor de los casos. Las características de este tipo de casos, nos pueden indicar un índice más bajo vigilancia, pero todas y cada una de las diligencias deben estar e ir debidamente preparados para situaciones de detención. Entre las responsabilidades de este equipo se debe incluir la detención de sospechosos y el transporte sucesivo a la custodia Seguridad de la escena Este equipo de trabajo, generalmente se compone por oficiales de policía, la responsabilidad principal de este equipo reside en la seguridad de la escena. Al igual que en las investigaciones criminales no informáticas, la habilidad para prevenir la contaminación en la escena puede ser considerada una prioridad. Es importante, por lo tanto, que los investigadores creen una barrera visible (cinta de acordonar) para evitar de esta manera la contaminación de la escena, destrucción o alteración de evidencia. El acordonamiento más que una barrera constituye una llamada de atención para las personas que advierte sobre la restricción para el acceso al lugar 83. Para la protección del lugar de los hechos, Helmut Koetzsche ha recomendado se cumpla con el siguiente procedimiento: 83 Criminalística Actual, ley, ciencia y arte. Tlalnepantla, Estado de México. Ediciones Euroméxico, S.A. de C.V. Edición Pág. 667.

77 60 Determinar el área total del lugar de los hechos en que se incluyan los accesos y los sitios en donde se podrían encontrar indicios. Aislar el área y buscar ayuda notificando a los superiores, a los peritos en investigación y unidades especializadas. Evitar traspasar el lugar de los hechos y alterar la escena. Excluir a todas las personas ajenas al lugar de los hechos, evitando por supuesto que entren a la escena y contaminen los indicios. Llevar un registro de los nombres, minucioso y ordenado cronológicamente de las personas, peritos, agentes de la policía e investigadores que entren a la escena y contaminen los indicios. Debe marcarse la zona en que no hay paso. El mando temporal debe establecerse en un lugar contiguo al lugar de los hechos. Debe lograrse que las unidades que respondan al llamado reporten al centro de comandancia y no al lugar de los hechos. Se debe elegir a un investigador familiarizado con el caso, preferentemente de alta jerarquía a fin de que coordine los trabajos en el centro de la comandancia. El primer oficial que haya arribado al lugar de los hechos debe permanecer en el sitio, no solo para su debido resguardo y protección, sino para informar de forma adecuada a la persona encargada de la investigación de los hechos. Evitar que los medios masivos de comunicación tengan acceso a la información pues en el momento del hallazgo únicamente se pueden tener datos aislados Equipo de interrogación y entrevista El número de personas a quienes se les asigna esta tarea puede variar según sea el caso, este equipo puede estar comprendido por miembros con experiencia en 84 Ibíd. Pág. 664.

78 61 obtención de información o bien los mismos agentes de la policía; son responsables de las entrevistas a los testigos y de interrogar a los sospechosos. Es esencial que quienes realizan esta labor posean habilidades excepcionales en comunicación; así como también que sea un equipo adecuadamente especializado en entrevista e interrogación de crímenes de computadora; de hecho, muchos de los creadores de pornografía infantil han confesado las actividades realizadas en el lugar de los hechos, enfrentados a la evidencia, mientras que otros voluntariamente ofrecen dar contraseñas y usuarios para evitar que su equipo tenga daños Equipo de fotografía Al igual que el equipo de entrevista e interrogación, se procede a asignar personal con experiencia en captura de imágenes de investigación, estos deben ser lo más meticulosos posible, ya que estas imágenes son usadas y citadas como material de evidencia, lo que de la escena se plasme y se documente será trasladado al juicio para reconstruir la misma. Entre las responsabilidades de este equipo está fotografiar cada uno de los espacios de la escena del crimen, detallar los indicios, y si fuere posible documentar con un video clip el trabajo realizado por los investigadores así como entrevistas a víctimas y testigos Registro material La responsabilidad primordial de este equipo es básicamente identificar y marcar cualquier material o indicio que posteriormente sirva como evidencia.

79 62 Indicio es todo elemento físico encontrado en el lugar de los hechos que, por sus características, indique que existe la probabilidad de que tenga alguna relación con la comisión del delito Recolección de indicios A diferencia de otras áreas de investigación, esta tarea debe ser asignada a personal capacitado y experimentado en investigación cibernética, la principal tarea de este equipo es el embalaje y etiquetado de evidencia, seguido por el desmantelamiento de la computadora, el etiquetado y registro de todas las pruebas pertinentes. Debido a la fragilidad, es esencial que los encargados del manejo de esta sean expertos en computadoras. La identificación se debe realizar mediante la asignación de un número que permitirá la individualización de cada indicio y que le distinguirá durante el proceso penal. Se describe cada evidencia por medio de sus características principales, y luego se debe proceder al levantamiento de acuerdo a lo que el experto considere conveniente para no alterar o dañar el indicio Reconocimiento de la evidencia digital Es necesario clarificar los conceptos y describir la terminología adecuada que colabore a señalar el rol que tiene un sistema informático dentro del camino del delito, a fin de encaminar correctamente el tipo de investigación, la obtención de indicios y posteriormente los elementos probatorios necesarios para sostener el caso. Por ejemplo, el procedimiento de una investigación por homicidio que tenga relación con evidencia digital será totalmente distinto al que, se utilice en un fraude informático, por tanto el rol que cumpla el sistema informático determinará dónde debe ser ubicada y como debe ser usada la evidencia. 85 Moreno González, Rafael, Manual de introducción a la Criminalística, 11ª ed., Editorial Porrúa, México, 2006, pág.22.

