UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (PFS)

UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (PFS) "PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCIÓN Y MANEJO DE LA EVIDENCIA DIGITAL EN LA ESCENA DEL CRIMEN" TESIS DE GRADO JORGE DAVID SANTOS TELLO CARNET21204-07 HUEHUETENANGO, SEPTIEMBRE DE 2013 CAMPUS "SAN ROQUE GONZÁLEZ DE SANTA CRUZ, S. J." DE HUEHUETENANGO

UNIVERSIDAD RAFAEL LANDÍVAR FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES LICENCIATURA EN INVESTIGACIÓN CRIMINAL Y FORENSE (PFS) "PROCEDIMIENTOS EN LA INVESTIGACIÓN, RECOLECCIÓN Y MANEJO DE LA EVIDENCIA DIGITAL EN LA ESCENA DEL CRIMEN" TESIS DE GRADO TRABAJO PRESENTADO AL CONSEJO DE LA FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES POR JORGE DAVID SANTOS TELLO PREVIO A CONFERÍRSELE EL TÍTULO Y GRADO ACADÉMICO DE LICENCIADO EN INVESTIGACIÓN CRIMINAL Y FORENSE HUEHUETENANGO, SEPTIEMBRE DE 2013 CAMPUS "SAN ROQUE GONZÁLEZ DE SANTA CRUZ, S. J." DE HUEHUETENANGO

AUTORIDADES DE LA UNIVERSIDAD RAFAEL LANDÍVAR RECTOR: VICERRECTORA ACADÉMICA: VICERRECTOR DE INVESTIGACIÓN Y PROYECCIÓN: VICERRECTOR DE INTEGRACIÓN UNIVERSITARIA: VICERRECTOR ADMINISTRATIVO: SECRETARIA GENERAL: P. ROLANDO ENRIQUE ALVARADO LÓPEZ, S. J. DRA. MARTA LUCRECIA MÉNDEZ GONZÁLEZ DE PENEDO DR. CARLOS RAFAEL CABARRÚS PELLECER, S. J. DR. EDUARDO VALDÉS BARRÍA, S. J. LIC. ARIEL RIVERA IRÍAS LIC. FABIOLA DE LA LUZ PADILLA BELTRANENA DE LORENZANA DECANO: AUTORIDADES DE LA FACULTAD DE CIENCIAS JURÍDICAS Y SOCIALES DR. ROLANDO ESCOBAR MENALDO VICEDECANO: SECRETARIO: MGTR. PABLO GERARDO HURTADO GARCÍA MGTR. ALAN ALFREDO GONZÁLEZ DE LEÓN NOMBRE DEL ASESOR DE TRABAJO DE GRADUACIÓN LIC. EDWIN ROCAEL CARDONA AMBROSIO TERNA QUE PRACTICÓ LA EVALUACIÓN LIC. CARLOS ALFREDO RIOS MOLINA

Tabla de contenido Resumen Introducción..I 1 Informática Forense... 1 1.1 Introducción... 1 1.2 Algunos Antecedentes Históricos... 2 1.3 Definición... 3 1.4 Que es la Informática Forense... 4 1.5 Principios Forenses... 4 1.6 Importancia... 7 1.7 Objetivos... 7 1.8 Uso de la Informática Forense... 8 2 Delitos Informáticos... 8 2.1 Introducción:... 8 2.2 Definición... 10 2.3 Clasificación... 12 2.4 Tipos... 14 2.5 Características... 19 3 Evidencia Digital... 21 3.1 Antecedentes... 21 3.2 Introducción... 22 3.3 Definición... 22 3.4 Clasificación... 24 3.5 Características... 25 4 Procedimientos en la Investigación, Recolección y manejo de la Evidencia Digital... 27 4.1 Característica del delito informático... 27 4.2 Protección de la Escena del Crimen... 28 4.3 Evaluación de la Escena del Crimen... 30 4.4 Documentación de la Escena del Crimen... 33 4.5 Cadena de Custodia... 43 4.6 Factores que intervienen en una escena del Crimen... 43 4.7 Roles en la Investigación... 45

4.7.1 Peritos Informáticos... 46 4.8 Informe Forense... 48 5 Principios teóricos generales, para la propuesta del protocolo de acción de la escena del crimen... 50 5.1 Diagrama de flujo de la propuesta de protocolo de acción... 53 6 Planteamiento del Problema... 54 6.1 Objetivos... 54 6.1.1 General... 54 6.1.2 Específicos... 55 6.2 Alcances y Límites... 55 6.3 Aporte... 55 6.4 Método... 56 6.4.1 Sujetos... 56 6.4.2 Instrumento... 56 6.4.3 Procedimiento... 56 6.5 Presentación de Resultados y Discusión... 57 6.5.1 Presentación... 57 6.5.2 Discusión de resultados... 60 7 Propuesta del protocolo de acción, para el procesamiento de la evidencia digital en la escena del crimen... 62 7.1 Diagrama de flujo del protocolo para el procesamiento de la evidencia digital... 67 8 Conclusiones... 72 9 Recomendaciones... 73 10 Referencias... 74 11 Anexos... 78 11.1 Encuestas al Personal del Ministerio Público... 79 11.2 Cuadros Estadísticos... 91

