Código

SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 1 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

1. OBJETIVO

Estandarizar el procedimiento de las diferentes modalidades de investigación, en

donde se utilicen medios tecnológicos para la comisión de la conducta delictiva,
como lo es la utilización de cuentas de correo electrónico para el envío de
comunicaciones extorsivas, amenazantes, subversivas, terroristas, injuriosas y/o
calumniosas o que contengan material relacionado pornografía infantil, entre otras.
Realizar estudios, análisis y asesorías especializadas a elementos materia de
prueba o evidencia física.

2. ALCANCE

Aplica a los servidores con funciones de policía judicial que realicen actividades
relacionas con delitos donde se utilicen medios tecnológicos para la comisión de la
conducta delictiva, que estén adscritos a la División de Investigaciones de la
Dirección Nacional o ha las Secciones de Investigación de las Direcciones
Seccionales del CTI.

Inicia con el conocimiento de la noticia criminal y finaliza con la presentación de

los informes en sus diferentes modalidades según sea el caso (ejecutivo, de
campo o laboratorio) en audiencias preliminares o de juicio oral.

3. DEFINICIONES.

• ACTA DE DILIGENCIA: Documento en el cual el redactor de la misma refiere

circunstancias de un hecho relatándolo y describiéndolo; registrando estado de
las cosas y las manifestaciones de voluntad que participaron en el mismo. Esta
acta debe contener la fecha, hora, lugar, nombres y firmas de quienes
intervinieron en ella.

• INFORMÁTICA: La Informática es el conjunto de conocimientos científicos y

técnicas que hacen posible el tratamiento automático de la información por
medio de un computador (llamado también ordenador o computadora).

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 2 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

• REDES: Una red de computadoras (también llamada red de ordenadores o red

informática) es un conjunto de equipos (computadoras y/o dispositivos)
conectados, que comparten información (archivos), recursos (CD-ROM,
impresoras, etc.) y servicios (acceso a internet, e-mail, chat, juegos), etc.

• SEGURIDAD INFORMÁTICA: La seguridad informática consiste en asegurar

que los recursos del sistema de información (material informático o programas)
de una organización sean utilizados de la manera que se decidió y que el
acceso a la información allí contenida así como su modificación sólo sea
posible a las personas que se encuentren acreditadas y dentro de los límites
de su autorización.

• SISTEMA TELEMÁTICO: Formado por equipos informáticos interconectados

por una RED DE TELECOMUNICACIONES (constituida por circuitos, equipos
de transmisión y equipos de conmutación).

• TELEMÁTICA: TELECOMUNICACIONES + INFORMÁTICA. Es la ciencia que

estudia el conjunto de técnicas que será necesario utilizar para poder transmitir
datos, tanto a lugares remotos, como dentro de un sistema informático.

• TRANSMISIÓN DE DATOS: Movimiento de información codificada de un

punto a otro/s punto/s. Estos datos se transmitirán mediante señales eléctricas,
ópticas, radio o electromagnéticas.

• LOG: Un Log es un registro oficial de eventos durante un periodo de tiempo en

particular. Para los profesionales en seguridad informática un Log es usado
para registrar datos o información sobre quien, que, cuando, donde y por que
(who, what, when, where y why, W5) un evento ocurre para un dispositivo en
particular o aplicación. La mayoría de los logs son almacenados o desplegados
en el formato estándar, el cual es un conjunto de caracteres para dispositivos
comunes y aplicaciones. De esta forma cada log generado por un dispositivo
en particular puede ser leído y desplegado en otro diferente. A su vez la
palabra log se relaciona con el término Evidencia Digital. Un tipo de evidencia
física construida de campos magnéticos y pulsos electrónicos que pueden ser
recolectados y analizados con herramientas y técnicas especiales, lo que
implica la lectura del log y deja al descubierto la actividad registrada en el
mismo.

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 3 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

• AUTENTICACIÓN: Es el acto de establecimiento o confirmación de algo (o

alguien) como auténtico, es decir que reclama hecho por, o sobre la cosa son
verdadero. La autenticación de un objeto puede significar (pensar) la
confirmación de su procedencia, mientras que la autenticación de una persona
a menudo consiste en verificar su identidad. La autenticación depende de uno
o varios factores de autenticación.