80 63 Ahora bien para este propósito se han creado categorías a fin de hacer una distinción entre el elemento material de un sistema informático o hardware (evidencia electrónica) y la información contenida en este (evidencia digital). Esta distinción es útil al momento de diseñar los procedimientos adecuados para tratar cada tipo de evidencia y crear un paralelo entre una escena física del crimen y una digital. En este contexto el hardware se refiere a todos los componentes físicos de un sistema informático, mientras que la información digital, se refiere a todos los datos, programas almacenados y mensajes de datos trasmitidos usando el sistema informático Reconstrucción de la escena del delito La reconstrucción del delito permite al investigador forense comprender todos los hechos relacionados con el cometimiento de una infracción, usando para ello las evidencias disponibles. Los indicios que son utilizados en la reproducción del delito permiten al investigador realizar tres formas de reconstrucción: 1. Reconstrucción relacional: se hace en base a indicios que muestran la correspondencia que tiene un objeto en la escena del delito y su relación con los otros objetos presentes. Se busca su interacción en conjunto o entre cada uno de ellos. 2. Reconstrucción funcional: se hace señalando la función de cada objeto dentro de la escena y la forma en que estos trabajan y como son usados. 3. Reconstrucción temporal: se hace con indicios que nos ubican en la línea temporal del cometimiento de la infracción y en relación con las evidencias encontradas Acurio Del Pino, Santiago, Manual de Manejo de Evidencias Digitales y Entornos Informáticos, Ecuador, Nacional de Tecnología de la Información, Louise I. Gerdes, Cyber Crime, Estados Unidos San Mateo California, Greenhaven Press, 2008, pág. 247.

81 Clases de equipos informáticos y electrónicos Algunas personas tienden a confundir los términos evidencia digital y evidencia electrónica, dichos términos pueden ser usados indistintamente como sinónimos, sin embargo es necesario distinguir entre aparatos electrónicos como los celulares, los asistentes personales digitales y la información digital que estos contengan; esto es indispensable ya que el foco de la investigación siempre será la evidencia digital aunque en algunos casos también serán los aparatos electrónicos. A fin de que los investigadores forenses tengan una idea de dónde buscar evidencia digital, éstos deben identificar las fuentes más comunes de evidencia, situación que brindará al investigador el método más adecuando para su posterior recolección y preservación. Las fuentes de evidencia digital pueden ser clasificadas en tres grande grupos: Sistemas de computación abiertos: son aquellos que están compuestos de las llamadas computadoras personales y todos sus periféricos como teclados, ratones y monitores, las computadoras portátiles, y los servidores. Actualmente estas computadoras tienen la capacidad de guardar gran cantidad de información dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia digital. Sistemas de comunicación: estos están compuestos por las redes de telecomunicaciones, la comunicación inalámbrica y el Internet, son también una gran fuente de información y de evidencia digital. Sistemas convergentes de computación: son los que están formados por los teléfonos celulares llamados inteligentes o smartphones, los asistentes

82 65 personales digitales, las tarjetas inteligentes y cualquier otro aparato electrónico que posea convergencia digital y que puede contener evidencia digital. 88 Dada la ubicuidad de la evidencia digital es raro el delito que no esté asociado a un mensaje de datos guardado y trasmitido por medios informáticos. Un investigador entrenado puede usar el contenido de ese mensaje de datos para descubrir la conducta de un infractor, puede también hacer un perfil de su actuación, de sus actividades individuales y relacionarlas con sus víctimas Ibíd. Pág Acurio Del Pino, Santiago. Op.cit., Pág. 16.

83 66 CAPÍTULO V INVESTIGACIÓN DE DELITOS EMERGENTES EN INTERNET Con el crecimiento del número de delitos informáticos la mayoría de países han incluido en su legislación, normas para tratar este tipo de delitos. También, se ha vuelto prioritario que las agencias de seguridad del estado o grupos de atención de estos incidentes, tengan como prioridad la utilización de una metodología adecuada y herramientas jurídicas robustas para el proceso de investigación y posterior condena de un delito informático Procedimiento de la investigación en la informática forense Son aplicaciones de una técnica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado un dispositivo digital. 91 Existen dos aspectos de estas técnicas: a. Que ha hecho la gente en su computador, esto incluye: La recuperación de archivos eliminados Des-encriptación elemental Búsqueda de cierto tipo de archivos Búsqueda de ciertas fases Observación de aéreas interesantes del computador b. Que ha hecho un usuario remoto en la computadora de alguien más. Esto incluye: Leer archivos de registros Reconstruir acciones 90 Datos recogidos en página web Informaticos, accesible el Datos recogidos en página de documentos google i=1 accesible el