RESUMEN El objetivo de esta investigación es dar a conocer y establecer los procedimientos en la investigación y manejo de la evidencia digital, con el fin de establecer lineamientos a seguir cuando éstos sean requeridos para efectuar una investigación objetiva, clara y precisa y de esta manera obtener los resultados deseados para poder aportar con claridad y precisión indicios que orienten las decisiones en casos donde se requiera. Es de suma importancia la capacitación en los sectores de justicia para estar actualizados en el tema de la evidencia digital e informática forense, ya que en muchas ocasiones se tiene los indicios, sin embargo por el desconocimiento del tema no se puede requerir los análisis específicos que aporten información valiosa al caso en investigación. En el capítulo 1, se hace una breve introducción acerca de la Informática Forense como una disciplina auxiliar de la justicia moderna. En el capítulo 2, se hará referencia a los delitos informáticos como actitudes donde las computadoras constituyen un instrumento o fin. En el capítulo 3, se desarrolla el tema de la evidencia digital en cuanto a su definición, clasificación y características. En el capítulo 4, se detallan los procedimientos a seguir en la investigación, recolección y manejo de la evidencia digital para que la misma sea objetiva. En el capítulo 5, se indican los principios teóricos generales para el desarrollo del protocolo de acción, como un instrumento técnico administrativo. En el capítulo 6, se hace referencia del planteamiento del problema como centro de la investigación. En el capítulo 7, contiene una propuesta concreta para el procesamiento de la evidencia digital en la escena del crimen. Finalmente se incluyen conclusiones y recomendaciones, así como anexos que contienen los instrumentos aplicados durante el proceso investigativo y graficas estadísticas.

INTRODUCCION El propósito de esta investigación es abordar y establecer los parámetros que se debe utilizar al momento de localizar indicios que sean considerados como evidencia digital en el procesamiento de una escena del crimen, ya que se desconoce la manipulación que la misma pueda tener por ser diferente a la evidencia convencional, requiriendo ésta de una manipulación más específica; de esta manera se pretende dar a conocer una guía básica con los procedimientos y lineamientos necesarios para el trabajo que realiza el Ministerio Público, la Policía Nacional Civil o los mismos particulares quienes proporcionan indicios de investigación al Ministerio Público. La inexistencia de procesos y procedimientos ante indicios que pudiese considerarse evidencia digital, hace que sea necesario el dar a conocer los lineamientos necesarios al investigador forense para la recolección y análisis de dicha evidencia. Un manejo inadecuado de la escena del crimen por parte del personal carente de la capacitación y conocimientos necesarios da como resultado la contaminación de la misma. Una deficiente recopilación de evidencias tiene como consecuencia la pérdida de la objetividad de la investigación, de allí la importancia de una correcta aplicación de los procedimientos en la investigación y el manejo adecuado de la evidencia digital, como base fundamental para preservar todos aquellos indicios informáticos. Asimismo, es preciso dar a conocer los riesgos de trabajar con este tipo de evidencia, dadas sus características peculiares y que hacen de la misma una evidencia no convencional en cuanto a su tratamiento y manipulación. De esta manera se pretende identificar todos aquellos equipos, aparatos o dispositivos de almacenamiento que pueden ser vitales a la hora de realizar la búsqueda de los indicios dentro de una escena del crimen. I

Se propone un protocolo de acción a seguir, donde se contempla procesos, procedimientos y recomendaciones de acciones a evitar, dado que el mínimo descuido puede llegar a tener graves consecuencias en cuanto a la objetividad de la investigación. Se espera que la presente investigación se constituya en una contribución, como guía de desempeño de las actividades que desarrollan los técnicos de escena del crimen del Ministerio Público. II