• BASE DE DATOS: Una base de datos o banco de datos es un conjunto de

datos pertenecientes al un mismo contexto y almacenados sistemáticamente
para su posterior uso. En este sentido, una biblioteca puede considerarse una
base de datos compuesta en su mayoría por documentos y textos impresos en
papel e indexados para su consulta. En la actualidad, y debido al desarrollo
tecnológico de campos como la informática y la electrónica, la mayoría de las
bases de datos están en formato digital (electrónico), que ofrece un amplio
rango de soluciones al problema de almacenar datos. Existen unos programas
denominados sistemas gestores de bases de datos, abreviado SGBD, que
permiten almacenar y posteriormente acceder a los datos de forma rápida y
estructurada. Las propiedades de estos SGBD, así como su utilización y
administración, se estudian dentro del ámbito de la informática.

• PAGINAS WEB: Una página Web es una fuente de información adaptada para
la World Wide Web (WWW) y accesible mediante un navegador de Internet.
Esta información se presenta generalmente en formato HTML y puede
contener hiperenlaces a otras páginas Web, constituyendo la red enlazada de
la World Wide Web.

• CORREO ELECTRÓNICO: Correo electrónico: Correo electrónico, o en inglés

e-mail, es un servicio de red que permite a los usuarios enviar y recibir
mensajes rápidamente (también denominados mensajes electrónicos o cartas
electrónicas) mediante sistemas de comunicación electrónicos. Principalmente
se usa este nombre para denominar al sistema que provee este servicio en
Internet, mediante el protocolo SMTP, aunque por extensión también puede
verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de
mensajes de correo electrónico se puede enviar, no solamente texto, sino todo
tipo de documentos. Su eficiencia, conveniencia y bajo costo están logrando
que el correo electrónico desplace al correo ordinario para muchos usos
habituales.

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 4 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

• SISTEMA DE INFORMACIÓN: Es el conjunto de procesos que, operando

sobre una colección de datos estructurada de acuerdo a una empresa o
entidad, recopila, elabora y distribuye (parte de) la información necesaria para
el buen funcionamiento de ella. Además apoya actividades de dirección y
control correspondientes, apoyando al menos en parte, la toma de decisiones
necesarias de acuerdo a su estrategia.

• HARDWARE: Se denomina hardware o soporte físico al conjunto de

elementos materiales que componen un computador. En dicho conjunto se
incluyen los dispositivos electrónicos y electromecánicos, circuitos, cables,
tarjetas, armarios o cajas, periféricos de todo tipo y otros elementos físicos.

• SOFTWARE: También conocido como soporte lógico, compendia todo tipo de

programas, utilidades, aplicaciones, sistemas operativos, drivers que hacen
posible que el usuario pueda trabajar con un computador.

• EVIDENCIA DIGITAL: También conocida como evidencia computacional,

única y conocida como: registros o archivos generados por computador u otro
medio equivalente, registros o archivos no generados sino simplemente
almacenados por o en computadores o medios equivalentes y registros o
archivos híbridos que incluyen tanto registros generados por computador o
medio equivalente como almacenados en los mismos.

• ELEMENTOS MATERIALES DE PRUEBA: Son todos los materiales u objetos

(sólidos, líquidos o gaseosos), que pueden servir para la determinación de la
verdad durante la investigación, es un medio de prueba real y tangible (que se
puede ver, tocar, oler, pesar o medir); para que tengan valor probatorio deben
ser debidamente recolectados, protegidos, embalados, rotulados,
transportados y entregados al Servidor competente, manejando la cadena de
custodia.

• DIRECCIÓN IP: Dirección de un computador dentro de una red con protocolo

TCP/IP (4 números de 0 a 255, separados por puntos, Ej.: [Link]).

• TCP/IP: Conjunto de protocolo de comunicaciones, el estándar en los sistemas

Unix y en Internet (Transmission Control Protocol/Internet Protocol).

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 5 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

• E-MAIL: correo electrónico (Electronic mail). Mensajes (normalmente privados)

enviados a través de una red de computadores.