84 67 Rastrear el origen La recuperación de archivos eliminados Cuando se vacía la papelera de reciclaje de windows no quiere decir que el archivo esté eliminado completamente, simplemente se le está diciendo al sistema operativo que el espacio está disponible nuevamente para que se vuelva a escribir sobre él. Por eso, cuando se guardan más archivos, o al hacer otras cosas en el ordenador, este espacio se vuelve a llenar. Esto quiere decir que se tiene una ventana limitada de tiempo para recuperar un archivo: preferentemente de forma inmediata después de hacerlo. Cuantas más actividades se lleven a cabo después de borrar el archivo, más se estará ocupando ese espacio que se indicó a Windows que estaba disponible pero que en realidad está ocupado por el fantasma del archivo borrado. Por lo tanto, lo primero que se debe hacer es dejar de hacer lo que se está haciendo y poner manos a la obra para recuperar el archivo. Ahora bien, para esto conviene tener un software especial instalado. A continuación se presenta una selección de los cinco mejores que se pueden descargar de forma gratuita Pandora recovery Aunque la caja de Pandora supuestamente dejó sueltas a todas las desgracias del mundo, esta pequeña aplicación gratuita puede ser de mucha utilidad. Tiene un uso muy intuitivo, y aunque su interfaz deja mucho que desear, no es un concurso de belleza. Pandora recovery permite mirar todos los archivos que se han borrado recientemente, que todavía se pueden recuperar, además de poder salvar también archivos cifrados y comprimidos. 92 Loc. Cit. 93 Cómo recuperar archivos borrados en windows (México: 2012), en página web Bitelia, Accesible el

85 Recuva Con un funcionamiento muy similar al de Pandora pero con una interfaz mucho más cuidada y accesible para los usuarios menos duchos en el tema de recuperar archivos o meterse con el funcionamiento de Windows, Recuva es una herramienta completamente gratuita que también permite hacer un escaneo del equipo para seleccionar los archivos que se quieren recuperar. Es una de las más usadas actualmente, y altamente recomendada Undelete plus Esta pequeña joyita es importante porque tiene una funcionalidad más que interesante: Photo SmartScan, que permite recuperar las fotografías que se han borrado por accidente. Por ende, Undelete Plus es mucho más específica que las anteriores aplicaciones mencionadas, pero igualmente efectiva. Además, tiene un funcionamiento muy rápido lo que permite solucionar un problema de pérdida de archivos sin tener que dedicarle demasiado tiempo del día. Finalmente, una de sus funcionalidades más apetitosas es que permite recuperar archivos no solamente del disco duro, sino también de un pendrive o de una tarjeta de memoria de una cámara Restoration Esta herramienta también permite recuperar los archivos de fotografías borradas accidentalmente de una tarjeta de memoria, así como también escanear el rígido para recuperar los archivos borrados desde la papelera de reciclaje. Pero también ofrece, para los más cautelosos que quieren realmente asegurarse que un archivo está perdido para siempre, borrar sin dejar rastro esos archivos que ya no están

86 69 en la papelera pero que realmente se quiere que desaparezcan de la faz de la vida virtual Tokiwa data recovery Se trata de una aplicación muy pequeña y útil porque es completamente portable, esto quiere decir que se puede llevar en el pendrive para solucionar este tipo de problemas donde quiera que se encuentre. Es, como pandora, un programa muy básico con una interfaz que también deja mucho que desear, pero se puede complementar con otra de estas aplicaciones dada su cualidad portable Des-encriptación elemental Existen dos tipos de sistemas de criptografía para el envío de mensaje codificado. Los sistemas son cifrado simétrico y asimétrico Cifrado Simétrico Los algoritmos simétricos están basados en la utilización de una sola clave secreta donde preserva el secreto para cifrar y descrifrar el mensaje. Esa clave es compartida por dos usuarios para poder ver el mensaje cifrado. El emisor y el receptor utilizan el mismo algoritmo. El emisor envía un mensaje cifrado al receptor con un algoritmo basado en cifrado simétrico, el receptor descifra la clave mediante el uso de la clave secreta con la que el emisor cifro el mensaje. Existen diversos algoritmos que han ido imponiéndose en su utilización. Se hará mención de los tres algoritmos más utilizados hoy en día como DES, AES e IDEA. 94 Loc.Cit. 95 Datos recogidos en página de documentos google i=1 accesible el

87 DES DES es un tipo de algoritmo de encriptación de alto nivel de seguridad, eficiente y sencillo de entender que a lo largo de los años se ha ido imponiendo y es uno de los más utilizados. Este algoritmo cifra bloque de 64 bits y las claves secretas son de 64 bits. Utiliza una combinación de técnicas de cifrado como combinación y transposición que sirven para tratar de eliminar el mayor número de redundancia que existe en el mensaje a cifrar Datos recogidos en página de documentos google i=1 accesible el Loc. Cit.