1 Informática Forense 1.1 Introducción El constante reporte de vulnerabilidades en sistemas de información, el aprovechamiento de fallas bien sea humanas, procedimentales o tecnológicas sobre infraestructuras de computación en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias relacionadas con intrusos informáticos. Estos intrusos poseen diferentes motivaciones, alcances y estrategias pues sus modalidades de ataque y penetración de sistemas varían de un caso a otro. A pesar del escenario anterior, la criminalística nos ofrece un espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones catalogadas como criminales. En este momento, es preciso establecer un nuevo conjunto de herramientas, estrategias y acciones para descubrir en los medios informáticos, la evidencia digital que sustente y verifique las afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo estudio. La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso. La informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta y al extenso uso de computadores por parte de las compañías de negocios tradicionales. Es por esto que cuando se realiza un crimen muchas veces la información queda almacenada en forma digital, sin embargo existe un gran problema debido a que los 1

computadores guardan la información de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales, es de aquí que surge el estudio de la computación forense como una ciencia relativamente nueva. La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crímenes apoyándose en el método científico con el cual se puede recolectar, analizar y validar todo tipo de pruebas digitales. 1.2 Algunos Antecedentes Históricos Es difícil precisar el inicio de la informática forense o el comienzo del campo para el caso, pero la mayoría de los expertos coincide en que la informática forense comenzó a desarrollarse hace más de 30 años en los Estados Unidos, cuando la policía y los investigadores militares comenzaron a ver que los delincuentes obtenían ayudas técnicas en la comisión de sus delitos. El campo de la informática forense se inició en la década de 1980, poco después que las computadoras personales se convirtieran en una opción viable para los consumidores. A comienzo de los años 90, el FBI (Federal Bureau of Investigation) 1 observó que las pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la identificación por ADN. Para ello, mantuvo reuniones en su ámbito y a finales de los años 90 se creó la IOCE (International Organization of Computer Evidence) 2 con la intención de compartir información sobre las prácticas de informática forense en todo el mundo. 1 Buró Federal de Investigación 2 Organización Internacional de Pruebas de Ordenador 2

1.3 Definición Comencemos con algunas definiciones sobre Informática y Forense: Informática: Según el libro Introducción a la Informática Es la ciencia que estudia el procesamiento automático de la información 3 Según Carlos Gispert 4 es la ciencia de la información automatizada, todo aquello que tiene relación con el procesamiento de datos, utilizando las computadoras y/o los equipos de procesos automáticos de información. Forense: Es la aplicación de prácticas científicas dentro del proceso legal, esencialmente esto se traduce en investigadores altamente especializados o criminalistas, que localizan evidencias que sólo proporcionan prueba concluyente al ser sometidas a pruebas en laboratorios. 5 Según el Glosario de la Enciclopedia CCI (Criminalística, Criminología e Investigación) Se dice de todo aquello que está relacionado con juzgados y tribunales, y en general con asuntos jurídicos y de derecho. 6 Informática Forense: Un proceso metodológico para la recogida y análisis de los datos digitales de un sistema de dispositivos de forma que pueda ser presentado y admitido ante los tribunales. 7 3 Informática, Introducción a la Informática, 1ª Edición, 1994, pág. 17 4 Gispert, Carlos. Enciclopedia Autodidactica Interactiva, 6 Edición, México, Océano, 2002, pp. 1542 5 Tu discovery, Que es la ciencia forense, http://www.tudiscovery.com/crimen/ciencia_forense/ fecha de consulta: 08.02.2013 6 Forense, Enciclopedia Criminalística, Criminología e Investigación, 1era. Edición, Bogotá, D.C. Sigma Editores, 2010, Glosario 7 Derecho y cambio social, La informática forense; el rastro digital del crimen, Perú, 2004 http://www.derechoycambiosocial.com/revista025/informatica_forense.pdf. fecha de consulta: 12.03.2013 3

Disciplina auxiliar de la justicia moderna para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso. 8 En conclusión diremos que la Informática Forense, es una disciplina auxiliar de la justicia que a través de un proceso metodológico se encarga de la recolección y análisis de la evidencia digital. 1.4 Que es la Informática Forense Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Por tal razón la Informática Forense es una disciplina auxiliar de la justicia, ya que por medio de ella se puede determinar mediante técnicas científicas y analíticas todo lo relacionado a la informática en busca de la evidencia digital. 1.5 Principios Forenses El documento titulado como Informática Forense 9, nos hace mención sobre algunos principios forenses de la evidencia digital a la hora de ser localizada. Existe un gran número de principios básicos que son necesarios independientemente si está examinando un ordenador o un cadáver, estos principios son: evitar la contaminación: la esterilidad de los medios es una condición fundamental para el inicio de cualquier procedimiento forense en informática, pues al igual que en la medicina forense un instrumento contaminado puede ser 8 Cano M., Jeimy J. Introducción a la Informática Forense, Revista Sistemas N 96, Abril/Junio 2006, Colombia, Publicado por Asociación Colombiana de Ingeniero de Sistemas (ACIS), pág. 64. http://www.acis.org.co/fileadmin/revista_96/dos.pdf 9 Ebookbrowse, principios de la informática forense, http://ebookbrowse.com/informatica-forense-g3-pdfd13705718 fecha de consulta: 11.02.2013 4