• ISP: Proveedor de servicios de Internet

• BROWSER: Aplicación que permite enviar y recibir información a través de

cualquier red local o global.

• HUELLA DIGITAL:

• HASH:

Todos los conceptos contenidos en este documento que no se encuentren

plasmados en éste ítem pueden ser consultados a través de diccionarios
especializados en Informática.

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 6 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

4. DESARROLLO.

No. ACTIVIDAD RESPONSABLE REGISTRO

1. Recepción de información: Conoce el hecho delictivo

que involucre la utilización de una o varias cuentas de
1 correo electrónico que sean utilizadas para el envío de Servidor oficina Reporte de
información relacionada con comunicaciones extorsivas, de recepción de
amenazantes, terroristas, subversivas, calumniosas y/o Comunicaciones Información
injuriosas, o con contenidos de pornografía infantil, e
informa al servidor disponible para el conocimiento del
hecho de acuerdo a la especialidad.

2. Proceder según sea el caso:

2.1. Actos Urgentes: Requiere la participación de un

Servidor o Equipo de especialistas en informática de Coordinador
acuerdo con la recepción de información del ítem anterior. Unidad y/o Grupo Planilla de
Informática Disponibilidad-
Nota: Aplica para todas las seccionales teniendo en cuenta la Forense o el que Sistema de
resolución 001 del 2009 que define la estructura orgánica del
haga sus veces- Información de
Cuerpo Técnico de Investigación.
Servidor (s) Ordenes de
Unidad y/o Grupo Trabajo
Procede a ubicar al Servidor basado en la planilla de
Informática
disponibilidad y realizar Orden de Trabajo la cual se
Forense
registra en el sistema de información destinado para tal
2 fin.
√
2.1.1. Recepción del Reporte de Inicio y/o
Noticia Criminal: Recepciona el reporte de inicio
y/o denuncia en el sistema de información SPOA,
el cual arroja un numero único de noticia criminal y
asigna fiscal.
Reporte de Inicio
Realiza las actividades enmarcadas en el artículo (FPJ1)- Noticia
205 del Código de Procedimiento Penal (Ley 906), Criminal (FPJ2)-
dentro de las cuales se resaltan las siguientes: Servidor (s)
Unidad y/o Grupo Inspección al.
Informática Lugar del hecho
Nota: En aquellas seccionales donde no se
encuentre el SPOA, la asignación del número Único Forense (FPJ9)- Sistema
de noticia criminal y de fiscal se hace manualmente. de Información
con que se
Inspección al lugar del Hecho: Maneja la escena cuente: SPOA,
virtual como escena primaria, que corresponde a LIBRO, etc.
la cuenta de correo electrónico, posteriormente
ubicar los mensajes electrónicos (e-mail) motivo
de la denuncia en cualquiera de las carpetas que
se encuentren creadas y/o configuradas en éste

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 7 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

buzón de correo.

Nota: Se debe tener en cuenta y especificar en el

informe, o en el acta de manejo al lugar de los
hechos, que la escena es de carácter virtual, y que
estamos accediendo a éste buzón de mensajería a
través de un computador con acceso a Internet, en
cualquier parte de la ciudad.

Entrevistas: Efectuar entrevista a la (s) victima

(s) del hecho delictivo, teniendo en cuenta los
siguientes aspectos:
Servidor (s)
Formato de
• Los mensajes que sustentan el hecho (Extraer Unidad y/o Grupo
Entrevista
todos los mensajes sospechosos). Informática
(FPJ14)
• Tiempo de activación de la cuenta electrónica. Forense
• Tiempo de no utilización de la cuenta
electrónica.
• El contacto o la cuenta de correo electrónico de
origen.
• Los mensajes que fueron reenviados.
2 • Mensajes que fueron allegados a otras
√ personas (Familiares, amigos, compañeros de
trabajo, entre otros.)

Nota: Siempre que se entreviste a la (s) victima (s),

y/o a las personas a quienes les llego éstos
mensajes, NUNCA se les debe pedir la contraseña
personal, a menos que esto sea necesario para el
buen desarrollo de la investigación, previamente
notificado al usuario, para que éste posteriormente la
cambie.