88 71 El algoritmo está basado en una serie de pasos: Permutación Inicial: Se permutan los bits del bloque de mensaje en claro dividiéndolo en dos bloques de 32 bits cada uno. Se realiza una función f en cada fase, el algoritmo DES consta de 16 fases. Este tipo de función consiste en una permutación de expansión de uno de los bloques de 32 bits del anterior paso en uno de 48 bits. La clave sufre un desplazamiento de sus bits dividiéndolo en dos partes. Esas dos partes de la clave se combinan de nuevo con una permutación de compresión, el resultado de la compresión se mezcla con la salida de la permutación de expansión mediante XOR. Tras el resultado de la operación XOR se realiza una sustitución con cajas S, en DES hay 8 cajas. En las cajas S entran entradas de 6 bits y salidas de 4 bits. Una vez realizada la sustitución S sufre otra permutación P que le entran 32 bits y salen 32 bits permutados. Se realiza otra XOR con el otro bloque de 32 bits del principio. La clave secreta por cada fase sufre un desplazamiento y será utilizada para la posterior fase del algoritmo. Permutación inversa: tras la salida de la función el algoritmo realiza una permutación inversa a la permutación Inicial obteniendo el mensaje cifrado. 98 A la hora de descifrar el mensaje realiza exactamente los mismos pasos, la única diferencia es que utiliza la clave invertida. 99 El inconveniente de este algoritmo es que realiza claves muy cortas con lo cual puede llegar a ser más fáciles a la hora de romper el algoritmo. Diffie y Hellman demostraron que se podría romper este algoritmo con una máquina de computación paralela averiguando la clave en un día. Hellman dijo que si tuviéramos uno de los mensajes cifrados por DES si elegimos un mensaje m, lo 98 Loc. Cit. 99 Datos recogidos en página revista enciclopédica n accesible el

89 72 ciframos con todas las claves y almacenamos los mensajes cifrados y se compara con el mensaje cifrado anteriormente se rompería el sistema. Cuantas menos fases tenga el algoritmo más fácil de romperse. Surgieron de este algoritmo diferentes variantes AES AES surgió como estándar en la criptografía simétrica de bloques en EEUU. Este algoritmo surgió inicialmente con tres versiones con bloques y claves de 128, 192 y 256 bits. El algoritmo es muy rápido. AES utiliza: Sustitución de primer byte y añadir la clave secreta y sustitución a nivel de octetos. Se realiza un ciclo de operaciones n veces realizando diversos mecanismos como desplazamiento de filas, seguidamente se procede a la mezcla de columnas y añadir de nuevo la clave. 100 Loc. Cit.

90 73 Finalmente se proceda a una nueva sustitución de octetos, desplazamiento de filas y añadir la clave secreta desplazada. Para descifrarlo se realiza en el orden inverso IDEA Algoritmo creado en 1990 por X. Lai y J. Massey. Cuando surgió el análisis diferencial con el que se podría romper muchos algoritmos de encriptación, los 101 Loc. Cit.

91 74 propios autores modificaron el algoritmo para que fuese más resistente. Anteriormente se le llamaba PES (Proposed Encryption Standard) y tras la modificación se llamó IDEA (Iternatinal Data Encryption Algorithm). Está basado en algoritmos teóricos complejos y actualmente es el más fuerte para algoritmos con bloques. No está claro su futuro debido a que está el algoritmo DES fuertemente instaurado. Utiliza bloques de 64 como entrada y claves de 128 bits. El algoritmo dispone de 8 fases. 102 El boque inicial de 64 bits se divide en 4 bloques. Se produce operación de multiplicación de dos de los bloques subdivididos por diferentes sub-claves y se suma los otros dos bloques con otras sub-claves. En los diferentes resultados se opera con XOR para mezclar la suma y multiplicación, se multiplica el resultado por la 5 sub-clave y se suma el resultado de las dos XOR, finalmente se multiplica la salida anterior por una sexta sub-clave y se vuelve a sumar los resultados de la suma y multiplicación. Finalmente se realiza cuatros XOR distintos para mezclar los resultados. 103 La salida será los cuatro bloques que tras las 8 fases se procederán a juntarse para tener el mensaje cifrado. 102 Loc. Cit. 103 Loc. Cit.

92 75 El proceso de descifrado es exactamente igual exceptuando las sub-claves. La velocidad de IDEA es el doble que la de DES. El método de la fuerza bruta no es aplicable para este algoritmo. Este algoritmo es el más resistente en ataque Cifrado asimétrico Existe para cada usuario dos tipos de clave. Una es clave pública y la otra privada. Existen procesos distintos a la hora de cifrar y descifrar. La clave pública sirve para cifrar y la privada para descifrar. El proceso de cifrar no implica saber el descifrar pero al contrario sí. El secreto reside en la clave privada. Cualquier usuario con la clave pública puede cifrar pero solo con la clave privada se puede descifrar. Estos tipos de algoritmo son lentos y se pueden romper fácilmente si se tiene un texto en claro que se halla descifrado. Es resistente a ataques de fuerza bruta. Este tipo de algoritmos usan también para la autenticación con firma digital. 105 Existen distintos algoritmos como son RSA, el Gamal, Diffie y Hellman para claves y ESIGN RSA Es el algoritmo más popular y más fácil de entender ya que fue entre otras uno de los primeros y está bien instaurado desde Hasta ahora no se ha sido roto y fue creado por Ron Rivest, Adi Shamir y Leonard Adleman. Es un sistema muy seguro debido a que utiliza números primos muy grandes en la factorización. 104 Loc. Cit. 105 Datos recogidos en página web n accesible el