causa de una interpretación o análisis erróneo en la causa de la muerte del paciente. actuar metódicamente: el investigador debe ser el custodio de su propio proceso por lo tanto, cada uno de los pasos realizados, los instrumentos utilizados y los resultados obtenidos del análisis deben estar claramente documentados, de tal manera que cualquier persona externa pueda validar y revisar los mismos. controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia: este punto es complemento del anterior; quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de las pruebas a su cargo. En el documento titulado la Informática Forense: el rastro digital del crimen 10, también nos hace referencia de algunos principios forenses los cuales fueron desarrollados por la IOCE (International Organization of Computer Evidence) 11 con una serie de principios y procedimientos para actuaciones sobre pruebas digitales estos principios son: todos los principios generales de procedimientos y técnicas forenses deben ser aplicados cuando se manipulen pruebas digitales: cualquier institución con atribuciones en la búsqueda, recolección, y análisis de pruebas debe tener una metodología o unos principios generales definidos con el objetivo de proteger los intereses de todas las partes. 10 Derecho y cambio social, La Informática forense; el rastro digital del crimen. Op. cit. Pag. 04 Fecha de consulta 11.02.2013 11 Organización Internacional de Pruebas de Ordenador 5

en la manipulación de pruebas digitales, las acciones que se lleven a cabo no deben alterar dicha prueba: en caso de que se tenga que actuar de tal forma que se altere la prueba, las acciones deberán ser completamente documentadas. cuando sea necesario que una persona tenga acceso a una prueba digital original, dicha persona debe estar formada para ese propósito: la mejor práctica es realizar una imagen digital de la prueba a analizar y actuar sobre la copia para no alterar la original. toda actividad relativa a la recogida, acceso, almacenamiento, o transferencia de pruebas digitales debe ser completamente documentada, conservada y disponible para su estudio: todas las manipulaciones que se lleven a cabo deben ser documentadas de tal forma que sea comprensible, de manera que las acciones que se están registrando puedan ser reproducidas si fuera necesario, es vital mantener la cadena de custodia. cada persona es responsable de todas las acciones tomadas con respecto a la prueba digital mientras dicha prueba esté a su cargo: dicha responsabilidad es personal y no corporativa. cualquier institución o grupo, que sea responsable de la recogida, acceso, almacenamiento, o transferencia de una prueba digital, es responsable de cumplir y hacer cumplir estos principios: las instituciones con atribuciones en la recolección y manipulación de pruebas digitales, velarán para que estos principios se lleven a cabo como un marco de referencia y trasladando éstos a los procedimientos de actuación que se desarrollen en dichas instituciones. Con estos principios nos podemos dar cuenta que, lo primordial es evitar la contaminación a la hora de efectuar cualquier procedimiento forense en informática y que todo el proceso debe de estar totalmente documentado, otra anotación importante 6

es la cadena de custodia la cual nos permite visualizar el adecuado manejo de la evidencia. La persona que realiza este tipo análisis debe estar totalmente capacitada en el área de informática forense. 1.6 Importancia La informática forense nace en vista de la necesidad del personal del derecho en poder afrontar nuevas tareas probatorias, esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informáticos. Los informáticos forenses tienen la ardua labor de realizar investigaciones en busca de evidencia digital. 1.7 Objetivos El objetivo de la informática forense es recobrar los registros y mensajes de datos existentes dentro de un equipo informático, de tal manera que toda esa información digital pueda ser utilizada como prueba ante un tribunal. 12 En el documento Informativa Forense: Generalidades, Aspectos Técnicos y Herramientas 13 nos hacen referencia sobre 3 objetivos: la compensación de los daños causados por los criminales o intrusos. la persecución y procesamiento judicial de los criminales. la creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas entre ellas la principal, la recolección de evidencia. Concluimos que el objetivo de la informática forense es muy preciso, el cual se fija en la recolección de todos aquellos datos dentro de un equipo informático, así como presentar la evidencia ante un tribunal, el cual también tiene una finalidad preventiva. 12 Dr. Del Pino Acurio, Santiago, Introducción a la Informática Forense, Ecuador, Fiscalía General del Estado Ecuador, 2009, pág. 9 13 López, Oscar. Amaya, Haver. León Ricardo, Informática Forense: Generalidades, Aspectos Técnicos y Herramientas, Colombia, Universidad de los Andes Bogotá, Pág. 02 7