Identificación, recolección, y embalaje técnico

de EMP: Extrae a través de cualquier medio
tecnológico la evidencia digital, correspondiente a
todos los mensajes (e-mails) contenidos en el o Servidor (s) Cadena de
en los buzón (es) con su respectivo encabezado Unidad y/o Grupo Custodia (FPJ8)-
de direccionamiento IP, identificando el o los Informática Rótulo (FPJ7)
mensajes a través de una huella digital extraída Forense -
mediante un proceso HASH (Ver Instructivo
FGN-41300-IT-17).

Nota: Se recomienda que todas las actividades

realizadas por el Servidor o equipo de especialistas
debe ser documentada a través de print Screen
(Captura de pantallas), aplicando manual de cadena
de custodia.

2.1.2. Entrega de Informes: El o los Servidor (s)

Servidores de Policía Judicial expertos en Unidad y/o Grupo Informes de
informática, una vez realizados los actos Urgentes Informática Policía Judicial
procederán a elaborar informe ejecutivo, conforme Forense (FPJ3, FPJ11 y/o
FPJ13)

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 8 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

al manual de policía judicial, en donde se

consignaran las actividades realizadas y sus
resultados; así mismo anexa otros informes
(Campo, laboratorio) según se halla presentado el
caso y de contarse con EMP o EF se someten a
manual de cadena de custodia. Este informe se
entrega al fiscal asignado al caso, dejando una
copia al Coordinador de la Unidad de Delitos
Informáticos o al que haga sus veces.

2.2. Requerimientos Investigativos: Solicita la

asignación de un Servidor o equipo de trabajo de
especialista (s) en informática por parte de las diferentes
fiscalías para apoyar las investigaciones que involucre la Servidor Oficina Solicitud escrita
utilización de una o varias cuentas de correo electrónico de Planilla de
que sean utilizadas para el envío de información Correspondencia correspondencia
relacionada con comunicaciones extorsivas,
amenazantes, terroristas, subversivas, calumniosas y/o
injuriosas, o con contenidos de pornografía infantil, entre
otros.

Nota: Todas las peticiones deben ser canalizadas a

través de la oficina de correspondencia de la Dirección
Nacional o de cada Dirección Seccional del Cuerpo
Técnico de Investigación o la dependencia que haga sus
veces.

3. Asignación de la Misión de Trabajo: Entrega la solicitud

de fiscalía al jefe inmediato del servidor experto y evalúa Coordinador de Sistemas de
el tipo de requerimiento solicitado por la autoridad Unidad y/o Grupo Información con
3 competente. Se asigna términos en días calendario de Informática que se cuente:
acuerdo a la complejidad de la Investigación, y se otorga Forense o el que SPOA, LIBRO,
√
orden de trabajo al investigador, se vincula el o los haga sus veces etc., y de Ordenes
Servidor (s) a la noticia criminal a través del sistema de de Trabajo
información SPOA, y se registra la Misión de Trabajo en el
sistema de Información destinado para tal fin.

4. Reunión de Trabajo: Reunir el equipo de trabajo

conformado por el Fiscal (Director de la Investigación) y el
o los Servidor (s) especialistas en informática (Gerente de
caso) con la finalidad de planear, diseñar y ejecutar las
Servidor (s) de
actividades de Policía Judicial que deban plasmarse en el
Unidad y/o Grupo
programa metodológico.
Informática
4 Forense – Fiscal
En éstas reuniones de trabajo se debe analizar todos los
del Caso
informes de policía judicial (ejecutivo, campo, laboratorio)
en conjunto con los EMP y EF, con la finalidad de
sustentar la hipótesis planteada por la fiscalía, y así
mismo, se debe determinar cuando se deben realizar
labores propias de investigación no especializada,

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 9 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

controles de legalidad previo o posterior, esto último

cuando se afectan expectativas razonables de intimidad.

Cuando la investigación no requiera procedimientos

especiales de informática, si no procedimientos de
investigación se remitirá al ítem 14 de éste procedimiento.

Si no se cumple ninguna de las acciones anteriores, y al

evaluar la investigación se determina que no existen
elementos materiales probatorios suficientes para
sustentar la hipótesis delictiva planteada por la Fiscalía,
nos remitimos al ítem 15 de éste procedimiento.