93 76 Se toma dos números primos muy grandes, se multiplican y se escoge la clave cifrada e donde el mcd de e y los dos números primos es 1. Se utiliza el algoritmo de Euclide para obtener la clave privada d. Con e se cifra y con d se descifra y para descifrar al revés. 106 Como seguridad reside en la utilización de números primos muy grandes y los ataques hacia este algoritmo se basan en protocolos y no en fuerza bruta El Gamal Fue creado por T. El Gamal en Para este tipo de algoritmo se elige un número primo muy grande y dos números aleatorios menores. Se calcula y que resulta del módulo de uno de los dos números aleatorios elevado al otro y el número primo. Esto serían las claves públicas y la cave privada sería uno de los números aleatorios. Para realizar la firma se realiza el algoritmo de extensión de euclide y para verificarla se iguala con una expresión. 107 Con este algoritmo se puede realizar también la encriptación eligiendo un número aleatorio y realizando el algoritmo extendido de Euler. Su seguridad reside en la utilización de logaritmos discretos en un campo finito Diffie y Hellman Desarrollaron para poder realizar el intercambio de claves entre varios usuarios. Fue creado en Se basa al igual que El Gamal en logaritmos discretos en un campo finito. 106 Loc. Cit. 107 Loc. Cit. 108 Loc. Cit.

94 77 Dos usuarios acuerdan dos números primos grandes. Se comunican unos usuarios con otros y mediante logaritmos discretos se calculan las claves. Es un algoritmo muy utilizado para el intercambio de claves públicas y muy seguro DSA Digital Signature Algorithm es un estándar propuesto por Nist. Ha recibido duras críticas ya que muchas empresas apostaron por RSA y veían como trataba de imponerse. Es una variante de El Gamal y utiliza una función hash. La implementación de este algoritmo permite firmar 512bits en 0,20 segundos. Se puede acelerar con cálculos previos puesto que ciertas partes del algoritmo no necesitan el mensaje. El algoritmo no es lo suficientemente seguro al utilizar 512 bits. Debe tener un generador de claves ya que si detectan más de un mensaje con la misma clave puede ser analizado. La utilización de un módulo común puede facilitar la atarea del analista ESIGN Es un esquema de firma digital de la NTT Japonesa y es tan seguro como RSA y DSA e incluso más rápido. La clave privada está formada por dos números grandes y primos. Se calcula con el cuadrado de uno de los números primos multiplicado con el otro número primo. Se realiza una función hash y tras realizar una formula le envía al otro usuario el resultado para verificar la firma. Algunas versiones con valores fueron analizados muy fácilmente Loc. Cit.

95 Leer archivos de registros Ejemplo: Para leer un archivo de registro de instalación de SQL server: Abra el Explorador de Windows y desplácese a: %ProgramFiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG Abra el archivo Summary.txt. Busque en él los mensajes de error. Si no encuentra información en el archivo Summary.txt que le indique los errores, abra el archivo SQLSetup[xxxx].cab en el mismo directorio raíz. Si este archivo.cab no existe, abra el archivo de registro CORE desde: %ProgramFiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Files Busque el registro core modificado más recientemente: SQLSetup[xxxx]_[nombreDeEquipo]_Core.log. Si durante la instalación aparece un error en la interfaz de usuario, busque este registro: SQLSetup[xxxx][s]_[nombreDeEquipo]_WI.log. Al analizar un archivo de registro SQLSetup_[xxxx], busque el archivo 'UE 3'. Se trata del nombre corto de 'Return Value 3'. Si un componente produce errores durante el cuadro de diálogo de progreso de la instalación, abra el archivo de registro SQLSetup[xxxx]_[nombreDeEquipo]_SQL.log, y realice la búsqueda de 'UE 3' para encontrar errores Reconstrucción de acciones Para llevar a cabo esta acción se considera el uso del programa indesign, protege los datos de errores imprevistos del sistema o suministro con la función de recuperación automática, se revisa la papelera de reciclaje y en caso de que 110 Datos recogidos en página web Microsoft SQL Server (España, 2005). accesible el