1.8 Uso de la Informática Forense El documento Informática Forense, generalidades, aspectos técnicos y herramientas, nos indica la temática siguiente: prosecución criminal: evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. temas corporativos: la información puede ser recolectada en casos sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial. mantenimiento de la ley: la Informática Forense puede ser usada en la búsqueda de información, una vez que se tenga orden judicial. Como nos podemos dar cuenta la Informática Forense tiene muchos usos y es de gran utilidad en cada uno de ellos, por ser una ciencia que utiliza la aplicación de técnicas científicas en la infraestructura tecnológica para el proceso de identificar hasta presentar los datos ante un tribunal 2 Delitos Informáticos 2.1 Introducción: Internet sin duda cambió el ritmo de vida de las personas, facilitó realizar sus actividades en un menor tiempo posible, conectarse con cualquier parte del mundo, acceder a todo tipo de información y entablar otra serie de relaciones sociales. Sin embargo, la facilidad que día a día tienen las personas para manejar su información, las ha llevado a cometer uno de los errores más graves en el mundo virtual que puede llegar a perjudicar en segundos su vida personal, social, económica y laboral. 8

A la par del avance de la tecnología informática y su influencia en casi todas las áreas de la vida, han surgido una serie de comportamientos ilícitos denominados de manera genérica como delitos informáticos. Los delitos que se pueden cometer en la actualidad mediante el uso de la computadora, son múltiples y de tipos muy variados, nadie puede estar seguro de que no va a ser víctima de alguno de ellos. Los especialistas informáticos y legisladores deben trabajar juntos con el fin de proporcionar un instrumento confiable que permita identificar y sancionar de una manera correcta los delitos que con el uso de los equipos de cómputo se puedan presentar, el mayor inconveniente relacionado con los delitos informáticos es el vacío legal. Actualmente Guatemala no cuenta con un ordenamiento jurídico que regule todos aquellos ilícitos relacionados a los delitos informáticos, el código penal guatemalteco hace referencia sobre este tipo de delitos en su capítulo VII haciendo referencia de algunas normas, mismas que no responden a las necesidades actuales, debido a la innegable variación de las tecnologías de la información. El Congreso de Guatemala cuenta con la iniciativa número 4055, denominada Ley de Delitos Informáticos, la cual fue conocida por el Honorable Pleno del Congreso de la República el 18 de agosto del año 2009. Esta iniciativa pretende crear una normativa de prevención y sanción de los delitos informáticos e inviolabilidad a los derechos de toda persona en cuanto a la confidencialidad, integridad y disponibilidad de datos y tecnologías de la información que posea y utilice. Tiene como finalidad crear un marco jurídico que sea uniforme con los convenios internacionales sobre ciberdelincuencia a efecto de crear mecanismos eficaces de prevención y sanción. Debido a que en nuestro país ya existe regulación sobre el comercio electrónico, según el contenido de la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas, Decreto numero 47-2008 del Congreso de la República de Guatemala, se hace necesario emitir una ley especial para prevenir y sancionar los delitos de 9

naturaleza informática que pudieran afectar el objeto o materia de la normativa del comercio electrónico y todos aquellos actos ilícitos de naturaleza informática. Por tal motivo es indispensable la aprobación de la iniciativa numero 4055, la cual establece disposiciones que tienden a proteger los derechos de toda persona en cuanto a la integridad, disponibilidad y confidencialidad de los sistemas que utilicen tecnologías de la información y sus componentes. 2.2 Definición Al hablar de los delitos informáticos primero se tiene que hablar de qué es un delito, y luego de qué es la informática. Un delito es un acto u omisión sancionado por las leyes penales. El ilustre penalista Cuello Calón 14, enumera los elementos integrantes del delito. el delito es un acto o acción humana, (ejecución u omisión) de carácter antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido; el delito debe corresponder a un tipo legal (figura de delito), definido por la Ley, ha de ser un acto típico. el acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona. la ejecución u omisión del acto debe estar sancionada por una pena. Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena, mientras que la informática según el Dr. Julio 14 Jurista español. Fue catedrático de derecho penal en las universidades de Barcelona y de Madrid. Escribió diversas obras, entre las que destacan Derecho penal: Penología (1920) y La nueva penología (1958). 10

Alejandro Téllez Valdez 15, es "un conjunto de técnicas destinadas al tratamiento lógico y automático de la información para una mejor toma de decisiones". Ahora si juntamos las definiciones tendremos que los delitos informáticos son: el conjunto de técnicas de carácter antijurídico destinadas al tratamiento lógico y automatizado de la información sancionada por las leyes penales. De esta manera citaremos algunas definiciones de varios autores para saber el punto de vista de cada uno de ellos en relación con los Delitos Informáticos: Davara Rodríguez 16 define al delito informático como, la realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software. Julio Téllez Valdés 17 conceptualiza al delito informático en: forma típica y atípica, entendiendo por la primera a las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin y por las segundas actitudes ilícitas en que se tienen a las computadoras como instrumento o fin. Núñez Ponce 18 por su lado, nos refiere que los delitos informáticos son: todas aquellas conductas que son ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso antijurídica y culpables en que se tienen computadoras o ordenadores en las cuales se usan diversas técnicas y funciones; desempeñando así un papel ya sea como método, medio o como instrumento o fin. 15 Investigador titular "B" de tiempo completo en el Instituto de Investigaciones Jurídicas de la UNAM, México. 16 Davara Rodríguez, Miguel Ángel. Manual de Derecho Informático, Pamplona, Editorial Aranzadi, 1997, págs. 285 a 326 17 Téllez V., Julio, Derecho Informático, 2 Edición, México, Editorial McGraw-Hill, 1996, Pág. 103-104 18 Dr. Núñez Ponce Julio, Derecho Informático, Perú, Editorial Marsol, 1996, pág. 101 11