5. Elaboración de Programa Metodológico: Es un diseño

investigativo que se realiza en conjunto con el Servidor o el
equipo de Policía Judicial de especialistas en informática y Servidor (s)
el Fiscal del caso, donde se establecen unos objetivos, una Unidad y/o Grupo Programa
hipótesis delictiva y unas actividades a desarrollar con la Informática metodológico
finalidad de esclarecer unos hechos en donde intervienen Forense – Fiscal
5 cuentas de correo electrónico así como los mensajes del Caso
contenidos en la misma.

Se debe evaluar cual de estas actividades asignadas

requiere control de legalidad (previo o posterior) ante juez
de garantías.

6. Órdenes de Policía Judicial: Se emiten las órdenes de

Policía judicial al o ha los Servidor(s) especialistas con el
propósito de analizar los mensajes contenidos en las Servidor (s)
cuentas de correo electrónico, así como el análisis de Unidad y/o Grupo Ordenes de
éstas, en donde se requiere como insumo mínimo el Informática Policía Judicial
6 encabezado de direccionamiento IP del o los mensaje (s). Forense
√
En caso de existir control de legalidad (previo o posterior)
hecho ante el juez de garantías, se deben solicitar datos
tales como: Numero del Juez, fecha y hora del control.

7. Análisis de la información: Diseña y planea las acciones

a ejecutar y determinar qué actividades se deben elaborar
simultáneamente, cuales son predecesoras y antecesoras. Servidor (s)
Unidad y/o Grupo Libreta del
Conocer la configuración del buzón de entrada de los Investigador
7 proveedores de correo electrónico (Hotmail, Yahoo, Gmail,
Informática
Forense
entre otros.), o buzones de correo de cuentas corporativas
(Outlook, owa, entre otros.), para llegar a detallar, y
configurar la o las cuenta (s) de correos electrónicos, de
tal manera que se pueda conocer los encabezados de
direccionamiento IP.

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 10 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

8. Procede según sea el caso:

8.1. Cuenta de Correo electrónicos de servidores

gratuitos: Cita a la victima y/o a la (s) persona (s) a
quienes les ha llegado el o los mensaje (s) con el
propósito de realizar una entrevista a cada uno de ellos
en donde se toquen algunos tópicos enunciados en el
ítem 2.1.1 (Recepción del Reporte de Inicio y/o Noticia
Criminal -entrevista), y configurar el buzón de mensajes
para poder observar, analizar y extraer los encabezados
de direccionamiento IP.

8.2. Cuentas de correos electrónicos de servidores

Corporativos: Va al sitio de trabajo de la victima y/o al
lugar de trabajo de la (s) personas a quienes les ha
llegado el o los mensaje (s), con el propósito de realizar
entrevista, y configurar el buzón de mensajes para poder
observar, analizar y extraer los encabezados de
direccionamiento IP.
Servidor (s)
Se debe analizar el servidor de correo corporativo, o el Unidad y/o Grupo Acta de la
8 servidor Web de la organización en caso de no encontrar Informática diligencia
los encabezados de direccionamiento IP, con la finalidad Forense
de extraer del Log de seguridad y/o auditoria los registros
que permitan detectar las direcciones IP desde donde se
originaron los mensajes.

8.3. Mensajes electrónicos impresos y/o almacenado

en medios tecnológicos: Evalúa si el mensaje
electrónico impreso y/o almacenado en medios
tecnológicos aportado en la denuncia posee el
encabezado de direccionamiento IP; si existe se sigue el
procedimiento, si no se realiza un informe de campo con
destino al fiscal, en donde explica las actividades
realizadas y el porqué esa evidencia documental no sirve
para la investigación. Ir al ítem 4 (Reunión de Trabajo).

Nota: Se deben agotar todos los recursos para obtener el o

los mensaje (s) directamente de la o de las cuenta (s) de
correo electrónico por parte del especialista en informática,
si esto no es posible, se debe dejar constancia en el informe
que la evidencia analizada fue aportada por la victima o por
el denunciante.