96 79 archivos hayan sido eliminados de esta, es posible recuperarlos por medio de cualquiera de los software detallados anteriormente Rastreo de origen Rastreo de origen de correos electrónicos Suele suceder en un correo electrónico que el creador de este es capaz de cambiar los campos de remitente y destinatario como desee, para lo cual se recomienda seguir los siguientes pasos para llegar al origen: Conéctate a tu cuenta de correo electrónico y abre el correo que deseas rastrear. Luego, selecciona la flecha hacia abajo a la derecha del botón para responder. Elige la opción que dice "Mostrar original". En algunos programas de correo electrónico necesitarás buscar la opción Ver fuente. Busca el texto que haga referencia adonde se originó el correo electrónico. Desplázate al final de la lista. Selecciona la dirección de correo electrónico que aparece justo al final de la lista. Este es el origen del correo electrónico. Busca el correo electrónico por el número de identificación del mensaje. Cada correo electrónico tiene un número de identificación escrito en él debajo de la información de la dirección. Se verá como esto: Mensaje-ID:. Este número es un número de rastreo que consta de la dirección IP del remitente original. Las direcciones IP también pueden encontrarse en el encabezado del correo electrónico. Una vez que tengas la dirección IP, puedes buscarla en un sitio tal 111 Datos recogidos en página web 6d15a.html accesible el

97 80 como myfree search.com, que te proporcionará la información del creador Rastreo de ip de un sitio web Abre la Consola de comando. En una Mac, se llama Terminal y se encuentra en la carpeta de Utilidades. En una PC, haz clic en Inicio > Todos los Programas > Accesorios > Comando rápido. Esto nos permitirá hacer ping a cualquier sitio web para averiguar la dirección IP de ese sitio web. 113 Ping una dirección. Esto manda una señal a un URL, como un radar, de ahí el nombre, la cual regresa con la información del sitio web y cuánto tiempo tomó el viaje de regreso. Escribe ping[url], por ejemplo: ping Datos recogidos en página web accesible el Datos recogidos en página web accesible el Loc. Cit.

98 81 Presiona Regresar. La dirección IP debe aparecer al lado del nombre del sitio web, seguido de cuántos milisegundos o segundos le tomó regresar. El formato de una dirección IP es numérico, escrito en 4 series de dígitos separadas por puntos. Para Facebook, la dirección IP es Principios forenses Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son: Evitar la contaminación Actuar metódicamente Controlar la cadena de evidencia, es decir conocer quien, cuando y donde ha manipulado la evidencia. Que hacer para una investigación forense Metodología Estudio preliminar 115 Loc. Cit. 116 Datos recogidos en página de documentos google i=1 accesible el

99 82 Adquisición de datos Análisis Presentación Estudio preliminar En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etc. Esta es la toma de contacto y de aquí saldrá, el camino a seguir para llegar a una solución satisfactoria del caso Adquisición de datos En esta fase obtenemos una copia exacta del disco duro, disquetes, memorias ram, en fin todo medio físico grabable que vayamos a tratar para poder trabajar con ellos en el laboratorio. En esta fase ha de estar presente un notario para dar fe de los actos realizados Análisis Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits Presentación Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos. Si este requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su

100 83 exposición ante el juez Evidencia digital El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, que haya sido realizado mediante soporte informático Técnicas forenses en una máquina individual Esta es probablemente la parte más común en las técnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicación con alguien más, o libretas de direcciones o evidencias de una naturaleza particular, como imágenes pornográficas en los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo de los archivos que ha tenido acceso, y más Técnicas forenses en una red Las técnicas forenses en una red se usan para saber donde se localiza un computador fue enviado desde un computador particular. Estas técnicas son muy complicadas, pero se puede investigar utilizando herramientas básicas: Registros de firewalls. (No dejan de entrar a nadie en nuestra computadora) Encabezados de correo. (Quien lo envió) Trazadores de red. Establecedores de IP

101 Post-mortem Se puede decir que un disco duro ha muerto cuando su parte mecánica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo. Cuando esto sucede no hay más que una solución posible, y esa es el análisis post-mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una cámara blanca. Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecánico para su correcta lectura de datos Reuniendo evidencia Una vez que el investigador conoce los aspectos básicos del ambiente informático en cuestión, se puede empezar la investigación. El primer paso es que la investigación tenga una base forense sólida, lo cual significa que los pasos de la investigación deben estar documentados y se deben poder repetir. El investigador también debe asegurar que se conserve cualquiera evidencia en su conducción original. Se debe reunir evidencia en tres áreas: En la terminal de trabajo del sospechoso del delito En la plataforma informática a la que ha tenido acceso el infractor, como la computadora principal o el servidor LAN. En la red que conecta a los dos Pasos a seguir en la escena Despejar el área asegurándose que nadie tenga acceso a la computadora o sus alrededores.