María Cinta Castillo y Miguel Ramallo 19 por lo tanto entienden que "delito informático es toda acción dolosa que provoca un perjuicio a personas o entidades en cuya comisión intervienen dispositivos habitualmente utilizados en las actividades informáticas. Según Parker, D.B, 20 define a los delitos informáticos como: todo acto intencional asociado de una manera u otra a los computadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo autor ha o habría podido obtener un beneficio. Con las ponencias anteriormente descritas sobre la definición del delito informático los autores coinciden que, es una acción antijurídica que se lleva a cabo con la ayuda de un elemento o medio informático, perjudicando tanto a personas como a entidades. 2.3 Clasificación El autor mexicano Julio Téllez Valdez 21, clasifica estos delitos de acuerdo a los siguientes criterios: como Instrumento o medio: Conductas criminales que se valen de las computadoras como método (utilizan una computadora como medio o símbolo): falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.); lectura, sustracción o copiado de información confidencial; modificación de datos tanto en la entrada como en la salida; aprovechamiento indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas. (caballo de Troya); 19 Jiménez Castillo, Cinta María, Romero Ramallo, Miguel. El delito informático, Facultad de Derecho de Zaragoza, Congreso sobre Derecho Informático, 1989, págs. 22-24 20 Parker, D.B, Citado por Romeo Casabona Carlos M. Poder Informático y Seguridad Jurídica, Madrid, Editorial Fundesco, Colección Impactos, 1987, p. 25 21 Téllez Valdez, Julio. Op. Cit. Pág. 105 12

variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria ficticia. (Técnica de salami); alteración en el funcionamiento de los sistemas, a través de los virus informáticos; intervención en las líneas de comunicación de datos o teleproceso. como fin u objetivo: En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física. Conductas dirigidas a causar daños en el hardware o en el software de un sistema. programación de instrucciones que producen un bloqueo total al sistema. destrucción de programas por cualquier método. daño a la memoria. atentado físico contra la máquina o sus accesorios. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos. Por su parte María Luz Lima 22, presenta la siguiente clasificación de delitos electrónicos: como método: conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito. como medio: conductas criminales en donde para realizar un delito utilizan una computadora como medio o símbolo. 22 Lima De La Luz, María. "Delitos Electrónicos", en Criminalia No. 1-6. Año L., Enero-Junio 1984, México, Academia Mexicana de Ciencias Penales, Editorial Porrúa, Pag.100 13

como fin: conductas criminales dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla. La clasificación de estos delitos es muy amplia, por una parte son conductas criminales que se valen de las computadoras como método o medio, y por otro lado están las que van dirigidas a efectuar daños tanto externos como internos a las computadoras, por consiguiente es de suma importancia prestarle la debida atención ya que de una u otra forma podemos ser víctimas de nuestra información o de nuestro propio equipo de computo. 2.4 Tipos Tipos de Delitos Informáticos reconocidos por Naciones Unidas 23. CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA Fraudes cometidos mediante manipulación de computadoras. manipulación de los datos de entrada: este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común por ser fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. la manipulación de programas: es muy difícil de descubrir y a menudo pasa inadvertido debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de 23 Tipos de delitos informáticos reconocidos por las Naciones Unidas, disponible en: http://www.forodeseguridad.com/artic/discipl/disc_4016.htm Fecha de consulta 22.02.2013 14

forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. fraude efectuado por manipulación informática: aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras se van sacando repetidamente de una cuenta y se transfieren a otra. Falsificaciones informáticas como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada. como instrumentos: las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas, estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. 15