9. Extracción recolección y embalaje de mensaje (s)

electrónicos contenidos en la cuenta de correo: Extrae Servidor (s) de Cadena de
a través de cualquier medio tecnológico la evidencia digital Unidad y/o Grupo Custodia (FPJ8)-
9 correspondiente al mensaje (s) contenido en la cuenta del Informática Rótulo (FPJ7)
correo electrónico, identificando el o los mismo (s) a través Forense
de una huella digital extraída mediante un proceso HASH
(Ver Instructivo FGN-41300-IT-17).

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 11 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

Para el hallazgo, recolección y embalaje de la evidencia de

tipo digital, se requieren de unos cuidados mínimos por lo
delicado y frágil de los contenedores que almacenan estos
datos. (Ver Instructivo FGN-41300-IT-16).

Nota: Imprimir de ser posible los mensajes con su respectivo

encabezado de direccionamiento IP.

10. Análisis de Direccionamiento IP: Identifica la dirección IP Servidor (s) de

desde donde se originó la comunicación para el envío del o Unidad y/o Grupo Informe de Policía
10 de los mensaje (s) electrónicos, identificando al ISP Informática Judicial (FPJ13)
(Proveedor de Servicios de Internet). Ver guía FGN- Forense
41300-G-10

11. Elaborar informe: Realiza informe de policía judicial en Servidor (s) Informes de
donde se plasman todas las actividades y acciones Unidad y/o Grupo Policía Judicial
11 realizadas, se anexan otros informes de policía judicial Informática (FPJ11 y/o
√ según sea el caso, así como la relación de los EMP Forense FPJ13)
encontrados. Volver ítem 4 (Reunión de Trabajo).

12. Solicitar y Recepcionar Datos Biográficos al ISP: Con

la identificación del ISP (Proveedor de Servicios de
Internet) se solicita a ésta empresa los datos biográficos de
la persona u organización que utilizo ésta dirección IP,
para lo cual se hace necesario colocar mínimo los Servidor (s)
12 siguientes datos: Unidad y/o Grupo Oficio petitorio
√ Informática
Forense
• Dirección IP.
• Fecha y Hora del mensaje
• Zona Horaria

13. Análisis Georeferencial: Con la información suministrada

por los proveedores de servicios de Internet, de ser posible
se ejecuta un análisis de los lugares desde donde se están
13 originando éstas comunicaciones electrónicas, y así lograr
Servidor (s
una triangulación a través de éstas conexiones y llegar a la
Unidad y/o Grupo Análisis Link
localidad y/o el barrio y/o el sitio de conexión (Café
Informática documentado
Internet, empresa, residencias, etc.) que con mas
Forense
frecuencia enviaron éstos mensajes electrónicos.

Una vez hecha estas acciones nos remitimos al ítem 11 de

éste procedimiento (Elaboración de Informe).

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 12 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

Servidor (s) Procedimiento

14. Aplica el procedimiento General de Investigación para la Unidad y/o Grupo General de
14 Policía Judicial del CTI FGN 41300-P01 Informática Investigación
Forense

15. Se presenta informe en el cual se consignan todas las

15 actividades investigativas y sus resultados, de la cual
resultó imposible encontrar o establecer quién es el sujeto Fiscal Archivo de
de la acción, así como la imposibilidad de recoger EMP o diligencias
EF que permita sustentar la hipótesis delictiva de la
Fiscalía. Sentencia Corte Suprema de Justicia S-2007-
0019.

√ PUNTOS DE CONTROL

5. ANEXOS

• Guía de Informática Forense FGN-41300-G-10

• Diagrama de Flujo

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 13 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.
 Código
SUBPROCESO POLICIA JUDICIAL FGN-41300-P-16

Versión: 02
INVESTIGACIÓN DE HECHOS
DELICTIVOS MEDIANTE LA Página: 14 de 14
UTILIZACIÓN DE CUENTAS CORREO
ELECTRÓNICO

Elaboró
Revisó Oficializó

Director Seccional [Link] Bogota Fiscal General de la Nación

Coordinador Unidad de Policía Judicial de
Informática Forense Aprobó Resolución N° 0-5017 del 20 de octubre de 2009
Cuerpo Técnico de Investigación
Directora Nacional C.T.I.