102 85 Si la computadora se encuentra apagada no se debe encender, podrían activarse dispositivos de autodestrucción. Si la computadora está encendida, fotografiar la pantalla. Fotografiar todas las conexiones de los equipos Fotografiar el lugar de todos los ángulos para su posterior reconstrucción. Deshabilitar la energía desde su fuente. Desconectar la impresora. Rotular todas las conexiones de todos los equipos para poder conservar la configuración original. Fotografiar el área cuando haya sido removido el gabinete. Investigar el área en busca de contraseñas u otra información relacionada. Incautar todos los libros, notas, manuales, memorias, discos, sistemas de almacenamiento, y todo lo relacionado con el sistema, colocar todo dispositivo de almacenamiento en material que no conduzca la estática (bolsas antiestáticas, papel), realizar un inventario de todo lo incautado. Interrogar a todos los que tenga relación con el sistema (información operacional). Al trasportar la evidencia no la coloque cerca de emisores electromagnéticos como radios. Realizar copias de seguridad de todos dispositivos de almacenamiento nunca trabaje en los originales. Se debe recordar que las computadoras son evidencia debe ser preservada en su estado original. Cuando la información es analizada, los datos de los archivos pueden cambiar, lo que puede ser relevante en un proceso judicial. También es importante recordar que las computadoras son evidencia, la evidencia debe ser preservada en su original. Cuando la información es analizada, los datos de los archivos pueden cambiar, lo que puede ser relevante en un proceso judicial Loc.Cit.

103 86 CAPÍTULO VI PRESENTACIÓN DE RESULTADOS Y DISCUSIÓN 6.1 Presentación, análisis y discusión de resultados Al transcurrir la investigación y los temas examinados, en este capítulo el objetivo es llegar a una conclusión y realizar un análisis y discusión de los resultados obtenidos durante la realización del presente trabajo. Esto con el objeto de determinar si la pregunta inicial de dicha investigación fue respondida y si los objetivos fueron alcanzados. Para ello es necesario realizar nuevamente la pregunta que inicio todo Está Guatemala capacitada para la investigación de delitos emergentes en internet, o bien cómo lograr su detección y control? Estas interrogantes son las que se han procurado resolver durante la realización de la presente tesis, analizando nuestra legislación, la situación actual y las conductas atípicas que afectan a nuestra sociedad. Los delitos informáticos se presentan en todo tipo de sociedades del mundo y Guatemala no es un país ajeno a dichas situaciones, pero lastimosamente se encuentra a la deriva en lo que respecta a la adaptación de sus leyes a la nueva era tecnológica, permaneciendo de esta forma ajeno a lo todo aquello que es necesario para la regulación y aplicación eficaz del mismo, si bien el país de Guatemala posee normas que buscan proteger a la sociedad, estas dejan de lado la tecnología y se olvidan del hecho de que el mundo es de cambio constante y el ordenamiento jurídico de los países debe adaptarse a ello. El ordenamiento jurídico necesita adecuarse o actualizarse a términos como internet, software, mail o correos electrónicos, downloads o descargas, uploads o subidas, pues son hechos que se presentan de forma constante en nuestro país y

104 87 que necesitan ser reguladas de alguna forma, no necesariamente restrictiva pero sí limitativa, pues existen muchos otros delitos que se pueden tipificar, y que las leyes de nuestro país tiene la necesidad de adaptarse y redactar de acuerdo a las nuevas tendencias, y así dejar a un lado problemas como lagunas legales o falta de tipificación, lo cual puede ser arreglado con una simple renovación de leyes o creación de una ley específica. La base de la adecuada conducta en el mundo cibernético es adquirida desde el hogar, la escuela o colegio, hasta las amistades e influencias en la persona; pero aun tomando en cuenta algunas medidas de precaución, nadie está extinto de los expertos en delitos en la red, por lo que es necesario que la víctima denuncie y reporte el hecho criminal y que los investigadores estén plenamente capacitados en materia digital, electrónica y cibernética para la investigación y correcta resolución del caso.

105 Conclusiones 1. Al hacer un análisis comparativo de legislación con otros países, se determinó que Guatemala es un país que ciertamente regula los delitos informáticos, sin embargo, lo hace de una forma deficiente ya que es de forma generalizada, lo que propicia algunos vacíos legales que imposibilitan una investigación forense en materia informática. 2. Es indispensable la creación y cumplimiento de normas legales efectivas aplicables a la realidad guatemalteca y de la necesidad de crear un cuerpo normativo específico o bien crear un apartado especial en el código penal que incluya el mayor número de delitos informáticos, con términos adecuados a la actualidad que vive Guatemala 3. La comisión de delitos emergentes en la internet es un problema que afecta a la sociedad mundialmente, tanto niños como adultos, no importando edad ni género, se ven vulnerables a caer en las redes de algún delito o crimen cibernético, por lo que es necesaria la capacidad del perito o investigador en la escena del crimen y el correcto procedimiento en la misma para lograr la resolución óptima del caso. 4. La generalidad de los delitos informáticos en Guatemala únicamente provoca la ignorancia de la sociedad en el tema y es imperativa la existencia de normas que especifiquen los hechos o actos que se consideran delitos informáticos para un mejor control del mismo. 5. Guatemala es uno de los muchos países que se encuentra atrasado en lo que a la regulación de la tecnología respecta, siendo el uso de la misma como un medio comúnmente utilizado para la comisión de los delitos es por ello que es necesario la regulación de términos como internet, redes sociales, sitios

106 89 de web ilegales, etc. Pues vivimos en un mundo tecnológico y por ello Guatemala debe de apegarse a este nuevo mundo, para combatir de forma eficiente el ciber-crimen, que surge de las redes sociales. 6. Es indispensable y necesaria la correcta instrucción para agentes de investigación de crímenes informáticos, ya que son estos quienes tienen bajo su control los elementos o indicios que pueden ser considerados como evidencias y pruebas durante el proceso penal, por lo que la manipulación de estos debe resguardar su contenido. 7. La evidencia digital debe ser meticulosamente recaudada y procesada para luego ser presentada en la corte cumpliendo los requisitos de admisibilidad. 8. Es esencial garantizar la veracidad de la evidencia digital durante el proceso de investigación, y para ello es indispensable contar con los conocimientos y habilidades especiales en la recaudación, embalaje y manipulación de este tipo de evidencia.