Daños o modificaciones de programas o datos computarizados. sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema, las técnicas que permiten cometer sabotajes informáticos son: virus: es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos, un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. gusanos: se fabrica de forma análoga al virus con miras ha infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir, pero es diferente del virus porque no puede regenerarse. bomba lógica o cronológica: exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado a futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten y son las que poseen el máximo potencial de daño, su detonación puede programarse para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. acceso no autorizado a servicios y sistemas informáticos: por motivos diversos desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático. piratas informáticos o hackers: el delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso, descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. Esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden 16

emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. reproducción no autorizada de programas informáticos de protección legal: esta puede entrañar una pérdida económica sustancial para los propietarios legítimos, algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas. Por otra parte, existen diversos tipos de delitos que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas como son: acceso no autorizado: uso ilegitimo de password y entrada a un sistema informático sin la autorización del propietario. infracción al copyright de bases de datos: uso no autorizado de información almacenada en una base de datos. interceptación de e mail: lectura de un mensaje electrónico ajeno. "Pesca" u "olfateo" de claves secretas: los delincuentes suelen engañar a los usuarios nuevos e incautos del internet para que revelen sus claves personales haciéndose pasar por agentes de la Ley o empleados del proveedor del servicio, para hacer uso no autorizado de sistemas de computo hasta delitos financieros, vandalismo o actos de terrorismo. estafas electrónicas: la proliferación de las compras telemáticas permite que aumenten también los casos de estafa. No obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no prevea los casos en los que la operación se hace engañando al ordenador. 17

juegos de azar: el juego electrónico de azar se ha incrementado a medida que el comercio brinda facilidades de crédito y transferencia de fondos en la red, los problemas ocurren en países donde ese juego es un delito o las autoridades nacionales exigen licencias. transferencias de fondos: engaños en la realización de este tipo de transacciones. Por otro lado, la red Internet 24 permite dar soporte para la comisión de otro tipo de delitos: espionaje: se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico, estos actos podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Se evidencia la vulnerabilidad de los sistemas de seguridad gubernamentales. espionaje industrial: accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada. terrorismo: mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. narcotráfico: transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero y para la coordinación de entrega y recepción. 24 Internet (La Red): Se denomina así a la red de telecomunicaciones que surgió en los Estados Unidos en 1969 por el Departamento de Defensa de los Estados Unidos, más precisamente. Se la llamó primero ARPAnet y fue pensada para cumplir funciones de carácter meramente militar, para convertirse en uno de los principales medios de comunicación que de manera global afecta la sociedad en diversos aspectos como son el social, cultural, económico, etc. Internet es además una red multiprotocolo capaz de soportar cualquier tecnología. Actualmente es un espacio público utilizado por millones de personas en todo el mundo como herramienta de comunicación e información. 18

fraude: se han hecho ofertas fraudulentas al consumidor tales como la cotización de acciones, bonos y valores o la venta de equipos de computadora en regiones donde existe el comercio electrónico. delitos informáticos contra la privacidad: grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos. Esta tipificación se refiere a quién, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. 2.5 Características De acuerdo a las características que menciona en su libro Derecho Informático el Dr. Julio Téllez Valdés 25, se puede observar el modo de operar de estos ilícitos: son conductas criminógenas de cuello blanco, (Lima) en tanto que sólo determinado número de personas con ciertos conocimientos (en este caso técnicos) pueden llegar a cometerlas. son acciones ocupacionales, en cuanto que muchas veces se realizan cuando el sujeto se halla trabajando. son acciones de oportunidad, en cuanto que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. 25 Téllez Valdez, Julio. Op. Cit. Págs. 104-105 19

provocan serias pérdidas económicas, ya que casi siempre producen "beneficios de más de cinco cifras a aquellos que los realizan. ofrecen facilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. son muy sofisticados y relativamente frecuentes en el ámbito militar. presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. en su mayoría son imprudenciales y no necesariamente se cometen con intención. ofrecen facilidades para su comisión a los mentores de edad. tienden a proliferar cada vez más, por lo que requieren una urgente regulación. por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley. Las características de este tipo de delitos son aspectos técnicos los cuales hacen que se distingan de los demás, ya que operan de una manera muy sofisticada y son acciones de oportunidad. Haciendo un análisis muy concreto es importante señalar que se debe actuar de la manera más eficaz para evitar ser víctima de estos delitos y contrarrestar a que estos se sigan realizando, por tal motivo es de suma importancia legalizar este ilícito para que se reduzca su accionar. 20

3 Evidencia Digital 3.1 Antecedentes Desde la década de los noventa ha existido un incremento de tendencia por el uso de la tecnología, y ha tenido un crecimiento exponencial llevando a distintas disciplinas del conocimiento a estudiar las condiciones en que se desarrollan los nuevos negocios y por ende las nuevas formas de delinquir. Desde los años noventas hasta hoy en día, la evidencia digital cobra más importancia, sin embargo, aún hay un largo camino por recorrer especialmente en los aspectos siguientes: Especialización Legislación estudio actualización. El desarrollo e innovación que presenta el mundo tecnológico es impresionante y la evidencia digital sigue cobrando importancia y realce especialmente a partir del siglo XXI, donde la revolución tecnológica ha marcado un paso importante en la humanidad. Actualmente la evidencia digital ha llegado a un nivel interesante de especialización, incluso ya se escucha hablar de delitos informáticos y auditorias forenses de tecnología, entre otros temas. De esa cuenta, en la actualidad cada vez las organizaciones se ven abocadas a tratar de establecer medios probatorios digitales, dada la alta inter conectividad de las operaciones y relaciones con terceros. 21

