GENDARMERIA NACIONAL ARGENTINA UNIDAD ESPECIAL DE INVESTIGACIONES Y PROCEDIMIENTOS JUDICIALES BS AS Unidad Especial de Investigaciones y Procedimientos Judiciales Bs As
El presente trabajo fue realizado por expertos de la Unidad Especial de Investigaciones y procedimientos judiciales de la GENDARMERIA NACIONAL ARGENTINA, a ellos nuestro reconocimiento
GUÍA PRACTICA OPERATIVA PARA PROCEDIMIENTOS JUDICIALES CON SECUESTRO DE TECNOLOGÍA INFORMATICA
SITUACION: Esta guía operativa para allanamientos, está orientada hacia el personal que no tengan formación técnica suficiente en el manejo de evidencia digital, habiendo sido utilizada por personal judicial y policial en procedimientos con un alto nivel de complejidad en materia de coordinación para la localización e individualización de elementos probatorios. Las prescripciones operativas que se exponen - altamente pragmáticas- han demostrado su efectividad y simplicidad en las tareas de campo. Este documento tiene además una finalidad didáctica para aquellos que se interesen en ampliar sus conocimientos, minimizando riesgos procesales en las investigaciones judiciales que involucren tecnología informática.
GUÍA DE PROCEDIMIENTO Se deben separar las personas que trabajen sobre los equipos informáticos lo antes posible y no permitirles que sean utilizados en otras tareas más que a la específicamente asignada. Si es una empresa, se debe identificar al personal informático interno (administradores de sistemas, programadores, etc.) o a los usuarios de aplicaciones específicas que deban someterse a peritaje. Dejar registrado el nombre del dueño o usuarios del equipamiento informático ya que luego pueden ser de utilidad para la pericia. Siempre que sea posible obtener contraseñas de aplicaciones, dejarlas registradas en el Acta de Allanamiento.
Se deben fotografiar todos los elementos antes de moverlos o desconectarlos. Fotografiar una toma completa del lugar donde se encuentren los equipos informáticos, y fotos de las pantallas de las computadoras, si están encendidas. Si un especialista debe inspeccionar el uso de programas, puede ser conveniente realizar una filmación. Evitar tocar el material informático sin uso de guantes descartables. Dependiendo del objeto de la investigación, el teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para análisis de huellas dactilares, ADN, etc. Si se conoce que no se realizarán este tipo de pericias puede procederse sin guantes.
Si los equipos están encendidos deben quedar encendidos. Para la obtención de la evidencia digital presente en los mismos se deberá consultar o esperar que el profesional determine la modalidad correcta para su obtención y posterior apagado del equipo. Si los equipos están apagados deben quedar apagados, se deberá desconectarlos desde su respectiva toma eléctrica y no del enchufe de la pared. Si son notebooks es necesario quitarles la o las baterías.
Identificar si existen equipos que estén conectados a una línea telefónica, y en su caso el número telefónico para registrarlo en el acta de allanamiento. Impedir que nadie excepto un perito informático- realice búsquedas o intente ver la información almacenada ya que se altera y destruye la evidencia digital (esto incluye intentar hacer una copia sin tener software forense específico y sin que quede documentado en el expediente judicial el procedimiento realizado). Sólo un especialista puede realizar una inspección en el lugar del hecho tendiente a determinar si el equipamiento será objeto del secuestro y de recolectar en caso de ser necesario- datos volátiles que desaparecerán al apagar el equipo.
Con los sistemas móviles. Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA (Asistente Digital Personal)? Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil: Apagar el dispositivo Mantenerlo encendido pero aislado de la red
Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería. Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.
Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia. La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos. En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir
Identificar correctamente toda la evidencia a secuestrar: Siempre se debe secuestrar los dispositivos informáticos que almacenen grandes volúmenes de información digital (computadoras, notebooks, celulares, palms, y discos rígidos externos). También deben secuestrarse DVD, CDs, diskettes, discos Zip, Pen Drives, reproductores de Mp3, tarjetas de memoria, etc. pero atento a que pueden encontrarse cantidades importantes. Los diskettes u otros medios de almacenamiento (CDs, discos Zips, etc.), tener en cuenta la orientación recibida ó la especificación de la orden de allanamiento.
Rotular el hardware que se va a secuestrar con los siguientes datos: Para computadoras, notebooks, palmtops, celulares, cámaras fotográficas etc.: N del Expediente Judicial, Fecha y Hora, Número de Serie, Fabricante, Modelo. Para DVDs, CDs, Diskettes, discos Zip, memorias, etc.: almacenarlos en conjunto en un sobre antiestático, indicando N del Expediente Judicial, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y Cantidad.
Cuando haya periféricos muy específicos conectados a los equipos informáticos y se deban secuestrar por indicación de un perito informático designado en la causa- se deben identificar con etiquetas con números los cables para indicar dónde se deben conectar. Fotografiar los equipos con sus respectivos cables de conexión etiquetados. Usar bolsas especiales antiestáticas para almacenar diskettes, discos rígidos, y otros dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de electricidad estática que puede destruir los datos.
Precintar cada equipo informático en todas sus entradas eléctricas y todas las partes que puedan ser abiertas o removidas. Es responsabilidad del personal que participa en el procedimiento el transporte sin daños ni alteraciones de todo el material informático hasta que sea peritado. Resguardar el material informático en un lugar limpio para evitar la ruptura o falla de componentes. No deberán exponerse los elementos secuestrados a altas temperaturas o campos electromagnéticos. Los elementos informáticos son frágiles y deben manipularse con cautela.
Mantener la cadena de custodia del material informático transportado. Es responsabilidad del personal policial la alteración de la evidencia antes de que sea objeto de una pericia informática en sede judicial. No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informático tiene rotos los precintos al momento de ser entregado, siempre que no esté descripta en el expediente judicial la intervención realizada utilizando una metodología y herramientas forenses por profesionales calificados
CONCLUSIONES El personal que participa en allanamientos que involucra tecnología, requiere contar con capacitación adecuada para evitar que se viole la cadena de custodia, cuyo cometido es esencial para garantizar la integridad de la evidencia, así como también otras fallas materiales y procesales. La experiencia demuestra que es necesario proponer un conjunto de acciones que deben ser ejecutadas sistemáticamente en procedimientos
judiciales que involucren el secuestro de material tecnológico, en especial, en materia informática. Con la consecución del presente documento, se ha logrado definir esta guía de procedimiento estándar, para la actuación del personal NO TÉCNICO en allanamientos. Si bien la presente es susceptible de actualizaciones y revisiones que amplíen los aspectos considerados, tiene en este momento la siguiente cualidad: su operatividad.
BIBLIOGRAFÍA CONSULTADA *.Ley 25.891 SERVICIO DE COMUNICACIONES MÓVILES *. Ley 26.388 CD-109/06; S- 1751-1875 y 4417/06) DELITOS INFORMÁTICOS. *. Ley 11.723 de PROPIEDAD INTELECTUAL. *. Ley 25.326 PROTECCION DE LOS DATOS PERSONALES. *. Ley 25.506 FIRMA DIGITAL. *. LEY Nº 24.766 LEY DE CONFIDENCIALIDAD. *. Decreto 165/94 PROPIEDAD INTELECTUAL.