107 Recomendaciones 1. Es necesaria la participación del Ministerio Público, pues es el órgano encargado de la persecución penal o bien entidad encargada de velar por el cumplimiento de las normas en materia de delitos informáticos y para ello debe de crearse una unidad específica dentro de dicha entidad para el cumplimiento de la ley y persecución de los hechos ilícitos y capacitar a los integrantes de la misma 2. Se recomienda al Organismo Legislativo, un proyecto de ley y que tome conciencia de la necesidad del mismo, por el cual se pueda disminuir los delitos informáticos que surgen de las redes sociales, así como el control y la prevención de los mismos en Guatemala y de esta forma erradicarla con el tiempo, ya que dichas acciones, se ven reflejadas en la opinión que posee la sociedad internacional en nuestro país. 3. Se requiere de la contratación de personal calificado en escenas de crímenes informáticos, que estos sean profesionales capaces de realizar una labor eficiente en escena y en laboratorio, así como que estos reciban capacitación constante para mantenerse a la vanguardia de la tecnología que día a día va en aumento y con nuevas expectativas universales.

108 Referencias Bibliográficas McCurdy, Jessica, Computer Crime, Bureau of Justice Statistics. US. Department, EE:UU ra. Edición. Bruce Middleton. Cyber Crime Investigator s Field Guide. United States of America. Auerbach Publicatons. Taylor & Francis Group Second Edition. Abad Alfredo - Mariano Madrid. Redes de Área Local. Madrid, España. Mc Graw-Hill/interamericana de España era. Edición. Diccionario de la Real Academia de la Lengua Española Edición. Garrido Montt, Mario. Nociones Fundamentales de la Teoría del delito. Chile. Editorial Jurídica de Chile Magliona Markovicth Claudio Paúl, Macarena López Medel. Delincuencia y Fraude Informático. Chile. Editorial Jurídica de Chile Normativas Congreso de la República de Guatemala; Decreto 17-73, Código Penal. Congreso de la República de Guatemala; Decreto 33-98; Ley de Derecho de Autor y Derechos Conexos. Congreso de la República de Guatemala; Decreto 51-92, Código Procesal Penal. Congreso de la República de Guatemala; Decreto , Ley de Propiedad Industria Asamblea Legislativa del Distrito Federal, México. Código Penal del Distrito Federal, II Legislatura; Publicado en la Gaceta Oficial del Distrito Federal el 09 de julio de 2006.

109 92 Congreso de la Unión; Código Federal de Procedimientos Penales; Código publicado en el Diario Oficial de la Federación el 30 de agosto de Congreso de los Estados Unidos Mexicanos, Ley Federal del Derecho de Autor, Última Reforma DOF de diciembre de Consejo de Europa y los otros Estados firmantes. Convenio sobre la Cibercriminalidad de Budapest 23.XI.2001; Electrónicas Simon..Finch,..(..Estonia:..2013),..en..página..web,.. the..telegraph.. Estonia.html, accesible, Najat Maalla M jid, Niñez y Adolescencia (Madrid, 2005), en página web, acnur. accesible del, Sandra Valdez, Sexting afecta (Guatemala, 2013) en página web, Prensa Libre, accesible del, Najat Maalla M jid, Niñez y Adolescencia (Madrid, 2005), en página web, acnur. accesible del, Hernández Celis, la prueba en el lavado de activos, ( Perú, 2013) en página web, gestiopolis accesible del Hernández Celis, Domingo, Auditoria Forense, (Perú; 2012), en página web, gestiopolis n-informatica-de-hechos.html, accesible del

110 93 Informático Peritaje, Evidencias Informáticas.(Bilbao, Bizcalla: 2012), en página web, Evidencias.Informaticas, Contenido=3. Accesible,

111 Anexos Resultados gráficos de las encuestas 1. Tiene noción de denuncias sobre delitos informáticos? Resultado: Del cien por ciento de los encuestados, el 60% respondió que no tiene conocimiento de denuncias en contra de delitos informáticos, mientras que el 40% respondió que pocas denuncias se han presentado, máxime que se han enterado pero son noticias internacionales, mientras que en el medio guatemalteco no se han percatado de ellas..discusión: En base a los resultados obtenidos, se pudo determinar que aunque la cantidad y la práctica de los delitos informáticos van en aumento cada día, las personas acuden a denunciar estos hechos.