3.2 Introducción La evidencia digital es única, cuando se le compara con otras formas de evidencia documental, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único de la evidencia digital es el potencial de realizar copias no autorizadas de archivos sin dejar rastro, esta situación genera problemas con respecto al robo de información. 3.3 Definición Comencemos con algunas definiciones que nos proporcionan ciertos autores en relación al tema: Según el autor Jeimy J. Cano M., la evidencia digital se considera como: El listado de conceptos en lenguaje técnico que puede ser catalogado como elementos materiales probatorios. 26 Eoghan Casey 27 define la evidencia de digital como cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar un enlace (link) entre un crimen y su víctima o un crimen y su autor. Handbook Guidelines for the management of IT evidence 28 (Manual de directrices para la dirección de pruebas), define la evidencia digital como: cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático 26 Cano M. Jeimy J., Computación Forense, descubriendo los rastros informáticos, México, Editorial Alfaomega, 2009 27 Casey, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, second edition, USA, ELSEVIER ACADEMIC PRESS, 2004, Pág. 11 28 HB171:2003 Handbook Guidelines for the management of IT evidence, Disponible en: http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan016411.pdf Fecha de consulta 18.02.2013 22

Como nos podemos dar cuenta varias definiciones coinciden en que la evidencia digital puede ser cualquier dato o información, que sujeta a una intervención humana ha sido extraída de un medio informático y nos puede proporcionar un enlace entre el crimen y su autor. De esta manera podemos indicar que evidencia digital son todos aquellos datos que se encuentran o se localizan en cualquier medio informático o dispositivos de almacenamiento de información 29. Jeimy J. Cano M. 30 refiere la evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso, sin embargo y considerando el ambiente tan cambiante y dinámico de las infraestructuras de computación y comunicaciones, es preciso detallar las características propias de dicha evidencia en este entorno. La evidencia digital posee, entre otros los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: volátil anónima duplicable alterable y modificable eliminable Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito. 29 Son dispositivos capaces de grabar datos en su memoria, facilitando así, el transporte de información y la distribución de la misma en distintos equipos. 30 Cano M., Jeimy J. Op. cit. Pág. 67 23

3.4 Clasificación Jeimy J. Cano clasifica la evidencia digital en tres categorías 31 : registros generados por computador: estos registros son aquellos que como dice su nombre, son generados como efecto de la programación de un computador. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro. registros no generados sino simplemente almacenados por o en computadores: estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: los registros híbridos son aquellos que combinan afirmaciones humanas y logs, para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores. La diferencia entre las tres categorías mencionadas radica en el factor humano, es decir lo determinante es si una persona o un computador crearon o generaron el contenido del registro. 31 José Alejandro Mosquera González, Andrés Felipe Cetain Jaramillo, Jeimy J. Cano, Evidencia Digital: contexto, situación e implicaciones nacionales, Revista de Derecho, Comunicaciones y Nuevas Tecnologías N 1, Abril de 2005, Bogota, Colombia, GECTI, Pág. 179 http://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics90.pdf 24

Entonces se entiende que la evidencia digital se clasifica en tres categorías para una mejor individualización, como los registros generados desde un computador entiéndase un software creado para una aplicación especifica, también se menciona de los registros que solamente se almacenan generados por una persona por ejemplo un documento de Word, finalmente se habla de los registros híbridos los cuales es la combinación de ambos registros. 3.5 Características Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar muestras del daño, sin embargo, este problema es mitigado con algunas características que posee la evidencia digital 32 : la evidencia digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Esto se hace comúnmente para no manejar los originales y evitar el riesgo de dañarlos. actualmente con los instrumentos existentes, es muy fácil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada. la evidencia digital es muy difícil de eliminar. Aún cuando un registro es borrado del disco duro del computador, y éste ha sido formateado, es posible recuperarlo. Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios. En el documento consideraciones técnicas y procedimiento para la investigación de delitos informáticos 33, se hace referencia a algunas características que hacen que la 32 Casey, Eoghan. Op. cit. Pág. 12 33 Daniel Torres, Sandra Rueda, Jeimy Cano, Algunas consideraciones técnicas y de procedimiento para la investigación de delitos informáticos, Universidad de Los Andes Colombia, Pág. 03 http://www.cse.psu.edu/~ruedarod/papers/recsi04.pdf fecha de consulta 28.02.2013 25